IDS与snort

IDS：基于网络的IDS（NIDS）和基于主机的IDS（HIDS），各自的优缺点不同
入侵检测的方法
1、特征检测、对某些有特征的攻击。。。
2、异常检测、异常的的登录或者其他活动

端口扫描，
如果对一个未开放的TCP端口扫描，服务器回复一个RST包，并断开链接
如果对一个未开放的UDP端口扫描，服务器回复一个ICMP（8）端口不可达

IDS与snort
免费的开源工具，当带宽为200-300Mbit/s时会有丢包，大于500Mbit/s时则无法使用
snort的包处理流程：
libpcap----预处理程序-----（检测引擎）------输出事件
1.snort的安装，配置好Ubuntu的源，直接
sudo apt-get install snort 就搞定

2.snort有三种工作模式
a.嗅探器：从网络上读出数据包然后显示在控制台上
snort -v -i dev      -i 指定网卡
这个命令只会输出TCP/UDP/ICMP的包头信息，如果要看到应用层的
sonrt -vd -i dev
如果要显示数据链路层的数据
snort -ved -i dev

b.数据包记录器
需要自定义个日志目录，而且这个目录一定要存在
snort -d -l ./log

c.网络入侵检测系统（NIDS）
snort -dev -i eth0 -l ./log -h 192.168.100.0/24 -c snort.conf
snort.conf的文件里面包含了许多rules，根据自己的需求去改就可以了

3.关于输出选项
    在NIDS模式下，有很多方式来配置snort的输出。在默认情况下，snort以ASCII格式记录日志，使用full报警机制
    snort有6种报警机制，full、fast、socket、syslog、smb和none。其中有4个可以在命令行模式下使用-A 来设置
-A fast：报警信息包括：一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。
-A full：是默认的报警模式。
-A unsock：把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实现实时报警。
-A none：关闭报警机制。