网络管理&入侵检测工具
什么是网络操作系统 (NOS )? . ................................................................................................ 1
什么是网络操作系统Netware ? ............................................................................................ 2
什么是SMB ? ................................................................................................................................. 3
什么是MIB ...................................................................................................................................... 4
什么是Sniffer................................................................................................................................... 4
网管软件........................................................................................................................................... 5
工具名称:SolarWinds Engineer Edition . .................................................................................. 5
工具名称:NetWatch套件 . ........................................................................................................ 5
工具名称:WhatsUp Gold ......................................................................................................... 5
工具名称:Etherpeek NX、Sniffer Distributed . ........................................................................ 5
工具名称:Packeteer PacketShaper ........................................................................................... 6
工具名称:NMIS(网络管理信息系统) ..................................................................................... 6
工具名称:Observer . .................................................................................................................. 6
工具名称:xsight . ....................................................................................................................... 6
工具名称:MRTG ...................................................................................................................... 7
工具名称:PingPlotter、FREEPing . .......................................................................................... 7
工具名称:OpenView ................................................................................................................ 7
工具名称:NetScout . .................................................................................................................. 7
工具名称:Servers Alive ............................................................................................................ 7
工具名称:SNMPc Enterprise.................................................................................................... 8
工具名称:NexVu ...................................................................................................................... 8
工具名称:Qcheck、Chariot ..................................................................................................... 8
IP Monitor的操作规范 .................................................................................................................... 8
ipMonitor 6.0 功能简介:..................................................................................................... 9
ipMonitor 6.0 监控状况摘要: . ............................................................................................ 9
ipMonitor 6.0历史事件记录情况概览: . ............................................................................. 10
1. LOG 文件:................................................................................................ 10
2. 历史配置文件: . .................................................................................................... 10
3. 历史事件总结(Report 的配置和输出) ............................................................. 10
PING 和 HTTP 的监控: ............................................................................................ 11
安全宝典五大入侵检测系统对黑客说不 . .................................................................................... 11
1.Snort . .................................................................................................................................... 11
2.OSSEC HIDS . ...................................................................................................................... 12
3.Fragroute/Fragrouter ............................................................................................................ 13
4.BASE ................................................................................................................................... 13
5.Sguil ..................................................................................................................................... 13
什么是网络操作系统 (NOS )?
网络操作系统(NOS )是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统。它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。例如像前面已谈到的当在LAN 上使用字处理程序时,用户的PC 机操作系统的行为像在没有构成
LAN 时一样,这正是LAN 操作系统软件管理了用户对字处理程序的访问。网络操作系统运行在称为服务器的计算机上,并由联网的计算机用户共享,这类用户称为客户。
NOS 与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。一般情况下,NOS 是以使网络相关特性达到最佳为目的的,如共享数据文件、软件应用,以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。一般计算机的操作系统,如DOS 和OS/2等,其目的是让用户与系统及在此操作系统上运行的各种应用之间的交互作用最佳。
为防止一次由一个以上的用户对文件进行访问,一般网络操作系统都具有文件加锁功能。如果系统没有这种功能,用户将不会正常工作。文件加锁功能可跟踪使用中的每个文件,并确保一次只能一个用户对其进行编辑。文件也可由用户的口令加锁,以维持专用文件的专用性。
NOS 还负责管理LAN 用户和LAN 打印机之间的连接。NOS 总是跟踪每一个可供使用的打印机,以及每个用户的打印请求,并对如何满足这些请求进行管理,使每个端用户感到进行操作的打印机犹如与其计算机直接相连。
NOS 还对每个网络设备之间的通信进行管理,这是通过NOS 中的媒体访问法来实现的。
什么是网络操作系统Netware ?
