入侵检测(ID)和防御(IPS)软件——萨客嘶

5个免费的入侵检测（ID）和防御（IPS）软件

S n o r t

S n o r t是一个开源的网络入侵检测系统，可实现实时流量分析和数据包在I P网络上记录的能力。它可以进行协议分析，内容搜索/匹配，可用于检测例如缓冲区溢出，秘密端口扫描，C G I攻击，S M B探测，操作系统指纹企图，对攻击和探测，品种更多。

S A X2

A x3s o f t S A X2是一个专业的入侵检测和预防系统（I D S）来检测入侵和攻击，分析和管理网络，在实时数据包捕获，擅长24/7网络监控，先进的协议分析专家和自动检测。

兄弟

兄弟是一个开放源码的，基于U n i x的网络入侵检测系统（N I D S）的是被动地监视网络流量和可疑的活动看起来。兄弟首先检测网络流量分析的入侵提取其应用程序级的语义，然后执行面向事件的分析仪，比较有图案的活动被视为麻烦。其分析包括具体的攻击（包括签字确定的检测，而且在事件方面所界定者）和不寻常的活动（例如，连接到某些服务，或连接尝试失败一定主机模式）。

序幕

前奏曲是一个“代理人更少”，通用，安全信息管理（S I M卡）制度，根据G N U通用公共许可证的条款发表。前奏曲收集，标准化，分类，聚合，关联和报告所有与安全有关的事件是独立于产品品牌或牌照才会出现正常化到一个单一的格式被称为“入侵检测消息交换格式，如事件”

A i r S n a r e

A i r S n a r e是另一种工具添加到您的无线入侵检测的工具箱。A i r S n a r e会提醒你在网络上的M A C地址和不友好也将提醒您的D H C P请求发生。A i r S n a r e如果检测到一个不友善的M A C地址，你有选择的跟踪陆委会地址获得I P地址和端口或发射后一检测飘渺。

Sax2网络入侵检测系统，Sax2是一款专业的入侵检测与防御软件，它能够实时的采集网络数据包，不间断的对网络进行监视，通过高级协议分析和专家级侦测来发现网络中的威胁，主要有以下优势：

●基于协议分析的检测技术

通过对协议(IP、TCP、UDP、HTTP、FTP、POP3、SMTP)的深入分析,并对其通信内容进行重组，然后才把重组后的内容提交给检测引擎，通过这种方式极大的提高了系统的性能和

效率，并降低了误报率。

●高性能多模式匹配算法

系统采用高性能多模式匹配算法，并与协议分析相结合，可以更快更有效的处理网络通信内容。

●全新的组件化系统架构

整个系统由数据包采集、协议分析、规则匹配、综合诊断、事件响应、策略管理、日志保存和结果显示等部分组成，各个部分又由不同的组件负责，每个组件协同工作，来实现入侵检测系统数据收集、分析、事件响应和数据管理的功能。

●完备的攻击识别能力

系统的知识库主要分为6大类1500多条检测规则，保证提取攻击特征的有效性，最大程度地降低漏报和误报。

●灵活高效的攻击签名库

允许用户根据自己的需要定制几乎任意的新的特征签名，配置为最适合自己的入侵检测系统。

●丰富的统计功能

提供全网以及每个IP地址，MAC地址的详细流量、各种会话、事件等数据。

●强大的过滤能力

系统可以根据设置的查找内容过滤所有的通信内容,比如：访问的网页内容，传输的邮件内容，FTP传输的文件内容，MSN聊天内容等。

使用SAX2检测并还原SQL注入攻击流程

1. 什么是SQL Injection attacks

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

恶意攻击者通过向服务器提交一段特殊的数据库查询代码，在这种情况下，服务器会返回相应的结果，从而泄露服务器的某些敏感信息，这就是所谓的SQL Injection attack。由于SQL注入是从正常的Web端口进行访问，表面上看起来它和正常情况下访问网页没有任何区别，隐蔽性强且不易被发现，所以目前网络中的主流防火墙都不会对ＳＱＬ注入攻击进行报警。

2. SQL注入攻击的危害

目前有近70%的攻击行为是基于WEB应用，而据CVE的2006年度统计数

据显示，SQL注入攻击漏洞呈逐年上升的状态，2006年便达到了惊人的1078个，而这些还仅限于目前网络上通用的应用程序漏洞。

SQL注入攻击主要危害包括：

● 未经授权修改数据库中的数据。

● 未经授权获得网站的后台管理权限。

● 未经授权恶意篡改网页内容。

● 网页挂马攻击

● XSS攻击

● 未经授权获得整台服务器的控制权。

● 未经授权添加、删除、修改服务器的系统账号。

3. 使用SAX2检测并还原SQL注入攻击流程

虽然防火墙不能对SQL注入攻击进行报警，但有些IDS软件却可以对其进行有效检测。下面我们就通过一款名为SAX2的IDS软件，对SQL注入攻击进行检测，并还原其攻击流程。

SQL注入攻击的一般步骤是：判断环境寻找注入点、判断数据库类型、猜解数据表、猜解字段、猜解内容。在这个过程中，猜解数据表、猜解字段、猜解内容三个步骤是SQL注入攻击的重点，所以我们将分析重点放在这三个步骤。

SAX2可以对网络中的攻击行为进行实时检测并报警。当网络中存在SQL注入攻击时，SAX2会在Events视图中显示其攻击行为，如图1所示。

（图1 SAX2对MS_SQL injection attacks进行实时报警）从图1可知，SAX2有效检测到了网络中的SQL注入攻击，并将攻击事件在界面中实时显示。

图1中选中的事件信息表示，SAX2定位到的攻击者的IP地址是192.168.21.103，被攻击者的IP是125.65.112.10。同时下面的Original Communication视图中，可以看到原始内容是“select * from [dirs]”，即正在查询当前数据库中是否存在名为dirs的数据表。

攻击者会重复此操作，以查询到期望的数据表。在查询到相应的数据名，攻

击者会尝试猜解此数据表中的字段。

（图2 SAX2分析出当前正在猜解admin数据库中的字段）图1红色圈住的部分，表示攻击者正在猜解admin数据库中的是否存在paths

的字段。同理，攻击得也会重复猜解字段的操作，以找到相应的字段。

找到相应字段后，攻击者要做的就是判断字段的长度，并猜解字段的内容。

猜解到字段的内容后，即表示此次SQL注入攻击成功完成。（有时猜解出的内容是经过MD5加密的，需要对MD5的密文进行破解。）

上述内容即是通过SAX2检测SQL注入攻击，并还原其攻击的过程。从上文可知，SAX2可以对SQL注入攻击进行有效检测，并对其进行实际报警。在网络中，将防火墙和SAX2进行结合，可以确保当网络受到SQL注入攻击时，可以实际检测并报警，从而保障网络的安全。