在測(cè)試過(guò)程中你可以使用多種類(lèi)型的工具。這些工具在整個(gè)的審計(jì)過(guò)程中是必不可少的。它們會(huì)幫助你在枯燥乏味的分析過(guò)程中節(jié)省時(shí)間。

　　什么是入侵監(jiān)測(cè)

　　入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。例如，你的IDS可以重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。你應(yīng)當(dāng)理解入侵監(jiān)測(cè)系統(tǒng)是獨(dú)立于防火墻工作的。

　　入侵監(jiān)測(cè)系統(tǒng)IDS與系統(tǒng)掃描器system scanner不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫(kù)來(lái)掃描系統(tǒng)漏洞的，它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出你的主機(jī)的流量。在遭受攻擊的主機(jī)上，即使正在運(yùn)行著掃描程序，也無(wú)法識(shí)別這種攻擊。

　　IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。網(wǎng)絡(luò)掃描器檢測(cè)主機(jī)上先前設(shè)置的漏洞，而IDS監(jiān)視和記錄網(wǎng)絡(luò)流量。如果在同一臺(tái)主機(jī)上運(yùn)行IDS和掃描器的話，配置合理的IDS會(huì)發(fā)出許多報(bào)警。

　　入侵監(jiān)測(cè)的功能

　　大多數(shù)的IDS程序可以提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。它們可以監(jiān)視任何定義好的流量。大多數(shù)的程序?qū)�FTP，HTTP和Telnet流量都有缺省的設(shè)置，還有其它的流量像NetBus，本地和遠(yuǎn)程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見(jiàn)的檢測(cè)技巧。

　　網(wǎng)絡(luò)流量管理

　　像Computer Associates’ eTrust Intrusion Detection（以前是SessionWall），Axent Intruder Alert和ISS RealSecure等IDS程序允許你記錄，報(bào)告和禁止幾乎所有形式的網(wǎng)絡(luò)訪問(wèn)。你還可以用這些程序來(lái)監(jiān)視某一臺(tái)主機(jī)的網(wǎng)絡(luò)流量，eTrust Intrusion Detection可以讀取這臺(tái)主機(jī)上用戶(hù)最后訪問(wèn)的Web頁(yè)。

　　如果你定義了策略和規(guī)則，便可以獲得FTP，SMTP，Telnet和任何其它的流量。這種規(guī)則有助于你追查該連接和確定網(wǎng)絡(luò)上發(fā)生過(guò)什么，現(xiàn)在正在發(fā)生什么。這些程序在你需要確定網(wǎng)絡(luò)中策略實(shí)施的一致性情況時(shí)是非常有效的工具。

　　雖然IDS是安全管理人員或?qū)徲?jì)人員非常有價(jià)值的工具，但公司的雇員同樣可以安裝像eTrust Intrusion Detection或Intrude Alert這樣的程序來(lái)訪問(wèn)重要的信息。攻擊者不僅可以讀取未加密的郵件，還可以嗅探密碼和收集重要的協(xié)議方面的信息。所以，你首要的工作是要檢查在網(wǎng)絡(luò)中是否有類(lèi)似的程序在運(yùn)行。

　　系統(tǒng)掃描，Jails和IDS

　　在本教程的早些時(shí)候，你學(xué)習(xí)到如何應(yīng)用不同的策略來(lái)加強(qiáng)有效的安全。這項(xiàng)任務(wù)需要在網(wǎng)絡(luò)中不同的部分實(shí)施控制，從操作系統(tǒng)到掃描器、IDS程序和防火墻。你已經(jīng)使用過(guò)系統(tǒng)掃描器，許多安全專(zhuān)家將這些程序和IDS結(jié)合起來(lái)。系統(tǒng)完整性檢查，廣泛地記錄日志，黑客“監(jiān)獄”和引誘程序都是可以同IDS前后配合的有效工具。

　　追蹤

　　IDS所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置，這是許多安全專(zhuān)家購(gòu)買(mǎi)IDS的主要原因。通過(guò)追蹤來(lái)源，你可以更多的了解攻擊者。這些經(jīng)驗(yàn)不僅可以幫你記錄下攻擊過(guò)程，同時(shí)也有助于確定解決方案。