鉴于Novell 公司的Netware 是目前使用最普遍的一种网络操作系统,下面将对这种操作系统进行讨论。
Novell 公司的Netware 3.X 和4.X 是32位的NOS ,可运行在Intel 80386和Intel 80486处理器上。这种NOS 支持所有的主流台式机操作系统,其中包括DOS,Microsoft Windows ,Apple Macintosh , OS /2和Unix ,如图5所示。Novell 公司从1983年公布Netware 第一个版本以来,
已逐渐演变成一种十分完善的NOS 。从技术角度来说,Netware 的成功应归功于其体系结构设计的特点:图5
(1)支持所有的主流台式机操作系统,并保留了台式工作站具有的交互操作方式。每个工作站看到的诸如打印机和硬盘之类的网络资源犹如是与本地资源进行交写的一种扩充。例如,网络驱动器可看作是DOS 工作的另一个硬盘, 同时又可看作是UNIX 工作站的可安装的文件系统。
(2)Netware 具有的灵活性表现在它可利用范围广泛的第三方的硬件设备和元件, 其中包括文件服务器,磁盘存储系统、网络接口卡、磁带备份系统和其它元件。
(3)支持所有主流局域网标准,如Ethernet(IEEE 802.3)、令牌环(IEEE 802.5)、ARCnet 和Local Talk等。
(4)将高效和高速的机制建在所有NOS 组成部分的核心结构中,其中包括文件系统, 高速缓冲系统和协议堆栈中
(PS : 从这开始是本人自己写的~ 另外netware 当初在世界可以说是现在微软的地位 可以说更高 那个时期 基本上都称局域网为novell 网 局域网操作系统netware 占据了主
导地位 ,但是 不得不佩服比尔盖茨这个计算机和商业上的天才 他通过购买16位微机操作系统和成功投标
于IBM 公司的IBM -PC 发家以来,采取了培养客户群的策略 并且决定性的采用苹果公司的首先开发的视窗系统 笔者(不是我 书上的)曾总结了用户的大特点 1懒2笨3急性子的特点
迅速获得市场(看出来了把 盖茨老大抓住我们的弱点。。。。)在windowsNT4。0面世以后
一个性能优良的网络操作系统就这样击败了 (netware 为什么会被击败 个人感觉 太注重局域网 没有注重当时人们需要局域网和互联网铰链 而盖茨老大看准了这一点 IT 界 不光要有技术
商业头脑很重要)
什么是SMB ?
为了进行通信,我们人类需要同一种语言,如汉语或英语,计算机可不一样了,它们使用的语言规则不能称之为语言,而要称为协议。TCP/IP,NETBEUI ,和Appletalk 等都是协议。我们现在大家都知道什么TCP/IP,听说西安出租车司机都在谈这个东西。但是还有另外一种使用十分广泛的协议称为服务器信息块(Server Message Block)标准,它可以用户共享文件,磁盘,目录,打印机,在某些情况下甚至可以共享COM 端口。Microsoft 总希望把好东西叫成自己的,它希望将基于SMB 的网络称为Windows 网络,把这种协议叫CIFS ,但我们在本文中还是称为SMB 吧。
一个SMB 客户或服务器可以和许多种机器和网络相互连接,这里就不一一说明了。下面是它们的名称:Warp Connect,Warp 4,LAN Server,Lan Server/400,IBM PC Lan和IBM 的Warp Server,在SMB 模式下的LANtastic ,MS-Client ,Windows for Workgroups,Windows 95,LAN Manager和Windows NT Workstation & Server,DEC 的Pathworks ,LM/UX,AS/UX,Syntax 和Samba ,这里面的东西,我们很多都没有使用过。因此不能加以详细介绍。
既然东西这么多,那它们能不能相互协同工作呢?从短期来看是可以的,但是长期可能就有问题,因此许多生产厂商的修改使得SMB 成了对话式的协议,但是用户至少可以使用SMB 兼容系统进行打印机和文件的共享,因此不同厂商的产品有所差异,因此在访问异种网时可能有一些麻烦。当说SMB 不说NetBIOS 和NetBEUI 是不可能的,因此基于SMB 的网络使用的底层协议虽然不一样,但是最基本的是基于NetBEUI 的NetBIOS 和基于TCP/IP的NetBIOS ,有时候我们也把后者称为RFC/Netbios或TCPBEUI 。
