Kendiv's Box

入侵检测系统FAQ（全）创建时间：2002-08-24文章属性：整理文章来源：www.cnsafe.net文章提交：mayi (mayi99_at_263.net)1.介绍-入侵者如何进入系统?-入侵者为什么要侵入系统?-入侵者如何获得口令?-典型的入侵过程?-一般的侵入类型有哪些?-什么是漏洞(exploits)?-什么是侦察(reconnaisance)[译注:原文如此，疑为reconnais

交换机SPAN技术简介+Cisco配置示例一、SPAN简介 SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COP

引黑客入瓮 给Linux系统蒙上Windows面纱作者：白金 发文时间：2005.09.05 转自：http://www.ccidnet.com 网络上的计算机很容易被黑客利用工具或其它手段进行扫描，以寻找系统中的漏洞，然后再针对漏洞进行攻击。通过伪装Linux系统，给黑客设置系统假象，可以加大黑客对系统的分析难度，引诱他们步入歧途，从而进一步提高计算机系统的安全性。下面以Red Hat

Linux内核编译步骤2005-11-09 Kendiv--------------------------------------------------------------------------#make mrproper#make config      (基于文本的最为传统的配置界面，不推荐使用) #make menuconfig  (基于文本选单的配置界面，字符终端下推

从漏洞及攻击分析到NIDS规则设计创建时间：2005-12-06文章属性：原创文章提交：stardust (stardust_at_xfocus.org)一谈到NIDS，这个产品最为人所诟病的往往就是大量的误报和漏报，满屏乱滚的误报使管理员麻木和厌烦，失去使用的兴趣，漏报则会使管理员怀疑NIDS的检测能力，明明主机已经被入侵了在NIDS的日志中却找不到有用的线索。对于NIDS产品，漏报和误报产

Bro NIDS的规则创建时间：2005-09-28 更新时间：2005-09-28文章属性：原创文章提交：stardust (stardust_at_xfocus.org)规则机制的引入--------------从初始的设计来看，Bro NIDS的实现方法是类似于NFR，实现一个脚本解析引擎，向用户提供完整编程接口，用户通过编写脚本来分析网络流量，这样的设计可以使用户有极大的灵活性，理论上可以

Snort 2.x数据区搜索规则选项的改进创建时间：2005-09-27文章属性：原创文章提交：stardust (stardust_at_xfocus.org)Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进，有必要介绍和分析一下。首先翻译一下Snort使用手册中相关的规则选项说明。由于这个手册写的极烂，很多地方意思表述重复冗长，用词不准确，而且还有些明显的错误，应该仔细说明的

Bro：一个开放源码的高级NIDS系统创建时间：2003-10-12文章属性：原创文章提交：stardust (stardust_at_xfocus.org)在介绍Bro之前先总结一下几个常见的开放源码NIDS系统：Snort ( http://www.snort.org/ )目前最著名最活跃的开放源码NIDS项目，定位于轻量级的入侵检测系统，已经实现了网络探测器和许多第三方的管理及日志分析工具，

Bro NIDS的安装与配置创建时间：2005-09-09 更新时间：2005-09-09文章属性：原创文章提交：stardust (stardust_at_xfocus.org)Bro是一个目前比较活跃的开源NIDS系统，差不多两年前我写过一个有关它特性的帖子。Bro：一个开放源码的高级NIDS系统http://www.xfocus.net/articles/200310/624.html近些日

入侵检测实战之全面问答Last Update：2004-06-15 15:32:58  导  航1.         都有哪些重要的IDS系统？2.         谁是入侵者？3.         入侵者如何进入系统？4.         入侵者为何能闯入系统？5.         入侵者如何获取口令？6.         典型的入侵场景有哪些？7.   

一个入侵测系统+主动防火墙（Snort+Guardian） Snort 是一个开源的轻量级入侵监测系统，可以监测网络上的异常情况，给出报告；Guardian是基于Snort+IPTables的一个主动防火墙，它分析Snort的日志文件，根据一定的判据自动将某些恶意的IP自动加入IPTables的输入链，将其数据报丢弃。  我自使用Snort+Guardian以来，每天可以看到很多的

IDS的弱点和局限创建时间：2002-06-24文章属性：原创文章来源：www.cnsafe.net文章提交：mayi (mayi99_at_263.net)1    NIDS的弱点和局限NIDS通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象。1.1    网络局限1.1.1    交换网络环境    由于共享式HUB可以进行网络监听，将给网络安全带来极大的威胁，故而现在

零拷贝技术研究与实现发布日期：2003-11-24文摘内容： 文摘出处：http://www.xfocus.net/创建时间：2003-11-21 更新时间：2003-11-23文章属性：原创文章提交：firstdot (firstdot_at_163.com)零拷贝技术研究与实现作者：梁健（firstdot）E-MAIL：firstdot@163.com感谢王超、史晓龙的共同研究与大力帮

如何降低IDS的漏报和误报发布日期：2002-01-29文摘内容： 【中国计算机报】01-12-6　　目前，漏报率和误报率太高一直是困扰IDS用户的主要问题。 　　起初，黑客们一般通过对IP包进行分片的方法来逃避IDS的监测，很多IDS系统没有碎片重组的能力。所以这些IDS系统不能识别采用分片技术的攻击。如果你的NIDS系统不能进行碎片重组，请考虑更换你的产品或要求产品供应商提供给你能进

高级扫描技术及原理介绍发布日期：2002-01-29文摘内容： 作者：refdom (refdom@263.net)     Scan，是一切入侵的基础，对主机的探测工具非常多，比如大名鼎鼎的nmap。我这里没有什么新鲜技术，都是一些老东西老话题，即使参考的Phrack文档也甚至是96年的老文档，我只是拾人牙慧而已。     最基本的探测就是Ping，不过现在连基本的个人防火墙都对Ping

理解IDS的主动响应机制发布日期：2002-02-26文摘内容： 流云LinuxAid论坛    在开发者的团体内，关于“什么是检测攻击的最有效的方法？”的问题的争论还在激烈的进行着，不过IDS的用户对目前的IDS技术还是感到满意的，为了获得更有优势的竞争，很多的IDS产品提供商，都在其产品中加入了主动响应的功能。这个功能的概念就是说IDS将检测攻击者的攻击行为，并组织攻击者继续进行攻击。