有个同行朋友曾经说过网管是绝对的悲观主义者!是的,当网内用户在享受高速带宽的时候,网管考虑的更多是怎样做好安全工作,保护好自己的网络不被攻破。古 代的时候,我们的老祖宗为了避免匈奴对中原的侵袭,修建了著名的万里长城。当一有匈奴来犯之时,最近的烽火台便立即点燃狼烟,起到示警作用。我们也可以在自己的网络上设立这样的烽火台,当一有非法攻击企图和要求时便能及时记录,这就是IDS(攻击监测系统)。下面请跟着笔者一起,尝试着自己动手,搭建起我们自己的网络烽火台。
因为目前的局域网络大多是快速乙太网,只要使机器网卡处于混杂模式,就能将网络内的包都抓下来,基于这样的原理,我们利用软件将一台内网内的机器的网卡设置为混杂模式,将可疑的包的源地址/目标地址和端口号一一记录下来再通过软件整理输出进行分析,就能实现对来自内/外网络的攻击监测了。
整个系统的思路如下:
将本机网卡设置成混杂模式并监听整个局网-->抓取局网内的包-->判断是否与设置的攻击规则相符合-->对可疑的包记录到数据库内-->利用PHP程序以WEB方式对数据库中的记录整理成文本/图表格式输出
下面是我们构建IDS所需要的程序和它的主页地址
操作系统:首先是对操作系统的选择,目前易用性最好的操作系统Windows由于其自身的安全性实在不敢恭维(前段时间著名的冲击波事件大家还记得吧?作为网络攻击监测系统的机器总不能在受到攻击之初就倒下吧?),因此我们转而考虑目前安全性日趋完善,功能日趋强大的Linux操作系统。在此文中我选用RedHat 9.0 作为操作系统,关于安装它的方法很简单,遇到问题可以在www.redhat.com上寻求帮助(记得在安装的时候不要选择安装MySQL、Apache 和 PHP,原因后叙)