摘要:
入侵检测系统的性能的辨别 四、分析 网络入侵检测系统的性能测试的基本原理是是通过一些设备或软件工具制造不同数据包大小(如64, 128, 256, 512, 1024 , 1518字节)、不同压力的背景流量(如10Mbps,50Mbps,100Mbps,350Mbps,500Mbps,750Mbps等),然后通过各种黑客工具发动攻击,看网络传感器的检测情况和数据包丢失的情况。 在网络入侵检测系统中,背景流量的产生起着至关重要的作用。背景流量从如下方面影响性能测试的结果。 1.背景流量的数据包大小 对于发包测试设备来说,每秒制造数据包的数量(pps)是有极限的。... 阅读全文
摘要:
入侵检测系统的性能的辨别 三、性能指标受哪些因素影响? 网络入侵检测系统性能取决于软硬件两方面的因素。 1.软件因素 软件因素主要是: ●网络抓包的效率; ●数据包重组和TCP流重组的效率。这是严重影响网络入侵检测系统性能的因素,对处理器和内存的开销非常大。如果数据包重组和TCP流重组在操作系统的用户层完成,那么就会导致操作系统以极高的频率在核心态和用户态之间切换,导致大量额外的系统开销; ●入侵分析的效率。入侵检测一般是基于特征匹配的,将网络数据包与入侵规则库进行特征匹配的。很多产品利用协议分析技术提高入侵分析的效率,先使用协议分析过滤冗余数... 阅读全文
摘要:
入侵检测系统的性能的辨别 一、概述 性能指标是每个用户采购安全产品必定关注的问题。但是,如果不知道这些指标的真实含义,不知道这些指标如何测出来,就会被表面的参数所蒙蔽,从而做出错误的决策。 本文介绍了网络入侵检测系统的性能指标的含义、测试方法,并分析了测试过程中可能作假的方法,以给用户正确选择网络入侵检测产品提供辨别的思路。 二、性能指标简介 不同的安全产品,各种性能指标对客户的意义是不同的。例如防火墙,客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等。而网络入侵检测系统,客户则会更关注每秒能处理的网络数据流量、每秒能监控的网络连接数等。 就网络入侵... 阅读全文
摘要:
HIDS逐渐的成为主流 当前的网络IDS系统可以分为基于网络数据包分析的系统(NIDS)和基于主机分析的系统(HIDS)两种基本方式。简单地讲,HIDS产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断,在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告;NIDS产品在网络通信中寻找符合网络入侵模板的数据包,并立即作出相应反应。 从传统角度看,入侵检测系统(IDS)一直存在着主机型入侵检测系统(HIDS)和网络型入侵检测系统(NIDS)哪一个更好的争论。现在有一种说法是,HIDS将逐步取代NIDS,成为市场的主流。那么到底HIDS比NIDS好在哪里呢?这需要从监测范围、检. 阅读全文
摘要:
随着木马,后门的不停发展,防火墙本身也在不断地发展,这是一个矛和盾和关系,知道如何逃过防火墙对于控制一台系统是有很重大的意义的。 由于防火墙的发展,时至今天,很多防火墙都是以驱动形式加载的,核心部分是在驱动那里,保留一个界面给用户去设置,这个界面程序同时充当了桥梁作用,传统的杀防火墙进程以达到能控制到系统的方法已经是失效的了,而且这也不是一个好的方法(想想管理员发现防火墙的图标不见了会有什么反应).以下是谈谈以种方法。 前提条件: 1.你在远程系统有足够权限 2.你已从ipc或mssql或其它得到系统的权限,但因为无论用ipc还是用mssql的操作,都并不如直接得到一个cmd的Shell操作来 阅读全文
摘要:
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些服务器将保护你的敏感的内部网络不受恶意的外部用户入侵。在这种情况下,防火墙将监视全部入网的通信,以确定这种通信是应该转到隔离区网络还是应该传送到受保护的内部网络。传统的隔离区检查从内部网络发往外部网络 阅读全文
摘要:
1.如何让asp脚本以system权限运行? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"。 2.如何防止asp木马? 基于FileSystemObject组件的asp木马 cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除 基于shell.application组件的asp木马 cacls %systemroot%/system32/shell32.dll /e /d guests //禁止gu 阅读全文
摘要:
1. 断点:所谓断点就是程序被中断的地方,这个词对于解密者来说是再熟悉不过了。那么什么又是中断呢?中断就是由于有特殊事件(中断事件)发生,计算机暂停当前的任务(即程序),转而去执行另外的任务(中断服务程序),然后再返回原先的任务继续执行。打个比方:你正在上班,突然有同学打电话告诉你他从外地坐火车过来,要你去火车站接他。然后你就向老板临时请假,赶往火车站去接同学,接着将他安顿好,随后你又返回公司继续上班,这就是一个中断过程。我们解密的过程就是等到程序去获取我们输入的注册码并准备和正确的注册码相比较的时候将它中断下来,然后我们通过分析程序,找到正确的注册码。所以我们需要为被解密的程序设置断点,在适 阅读全文
摘要:
假设您的服务器IP是211.147.9.106 1) 首先您要知道这个IP的反向域名解析是由哪台DNS服务器负责的。您可以用这个网页查询反向域名解析信息 http://www.dnsstuff.com/tools/ptr.ch?ip=211.147.9.106 看最后一段 Details: ns.cnc.ac.cn.(an authoritative nameserver for 147.211.in-addr.arpa., which is in charge of the reverse DNS for 211.147.9.106) says that there are no PTR r 阅读全文
摘要:
一、Ethereal:网络数据嗅探器软件 Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal基本类似于tcpdump,但Ethereal还具有设计完美的GUI和众多分类信息及过滤选项。用户通过Ethereal,同时将网卡插入混合模式,可以查看到网络中发送的所有通信流量。 Ethereal应用于故障修复、分析、软件和协议开发以及教育领域。它具有用户对协议分析器所期望的所有标准特征,并具有其它同类产品所不具备的有关特征。Ethereal是一种开发源代码的许可软件,允许用户向其中添加改进方案。Ethereal适用于当前所有较为流行的计算机系统,包括Unix、Li.. 阅读全文