SMB 客户或服务器总是希望使用NETBIOS 接口,换而言之,无论底层使用什么协议,SMB 总希望使用统一的接口和远程系统进行通信。我们可以把NETBIOS 想象为乘客,而把它下层的协议想像成随便什么交通工具,这些交通工具载着乘客从A 地到达B 地,完成通信。那么在使用NetBEUI 时会有什么问题呢?NetBEUI 的问题我们还可以用上面的例子进行说明,在这种环境下,NetBEUI 基本上就是一个NETBIOS ,它被直接传上网络,这个乘客本来可以坐车的,现在要自己从A 地走到B 地。NETBEUI 采用一种广播式的发送方式,它象一个在大街上到处大喊着找人的乘客,这样虽然也找到,而且有时候速度还挺快,可是网络(这里我们把网络比喻为大街)会变得十分乱。在默认情况下,Windows 和OS/2 Warp
使用NETBEUI 作为默认协议,因此这种协议不同任何配置即可使用。
我们上面还提到了在TCP/IP的基础上使用NetBIOS ,那么我们为什么要使用TCP/IP呢,我们在什么时候要使用这种协议呢?因为用TCP/IP协议在计算机间进行通信有它的优势,这种方法不采用广播式的发送方法,而采用直接发送的方法,这样可以让网络内的无用噪声减少。而基于TCP/IP使用NetBIOS 是一个非常流行的使用方法(当然用户也可以使用别的通信协议传送NETBIOS 信息),因为互联网的广泛使用,计算机上一般都安装了TCP/IP,这对使用提供了方便,事实上,Samba 甚至要求使用基于TCP/IP的NetBIOS ,而根本不支持基于NetBEUI 的NetBIOS 。
因为基于TCP/IP使用NetBIOS 时要使用到TCP/IP,用户必须将安全性考虑在内,这一点十分重要,不然出了问题不好办。如果用户现在使用的是Windows 95,他可能会注意到没有什么基于TCP/IP的NetBIOS ,只有一个NetBEUI 选项,这是因为用户没有安装TCP/IP协议,在用户安装了TCP/IP之后,就会自动出现基于TCP/IP的NetBIOS 。这时,出于安全性的考虑,在网络配置中的TCP/IP一项上请不要选择文件和打印机共享。能否将OS/2作为SMB 客户连接到Windows NT或Windows for Workgroups上呢?这当然是可以的,OS/2 Warp 4和Warp Connect能够和NT 以及Workgroup 等其它微软产品通信,在OS/2 Warp 4中就内建了TCP/IP,NETBEUI 和IPX ,随着用户的需要也可以再添加新的协议,OS/2 Warp 4中还内建了一个程序称为“IBM 文件和打印客户”请,大家注意这个程序的使用。如果用户没有Warp 4或Warp Connect,那么使用免费的Microsoft LAN Manager Client for OS/2也可以达到同样的目的。最后我们说一下如何使MSIPX 协议和NT 或NetWare 服务器连接。基于IPX 的NETBIOS 也称为IPXBEUI 或MSIPX ,在OS/2 Warp 4和Warp Connect中,用户可以找到基于IPX 的NetWare NetBIOS仿真,这就可以了。
什么是MIB
网络管理信息库(MIB )是网络管理数据的标准,在这个标准里规定了网络代理设备必须保存的数据项目,数据类型,以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问,就可以得到该网关的所有统计内容。再通过对多个网关统计内容的综合分析即可实现基本的网络管理。
什么是Sniffer
现在人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击。但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用Sniffer 进行嗅探攻击。
Sniffer ,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路
由器曾经被黑客攻人,并嗅探到大量的用户口令。
网管软件
工具名称:SolarWinds Engineer Edition
网址:http://www.solarwinds.net
推荐理由:有读者说:"在不到一小时的时间内,我从网站上下载并安装了SolarWinds 的授权版本。不久后,我就可以制作线路使用报告了,而且线路使用和基本响应时间功能非常棒,此外,数据还被保存下来,使我可以一个星期、一个月或一年后查看数据。" 工具名称:NetWatch套件
公司名称:Crannog Software
网址:http://www.crannog-software.com/netwatch.html
推荐理由:有读者认为这种软件由简单但却有效的点解决方案构成,这些解决方案在使用和效力上超过了他们所有的更大型的网络管理产品。NetFlow Monitor 是另一种解决流量可见性问题的低成本解决方案,但NetWatch 使网管员可以通过简捷的点击过程定制创建网络地图。而且,这种软件基本上不需要培训和维护。
