linux入侵检测方法

① libnids 入侵检测

一个基于Libnids入侵检测程序~有人成功测试过吗~

#include "stdio.h"
#include "string.h"
#include "nids.h"
/*检测扫描用的的扫描信息数据结构*/
struct scan
{
u_int addr; /*地址*/
unsigned short port; /*端口号*/
u_char flags; /*标记*/
};
/*下面是检测扫描时用到的扫描主机数据结构*/
struct host
{
struct host* next; /*下一个主机结点*/
struct host* prev; /*前一个主机结点*/
u_int addr; /*地址*/
int modtime; /*时间*/
int n_packets; /*个数*/
struct scan* packets; /*扫描信息*/
};
/*下面是IP协议首部和数据结构氏咐*/
struct ip_header
{
#if defined(WORDS_BIGENDIAN)
unsigned ing ip_v : 4,
ip_hl : 4;
#else
unsigned int ip_hl : 4,
ip_v : 4;
#endif
unsigned int ip_tos;
unsigned char ip_len;
unsigned char ip_id;
unsigned char ip_off;
unsigned int ip_ttl;
unsigned int ip_p;
unsigned char ip_csum;
struct in_addr ip_src;
struct in_addr ip_dst;
};
/*下面是TCP协议首稿兄部的数据结构*/
struct tcp_header
{
unsigned char th_sport; /*源端口号歼敬纯*/
unsigned char th_dport; /*目的端口号*/
unsigned short th_seq; /*序列号*/
unsigned short th_ack; /*确认号*/
#ifdef WORDS_BIGENDIAN
unsigned int th_off : 4, /*数据偏移*/
th_x2 : 4; /*保留*/
#else
unsigned int th_x2 : 4, /*保留*/
th_off : 4; /*数据偏移*/
#endif
unsigned int th_flags;
unsigned char th_win; /*窗口大小*/
unsigned char th_sum; /*校验和*/
unsigned char th_urp; /*紧急指针*/
};
char *nids_warnings[] = {"Murphy - you never should see this message !"};

/*下面是检测扫描攻击和异常数据包的函数*/
static void my_nids_syslog(int type, int errnum, struct ip_header *iph, void *data)
{
static int scan_number = 0;
char source_ip[20];
char destination_ip[20];
char string_content[1024];
struct host* host_information;
unsigned char flagsand = 255,flagsor = 0;
int i;
char content[1024];
printf("ff");
switch (type) /*检测类型*/
{
case NIDS_WARN_IP:
if (errnum !=NIDS_WARN_IP_HDR)
{
strcpy(source_ip, inet_ntoa(*((struct in_addr *) &(iph->ip_src.s_addr))));
strcpy(destination_ip, inet_ntoa(*((struct in_addr *) &(iph->ip_dst.s_addr))));
printf("%s,packet(apparently from %s to %s\n", nids_warnings[errnum],source_ip, destination_ip);
}
else
{
printf("%s\n", nids_warnings[errnum]);
break;
}
case NIDS_WARN_TCP:
strcpy(source_ip, inet_ntoa(*((struct in_addr *) &(iph->ip_src.s_addr))));
strcpy(destination_ip, inet_ntoa(*((struct in_addr *) &(iph->ip_dst.s_addr))));
if (errnum != NIDS_WARN_TCP_HDR)
{
printf("%s,from %s:%hi to %s:%hi\n", nids_warnings[errnum], source_ip, ntohs(((struct tcp_header *) data)->th_sport), destination_ip, ntohs(((struct tcp_header *) data)->th_dport));
}
else
{
printf("%s,from %s to %s\n", nids_warnings[errnum], source_ip, destination_ip);
}
break;
case NIDS_WARN_SCAN:
scan_number++;
sprintf(string_content, "------------- %d -------------\n", scan_number);
printf("%s", string_content);
printf("----- 发现扫描攻击 -----\n");
host_information = (struct host *) data;
sprintf(string_content, "扫描者的IP地址为:\n");
printf("%s", string_content);
sprintf(string_content, "%s\n", inet_ntoa(*((struct in_addr *) &(host_information->addr))));
printf("%s", string_content);
sprintf(string_content, "被扫描者的IP地址和端口号为:\n");
printf("%s", string_content);
sprintf(string_content, "");
for(i = 0; i < host_information->n_packets; i++)
{
strcat(string_content, inet_ntoa(*((struct in_addr *) &(host_information->packets.addr))));
sprintf(string_content + strlen(string_content), ":%hi\n", host_information->packets.port);
flagsand &= host_information->packets.flags;
flagsor |= host_information->packets.flags;
}
printf("%s", string_content);
sprintf(string_content, "");
if (flagsand == flagsor)
{
i = flagsand;
switch (flagsand)
{
case 2:
strcat(string_content, "扫描类型为: SYN\n");
break;
case 0:
strcat(string_content, "扫描类型为: NULL\n");
break;
case 1:
strcat(string_content, "扫描类型为: FIN\n");
break;
default:
sprintf(string_content + strlen(string_content), "标志=0x%x\n", i);
}
}
else
{
strcat(string_content, "标志异常\n");
}
printf("%s", string_content);
break;
default:
sprintf(content, "未知");
printf("%s", string_content);
break;
}
}
/*主函数*/
void main()
{
struct nids_prm nids_params;
nids_params.syslog = my_nids_syslog; /*注册检测攻击的函数*/
nids_params.pcap_filter = "ip";
if (!nids_init()) /*Libnids初始化*/
{
printf("出现错误: %s\n", nids_errbuf);
exit(1);
}
nids_run(); /*进入循环捕获数据包的状态*/
}

