端口鏡像NIDS技術(sniffer抓包)
NIDS是Network Intrusion Detection System的縮寫,即網絡***檢測系統,主要用於檢測Hacker或Cracker通過網絡進行的***行爲。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息,比如Hub、路由器。
NIDS的功能:網管人員對網絡運行狀態進行實時監控,以便隨時發現可能的***行爲,並進行具體分析,及時、主動地進行干預,從而取得防患於未然的效果。
目前,NIDS產品可分爲硬件和軟件兩種類型。
NIDS的功能測評內容:
NIDS提供的功能主要有數據的收集,如數據包嗅探;事件的響應,如利用特徵匹配或異常識別技術檢測***,併產生響應;事件的分析,如協議分析、網絡流量分析;事件數據存儲,如記錄報警信息到數據庫。 功能測評主要是對NIDS應提供的功能進行驗證。例如在事件響應測評中,要求NIDS在檢測到***事件後能及時地根據設置的響應方式作出響應;在***事件檢測能力測評中,則要求NIDS能夠檢測到常見***,如後門類、FTP類、HTTP類、DNS類、Mail類、ICMP類、Finger類、RPC類和DoS類等;在控制檯功能測評中,則要求NIDS控制檯提供對網絡引擎、用戶角色以及數據庫的管理功能等。
NIDS的安全性測評內容:
安全性測評依據***檢測保護輪廓對NIDS的安全功能做出測評,主要從安全審計、標識和鑑別、安全管理、TOE安全功能保護以及IDS部件要求等方面進行測評分析。
功能測評以及安全性測評所採用的測試方法有:
功能測評一般採用驗證法,即根據產品本身的功能設置和使用說明,通過運用的測試工具來驗證NIDS的數據收集、分析、響應和控制檯管理等功能是否能夠正確實現;安全性測評則是綜合運用驗證法、分析法來確認NIDS是否滿足相關的安全功能要求。
檢測NIDS對規避***的檢測能力:
規避就是對***行爲進行僞裝,雖然***目標機能夠識別這種僞裝後的***行爲,但IDS卻不能有效地檢測該***,從而使***者達到***的目的。例如:將***數據包進行分片,由於有些NIDS不能對IP分片進行重組,或者超過了其處理能力,因此對該***規避後可以躲過NIDS的檢測。
目前規避技術有很多種,如數據包分片和URL Obfuscation。數據包分片測試檢測NIDS是否具備TCP/IP的重組能力,以及重組能力是否完善;測試使用專有的規避測試工具對***流量進行分片、重疊、亂序處理,並向***目標轉發,驗證NIDS是否能檢測到該***。URL Obfuscation測試檢測NIDS能否抵抗常見的URL Obfuscation技術;測試使用專有的字符串處理和字符替代技術,對***數據進行僞裝,並向***目標轉發,驗證NIDS是否能檢測到該***。
實驗器材:一臺交換機(s2000),一臺路由器(做pc1)一臺真是pc2 虛擬機pc做NIDS服務器。
配置交換機:
[Quidway]monitor-port eth0/4 ?
filt-da Specify monitor port filter mode as FILT_DA
filt-sa Specify monitor port filter mode as FILT_SA
no-filt Specify monitor port filter mode as FILT_NO
[Quidway]monitor-port eth0/4 filt-da ?
H-H-H Specify the MAC address
[Quidway]monitor-port eth0/4 filt-sa ?
H-H-H Specify the MAC address
[Quidway]monitor-port eth0/4 no-filt ?
<cr>
[Quidway]monitor-port eth0/4 no-filt
[Quidway]mirroring-port eth0/1 to eth0/2 both ?
<cr>
[Quidway]mirroring-port eth0/1 to eth0/2 both
用路由器作爲pc1機:
[R1]inter e1
[R1-Ethernet1]ip address 192.168.1.1 24
[r1]local-user user1 password sim 123 service-type adm
用pc機2 telnet192.168.1.1輸入用戶名:user1密碼:123
然後在服務器用sniffer上抓包
抓包成功:
