|
|
|
Network Intrusion Detection Systeme für LinuxDie meisten Systeme arbeiten mit der sogenannten „Signature recognition“.
Hierbei wird in den einfachsten Fällen der gesamte Netzwerktraffic nach bestimmten Mustern
durchsucht. Z. B. „/cgi-bin/phf?“ für ein verwundbares CGI-Script. Realisiert wird
das unter Linux meist mit dem „Packet Capture Library“
(libpcap)
und einem „Regular Expression“ Parser. Libnids http://www.packetfactory.net/Projects/Libnids/Ein spezielles Library für NIDS-Anwendungen. IP defragmentation, TCP stream assembly, TCP port scan detectionngrep http://www.packetfactory.net/Projects/ngrep/Ein GNU grep für das network layerpakemon http://www.sfc.keio.ac.jp/~keiji/ids/pakemon/Austausch von IDS Komponenten basierend auf dem „open source development model“Snort http://www.clark.net/~roesch/security.htmlSnort ist ein libpcap-basierender Packet sniffer/logger. Implementiert regelbasierendes Logging, Protokoll-Analyse, Real-Time Alarm ... und kann benutzt werden um eine weites Feld von Angriffen aufzuspüren, Buffer-Overflows, Stealth-Port-Scans, CGI-Attacken, SMB-Probes, OS-Fingerprinting-Versuche ... Umfangreiche und gut dokumentierte Regelsprache.shadow http://www.nswc.navy.mil/ISSEC/CID/Entwickelt von ein paar US Navy Programmierern mit (eingeschränkte Weboberfläche). Libpcap/tcpdump-basierenden, generierte Logs werden separat analysiert.tcpdump http://www.tcpdump.org/Systemtool zur (gefilterten) Anzeige von Netzwerk-Paketen |
letztes Update 01.01.1970 Hinweise bitte an webmaster@bec.at
© bec Alle Rechte vorbehalten