1、5个免费的入侵检测(ID )和防御(IPS)软件SnortSnort 是一个开源的网络入侵检测系统,可实现实时流量分析和数据包在 IP 网络上记录的能力。它可以进行协议分析,内容搜索 /匹配,可用于检测例如缓冲区溢出,秘密端口扫描, CGI 攻击,SMB 探测,操作系统指纹企图, 对攻击和探测,品种更多。SAX2Ax3soft SAX2是一个 专业的入侵 检测和预防系统(IDS )来检测入侵和攻击,分析和管理网络,在实时数据包捕获,擅长24 / 7网络监控,先 进的协议分析专家和自动检测。兄弟兄弟是一个开放源码的,基于 Unix 的网络入侵检测系统(NIDS)的是被动地监视网络流量和可疑的活动
2、看起来。兄弟首先检测网 络流量分析的入侵提取其应用程序级的语义,然后 执行面向事件的分析仪,比较有图案的活动被 视为麻烦。其分析包括具体的攻击(包括签字确定的检测,而且在事件方面所界定者)和不寻常的活动(例如,连接到某些服务,或 连接尝试失败一定主机模式)。序幕前奏曲是一个“代理人更少” ,通用,安全信息管理(SIM 卡)制度,根据 GNU 通用公共许可证的条款发表。前奏曲收集,标准化,分类,聚合,关联和报告所有与安全有关的事件是独立于产品品牌或牌照才会出现正常化到一个单一的格式被称为“入侵检测消息交换格式,如事件 ”AirSnareAirSnare 是另一种工具添加到您的无线入侵检测的工具箱
3、。 AirSnare 会提醒你在网络上的 MAC地址和不友好也将提醒您的 DHCP 请求发生。 AirSnare 如果 检测到一个不友善的 MAC 地址,你有选择的跟踪陆委会地址获得 IP 地址和端口或发射后一检测飘渺。Sax2网络入侵检测系统,Sax2是一款专业的入侵检测与防御软件,它能够实时的采集网络数据包,不间断的对网络进行监视,通过高级协议分析和专家级侦测来发现网络中的威胁,主要有以下优势: 基于协议分析的检测技术通过对协议(IP、TCP、UDP、HTTP、FTP、POP3、SMTP)的深入分析,并对其通信内容进行重组,然后才把重组后的内容提交给检测引擎,通过这种方式极大的提高了系统的
4、性能和效率,并降低了误报率。 高性能多模式匹配算法系统采用高性能多模式匹配算法,并与协议分析相结合,可以更快更有效的处理网络通信内容。 全新的组件化系统架构整个系统由数据包采集、协议分析、规则匹配、综合诊断、事件响应、策略管理、日志保存和结果显示等部分组成,各个部分又由不同的组件负责,每个组件协同工作,来实现入侵检测系统数据收集、分析、事件响应和数据管理的功能。 完备的攻击识别能力系统的知识库主要分为6大类1500多条检测规则,保证提取攻击特征的有效性,最大程度地降低漏报和误报。 灵活高效的攻击签名库允许用户根据自己的需要定制几乎任意的新的特征签名,配置为最适合自己的入侵检测系统。 丰富的统计
5、功能提供全网以及每个 IP 地址,MAC 地址的详细流量、各种会话、事件等数据。 强大的过滤能力系统可以根据设置的查找内容过滤所有的通信内容,比如:访问的网页内容,传输的邮件内容,FTP 传输的文件内容,MSN 聊天内容等。使用 SAX2检测并还原 SQL 注入攻击流程1. 什么是 SQL Injection attacks随着 B/S 模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。恶意攻击者通过向服务器提交一段特殊的数据库查询代码,在这种情况下,服务器会返回相应的结果,从而泄
6、露服务器的某些敏感信息,这就是所谓的SQL Injection attack。由于 SQL 注入是从正常的 Web 端口进行访问,表面上看起来它和正常情况下访问网页没有任何区别,隐蔽性强且不易被发现,所以目前网络中的主流防火墙都不会对注入攻击进行报警。2. SQL 注入攻击的危害目前有近70%的攻击行为是基于 WEB 应用,而据 CVE 的2006年度统计数据显示,SQL 注入攻击漏洞呈逐年上升的状态,2006 年便达到了惊人的1078个,而这些还仅限于目前网络上通用的应用程序漏洞。SQL 注入攻击主要危害包括:未经授权修改数据库中的数据。未经授权获得网站的后台管理权限。未经授权恶意篡改网页内
7、容。网页挂马攻击XSS 攻击未经授权获得整台服务器的控制权。未经授权添加、删除、修改服务器的系统账号。3. 使用 SAX2检测并还原 SQL 注入攻击流程虽然防火墙不能对 SQL 注入攻击进行报警,但有些 IDS 软件却可以对其进行有效检测。下面我们就通过一款名为 SAX2的 IDS 软件,对 SQL 注入攻击进行检测,并还原其攻击流程。SQL 注入攻击的一般步骤是:判断环境寻找注入点、判断数据库类型、猜解数据表、猜解字段、猜解内容。在这个过程中,猜解数据表、猜解字段、猜解内容三个步骤是 SQL 注入攻击的重点,所以我们将分析重点放在这三个步骤。SAX2可以对网络中的攻击行为进行实时检测并报警
