IDS中抓包(Capture)的问题

最新推荐文章于 2023-05-11 21:21:22 发布
最新推荐文章于 2023-05-11 21:21:22 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Security.IDS 文章标签: 网络协议 网络 search 优化
:     关于IDS中抓包(Capture)的问题,我的一些看法是:
:   1.因为什么丢包?
:   也许这个问题很好回答,刚才我看到回复这个帖子中就提到了"处理不过来就丢包",
: 这个没有问题,但是究竟是谁处理不过来呢?大家可能对于这个问题理解的比较模糊,我
: 觉得应该是网卡处理不过来,确切的说,应该是网卡、与网卡相关的驱动以及内核中的中
: 断处理部分处理不过来
不完全对.
实际上不是网络中断这不分的瓶颈.而是网络协议解析和patternpatch
这部分特别消耗CPU资源.
: 。
:   2.如何减少丢包的问题发生?
:   我觉得在网络流量很大的情况下,不丢包是不可能的,但是如果选用好一些得网卡(
: 比如3com的),优化网卡在特定系统下的驱动程序,都可以在一定程度上减少丢包的问题
: 发生。
: ...................
你说的这些都不是关键性的改进.关键性的改进就是刚才我说的那两个方面:
网络芯片;
pattern match芯片;
再加上load balancing.
最后,balckICE的技术领先并不是在sniffer技术上,他的技术领先(2000年)
是因为他提出了多层协议解析(protocol analysis),以及基于之上的bin 
search,这些现在都不算什么了.真正的高性能IDS已经不是什么sniffer了,
blackICE的硬件技术一点也不牛,他们用的是Intel的千兆卡,评测在
600兆的时候就已经废掉了,而且是单向的.
liaxiaosan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDS入侵检测防御之Suricata(Ubuntu)
afei001
06-18 1685
一、Suricata介绍     Suricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。它是由the Open Information Security Foundation开发,是一款开源的系统。Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。     Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。借助YAML和JSON之类的标准输入和输出格式,以及与现有SI.
IDS 和 IPS 的区别以及旁路阻断的插件使用
08-26
IPSflexresponse-eng.pdf 本文主要说明IDS和IPS作为入侵检测的区别,以及如何部署snort的旁路阻断插件,如何安装,如何配置configure文件,如何提高速度等等
IDS实验+数据链路层+分析
12-05
东北大学 ids实验 环境 RedHat + C 完成了前两个任务 学长只能帮你们到这了
什么是入侵检测系统(IDS)?底层原理是什么?
长风破浪会有时的博客
04-29 854
告警和响应:如果 IDS 检测到攻击行为,它会触发告警并采取相应的响应措施,如发送邮件、短信或执行阻止操作等。其底层原理是采集和分析网络流量和系统信息,检测可能的攻击特征,并触发告警和响应措施来保护网络和系统安全。入侵检测系统(Intrusion Detection System,简称 IDS)是一种安全机制,用于监视计算机网络或系统的活动,以便发现可能的攻击行为。检测可以使用多种技术,如基于规则的检测、基于统计学的检测、基于机器学习的检测等。特征提取:IDS 分析采集到的数据,提取可能的攻击特征。
IPS与IDS部署场景
热门推荐
曹世宏的博客
08-18 3万+
IPS原理可参考:入侵防御IPS技术 NIP介绍 NIP简介: NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...