② 如何在 Linux 系统上安装 Suricata 入侵检测系统

由于安全威胁持续不断，配备入侵检测系薯唯裤统(IDS)已成为如今数据中心环境下最重要的要求之一。然而，随着越来越多的服务器将网卡升级到10GB/40GB以太网技术，我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。扩展IDS性能的一个方法就是使用多线程IDS。在这种IDS下，大量耗用CPU资源的深度数据包检查工作负载并行化处理，分成多个并发任务。这种并行化检查机制可以充分发扬多核硬件的优势，轻松扩展IDS的处理能力。这方面的两个知名的开源工具就是Suricata(http://suricata-ids.org)和Bro(https://www.bro.org)。
我在本教程中将演示如何在Linux服务器上安装和配置Suricata IDS。
在Linux上安装Suricata IDS
不妨用源代码构建Suricata。你先要安装几个所需的依赖项，如下所示。
在Debian、Ubuntu或Linux Mint上安装依赖项
$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

在CentOS、Fedora或RHEL上安装依赖项
$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel

一旦你安装了所有必需的程序包，现在可以安装Suricata了，数简如下所示。
首先，从http://suricata-ids.org/download/下载最新的Suricata源代码，编译山物代码。截至本文撰稿时，最新版本是2.0.8。
$ wget http://www.openinfosecfoundation.org/download/suricata-2.0.8.tar.gz
$ tar -xvf suricata-2.0.8.tar.gz
$ cd suricata-2.0.8
$ ./configure --sysconfdir=/etc --localstatedir=/var

这是配置的示例输出结果。
Suricata Configuration:
AF_PACKET support: yes
PF_RING support: no
NFQueue support: no
NFLOG support: no
IPFW support: no
DAG enabled: no
Napatech enabled: no
Unix socket enabled: yes
Detection enabled: yes
libnss support: yes
libnspr support: yes
libjansson support: yes
Prelude support: no
PCRE jit: yes
LUA support: no
libluajit: no
libgeoip: no
Non-bundled htp: no
Old barnyard2 support: no
CUDA enabled: no
现在编译并安装它。
$ make
$ sudo make install

Suricata源代码随带默认的配置文件。不妨安装这些默认的配置文件，如下所示。
$ sudo make install-conf

正如你所知，要是没有IDS规则集，Suricata毫无用处。颇为方便的是，Makefile随带IDS规则安装选项。想安装IDS规则，运行下面这个命令即可。
$ sudo make install-rules

