Alpha 2中我強化了簡陋的規則,目前能追蹤TCP連線,檢測TCP Scan跟UDP Scan(通過Nmap基礎測式),會將紀錄檔存在log資料夾下,並且加上時間和哪條規則觸發的詳細資訊
也修補了不少小地方的Bug,讓IDS更加穩定
目前還有的問題是,IP碎片重組後不會驗證是否所有碎片已到齊,這功能將會在下一版中加入
其它特色我在Echeneidae IDS 2 Alpha 1 Release已經說明了
使用方法有些改變,如下
- 由於會有一個packet.swap當暫存檔(610MB),所以建議至少準備1GB以上硬碟空間
記憶體建議至少有128MB的空間(1G以上最好) - 建議把IDS放在英文目錄下
- 需要Winpcap捕捉封包,並且需要Python 3.1.2(32bit版本,可裝在64bit OS上)來執行IDS
- 下載IDS http://xcfileapp.appspot.com/download/echeneidae2alpha2.zip?fileid=1278128714.7
接著雙擊echeneidae.py啟動IDS,如果無法開啟,請執行run.bat(裡面的python.exe路徑預設為C:\Python31\python.exe,如果你裝在別的路徑,請修改)
這時它會詢問你要監控哪一張網卡,請輸入上面列出網卡旁的編號
接著它會問你是否要把紀錄顯示在螢幕上(這樣會比較耗CPU),一般建議選0,不要顯示
Enter後,便會停住,這時IDS已經開始運作了,請不要關閉這個視窗(關閉它代表停止IDS)
要看紀錄可以去log資料下,會有紀錄檔
關於規則的寫法,我之後會公布,有興趣的人可以先去研究一下rule資料夾下的規則檔
基本上Python是這個IDS的效能致命傷,我已經盡量改善了,建議在多核心CPU上運行,這樣可以發揮經過設計的平行運算效能
No comments:
Post a Comment