NIP与IDS部署
qinghao11的博客
03-23 1608
NIP 华为IPS设备支持IPS(入侵防御系统)和IDS(入侵检测系统) IPS(入侵防御系统) 部署方式:直路部署 旁路部署 单臂部署 IDS(入侵检测系统):旁路部署 IPS 直路部署 NIP串联在网络链路 优点:1.能对流量进行控制,零配置 缺点:单点故障有延时 单臂部署 优点:可以对流量做阻断。 缺点:流量都要经过NIP,NIP是入侵防御系统,NIP会对数据做重组,会对数据的传输层,网络层,应用层各字段做分析并与签名库存做比对,如果没有问题,才转发出去。这样会加大网络的延时。同时,这里NI
ISS配置网站和wireshack
yuanyi_11的博客
05-11 210
Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的并不携带有效数据)。Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为含SYN或FIN标志位。Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据,这是第二次握手;
设备安全——入侵检测IDS试验
Miracle_ze的博客
09-12 419
成ping通。
问题总结 IDS、恶意软件、反病毒网关、APT、对称加密、非对称加密、SSL
xiaooxiangg的博客
04-10 604
一、结合以下问题对当天内容进行总结 1. 什么是IDS? 2. IDS和防火墙有什么不同? 3. IDS工作原理? 4. IDS的主要检测方法有哪些详细说明? 5. IDS的部署方式有哪些? 6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么? 1. 什么是恶意软件? 2. 恶意软件有哪些特征? 3. 恶意软件的可分为那几类? 4. 恶意软件的免杀技术有哪些? 5. 反病毒技术有哪些? 6. 反病毒网关的工作原理是什么? 7. 反病毒网关的工作过程是什么? 8. 反病毒网关的配置流程
IDS及防火墙知识点
MA463841740的博客
04-03 736
介绍了IDS以及防火墙的一些知识。
c++调用wireshark
12-11
在linux使用c++调用wireshark完成数据的解析,可以根据需要使用指定的解析器来完成数据解析。
IDS IPS 流量回放
05-20
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据的检测。IPS将检查入网的数据,确定这种数据的真正用途,然后决定是否允许这种数据进入...
IDS相机开发
04-12
IDS相机开发(USB3.0接口),来源于官网
IDS IPS 测试攻击回放.rar
03-30
防火墙测试,工具回放。 科来数据播放器
ArcObjects桌面工具的Names和IDs
06-14
ArcObjects桌面工具的Names和IDs
[golang] 注入分析
weixin_30256901的博客
07-31 534
视频信息 Packet Capture, Analysis, and Injection with Goby John Leonat GopherCon 2016 https://www.youtube.com/watch?v=APDnbmTKjgM 代码:https://github.com/gophercon/2016-talks/tree/master/JohnLeon-Pack...
什么是IDS?
qq_51563725的博客
09-13 9861
部署方式(旁路其实可以理解一个流量终端,用到旁挂我们就需要用到镜像端口功能,将我们需要检测的流量copy到旁挂的端口) ,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器、集线器)2)、误用检测:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或者系统行为库的记录相匹配时,系统就默认这种行为是入侵误用检测模型也称为特征检测。定义这些要求的工具,就是签名过滤器。IDS的签名就是特征的意思,入侵防御签名用来描述网络存在的攻击行为的特征。
入侵检测系统详解(IDS
whoim_i的博客
11-26 3万+
目录入侵检测系统(IDS)概念入侵检测系统的分类根据数据源分类1 基于主机的入侵检测系统2 基于网络的入侵检测系统根据检测原理分类1 异常入侵检测。2 误用入侵检测。根据体系结构分类1.集式2.等级式3.协作式根据工作方式分类1 离线检测。2 在线监测。入侵检测功能1 监控、分析用户和系统的活动2 发现入侵企图或异常现象3 记录、报警和响应 入侵检测系统(IDS)概念 入侵检测系统(intrus...
wireshark分析攻击
最新发布
09-10
Wireshark是一个开源的网络工具,可以用于分析网络流量和检测网络攻击。在使用Wireshark进行分析时,可以通过以下步骤来分析攻击: 1. 打开Wireshark并选择要取的网络接口。 2. 开始捕获流量,并根据需要设置过滤器以捕获特定的流量。 3. 收集一段时间的流量,并停止捕获。 4. 根据捕获到的流量,可以进行以下分析: - 检查是否有异常或可疑的流量。例如,大量的重复请求、未知的协议或异常的数据大小等。 - 查看源和目的IP地址,端口号,以及协议类型,以确定攻击的目标和攻击者使用的协议。 - 分析数据的内容,查找恶意软件的指纹、攻击脚本或其他可疑行为。 - 检查网络流量的异常行为,例如大量的连接尝试、异常的数据传输等。 - 如果有明确的攻击模式或签名,可以使用Wireshark提供的过滤机制来查找特定的攻击特征。 请注意,Wireshark只是一个工具,它可以帮助你分析网络流量并发现一些攻击迹象,但它并不能提供完整的安全分析。在进行网络安全分析时,建议结合其他工具和技术,如入侵检测系统(IDS)或安全信息和事件管理(SIEM)等,以综合评估网络的安全状况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值