工具名称:WhatsUp Gold
公司名称:Ipswitch
网址:http://www.ipswitch.com
推荐理由:用户对它的评价是具有非常昂贵的产品才拥有的很多功能,而价格却非常低廉。还有读者称:"我们能够在几分钟之内安装好软件,自动发现大多数网络设备,并开始向我们的文本电话机发送状态报警。此外,我们还监测不应出现问题的服务和Web 内容变化。"
另一位用户还利用它" 报告简单的服务水平协议状况,让我的用户无法在真正发生了多少次故障上弄虚作假。"
工具名称:Etherpeek NX、Sniffer Distributed
公司名称:WildPackets、NAI
网址:http://www.wildpackets.comwww.networkassociates.com
推荐理由:一位读者推荐Etherpeek NX 2.0作为一种" 价格低廉、功能优秀" 的协议分析仪。Etherpeek NX 2.0帮助他解决断续出现的、复杂的应用问题。
另一种读者推荐的工具是来自NAI 的Sniffer Distributed。他觉得如果工具包中缺少这种工具,他将无法生存。
工具名称:Packeteer PacketShaper
网址:http://www.packeteer.com
推荐理由:一位读者说:"当用于应用或主机上时,我们对报告和配置的粒度感到满意。它使我们可以找到一条完全拥塞的768K bit/s WAN链路,有效地从它里面得到更多的带宽。"
工具名称:NMIS(网络管理信息系统)
网址:http://www.sins.com.au/nmis/
推荐理由:它可以通过开放源代码GPL 许可证免费使用,可以运行在Linux 上。有读者说,它提供的支持" 比我得到的任何支持都好。" 该工具受到欢迎的另一个原因在于它带有仪表板的用户友好的Web 界面,支持" 在一个页面中以一种简要的、分级的和色块方式显示我所有200台网络设备的状态,从而使我可以轻松地找到问题的根源和范围。"
工具名称:Observer
公司名称:Network Instruments
网址:http://www.networkinstruments.net
推荐理由:这款工具由于" 是目前功能最强和最多样化的平台" 而成为读者的选择。 工具名称:xsight
公司名称:Aprisma Spectrum
网址:http://www.aprisma.com
推荐理由:有读者喜欢用Aprisma Spectrum 公司的xsight 来进行故障隔离,他说:"xsight与Attention Software一起使用可以令人信服地解决报警问题并向他人发出寻呼。" 他还使用CiscoWorks 来管理和维护他们的Cisco 网络的防火墙和配置。
工具名称:MRTG
网址:http://www.mrtg.it
推荐理由:据一位读者称,多路由流量图形工具(MRTG)是其最爱,他说:"MRTG在收集有关网络带宽使用的统计数据和服务器监控方面表现非常棒。"MRTG 不仅是免费的,而且还是通过GNU(通用公用许可) 提供的。
工具名称:PingPlotter、FREEPing
公司名称: Nessoft、Tool4ever
网址:http://www.pingplotter.comwww.tools4ever.com
推荐理由:PingPlotter是读者推荐的一项价格仅为15美元的Ping 和Traceroute 工具。一旦出现问题,这位读者就启动该程序来查找问题出在哪里。FREEping 是另一项读者推荐的可以免费下载的Ping 工具。一位读者反映,这项工具" 虽然非常简单,但却在掌握网络对象的可达性方面非常有用。"
工具名称:OpenView
公司名称:HP
网址:http://www.openview.hp.com
推荐理由:HP OpenView 受到推荐是因为它可以提供" 非常好且非常易好用的映像" 。另一个原因是" 可以对其进行编程,来做你想要做的任何事情" ,尤其是在出现问题时将相关性信息通过E-mail 进行报警。
工具名称:NetScout
公司名称:NetScout
网址:http://www.netscout.com
推荐理由:一位读者推荐NetScout ,是因为它具有良好的故障检测和性能管理功能。这位读者说:"虽然它是软件和硬件的融合体,但却能与大多数的网络元件(交换机和路由器) 协调工作,而且,大家从一个视图就能了解企业的运行状况。"
工具名称:Servers Alive
公司名称:Woodstone
网址:http://www.woodstone.nu/salive/
