Libnids(Library Network Intrusion Detection System)是一個網絡入侵檢測開發的專業編程接口。它實現了基於網絡的入侵檢測系統的基本框架,並提供了一些基本的功能。使用Libnids可以快速地構建基於網絡的入侵檢測系統,並可以在此基礎上進一步擴展開發。Libnids實現了入侵檢測系統的底層功能,使開發者可以專注於高層的功能開發。
Libnids是基於Libpcap和Libnet而開發的,所以它具有Libpcap和Libnet的優點,具有較強的移植性,效率高,使用簡單。Libnids是仿造Linux 2.0.x內核中的TCP/IP協議部分而實現的,具有高可靠性,並通過了許多測試。
Libnids的主要功能包括捕獲網絡數據包、IP碎片重組、TCP數據流重組及端口掃描攻擊測試和異常數據包測試等。Libnids使用了Libpcap捕獲數據包的功能,可以設定過濾規則,指定捕獲感興趣的數據包。IP碎片重組是Libnids的一個重要內容,它是仿照Linux內核中的IP重組而實現的,所以非常可靠。Libnids提供了TCP數據流重組功能,這是Lipcap所不具備的,利用TCP數據流重組,可以分析基於TCP協議的各種應用層協議。另外,Libnids還提供了檢測TCP端口掃描攻擊的功能,檢測異常數據包的功能,這是入侵檢測系統(IDS)最基本的功能。
Libnids是Rafal Wojtczuk開發的,對於我目前使用的是在Windows平臺下所對應的開發包,Libnids-W32-1.19 版本的,目前應該來說是最新的,http://www.packetstormsecurity.org/UNIX/IDS/Libnids-W32-1.19.tar.gz,這個是下載地址,順便說句,對於英文的東西,還是覺得Google的技術更好些,百度在這方面,不是他的專長了,險些沒有找到下載地址。
Libnids的使用範圍
Libnids使用了Libpcap。所以他具有捕獲數據包的功能,利用Libnids可以輕鬆地實現對數據包的捕獲,對其進行分析。同時,Libnids提供了TCP數據流重組功能,所以對於分析基於TCP協議的各種協議Libnids都能勝任。Libnids還提供了對IP分片進行重組的功能,以及端口掃描檢測和異常數據包檢測功能,所以它對於分析網絡異常情況也是非常有效的。總結起來,Libnids可以用在以下幾個方面。當然,良好的擴展性可以給我們帶來更多的驚喜。
一、入侵檢測系統
Libnids的設計是作爲入侵檢測系統的一個部件來設計的,它實現了入侵檢測系統中非常基礎的功能,如數據包捕獲、協議分析接口等。另外,它還專門針對入侵檢測系統的特性,實現了TCP數據流重組功能,這對於分析準對TCP協議的各種攻擊是很有效的。還有,它已經實現了IP碎片重組功能、對異常數據包的檢測功能以及對TCP端口掃描的檢測功能。最重要的是,Libnids爲入侵檢測系統更深入的開發提供了開發接口。因此,開發人員可以更關注於對入侵檢測技術的研究,而不用考慮底層的實現細節。
二、網絡協議分析
Libnids是在Libpcap的基礎上開發的,所以它具備了Libpcap的功能,可以實現各種協議的分析,並在Libpcap的基礎上開發了更多的功能,如TCP數據流重組。這樣,在利用Libnids分析基於TCP協議的各種協議時,不僅可以分析各種單個TCP數據包,而且可以分析整個TCP連接過程。這對於分析FTP協議,HTTP協議,POP3協議等基於TCP的應用層協議是非常有幫助的。
三、網絡嗅探
網絡嗅探也成網絡監視,主要是指檢測網絡信息,查看網絡內容。針對不同的目的,有各種各樣的故障,它可以利用網絡嗅探技術來實現。對於網絡非法攻擊者來說,爲了獲得敏感信息,他也可以利用網絡嗅探技術來獲取他所需要的內容,如,密碼、用戶、帳號等。後面,讀者將可以看到,利用Libnids可以輕鬆獲取很多協議傳輸的用戶和密碼。所以說,Libnids是一把雙刃劍。除此之外,利用Libnids還可以重現網絡內容,還原網絡數據,如重現HTTP協議中傳輸的網頁,POP3協議中傳輸的電子郵件等。