8、。当网络中存在 SQL注入攻击时,SAX2会在 Events 视图中显示其攻击行为,如图 1所示。(图1 SAX2对 MS_SQL injection attacks 进行实时报警)从图1可知,SAX2有效检测到了网络中的 SQL 注入攻击,并将攻击事件在界面中实时显示。图1中选中的事件信息表示,SAX2定位到的攻击者的 IP 地址是192.168.21.103,被攻击者的 IP 是125.65.112.10。同时下面的 Original Communication 视图中,可以看到原始内容是 “select * from dirs”,即正在查询当前数据库中是否存在名为 dirs 的数据表。攻
9、击者会重复此操作,以查询到期望的数据表。在查询到相应的数据名,攻击者会尝试猜解此数据表中的字段。(图2 SAX2 分析出当前正在猜解 admin 数据库中的字段)图1红色圈住的部分,表示攻击者正在猜解 admin 数据库中的是否存在paths 的字段。同理,攻击得也会重复猜解字段的操作,以找到相应的字段。找到相应字段后,攻击者要做的就是判断字段的长度,并猜解字段的内容。猜解到字段的内容后,即表示此次 SQL 注入攻击成功完成。 (有时猜解出的内容是经过 MD5加密的,需要对 MD5的密文进行破解。 )上述内容即是通过 SAX2检测 SQL 注入攻击,并还原其攻击的过程。从上文可知,SAX2 可
10、以对 SQL 注入攻击进行有效检测,并对其进行实际报警。在网络中,将防火墙和 SAX2进行结合,可以确保当网络受到 SQL 注入攻击时,可以实际检测并报警,从而保障网络的安全。安克氏软件的萨客嘶入侵检测系统=木马的检测与清除(灰鸽子)软件简介: 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应) ,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。 木马程序不同于病毒程序,通常并不像病毒程序那样感染文件。木马一般是以寻找后门
11、、窃取密码 和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马,如何对木马进行清除和防范。1. 木马检测木马通常是基于 TCP、UDP、ICMP 协议进行 Client 端与 Server 端之间的通讯的。安克氏软件的萨客嘶入侵检测系统是基于协议分析,能准确跟踪网络连接的会话,并对其通信中的 TCP/IP 数据报进行重组,当它发现你的网络中存在木马病毒后会立即中断或干扰木马通信,保护你的网络免受攻击,是用于
12、检测木马的好工具。下面我们将介绍怎样采用萨客嘶入侵检测系统来检测网络中是否存在灰鸽子木马。首先启动萨客嘶入侵检测系统并切换“EVENTS”页面,如果网络中存在灰鸽子木马通信,系统将立即报警并中断木马通信,如下图:2. 清除首先根据事件日志中的目标地址找到感染灰鸽子病毒的计算机,如示例中的“192.168.1.2”,一般都是内网地址。然后使用灰鸽子专用清除工具清除灰鸽子。3. 防止中灰鸽子病毒需要注意的事项1) 给系统安装补丁程序。通过 Windows Update 安装好系统补丁程序( 关键更新、安全更新和 Service pack),其中 MS04-011、MS04-012、MS04-013
13、、MS03-001 、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序2) 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10 位以上,字母+数字+其它符号的组合;也可以禁用/ 删除一些不使用的帐户。3) 经常更新杀毒软件(病毒库) ,设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版 Windows 用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护4) 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括 C$、D$等管理共享。完全单机的用户可直接关闭 Server 服务。5) 不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。
