|
Kfsensor IDS+HONEYPOT高级配置(1)
KFSENSOR的优点:
1)准确性比较强,防火墙与其他的IDS常常会被一些“合法”了的网络通信所“迷惑”,从而被RULE所“曲解”,而KFSENSOR是不会分辨所有的连接中谁是合法,谁是不合法的。
2)低成本,KFSENSOR会在被攻击时以假睡眠方式来“欺骗”攻击者,并且只使用了极少的处理时间与网络资源。 它安装在用户的计算机时是不会影响其他程序的正常进行的,并且不需要其他附加的硬件。
3)使用简便。当你使用了KFSENSOR时就会很快得发现到这一点了。它的配置与操作到是以直线的“方向”进行的, 这只需要你看看说明,修改一下就可以正常使用了。
4)实时探测功能。只要在运行此程序,报告攻击与分析结果都会在很短的时间里完成。
5)探测未知的数据攻击,KFSENSOR不像其他的产品,它是不会依靠已知的攻击类型数据去探测的,它可以动态得探测其他新型的攻击。
6)安全的“渗透性”。KFSENSOR可以补足其他安全产品的不足,并提供附加层次的安全性。
7)只要一个管理员就通过配置监视与管理整个组织的HONEYPOT监视器了。
实验环境:PWIN2000PRO+KFSENSOR VER 1.1.0
工具栏:(启动工具栏:“VIEW”---》“TOOLBAR”)
工具栏第一项为(红色的小喇叭)为PORTS显示(端口显示)。
第二项为“客人”模式显示。
第三项是启动HONEYPOT,
第四项是 停止HONEYPOT,最后一项为重启HONEYPOT。
任务栏: 任务栏有4个菜单,分别是“FILE”“VIEW”“Scenario”“HELP”。
“FILE”:
FILE”栏第一项为“导出”,其中分为“EVENT LIST”(“导出事件列表”)与“SELECT EVENT”(“导出选定的事件”)。 “导出事件列表”是当HONEYPOT系统真的有了入侵事件存在时才能被击活的(就是说真的有人对你做出入侵行为时),此操作会导出所有的事件。 “选定事件”需要在点击了右窗口显示出来的某个事件才能击活,导出后的文件只会记录你选择的那个事件的详细内容。 以上两种导出都是以XML文本的方式保存的,你可以使用ASCII编辑器(记事本等)或其他可以打开XML文本的工具打开来查看。 下一项是“SERVICE”(“服务”),头三个子项与工具栏的倒数三项用法是一样的。最后那两项是方便我们使用而设计的,分别是“把KFS注册为SYSTEM的一种服务”与“卸除这种服务”。 最后两项系“CLOSE”(“关闭”)与“EXIT”(“退出”)(PS:两个不是一样吗???) 这两项是不一样的,“CLOSE”会关闭桌面的程序界面,但程序依然进行。“EXIT”就是‘真的’退出此程序了。
| 
