﹝轉貼﹞入侵檢測系統 Echeneidae IDS 2 Alpha 3

先聲明，這是入侵檢測系統，不具有防火牆的功能，只能警告你正遭受網路攻擊

功能主要在於分析進出電腦的網路封包，從中找出網路攻擊並警告使用者(知道被駭了總比連被駭都不知道還好 )
他可以分析一般防火牆不能分析的複雜攻擊(目前還沒做到，希望以後可以 )，像是分析HTTP資料流找出惡意攻擊之類的

目前規則只有簡單的Port Scan檢測和TCP連線追蹤，之後會再繼續擴充
目前完成的功能有
1. IPv4 ARP TCP UDP ICMP協定解析
2. IPv4碎片重組
3. 模組化規則

它的特色在於每個規則為一個Python(程式語言)程式模組，所以每個規則可以使用Python豐富的函式庫和程式語言的特性，達到最高的規則彈性。
每個規則被載入時為獨立一個程序，所以可以充分發揮多核心CPU上的平行運算效能(AMD多核心、Core 2 Due、Core 2 Quad、Core i5、Core i7、Xeon 7500 )
使用Winpcap來捕捉封包，Winpcap是一個算蠻成熟的封包捕捉函式庫，提供不少穩定性

目前缺點是介面太簡陋 ，基本上之後我會做一個Web Interface當作介面
令人高興的是我使用MinGW後，終於擺脫可怕的.Net Framwork了，不過這個程式因為主要是用Python寫的，所以需要安裝Python
規則是用Python寫的，所以不會Python的人就很難寫規則，不過我有想出變通的方法了，還沒做
Python直譯式語言的特性，對程式效能是個很大的傷害，不過我盡量改善了
我當初寫這個程式的一個想法是:它應該要由社群或團隊來維護(目前程式架構的設計也是方便多人維護)，例如加入更多協定解析支援，更多偵測規則等等，不過目前還是一個人在維護

由於是Alpha，基本上我已經盡量讓它穩定了，不過我留了一個除錯用程式在裡面，如果封包緩衝區超量(瞬間太多封包)，會跳出一個對話方塊顯示Over ，這時候請關閉程式，並且回覆我當時情況(電腦配備　當時網路流量)，目前測試P4 3.4G應付200kb/s沒有大問題
我已經在Windows Server 2008 R2 64bit(我的程式開發環境)，Windows XP SP3 32bit，Windows Server 2003 32bit測試過了
CPU在P4、P4 HT、Core 2 Due、Core 2 Quad、Core i5 750(感謝upside大大測試)測試過了

使用方法
1. 由於會有一個packet.swap封包緩衝檔(610MB)，所以建議至少準備1GB以上硬碟空間
　　記憶體建議至少有128MB的空間(1G以上最好)
2. 建議把程式放在英文目錄下
3. 需要Winpcap捕捉封包，並且需要Python 3.1.2(一定要32bit版本，可裝在64bit OS上)來執行程式
       WinPcap 4.1.2  http://www.winpcap.org/install/bin/WinPcap_4_1_2.exe
       Python 3.1.2  http://www.python.org/ftp/python/3.1.2/python-3.1.2.msi
4. 下載程式　http://xcfileapp.appspot.com/dow ... fileid=1278128714.7
        或　ftp://192.192.45.70/echeneidae2alpha3.zip

5. 解壓縮後，請先用記事本打開define.py 修改最後一行"local_ip=[192,168,2,3]"，改為local_ip=[xxx,xxx,xxx,xxx](xxxxx為你的IP，注意中間不是用"."隔開，而是用","隔開)，這步驟超級重要，不然規則會無法正常運作



6.  接著雙擊echeneidae.py啟動IDS，如果無法開啟，請執行run.bat(裡面的python.exe路徑預設為C:Python31python.exe，如果你裝在別的路徑，請修改)
這時它會詢問你要監控哪一張網卡，請輸入上面列出網卡旁的編號(如果有裝虛擬機的，很容易跟虛擬機的虛擬網卡搞混，要注意)



7.　接著它會問你是否要把紀錄顯示在螢幕上(這樣會比較耗CPU)，一般建議選0，不要顯示



Enter後，便會停住，這時IDS已經開始運作了，請不要關閉這個視窗(關閉它代表停止IDS)
要看紀錄可以去log資料夾下，會有紀錄檔
rule1為TCP連結追蹤
rule4為TCP Port Scan記錄
rule5為UDP Port Scan記錄

所有的開發過程，最新版本，相關文件資料(像是規則的寫法)我都會寫在http://xcteamblog.blogspot.com/上
--
以上是我同學自行寫的入侵檢測軟體,還在Alpha階段,如果大家有興趣的話就捧場看看吧

原文網址:http://www.avpclub.ddns.info/discuz/redirect.php?tid=23930&goto=lastpost#lastpost