网络安全：入侵检测与防火墙的实用指南

1. 入侵检测系统概述

入侵检测系统（IDS）用于识别网络内的可疑活动或检测入侵行为。它通过规则匹配算法来检测数据包或模式，以判断是否存在入侵、病毒爆发或其他不良活动。不过，有些“合法”活动可能与入侵或病毒爆发的规则非常接近，从而触发 IDS 系统的警报，例如 Outlook 和 Exchange 之间发送的数据包。

IDS 系统的可靠性取决于其用于检测网络内活动的规则。保持这些规则的更新是一项常被低估的任务，并且这在很大程度上取决于你对 IDS 系统的使用期望。如果系统不仅要监控 *NIX 系统的网络流量，还要监控现有 Windows 系统的网络流量，那么你必须确保运行非常紧密的更新周期，有时一天要更新多次，因为针对 Windows 系统的攻击者很有手段，经常会分发新的恶意软件。

IDS 系统主要分为两种基本类型：基于硬件的和基于软件的。基于硬件的系统显然也运行软件，其区别在于它配备了定制硬件以提高系统性能，思科系统（Cisco Systems）是常见的基于硬件的 IDS 系统制造商之一。基于软件的系统仅以软件形式提供，客户需要提供适合该任务的机器。然而，无论是哪种类型的 IDS 系统，都存在一个共同的缺点：在网络活动高峰期可能会丢失数据包。如果丢失的数据包中包含触发警报的关键信息，那么即使是最好的 IDS 系统也可能毫无用处。因此，为了确保全面监控，应该使用多个系统，并同时监控基线脚本创建的日志文件。如果计数器出现异常峰值，就应该检查其他系统。

1.1 tcpdump 示例

tcpdump 是一个常用的网络数据包捕获工具，以下是一些常见的 tcpdump 命令及其功能：
| 命令 |