因为目前的局域网络大多是快速乙太网,只要使机器网卡处于混杂模式,就能将网络内的包都抓下来,基于这样的原理,我们利用软件将一台内网内的机器的网卡设置为混杂模式,将可疑的包的源地址/目标地址和端口号一一记录下来再通过软件整理输出进行分析,就能实现对来自内/外网络的攻击监测了。
整个系统的思路如下:
将本机网卡设置成混杂模式并监听整个局网-->抓取局网内的包-->判断是否与设置的攻击规则相符合-->对可疑的包记录到数据库内-->利用PHP程序以WEB方式对数据库中的记录整理成文本/图表格式输出
下面是我们构建IDS所需要的程序和它的主页地址
操作系统:首先是对操作系统的选择,目前易用性最好的操作系统Windows由于其自身的安全性实在不敢恭维(前段时间著名的冲击波事件大家还记得吧?作为网络攻击监测系统的机器总不能在受到攻击之初就倒下吧?),因此我们转而考虑目前安全性日趋完善,功能日趋强大的Linux操作系统。在此文中我选用RedHat 9.0 作为操作系统,关于安装它的方法很简单,遇到问题可以在www.redhat.com上寻求帮助(记得在安装的时候不要选择安装MySQL、Apache 和 PHP,原因后叙)
文章来源于领测软件测试网 https://www.ltesting.net/
