1
由於libnids似乎是兩歲目前沒有更新,做一些一個知道libnids或比它更好庫的任何替代解決方案,因爲它似乎在更高的速度超過1G丟棄數據包/每秒libinds有其他選擇嗎?
而更多的它不支持64位IP地址。
A
回答
2
libnids的替代方案是Bro。它配備了一個強大的TCP重組器,多年來已經被網絡安全監控團體徹底測試和使用。它附帶一些用於常見協議的協議分析程序,如HTTP,DNS,FTP,SMTP和SSL。 Bro是「網絡處理的Python」:它擁有自己特定於域的腳本語言,其IP地址(v4和v6),子網,端口都具有一流的類型和功能。編程風格具有基於異步事件的風格:用戶爲反映網絡活動的事件編寫回調函數。分析以連接粒度運行。下面是一個例子:
event connection_established(c: connection)
{
if (c$id$orig_h == 1.2.3.4 && c$id$resp_p == 31337/udp)
// IP 1.2.3.4 successfully connected to remote host at port 31337.
}
此外,兄弟支持cluster mode,其允許10個Gbps鏈路線路速率監測。由於大多數分析不需要共享內部連接狀態,因此Bro可以跨核心(使用PF_RING)以及多個節點進行非常好的擴展。存在具有> = 140個節點的Bro安裝。一個典型的部署如下所示:
由於高可擴展性,通常沒有更多的需要用低層次的細節和微調C實現搏鬥。或者換句話說,與Bro一起,你花時間在分析而不是實施上。
相關問題
- 1. DXTREME有其他選擇嗎?
- 2. Apache Commons SCXML有其他選擇嗎?
- 3. AppInviteReferral已棄用。有其他選擇嗎?
- 4. fstat的其他選擇嗎?
- 5. 選擇其他
- 6. 選擇框選擇其他
- 7. 單選的`.each`方法有其他選擇嗎?
- 8. Raphael 2.0.2似乎沒有.animateAlong命令了。有其他選擇嗎?
- 9. 有沒有其他選擇syslogd?
- 10. 函數file_get_contents()有沒有其他選擇?
- 11. FastSharp有沒有其他選擇?
- 12. 硒有沒有其他選擇?
- 13. 除了CURL以外,還有其他休息客戶選擇嗎?
- 14. CLOB與VARCHAR2還有其他的選擇嗎?
- 15. 如何優化這個smoothstep功能?有其他選擇嗎?
- 16. TFS WIQL不支持「不包含」。有其他選擇嗎?
- 17. 原子包line-diff-details還有其他的選擇嗎?
- 18. 黑莓SQlite數據庫有其他選擇嗎?
- 19. Application.Exit是否不關閉我的程序,有其他選擇嗎?
- 20. ASP.NET是否ListViews是多餘的?有其他選擇嗎?
- 21. JCPTA for Java P2P框架有其他選擇嗎?
- 22. Facebook聊天API不再工作?有其他選擇嗎?
- 23. FB.Dialog.create已被棄用。有其他選擇嗎?
- 24. 我是否必須構建ControlTemplate?還是有其他選擇嗎?
- 25. 選擇其他選項後選擇所有數據
- 26. 選擇列並隱藏其他選擇
- 27. Gigaspaces是否有其他選擇?
- 28. OData是否有其他選擇?
- 29. 選擇具有任何其他元素
- 30. jQuery-oEmbed是否有其他選擇?
感謝這樣的詳細回覆,我會在接受你的回答之前等待一些其他回覆 –
我不會找到任何教程開始,或多或少我不認爲這將是有益的開發類似的工具,如http:///www.wiley.com/legacy/compbooks/schiffman/(libnids第4章Lilt是一個基本的TCP監視工具,它爲用戶提供了監視網絡TCP連接和TCP端口掃描的能力。) –
不幸的是Bro還沒有用戶手冊。不過,我建議查看結構相似並帶有視頻錄像的[2011年研討會資料](http://www.bro-ids.org/bro-workshop-2011/)。 – mavam