推荐理由:一位读者称,它之所以喜欢Servers Alive,是因为它很简单,能够很好地
完成网络事件任务和进行状态监控,此外,它的安装相对来讲也很容易。他经营着一个小网络,发现这个简单而便宜的工具在他的小网络环境里运行得非常好,并可通过邮件组获得支持。
工具名称:SNMPc Enterprise
公司名称:Castlerock Computing
网址:http://www.castlerock.com
推荐理由:一位用户在推荐SNMPc Enterprise时表示:"与其他的大家伙相比,它更加易用,而且相当便宜。它的可扩展性非常惊人,使用它的新版本更容易管理网络管理系统本身。" 他认为该工具的唯一不足就是,它只能在Windows 下运行。但你只需花极少的时间就可以习惯这个软件包,一旦习惯了之后,用起来就更加容易了。
工具名称:NexVu
公司名称:NexVu
网址:http://www.nexvu.com
推荐理由:有读者称NexVu" 是我们曾使用过的工具之中最有趣的一项工具, 它可以是性能监控工具、协议分析工具、RMON 探头以及终端服务器...... 所有这些功能都融为一体" 。作为探测工具的备份选择,它非常具有吸引力。此外,它还可以提供有关该读者的Siebel 应用系统的实时性能报告。
工具名称:Qcheck、Chariot
公司名称:NetIQ
网址:http://www.netiq.com
推荐理由:有一位读者在推荐NetIQ Qcheck和Chariot 时称,Qcheck 是一项免费工具," 它超级简单,能够极快地对两个主机之间的网络性能进行检查,与故障检修工具一样棒" 。他说他的求助台使用的就是这种工具。它要求在被测主机上安装endpoint 代理。这些endpoint 是免费的,而且可供各种各样的系统使用。他说:"我曾要求在我们企业里的每台台式机和服务器上装载这样的endpoint ,从而减少了故障检修的次数。" 关于Chariot ,他说,Chariot" 可以对我们所能想象得到的任何网络进行压力测试。它在概念设计和论证方面表现的非常好。添加Sniffer 插件之后,就可以使用实际数据对网络进行测试,更不用说它的易用性了。" 提醒大家注意的是,在把这种工具交给未经培训的新手之时,你必须格外小心,因为它" 几乎可以把任何网络都给踩成碎片" 。
IP Monitor的操作规范
ipMonitor 功能简介 2
ipMonitor 6.0 监控状况摘要 3
ipMonitor 6.0 历史事件记录及报告情况 4-5
PING 和 HTTP 的监控 5
IP Monitor的操作规范 6-7
ipMonitor 6.0 功能简介:
ipMonitor 是安装在Windows NT 系统上的Web Server ;用HTTP 协议通信。 我们可以用Web 浏览器监测报告情况并进行配置。
ipMonitor 的"monitoring engine" 运用了超过40种不同的监控方式去测试IP 设备, NT服务, SQL数据库和系统级服务的可靠性和响应性。
常用监控种类包括:
? HTTP*
? SQL*
? SSL
? ASP
? OP3*
? IMAP4*
? SMTP
? FTP*
? SNMP*
? DNS*
? TRAP*
? LINK*
? LDAP
? Kerberos 5
? Active Directory
? Drive Space
? Notes transport
上述9种划星号的监控类型检测Intranets, Extranets和 E-commerce 处理情况的质量。 IpMonitor 提供组检测功能。
IpMonitor 还提供了分级报警功能。
ipMonitor 6.0 监控状况摘要:
"Global (All Monitors)" 包括了经配置后的所有监控项。
监控的状况可直关的由颜色判定:
绿 状况良好
黄 状况下降或故障
红 状况下降或故障已形成,报警和恢复活动已发生。
深红 虽被监控资源须维护,但ipMonitor 被配置为忽视故障的发生。 灰 暂时放弃监控
ipMonitor 6.0历史事件记录情况概览:
1. LOG 文件:
LOG 文件依ipMonitor 配置的活动
"History Event" 日志列出了所有依ipMonitor 配置指定的活动。
Security 事件被分为以下几类:
? Monitor failures
? Monitor recoveries
? Failure notifications
? Recovery notifications
所有发生过的事件都以时间先后排序记录在LOG 文件中其并供诊断故障用。 此LOG 文件将每月导出一次。
当前日志文件的位置:
