"IDS原理及测试_TOS3.3.006.053"
入侵检测系统(IDS,Intrusion Detection System)是一种网络安全技术,用于监控网络或系统的活动,以便发现并响应潜在的攻击和恶意行为。在本文档中,主要讨论了IDS的两类功能以及针对特定攻击类型的检测方法。
第一类IDS功能是检测非法报文的攻击行为,这类攻击包括Land、PingOfDeath、TearDrop、Targa3、Icmpredrt、Ipspoof、Smurf、Winnuke、TcpScan和IpOption等十种。这些攻击在TOS 3.3.006.053版本中,有部分是直接在Linux内核协议栈中实现的,如Land、PingOfDeath等五种,这部分攻击的阻断行为不可控,一旦统计有过计数,即使删除规则并重启系统,仍会继续统计这些攻击。而其余的Smurf、Winnuke、TcpScan和IpOption四种攻击则由IDS模块处理,可以通过WebUI或CLI指令进行实时控制。
第二类IDS功能涉及需要统计分析才能确定的攻击行为,包括Synflood、Udpflood、Icmpflood、Portscan和Ipsweep五种。这些统计型攻击都基于IDS模块,在数据包成功建立预连接并匹配访问控制策略后才会进行检测。例如,对于Synflood(SYN洪水攻击),IDS会在连接建立后根据统计信息判断是否存在攻击行为。
IDS模块位于连接模块和访问控制策略之后,这意味着只有通过连接检查和访问控制的数据包才会进入IDS的检测范围。对于Ipspoof攻击,由于在Linux内核和IDS模块都有实现,因此可以通过是否匹配访问控制策略来区分攻击的具体来源。
值得注意的是,006版本的IDS规则在设定后不会立即生效,必须在访问控制策略中引用后才会启动。此外,由于IDS的处理机制,某些攻击可能在连接表中无法直接观察到,因为它们在被IDS模块检测到并清除连接后,相关的连接信息不会持久存在。
IDS在TOS 3.3.006.053中的实现强调了对不同攻击类型的细分处理,结合Linux内核功能和IDS模块,提供了一套多层次、多角度的安全防护机制。同时,通过WebUI和CLI工具,管理员能够对检测和响应策略进行灵活管理和控制。