2009年1月

方法一、用mount挂载命令

在网上下载的软件盘是iso格式的,不刻成光盘就可以读取里面的文件。不用解压。
在终端用mount -o loop /mnt//1.iso /mnt/cdrom 命令,(其中是你工具盘放置的路径)。
输入命令后,打开我的电脑——〉打开CD-ROM就能看到里面的文件了。运行install或者 autorun。
当提示charudi二张光盘时,键入命令umount /mnt/cdrom 。
然后再键入mount -o loop /mnt//2.iso/mnt/cdrom(把第一条命令的文件名的1改成2,就是第二张光盘的名字了)。这样再回车。等待就可以了。
取消挂载用umount /mnt/cdrom

例:
挂载第一张盘
#mount -o loop /mnt/
/1.iso /mnt/cdrom
取消挂载
#umount /mnt/cdrom
挂载第二张盘
#mount -o loop /mnt//2.iso/mnt/cdrom
取消挂载
#umount /mnt/cdrom

注意:umount和/之间有空格
/
是iso文件放置的路径
方法一已用成功,法二就用不到了,也就没有亲自实践。


方法二、在linux下使用虚拟光驱

其实根本不需要什么虚拟光驱软件,用mount命令就可以完成。
1. 把光盘制作成iso文件
cp /dev/cdrom XXXXX.iso

XXXXX.iso为你所命名的镜像文件。执行此命令之后就可以将整个光盘制作成iso文件。XXXXX.iso前你可以加上路径哦。

2.将硬盘上的iso文件加载到光盘(或者说虚拟光驱)。
mount -t iso9660 -o loop //XXXXX.iso /mnt/iso

3.如果是安装系统盘所提供的文件,如添加删除程序,系统可能会提示你插入光盘,但我们没有光盘,只有镜像,怎么办?
对于Redhat,先 mount iso,然后执行
redhat-install-packages --isodir=/mnt/iso


4.一般情况虚拟光驱
rm -rf /dev/cdrom #删除光驱

ln /dev/loop7 /dev/cdrom

losetup /dev/loop7 /
/XXXXX.iso

mount /mnt/cdrom

然后你再看看iso文件,是不是变成了虚拟光驱?

5.取消这个光驱:
losetup -d /dev/loop7

换盘的话:

只需转移iso关联到/dev/loop
losetup /dev/loop7 //XXXXX.iso


注:/
为路径,可能要在/mnt/下先建个名为cdrom的文件夹

   由于linux系统一般默认不支持NTFS文件系统(win的特有格式),所以要挂载NTFS分区有两个方法:
   编译内核和软件挂载

编译内核就是 uname -a 获取内核版本。然后下载相应的ntfs内核补丁
                              kernel-ntfs    下载地址: http://www.ntu-tw.lkams.kernel.org/pub/linux/kernel/

软件挂载用:ntfs-3g                                  ntfs-3g 下载地址:http://www.ntfs-3g.org/
              下载源码包。然后编译完
               终端挂载: mount -t ntfs-3g /dev/sde1 /mnt


     出现问题: 终端提示: FATAL: Module fuse not found.
                 fuse: device not found, try 'modprobe fuse' first
         问题:缺少 fuse模块 下载地址: http://sourceforge.net/project/showfiles.php?group_id=121684
                        下载源码包。编译完。
                 终端运行:Module fuse
再次挂载mount -t ntfs-3g /dev/sde1 /mnt
                       成功!

   下载

Mplayer需要的各种软件
(分享一个Mplayer相关的FTP资源 http://www.mplayerhq.hu/MPlayer/

(1)下载Mplayer源码安装包
MPlayer-1.0rc2.tar.bz2

(2)下载你喜欢的skin
例如你下载 Abyss-1.6.tar.bz2

(3)下载必需的code
all-20071007.tar.bz2

windows-all-20071007.zip



安装

(1)安装主程序源码包(code)
mkdir /usr/lib/codecs
mkdir /usr/lib/wincodecs
tar jxvf all-20071007.tar.bz2
mv all-20060611/ /usr/lib/codecs
unzip windows-all-20071007.zip
mv windows-all-20071007/
/usr/lib/wincodecs

(2)安装mplayer
tar jxvf MPlayer-1.0rc2.tar.bz2
cd MPlayer-1.0rc2
./configure --prefix=/usr/local/mplayer --enable-gui --enable-freetype --codecsdir=/usr/lib/codecs/ --win32codecsdir=/usr/lib/wincodecs/ --language=zh_CN