当前日志文件与ipMonitor 的安装文件在同一位置。 具体位置并不确定,依安装时的DRIVER 不同而不同。LOG 文件在以下目录:
c:\ipmonitor\ids\probe.log
另外,成功的历史事件和单项监控历史记录也可被记入日志文件。
(Profiles/Alert: Record to Log File.)Related Topics...
History Events Reporting
History Events Content Selector
2. 历史配置文件:
历史配置文件的导出:
导出全部活动日志(CSV file格式输出)
选择数据导出按钮导出。
其中有DataTable.csv 和RelationshipsTable.csv 两个文件需导出。
大部分图形软件和数据库包支CSV 输入.
(关于配置的历史数据将每月导出一次,以备份。)
3. 历史事件总结(Report 的配置和输出)
1)点击左侧的Report 按钮进入
2)点击左上方的ADD REPORT按钮进入
3)键入Report Name――》
选择按组生成report 或按Monitor(s)生成report ――》
选择不同的报告模式及时间范围――》
选择趋势报告或详细报告及3D 或2D 模式――》
勾选想生成的monitor 名――》Done
PING 和 HTTP 的监控:
关于PING :
工作原理:发送ICMP 包,检测有效回应。
注:大多防火墙不准ICMP 包的收发,所以除非防火墙配置准许特定地址PING , PING服务不能实现。
关于HTTP:
工作原理: 检测接收到的信息流和处理情况以决定WEB 服务是否良好。 对默认页的请求时时发出并依接收情况判定HTTP 协议的良好状况。
注:因需避免在检测某WEB 时对该WEB 造成流量增加的副面影响。 我们应选择”Head requst 而不是 Get 选项。 但WEB 在计算访问量时仍然会将其记录在内。
安全宝典五大入侵检测系统对黑客说不
更新时间:2007-11-27 09:32
关 键 词:IDS 攻击 黑客
阅读提示:入侵检测系统(IDS )检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS 利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。
入侵检测系统(IDS )检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS 利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而IDS 却可以在入侵发生时,评估可疑的入侵并发出警告。而且IDS 还可以观察源自系统内部的攻击。从这个意义上来讲,IDS 可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。
1.Snort :这是一个几乎人人都喜爱的开源IDS ,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处
理程序,Snort
可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE 来分析Snort 的警告。如图:
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows 注册表监视、rootkit 检测、实时警告以及动态的适时响应。除了其IDS 的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行OSSEC HIDS,以监视和分析其防火墙、IDS 、Web 服务器和身份验证日志。如图展示的是Windows 平台的OSSEC :
3.Fragroute/Fragrouter
:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE :又称基本的分析和安全引擎,BASE 是一个基于PHP 的分析引擎,它可以搜索、处理由各种各样的IDS 、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告, 还包括一个数据包查看器/解码器,基于时间、签名、协议、IP 地址的统计图表等。
5.Sguil :这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI 界面,可以从Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS 警告的事件驱动分析。如图: