有個同行朋友曾經說過網管是絕對的悲觀主義者!是的,當網內用戶在享受高速帶寬的時候,網管考慮的更多是怎樣做好 安全 工作,保護好自己的 網絡 不被攻破。古 代的時候,我們的老祖宗為了避免匈奴對中原的侵襲,修建了著名的萬裡長城。當一有匈奴來犯之時,
有個同行朋友曾經說過網管是絕對的悲觀主義者!是的,當網內用戶在享受高速帶寬的時候,網管考慮的更多是怎樣做好安全工作,保護好自己的網絡不被攻破。古 代的時候,我們的老祖宗為了避免匈奴對中原的侵襲,修建了著名的萬裡長城。當一有匈奴來犯之時,最近的烽火台便立即點燃狼煙,起到示警作用。我們也可以在自己的網絡上設立這樣的烽火台,當一有非法攻擊企圖和要求時便能及時記錄,這就是IDS(攻擊監測系統)。下面請跟著筆者一起,嘗試著自己動手,搭建起我們自己的網絡烽火台。
因為目前的局域網絡大多是快速乙太網,只要使機器網卡處於混雜模式,就能將網絡內的包都抓下來,基於這樣的原理,我們利用軟件將一台內網內的機器的網卡設置為混雜模式,將可疑的包的源地址/目標地址和端口號一一記錄下來再通過軟件整理輸出進行分析,就能實現對來自內/外網絡的攻擊監測了。
整個系統的思路如下: 將本機網卡設置成混雜模式並監聽整個局網-->抓取局網內的包-->判斷是否與設置的攻擊規則相符合-->對可疑的包記錄到數據庫內-->利用PHP程序以WEB方式對數據庫中的記錄整理成文本/圖表格式輸出
下面是我們構建IDS所需要的程序和它的主頁地址
操作系統:首先是對操作系統的選擇,目前易用性最好的操作系統Windows由於其自身的安全性實在不敢恭維(前段時間著名的沖擊波事件大家還記得吧?作為網絡攻擊監測系統的機器總不能在受到攻擊之初就倒下吧?),因此我們轉而考慮目前安全性日趨完善,功能日趨強大的Linux操作系統。在此文中我選用RedHat 9.0 作為操作系統,關於安裝它的方法很簡單,遇到問題可以在www.redhat.com上尋求幫助(記得在安裝的時候不要選擇安裝MySQL、Apache 和 PHP,原因後敘)