注意:
--prefix=/usr/local/mplayer 是安装路径
--enable-gui 安装图形化用户界面
--enable-freetype 调节字体
--codecsdir=/usr/lib/codecs/
--win32codecsdir=/usr/lib/wincodecs 指定解码位置
--language=zh_CN 中文

接着
make
make install

(3)安装skin
tar jxvf Abyss-1.6.tar.bz2
mv Abyss /usr/local/mplayer/share/mplayer/skins/
cd /usr/local/mplayer/share/mplayer/skins/
mv Abyss default

(4)调试
cd /usr/local/mplaer/bin/
./mplaer
打开一个文件播放试一下
看看有些格式的是不是能插放


附一:
关于加载字幕以及显示中文字幕时出现乱码的解决办法

方案1:配置文件
打开~/.mplayer/config,加入如下配置
font=/usr/share/fonts/simsun.ttc
ubfont-encoding=unicode
subcp=cp936
subfont-autoscale=2
subfont-text-scale=3
vo=xv
字幕的文件名要和avi的文件名一致,通过命令行播放影片就有字幕了

方案2:命令参数
使用如下代参数的命令打开文件
./mplayer xxx.avi -subcp cp936 -subfont-encoding unicode -font /usr/share/fonts/truetype/arphic/uming.ttf -subfont-text-scale 3
到此,大功告成。本方法经本人在openSUSE v11.0上实验成功。
但没来得及解决全屏时画面不能保持纵横比的问题,下次继续。


附二:
全屏纵横比的代参数命令解决办法
./mplayer -fs -aspect 16:9 /video_path.avi
其中参数说明:
-fs 全屏模
-aspect 16:9 纵横比(也可以写4:3之类,刚刚看夺宝奇兵4的纵横比是16:7)


附三:
按 照上述方案安装以后,如果configure时用--prefix自己指定了特殊的安装路径,运行mplayer必须在对应的bin目录下输入. /mplayer才有效,这样每次用会不太方便。在用户主目录(一般是/home/user_name/)下的.bashrc(也有的操作系统对应的 bash配置文件是.bash_profile)里最后添上这么一句话
alias mplayer='/usr/local/mplayer/bin/mplayer'(可执行程序的绝对路径)
保存,注销重新登录。以后就可以在任意目录下直接使用mplayer命令了。


问题解决 问题:
<p>安装完后,我们启动MPlayer,有可能会出现如下这样的错误:</p><p>  "New_Face faild. Maybe the font path is wrong. please supply the text font file. ( ~/.mplayer/subfont.ttf )."</p><p>  这时候我们用系统自带的字体来代替.</p><p>[jackyli@mylover download]$ cd /usr/share/fonts/<br />[jackyli@mylover fonts]$ ls
afms            chinese        japanese pubfont.a.gz
bitmap-fonts    default        KOI8-R    pubfont.k.gz
bitstream-vera fonts.cache-1 korean
[jackyli@mylover fonts]$ cd chinese/<br />[jackyli@mylover chinese]$ ls
fonts.cache-1 TrueType
[jackyli@mylover chinese]$ cd TrueType/<br />[jackyli@mylover TrueType]$ ls
bkai00mp.ttf fonts.cache-1 fonts.scale   gkai00mp.ttf
bsmi00lp.ttf fonts.dir      gbsn00lp.ttf
[jackyli@mylover TrueType]$ cp gbsn00lp.ttf ~/.mplayer/subfont.ttf</p>

