本文目录一览:
- 1、web渗透测试工具
- 2、常用的几种入侵检测系统?我就知道snort,还有哪些?详细介绍一下。
- 3、简述入侵检测常用的四种方法
- 4、什么是入侵者检测系统
- 5、常用的入侵检测软件有哪些,举4个以上的例子,谢谢啦
- 6、网站入侵检测需要用到什么工具
web渗透测试工具
第一个:NST
NST一套免费的开源应用程序,是一个基于Fedora的Linux发行版,可在32和64位平台上运行。这个可启动的Live
CD是用于监视、分析和维护计算机网络上的安全性;它可以很容易地将X86系统转换为肉机,这有助于入侵检测,网络流量嗅探,网络数据包生成,网络/主机扫描等。
第二个:NMAP
NMAP是发现企业网络中任何类型的弱点或漏洞的绝佳工具,它也是审计的好工具。该工具的作用是获取原始数据包并确定哪些主机在网络的特定段上可用,正在使用什么操作系统,以及识别特定主机的数据包防火墙或过滤器的不同类型和版本正在使用。NMAP对渗透测试过程的任何阶段都很有用并且还是免费的。
第三个:BeEF工具
BeEF工具主要利用移动端的客户,它的作用是用于检查Web浏览器,对抗Web抗击。BeEF用GitHub找漏洞,它探索了Web边界和客户端系统之外的缺陷。很重要的是,它是专门针对Web浏览器的,能够查看单个源上下文中的漏洞。
第四个:Acunetix Scanner
它是一款知名的网络漏洞扫描工具,能审计复杂的管理报告和问题,并且通过网络爬虫测试你的网站安全,检测流行安全漏洞,还能包含带外漏洞。它具有很高的检测率,覆盖超过4500个弱点;此外,这个工具包含了AcuSensor技术,手动渗透工具和内置漏洞测试,可快速抓取数千个网页,大大提升工作效率。
第五个:John the Ripper
它是一个简单可快速的密码破解工具,用于在已知密文的情况下尝试破解出明文的破解密码软件,支持大多数的加密算法,如DES、MD4、MD5等。
常用的几种入侵检测系统?我就知道snort,还有哪些?详细介绍一下。
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
Snort最重要的用途还是作为网络入侵检测系统(NIDS)。
简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
扩展资料
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
参考资料来源:百度百科-入侵检测
什么是入侵者检测系统
话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述,为什么需要无线入侵检测系统,无线入侵检测系统的优缺点等问题。
来自无线局域网的安全
无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线
对等保密(Wired Equivalent Privacy)都很脆弱。在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中,黑客也能通过解密得到关键数据。
黑客通过欺骗(rogue)WAP得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(WAPs),随之而来的一些用户在网络上安装的后门程序,也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。
基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁,从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减,这些威胁包括:树,建筑物,雷雨和山峰等破坏无线通讯的物体。象微波炉,无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外,黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。
另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在,并可能导致大范围地破坏,这也正是让802.11标准越来越流行的原因。对于这种攻击,现在暂时还没有好的防御方法,但我们会在将来提出一个更好的解决方案。
入侵检测
入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今,入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。
无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。如今,在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如:自由软件开放源代码组织的Snort-Wireless 和WIDZ 。
架构
无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ,搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网,因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以,多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。
无线局域网通常被配置在一个相对大的场所。象这种情况,为了更好的接收信号,需要配置多个无线基站(WAPs),在无线基站的位置上部署sensors,这样会提高信号的覆盖范围。由于这种物理架构,大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离,从而,能更好地定位黑客的详细地理位置。
物理回应
物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行,因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网,黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小,特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,
策略执行
无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。
威胁检测
无线入侵检测系统不但能检测出攻击者的行为,还能检测到rogue WAPS,识别出未加密的802.11标准的数据流量。
为了更好的发现潜在的 WAP 目标,黑客通常使用扫描软件。Netstumbler 和Kismet这样的软件来。使用全球卫星定位系统(Global Positioning System )来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。
比探测扫描更严重的是,无线入侵检测系统检测到的DoS攻击,DoS攻击在网络上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。
除了上文的介绍,还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP 的无线上网用户。
无线入侵检测系统的缺陷
虽然无线入侵检测系统有很多优点,但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug,无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展,关于这个问题也会慢慢解决。
结论
无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷,但总体上优大于劣。无线入侵检测系统能检测到的扫描,DoS攻击和其他的802.11的攻击,再加上强有力的安全策略,可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展,对无线局域网的攻击也越来越多,需要一个这样的系统也是非常必要的。
常用的入侵检测软件有哪些,举4个以上的例子,谢谢啦
1.Snort:这是一个几乎人人都喜爱的开源IDS,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
网站入侵检测需要用到什么工具
你先弄明白web工作的原理是什么,然后在想着入侵检测吧,只用工具,不明白原理是没用的,最简单的莫非于注入之类的了,百度 啊D,明小子,穿山甲之类的,针对asp足够了,当然了,入侵不仅仅有注入,编辑器漏洞,暴库,敏感目录,弱口令等等,千万别忘记了上传漏洞,当然了,PHP的更好玩了,反正这个是个经验活,不是学两天就能学会的,自己慢慢的总结,你先下载啊D之类的,自己玩玩 找找感觉吧
