欢迎转载,请保留作者信息 包子@郑州大学网络安全园 http://secu.zzu.edu.cn snort是非常出名的一个入侵检测系统,他可以分析流经他的数据,并产生检测报告,可是默认产生的报告给人一种很乱,毫无头绪的感觉,但是如果我们把他的日志输出到MySQL数据库的话,我们就可以比较方便的查询我们所关心的信息了。 Roman Danyliw写了一套叫Analysis Console for Intrusion Databases (ACID)的PHP程序,可以让我们很方便直观的分析sno...
by 大包子 - 数据安全 - 2003-03-09 12:15:36 阅读(1399) 回复(0)
snort -v 显示IP和TCP/IUDP/ICMP头信息 snort -vd 解码应用层 snort -vde 关于ethernet头信息 snort -dev -l ./log -h 192.168.0.1/24 记录关于192.168.0.1/24的信息 本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/15010/showart_246162.html
10.1.1.0/24用来限定一个网络的,通过“24”来做子网掩码,24是不是指255.255.255.0 ?用来指定ip的高24位? 猜测中。。。。 222.218.9.12/24如何理解? 还有一个问题: 内网中的一个主机,打算做nids , 这台主机和其他主机的位置关系如何确定? 有点模糊, 其他的还需要主意什么? 谢谢 :em13:
在“免费与付费IDS孰优孰劣?”一文,针对免费与付费IDS的不同,为用户介绍了免费或付费IDS的选购要点,下面我们以免费IDS为例,具体介绍如何构建和应用免费nids 。 一般说来,一个典型的网络攻击是以大量的端口扫描等手段获取所攻击对象的信息的,这个过程必然产生大量异常的网络流量,它预示着即将到来的真正攻击。这就要求网管人员对网络运行状态进行实时监控,以便随时发现可能的入侵行为,并进行具体分析,及时、主动地进行干...
转自:安全焦点 作者:stardust 一谈到nids,这个产品最为人所诟病的往往就是大量的误报和漏报,满屏乱滚的误报使管理员麻木和厌烦,失去使用的兴趣,漏报则会使管理员怀疑nids的检测能力,明明主机已经被入侵了在nids的日志中却找不到有用的线索。对于nids产品,漏报和误报产生的原因是多方面,但其中最大的来源在于检测规则定义的不严谨。 针对已知的网络攻击,当前主流网络入侵检测检测及防护系统主要还是基于规则的,这是...
在介绍Bro之前先总结一下几个常见的开放源码nids系统: snort ( http://www.snort.org/ ) 目前最著名最活跃的开放源码nids项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具,广泛使用在对检测准确性要求不高的非高速网络环境下。对其进行介绍及分析资料辅天盖地,国内当前大多数的IDS产品都是在其基础上修改出来的。snort的成功之处在于其高效的整体设计编码、简洁明了的规则描述设计及已...
我安装的是 snort-2.2 +acid 参考一些文章安装完成. 但是登陆http://hostaddr/acid 后上面的tcp .udp .icmp之类的都是0. 用nmap扫描后,snort依旧没有反映. 进入mysql use snort select * from udphdr 或者icp ,icmp的表都没有数据. 也就是snort没有向mysql里写数据. ps -ef |grep mysql ps -ef|grep snort ps -ef|grep httpd 都是正常启动的. snort在mysql 里snort库的权限都给所有权限.还是没有数据. 编译snort的时候加...