<p>从现实来看,市场上所大行其道的IDS产品价格从数十万到数百万不等,这种相对昂贵的奶酪被广为诟病,所导致的结果就是:一般中小企业并不具备实施IDS产品的能力,它们的精力会放在路由器、防火墙以及3层以上交换机的加固上;大中型企业虽然很多已经上了IDS产品,但IDS天然的缺陷导致其似乎无所作为。但我们还不能就此喜新厌旧,因为IDS是必需的一个过程,具有IDS功能的IPS很可能在几年后彻底取代单一性IDS的市场主导地位,从被动应战到主动防御是大势所趋。
其实IDS的技术手段并不很神秘,接下来本文会用一种“顺藤摸瓜”的脉络,给大家介绍一个较简单的IDS入门级构架。从市场分布、入手难易的角度来看,选择NIDS作为范例进行部署,比较地恰当。本文以完全的Windows平台来贯穿整个入侵检测流程,由于篇幅所限,以定性分析角度来陈述。
预备知识
IDS:Intrusion Detection System(入侵检测系统),通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。
对IDS进行标准化工作的两个组织:作为国际互联网标准的制定者IETF的Intrusion Detection Working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。
IDS分类:Network IDS(基于网络)、Host-based IDS(基于主机)、Hybrid IDS(混合式)、Consoles IDS(控制台)、File Integrity Checkers(文件完整性检查器)、Honeypots(蜜罐)。
事件产生系统
根据CIDF阐述入侵检测系统(IDS)的通用模型思想,具备所有要素、最简单的入侵检测组件如图所示。
根据CIDF规范,将IDS需要分析的数据统称为Event(事件),Event既可能是网络中的Data Packets(数据包),也可能是从System Log等其他方式得到的Information(信息)。
没有数据流进(或数据被采集),IDS就是无根之木,完全无用武之地。
作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。
大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。
Winpcap是一套免费的, 基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100 Mbps以下的网络。
相应的基于Windows的网络嗅探工具是WinDump(是Linux/Unix平台的Tcpdump在Windows上的移植版),这个软件必须基于Winpcap接口(这里有人形象地称Winpcap为:数据嗅探驱动程序)。使用WinDump,它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况,可以在一定程度上有效监控来自网络上的安全和不安全的行为。
这两个软件在网上都可以免费地找到,读者还可以查看相关软件使用教程。
下面大略介绍一下建立事件探测及采集的步骤:
1. 装配软件和硬件系统。根据网络繁忙程度决定是否采用普通兼容机或性能较高的专用服务器;安装NT核心的Windows操作系统,推荐使用Windows Server 2003企业版,如果条件不满足也可使用Windows 2000 Advanced Server。分区格式建议为NTFS格式。
2. 服务器的空间划分要合理有效,执行程序的安装、数据日志的存储,两者空间最好分别放置在不同分区。
3. Winpcap的简单实现。首先安装它的驱动程序,可以到它的主页或镜像站点下载WinPcap auto-installer (Driver+DLLs),直接安装。
注:如果用Winpcap做开发,还需要下载 Developer's pack。
WinPcap 包括三个模块:第一个模块NPF(Netgroup Packet Filter),是一个VxD(虚拟设备驱动程序)文件。其功能是过滤数据包,并把这些包完好无损地传给用户态模块。第二个模块packet.dll为Win32平台提供了一个公共接口,架构在packet.dll之上,提供了更方便、更直接的编程方法。第三个模块 Wpcap.dll不依赖于任何操作系统,是底层的动态链接库,提供了高层、抽象的函数。具体使用说明在各大网站上都有涉及,如何更好利用Winpcap需要较强的C环境编程能力。
