Win 2003システムにはIDSと呼ばれる技術を含むユーザーがいるかもしれませんが、場合によってはこの技術の役割は非常に大きく、もちろんIDSの技術的手段です。次に、この記事では、単純なIDSエントリー・レベルのフレームワークを紹介します。市場分布と開始の難しさの観点から、展開の例としてNIDSを選択することがより適切です。この記事では完全なWindowsプラットフォームを使用して侵入検知プロセス全体を実行していますが、スペースの制限から、定性分析の観点から説明しています。
前提条件
IDS:侵入検知システム。ネットワークシステム情報を収集して侵入検知分析を行うためのソフトウェアとハードウェアのインテリジェントな組み合わせ。
IDSの標準化に取り組んでいる2つの組織、インターネット標準の作成者である侵入検知ワーキンググループ(IDWG、侵入検知ワーキンググループ)と共通侵入検知フレームワーク(CIDF) 。
IDS分類:ネットワークIDS(ネットワークベース)、ホストベースIDS(ホストベース)、ハイブリッドIDS(ハイブリッド)、コンソールIDS(コンソール)、ファイル整合性チェッカー(ファイル整合性チェッカー)、ハニーポット(ハニーポット)。イベント生成システム
CIDFによると、侵入検知システム(IDS)の一般的なモデルの考え方が説明されており、最も単純な侵入検知コンポーネントが図に示されています。 CIDF仕様では、IDSが分析する必要があるデータをまとめてイベントと呼び、ネットワーク内のデータパケット、またはシステムログなどの他の方法から取得した情報を使用できます。
データフローがない(またはデータが収集される)、IDSは根のない木材であり、まったく役に立ちません。
IDSの草の根組織として、イベント生成システムは大きな役割を果たすことができ、定義されたすべてのイベントを収集し、それを他のコンポーネントに広げます。 Windows環境では、現在の基本的な方法はWinpcapとWinDumpを使用することです。
ご存知のように、イベント生成およびイベント分析システムにはLinuxとUnixのプラットフォームが広く使用されていますが、実際にはWindowsプラットフォームにも同様のLibpcapsがあります(カーネルからネットワークデータをキャプチャするUnixまたはLinux)。パッケージの必須ソフトウェアのためのツールはWinpcapです。
Winpcapは、無料のWindowsベースのネットワークインターフェースAPIで、ネットワークカードを「混合」モードに設定してから、ネットワークでキャプチャされたパケットをループ処理します。このテクノロジは実装が簡単で、移植性があり、ネットワークカードとは関係ありませんが、効率は高くなく、100 Mbps未満のネットワークに適しています。
対応するWindowsベースのネットワークスニッフィングツールはWinDump(Linux /Unixプラットフォーム)です。 TcpdumpはWindowsの移植版で、このソフトウェアはWinpcapインターフェースをベースにしている必要があります(ここでは誰かがWinpcap:Data Sniffing Driverと呼んでいます)。 WinDumpを使用すると、ルールに一致するパケットのヘッダーを表示できます。このツールを使用すると、ネットワークの問題を見つけたり、ネットワーク上のステータスを監視したり、ネットワークからのセキュリティや危険な動作をある程度効果的に監視したりできます。
これら2つのソフトウェアはインターネット上で無料で入手できます。また、読者は関連するソフトウェア使用のチュートリアルを見ることもできます。
以下は、イベントの検出と取得を確立する手順の簡単な紹介です。
1.アセンブリソフトウェアとハードウェアシステム。ネットワークの混雑状況に応じて、一般的な互換機を使用するか、より高性能な専用サーバーを使用するかを決定します; NTコアWindowsオペレーティングシステムをインストールする場合はWindows Server 2003 Enterprise Editionを使用することをお勧めします。 NTFSフォーマットにはパーティションフォーマットが推奨されます。
2、サーバーのスペース分割は合理的かつ効果的であるべきです、プログラムのインストール、データログの保存、2つの間のスペースは異なるパーティションに配置されるのが最善です。
3、Winpcapの簡単な実装。最初にそのドライバをインストールします、あなたはそのホームページまたはミラーサイトからWinPcap自動インストーラ(Driver + DLL)をダウンロードして直接インストールすることができます。
注:Winpcapを使用して開発している場合は、Developer's packもダウンロードする必要があります。
WinPcapは3つのモジュールで構成されています。最初のモジュールであるNPF(Netgroup Packet Filter)はVxD(Virtual Device Driver)ファイルです。その機能は、パケットをフィルタリングし、それらをそのままユーザモードモジュールに渡すことです。 2番目のモジュールpackage.dllは、packet.dllの上に構築されたWin32プラットフォームへの共通のインタフェースを提供し、より便利でわかりやすいプログラミング方法を提供します。 3番目のモジュールWpcap.dllはどのオペレーティングシステムにも依存せず、基盤となるダイナミックリンクライブラリであり、高レベルの抽象機能を提供します。 Winpcapをより効果的に使用するには、強力なC環境プログラミング機能が必要です。
4、WinDumpの作成。インストール後、Windowsのコマンドプロンプトモードで実行すると、ユーザーはネットワークステータスを表示できます。これについては説明しません。
イベントの検出と取得は、ソフトウェアの互換性の問題、インストール、設定なしで実現できます。
大企業で、Win2003のADが不当に消えた場合、多くの人が間違いなくポットを爆発させると思います。一度ADが消滅すると、何千ものデータが消滅し、一つずつ回復することは不可能になるので、そのような膨大
人々の知人は運命にかかっているのですが、Win2003はモバイルハードディスクを受け入れることができないのでしょうか?もちろん、システムWin2003は常にモバイルハードディスク接続後に接続しません。
Technologeeko それでも、セキュリティと安定性で知られているWin2003システムは、特にそれが使用されている場合には、まだ私たちのニーズを満たすことができません。その過程で、それは必然的
コンピュータを購入するときに、コンピュータの寿命と品質を考慮しますので、購入するコンピュータの種類を選びます。しかし、時間の経過とともに最良のコンピュータが使用されても、システムのメモリはどんどん消費