IDS：基于网络的IDS（NIDS）和基于主机的IDS（HIDS），各自的优缺点不同 入侵检测的方法 1、特征检测、对某些有特征的攻击。。。 2、异常检测、异常的的登录或者其他活动 端口扫描， 如果对一个未开放的TCP端口扫描，服务器回复一个RST包，并断开链接 如果对一个未开放的UDP端口扫描，服务器回复一个ICMP（8）端口不可达 IDS与snort 免费的开源工具，当带宽为200-300Mbit/s时会有丢包，大于500Mbit/s时则无法使用 snort的包处理流程： libpcap----预处理程序-----（检测引擎）------输出事件 1.snort的安装，配置好Ubuntu的源，直接 sudo apt-get install snort 就搞定 2.snort有三种工作模式 a.嗅探器：从网络上读出数据包然后显示在控制台上 snort -v -i dev      -i 指定网卡 这个命令只会输出TCP/UDP/ICMP的包头信息，如果要看到应用层的 sonrt -vd -i dev 如果要显示数据链路层的数据 snort -ved -i dev b.数据包记录器 需要自定义个日志目录，而且这个目录一定要存在 snort -d -l ./log c.网络入侵检测系统（NIDS） snort -dev -i eth0 -l ./log -h 192.168.100.0/24 -c snort.conf snort.conf的文件里面包含了许多rules，根据自己的需求去改就可以了 3.关于输出选项     在NIDS模式下，有很多方式来配置snort的输出。在默认情况下，snort以ASCII格式记录日志，使用full报警机制     snort有6种报警机制，full、fast、socket、syslog、smb和none。其中有4个可以在命令行模式下使用-A 来设置 -A fast：报警信息包括：一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。 -A full：是默认的报警模式。 -A unsock：把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实现实时报警。 -A none：关闭报警机制。