入侵检测

        1、扫描分为——端口扫描(TCP connect扫描、TCP SYN扫描等);特征扫描(指纹扫描);漏洞扫描(基于插件)
  2、嗅探sniff——嗅探器可以窃听网络上流经的数据包。黑客通过嗅探软件,将网络中的敏感数据截取下来,嗅探软件曾是网管排查网络故障的工具,但在黑客手中就成了获取局域网密码的利器了。
  3、Hub——用集线器hub组建的网络是基于共享原理,局域网内所有计算机都接收相同数据包,而网卡构造了硬件的过滤器通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为混杂模式就可以进行嗅探。
  4、交换机——用交换机switch组建的网络基于交换的原理,交换机不是把数据包发到所有端口上,而是发到目的网卡所在端口,嗅探程序一般利用ARP欺骗方法,通过改变MAC地址等手段,欺骗交换机将数据包发给自己,嗅探分析完再转发出去。
  5、入侵检测——特征检测(漏报率高);异常检测(误报率高)