4. WinDump的创建。安装后,在Windows命令提示符模式下运行,用户自己可以查看网络状态,恕不赘述。
如果没有软件兼容性问题、安装和配置正确的话,事件探测及采集已能实现。 </p><p>事件分析系统
由于我们的网络大都用交换式以太网交换机连接,所以建立事件分析系统的目的是实现对多种网络防火墙设备的探测,以及多种采集方式(如基于Snmp、Syslog数据信息的采集)日志的支持,并提供一定的事件日志处理,统计、分析和查询功能。
事件分析系统是IDS的核心模块,主要功能是对各种事件进行分析,从中发现违反安全策略的行为,如何建立是重点也是难点。如果自己能或与人合作编写软件系统,就需要做好严谨的前期开发准备,如对网络协议、黑客攻击、系统漏洞有着比较清晰的认识,接着开始制定规则和策略,它应该基于标准的技术标准和规范,然后优化算法以提高执行效率,建立检测模型,可以模拟进行攻击及分析过程。
事件分析系统把检测引擎驻留在监视网段中,一般通过三种技术手段进行分析:模式匹配、协议分析和行为分析。当检测到某种误用模式时,产生对应的警告信息并发送给响应系统。目前来看,使用协议分析是实时检测的最好方式。
这个系统一种可能的方式是由协议分析器作为主体,可以在现成的、开放式的协议分析工具包基础上来构建;协议分析器可以显示分组级网络传输流,基于网络协议规则的警告进行自动分析来快速探测攻击的存在;由此,网络程序员和管理员可监控并分析网络活动,从而主动检测并定位故障。用户可以尝试一下一个叫Ethereal的免费网络协议分析器,它支持Windows系统。用户可以对由事件产生系统抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。
响应系统
响应系统是面向人、物的交互系统,可以说是整个系统的中转站和协调站。人即是系统管理员、物是其他所有组件。
详细说来,响应系统这个协调员要做的事很多:按照预置定义的方式,记录安全事件、产生报警信息(如E-mail形式)、记录附加日志、隔离入侵者、终止进程、禁止受害者的端口和服务、甚至反戈一击;可以采取人工响应和自动响应(基于机器的响应),两者结合起来会比较好。
响应系统的设计要素:
1. 接受自事件产生系统经事件分析系统过滤、分析、重建后的事件警报信息,然后交互给用户(管理员)查询并做出规则判断和采取管理行为。
2. 给管理员提供管理事件数据库系统的一个接口,可以修改规则库、根据不同网络环境情况配置安全策略、读写数据库系统。
3. 作用于前端系统时,可管理事件产生、分析系统(合称事件探测器),对该系统采集、探测、分析的事件进行分类、筛选,可针对不同安全状况,重新对安全规则进行洗牌。
响应系统和事件探测器通常是以应用程序的形式实现。
设计思路:响应系统可分为两个程序部分,监听和控制。 监听部分绑定某个空闲端口,接收从事件探测器发出的分析结果和其他信息,并转化存储文件到事件数据库系统中,作为管理员可根据用户权限调用来只读、修改以及特别的操作。控制部分可用GTK+来编写GUI,开发出较为直观的图形用户界面,目的主要是给用户一个更方便友好的界面来浏览警告信息。
事件数据库系统
在Windows平台下,虽然Access更易掌握,但采用SQL Server 2000构建会比Access有效,而且并不是很难入手,相关使用方法参见《Microsoft SQL Server 2000 联机丛书中文版》(2004)。
此系统主要功能:记录、存储、重排事件信息,可供管理员调用查看和对攻击审查取证使用。
此系统构造相对简单,只需利用到数据库软件的一些基本功能。
要协调各组件之间的有目的通信,各组件就必须能正确理解相互之间传递的各种数据的语义。可参考CIDF的通信机制,构建3层模型。注意各个组件之间的互操作性,保证安全、高效、顺畅。
整合在后续的工作中会不断进行,各个组件的功能也会不断完善。一个基本的、基于Windows平台的IDS框架就构建完毕。满足网络条件的话,试试亲手做做自己的奶酪吧,有一种不可名状的劳作后的甜蜜。</p><p> </p><转自http://netsecurity.51cto.com>

