网络入侵检测规避工具fragrouter

网络入侵检测系统可以通过拦截数据包,获取内容进而判断是否为恶意数据包。对于传输较大的数据包,通常会采用分片的方式,将大数据包拆分为小数据包进行传输。如果入侵检测系统不具备数据包重组功能,就无法侦测到分片的恶意数据包。

而Kali Linux提供的fragrouter就是基于该漏洞开发的规避工具。该工具可以拦截发送给网卡的数据,进行重新分片,然后再发送。它支持22种分片方式。这些分片方式采用乱序、重复分片、空包、交叉发包等措施,以规避检测系统。使用该工具后,再使用其他工具进行扫描和探测,就可以降低被入侵检测系统发现的概率。

时间: 2024-11-06 03:55:21

网络入侵检测规避工具fragrouter的相关文章

五大免费企业网络入侵检测工具(IDS)

Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位. 虽然Snort"称霸"这个市场,但也有其他供应商提供类似的免费工具.很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大

网络入侵检测

netstat -anlp | grep 80 | grep tcp | awk '{print $5}' | awk -F: '{print $1}' |sort | uniq -c | sort -nr | head -n20 netstat -ant | awk '/:80/{split($5,ip,":");++A[ip[1]]} END {for(i in A) print A[i],i}'  | sort -rn | head -n 20 tcpdump -i eth0 -

KDD Cup 99网络入侵检测数据的分析

看论文 该数据集是从一个模拟的美国空军局域网上采集来的 9 个星期的网络连接数据, 分成具有标识的训练数据和未加标识的测试数据.测试数据和训练数据有着不同的概率分布, 测试数据包含了一些未出现在训练数据中的攻击类型, 这使得入侵检测更具有现实性. 在训练集中包含了1种正常的标识类型 normal 和 22种训练攻击类型. 1.KDDCup99入侵检测实验数据的标识类型 标识类型 含义 具体分类标识 Normal 正常记录 normal DOS 拒绝服务攻击 back, land, neptune

论文:基于数据挖掘的网络入侵检测关键技术研究-郭春

目录 1.文章主要工作: 1.1 设计了一种适用于入侵检测的特征提取方法.(降维)DSFE:Distance-sum based feature extraction method; 1.2 设计了一种能够适用于入侵检测的样本约简方法.(样本约简,即缩减数据集中的样本数量) 1.3 设计了一种离群点挖掘的异常检测方法.(能够发现数据集中偏离大部分数据的离群值) 1.4 设计了一种包含三个检测模块的两层混合入侵检测模型. 1.文章主要工作: 1.1 设计了一种适用于入侵检测的特征提取方法.(降维)

基于网络(NIDS)的入侵检测系统

入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为. 通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件.此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台:配置简单,不需要任何特殊的审计和登录机制:可检测协议攻击.特定环境的攻击等多种

入侵检测

入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉.他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵检测是防火墙的合理补充. 入侵检测系统所采用的技术可分为特征检测与异常检测两种: 特征检测: 特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式.它

六:入侵检测技术实战

入侵检测技术可实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击做出实时的响应,并提供补救措施,最大程度地保障系统安全. 6.1 入侵检测概述 所谓入侵检测是指试图监视和尽可能阻止有害信息的入侵,或其他能够对用户的系统和网络资源产生危害的行为.简单地 说,它是这样工作的:用户有一个计算机系统,它与网络连接着,也许也同互联网连接.由于一些原因,允许网络上的授权用户访问该计算机.比如说,有一个连接 着互联网的Web服务器,允许自己的客户.员

SNORT入侵检测系统

0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id - 这条规则看字面意思就很容易理解.Snort就是利用规则来匹配数据包进行实时流量分析,网络

入侵检测技术考点

第一章.入侵检测概述 入侵检测定义:入侵是指在非授权得情况下,试图存取信息.处理信息或破坏以使系统不可靠.不可用的故意行为. 入侵检测的基本原理:主要分为四个阶段: 1.      数据收集:数据收集是入侵检测的基础,采用不同的方法进行分析. 2.      数据处理:从原始数据中除去冗余.杂声,并且进行格式化以及标准化处理. 3.      数据分析:检查数据是否正常,或者显示是否存在入侵. 4.      响应处理:发现入侵,采取措施进行保护,保留入侵证据并且通知管理员. 1.4 入侵检测的