什么是基于网络的入侵检测？

卡西达

基于网络的入侵检测是用来监视某一网段上的数据流。通常的实现方法是在网络接口上设置杂收模式的网卡，用来捕获网段上的数据流。在其他网段上的数据流不能得到监视。基于网络和基于主机的入侵检测系统互有利弊，你也许会混合使用两者。    基于网络的入侵检测通过探测器监视网段上的数据流。探测器仅能检测自己网段上的数据流。如果数据流和某一攻击模式匹配上，那么它就被引起注意。有三种主要的模式匹配方式：字符串模式匹配、端口模式匹配和数据包头模式匹配。    字符串模式匹配是寻找能表示可能攻击的文本字符串。例如，对UNIX系统运行字符串"cat "+ +" > /.rhosts"，如果运行成功将会对UNIX系统的自身安全构成极大的威胁。为减低字符串模式匹配的误报率，需要采用复合的字符串模式匹配，例如常见的Web服务器攻击字符串应包括"cgi-bin" 、"aglimpse" 、"IFS"三种特征。    端口模式匹配是监视经常遭到攻击端口的连接企图。这些端口包括telnet (TCP port 23), FTP (TCP port 21/20), SUNRPC (TCP/UDP port 111), 和 IMAP (TCP port 143)。如果这些端口都被主机禁用，那么企图访问这些端口数据包就被视为可疑。    数据包头模式匹配监视危险和畸形的数据包头。最有名的利用数据包头攻击的方法是Winnuke，数据包发往NetBIOS协议端口，并且数据包的紧急指针、Out of Band指针置位。这会造成Windows系统蓝屏死机。其他攻击方法如SYN Flooding攻击，它是把TCP包的SYN和FIN位都置位，意味着请求端希望在同一时刻开始和结束一条连接，这会使服务器发生混乱。