<p> </p>一般说来,一个典型的网络攻击是以大量的端口扫描等手段获取所攻击对象的信息的,这个过程必然产生大量异常的网络流量,它预示着即将到来的真正攻击。这就要求网管人员对网络运行状态进行实时监控,以便随时发现可能的入侵行为,并进行具体分析,及时、主动地进行干预,从而取得防患于未然的效果。完成这种功能的安全产品之一是网络入侵检测系统(Network Intrusion Detection Systems,NIDS)。<p>目前,NIDS产品可分为硬件和软件两种类型,但无论选择哪种,都有一个共同的特点: 昂贵。即便在单点安装的情况下,无论是硬件类型的费用,还是软件类型的许可费,动辄数万元乃至十余万元。相对于规模不是很大、费用支出有限的企业,承受起来勉为其难。是不是安全防御可以不搞了?答案是否定的。</p><p>事实上,互联网在给我们带来挑战的同时,也给我们带来无数的宝贵资源,只等我们去开发、利用。开放源代码软件(Open Source Software)便是其中之一。本文试图从这一角度,讲述利用互联网上免费的开放源代码软件实现构建完整NIDS的过程。</p><p>一、系统概述</p><p>本处描述的NIDS采用三层分布式体系结构,它包括网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量,本例将网络入侵探测器和入侵事件数据库整合在一台主机中,利用标准浏览器,异地访问主机上的Web服务器,并把它作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输。</p><p>由于实现本系统所需的软件较多,笔者在此做一简要说明(见附表)。</p><p>上述软件都是开放软件,用户可以直接登录相应软件的正式网站下载源代码。</p><p>附表</p> 软件名称 功能简述 正式网址 软件版本 Snort 网络入侵探测器 www.snort.org/ 1.8.6 Libpcap Snort所依赖的网络抓包库 www.tcpdump.org/ 0.7.1 MySQL 入侵事件数据库 www.mysql.org/ 3.23.49 Apache Web服务器 www.apache.org/ 1.3.24 Mod_ssl 为Apache提供SSL加密功能的模块 www.modssl.org/ 2.8.8 OpenSSL 开放源代码的SSL加密库,为mod_ssl所依赖 www.openssl.org/ 0.9.6d MM 为Apache的模块提供共享内存服务 www.engelschall.com 1.1.3 ACID 基于Web的入侵事件数据库分析控制台 www.cert.org/kb// 0.9.6b21 PHP ACID的实现语言 www.php.net/ 4.0.6 GD 被PHP用来即时生成PNG和JPG图像的库 www.boutell.com/gd 1.8.4 ADODB 为ACID提供便捷的数据库接口 php.weblogs.com/ 2.00 PHPlot ACID所依赖的制图库 www.phplot.com/ 4.4.6 <p>需要特别说明的是,虽然本例中构建NIDS所采用的系统平台基于Solaris 8 for Intel Platform,但由于在其他种类的系统平台上(如Linux、OpenBSD以及Windows 2000等)构建NIDS的步骤大同小异,用户仍可学有所用。</p><p>    二、安装与配置</p><p>在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。</p><p>1.安装入侵事件数据库MySQL</p><p>首先,以超级用户的身份登录系统,创建MySQL 用户和MySQL用户组; 然后,以MySQL身份登录,按照缺省配置将MySQL安装在/usr/local目录下;接下来,将源代码树中的缺省配置文件My.cnf拷贝到/etc目录下;再用超级用户身份执行源码树中Scripts目录下的可执行脚本文件Mysql_install_db创建初始数据库; 随后,用/etc/init.d/mysql.server命令启动数据库服务器,使用/usr/local/bin/mysqladmin程序改变数据库管理员的口令。</p><p>2.安装Snort</p><p>首先安装Snort所依赖的网络抓包库Libpcap,将其按照缺省配置安装在/usr/local目录下之后,开始正式安装Snort。</p><p>#gzip -d -c snort-1.8.6.tar.gz | tar xvf -</p><p>#cd snort-1.8.6</p><p>#./configure --prefix=/usr/local --with-mysql=/usr/local</p><p>--with-libpcap-includes=/usr/local </p><p>--with-libpcap-libraries=/usr/local</p><p>#make</p><p>#make install</p><p>安装完毕后,将源码树中的Snort.conf文件、Classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。</p><p>按照下列步骤配置Snort,以便将其捕获的网络信息输出到MySQL数据库。</p><p>(1)创建Snort入侵事件数据库和存档数据库。</p><p>#/usr/local/bin/mysqladmin -u root -p create snort</p><p>#/usr/local/bin/mysqladmin -u root -p create snort_archive</p><p>(2)执行Snort源码树下Contrib目录下的Create_mysql SQL脚本文件,创建相关表。</p><p>#/usr/local/bin/mysql -u root -D snort -p < create_mysql</p><p>#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql</p><p>(3)编辑/etc/snort.conf文件,在Output Plugin 段中加入如下一行:</p><p>output database: alert, mysql, user=root password=abc123 dbname=snort host=localhost</p><p>3.安装Web服务器Apache</p><p>(1)安装MM库</p><p>按照缺省配置将MM库安装在/usr/local目录下。</p><p>(2)安装OpenSSL</p><p>按照缺省设置将OpenSSL安装在/usr/local目录下。</p><p>(3)为Apache扩展mod_ssl代码</p><p>#gzip -d -c apache-1.3.24.tar.gz | tar xvf -</p><p>#gzip -d -c mod_ssl-2.8.8-1.3.24.tar.gz | tar xvf -</p><p>#cd mod_ssl-2.8.8-1.3.24</p><p>#./configure --with-apache=apache-1.3.24</p><p>该命令运行成功之后,会有提示说明已经成功扩展了Apache的源代码。</p><p>(4)安装Apache</p><p>#cd ../apache-1.3.24</p><p>#SSL_BASE=/usr/local EAPI_MM=/usr/local </p><p>./configure --enable-module=so</p><p>--enable-module=ssl --prefix=/usr/local</p><p>#make</p><p>#make certificate</p><p>#make install</p><p>其中,Make certificate命令是为mod_ssl生成所需的安全证书,按照提示输入相应信息即可。这样,Apache就被安装在/usr/local目录下。</p><p>4.安装实现语言PHP</p><p>按照缺省配置,将为PHP提供即时生成PNG和JPG图像功能的GD库安装到/usr/local目录下; 然后采用PHP的Apache DSO安装模式将其安装到/usr/local/libexec目录,成为Apache的动态共享模块。另外,不要忘记把对MySQL的支持和GD库也编译到模块里。</p><p>5.安装分析控制台ACID</p><p>该部分的安装工作具体包括3个软件包:Adodb200.tar.gz、Phplot-4.4.6.tar.gz和Acid-0.9.6b21.tar.gz。安装过程十分简单,只需分别将这3个软件包解压缩并展开在Apache服务器的文档根目录下即可。</p><p>然后开始配置工作。转到Acid-0.9.6b21目录下编辑ACID的配置文件Acid_conf.php,给下列变量赋值:</p><p>$Dblib_path=&quot;../adodb200&quot;</p><p>$DBtype="mysql"</p><p>$alert_dbname=&quot;snort&quot;</p><p>$alert_host="localhost"</p><p>$alert_port=&quot;3306&quot;</p><p>$alert_user="root"</p><p>$alert_password=&quot;abc123&quot;</p><p>$archive_dbname="snort_archive"</p><p>$archive_host=&quot;localhost&quot;</p><p>$archive_port="3306"</p><p>$archive_user=&quot;root&quot;</p><p>$archive_password="abc123"</p><p>$ChartLib_path=&quot;../phplot-4.4.6&quot;</p><p>$Chart_file_format="png"</p><p>$portscan_file="/var/log/snort/portscan.log"</p><p>至此,网络入侵检测系统的软件安装工作结束。</p><p>    三、系统部署及运行</p><p>本系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听,以保证NIDS自身的安全; 通过另一块网卡接入内网,并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制,并结合SSL,保证系统的访问安全。</p><p>另外,部署NIDS的关键是应当保证系统的监听网卡所连接的设备端口能够“看到”受监控网段的全部网络流量。在共享式网络中,这不是问题,但在交换式网络中,由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量,这就要求交换机提供监控端口,本网络使用的是Cisco Catalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可。</p><p>为了运行该系统,以超级用户身份执行下列命令:</p><p>#/etc/init.d/mysql.server start</p><p>#/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D</p><p>#/usr/local/bin/apachectl sslstart</p><p>这样,NIDS已开始运行,然后在内网的管理PC机上启动浏览器,在地址栏中键入:https://192.168.1.8/acid-0.9.6b21/,其中192.168.1.8是为该NIDS内网网卡分配的IP地址。首次运行时,控制台会提示用户对入侵事件数据库进行扩展,按照提示扩展完毕后,控制台主界面出现。如图1所示。</p><p></p><p>图1 一天之内的报警频率</p><p>主界面里显示的信息包括:触发安全规则的网络流量中各种协议所占的比例、警报的数量、入侵主机和目标主机的IP地址及端口号等。ACID控制台还提供强大的搜索功能,用户可根据时间、IP地址、端口号、协议类型以及数据净荷(payload)等多种条件的灵活组合,在入侵事件数据库中进行查询,以帮助网管人员进行分析。</p><p>入侵特征库是否丰富对一个NIDS非常重要,本系统同时支持多种有影响的入侵特征库,包括CERT/CC、arachNIDS和CVE等。在警报中除了列出入侵事件的命名外,还有到相应入侵特征库的Web链接,如果某个警报存在多个命名,则同时予以列出,以便参考。网络管理人员可通过这些链接去查找在线入侵特征库,以便获得关于特定入侵事件更加详细的信息和相应的解决办法。</p><p>应用ACID提供的制图功能可以直观地对网络入侵事件进行分析,而生成的图表又可进一步丰富网管人员编制的报告。例如ACID分析控制台可以按用户指定的时间段生成入侵事件的频率图,如图2所示。</p><p></p><p>图2 一周报警频率</p><p>结束语</p><p>网络安全是一个复杂的问题,只依靠1~2种网络安全产品是不能解决问题的,必须综合应用多种安全技术,并将其功能有机地整合到一起,进而构成统一的网络安全基础设施。</p><p>对于一些企业用户来说,安全产品并不是非买不可,当前在互联网上以开放源代码为代表的免费资源非常多,这些企业应该努力开发与利用。也许有人会怀疑这种资源的可靠性,请不要忘记互联网的3大应用都在由开放源代码软件支撑着:互联网上超过半数的站点是在运行Apache; BIND完成着几乎全部的域名解析;说不定您的电子邮件正通过Sendmail程序在互联网上传递。</p>
                      <转自51cto.com   >