上述规则安装命令会从EmergingThreats.net(https://www.bro.org)安装可用的社区规则集的最新快照，并将它们存储在/etc/suricata/rules下。

首次配置Suricata IDS
现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件，以便编辑。
$ sudo vi /etc/suricata/suricata.yaml

下面是一些基本的设置，供你开始入门。
“default-log-dir”关键字应该指向Suricata日志文件的位置。
default-log-dir: /var/log/suricata/

在“vars”这部分下面，你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意：不管使用哪个端口， Suricata都能自动检测HTTP流量。所以，正确指定HTTP_PORTS变量并不是很重要。
vars:
HOME_NET: "[192.168.122.0/24]"
EXTERNAL_NET: "!$HOME_NET"
HTTP_PORTS: "80"
SHELLCODE_PORTS: "!80"
SSH_PORTS: 22

“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施，现代IDS想出了所谓的“基于目标的”检测，检查引擎根据流量的目标操作系统，对检测算法进行微调。因而，如果你知道每个本地主机运行什么操作系统，就可以将该信息提供给Suricata，从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中，默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息，Suricata就会运用基于Linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量，Suricata就会运用基于Windows的检查策略。
host-os-policy:
# 这些是Windows机器。
windows: [192.168.122.0/28, 192.168.122.155]
bsd: []
bsd-right: []
old-linux: []
# 将Linux作为默认策略。
linux: [0.0.0.0/0]
old-solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []

在“threading”这部分下面，你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下，CPU亲和性被禁用(“set-cpu-affinity: no”)，这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下，Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为，只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程，其中M是指主机上CPU核心的总数。
threading:
set-cpu-affinity: no
detect-thread-ratio: 1.5

就上述线程设置而言，Suricata会创建1.5 x M个检测线程，其中M是系统上CPU核心的总数。
想了解关于Suricata配置的更多信息，你可以阅读默认的配置文件本身，为了便于理解，加有大量注释。
使用Suricata执行入侵检测
现在可以试着运行Suricata了。在启动它之前，还有一个步骤要完成。
如果你使用pcap捕获模式，强烈建议关闭Suricata侦听的那个网卡上的任何数据包卸载功能(比如LRO/GRO)，因为那些功能可能会干扰数据包实时捕获。
下面介绍如何关闭网络接口eth0上的LRO/GRO：
$ sudo ethtool -K eth0 gro off lro off

请注意：视使用的网卡而定，你可能会看到下列警示信息，可以忽视这个信息。它只是意味着你的网卡不支持LRO。
Cannot change large-receive-offload

Suricata支持多种运行模式。运行模式决定了不同的线程如何用于IDS。下面这个命令列出了所有可用的运行模式。
$ sudo /usr/local/bin/suricata --list-runmodes

Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下，来自每一路流的数据包被分配给单一的检测线程。流被分配给了未处理数据包数量最少的线程。
最后，不妨启动Suricata，看看它的实际运行情况。
$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal

在这个例子中，我们监控一个8核系统上的网络接口eth0。如上所示，Suricata创建了13个数据包处理线程和3个管理线程。数据包处理线程包括1个PCAP数据包捕获线程和12个检测线程(相当于8 x 1.5)。这意味着，一个捕获线程捕获的数据包经负载均衡处理后，变成了IDS面前的12个检测线程。管理线程是一个流管理器和两个计数器/统计相关线程。
下面是Suricata进程的线程视图(由htop描绘)。
Suricata检测日志存储在/var/log/suricata目录下。
$ tail -f /var/log/suricata/fast.log
04/01/2015-15:47:12.559075 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46997
04/01/2015-15:49:06.565901 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317
04/01/2015-15:49:06.566759 [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317

为了易于导入，还有JSON格式的日志：
$ tail -f /var/log/suricata/eve.json

{"timestamp":"2015-04-01T15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}
{"timestamp":"2015-04-01T15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}

③ linux服务查看攻击者的IP的命令是什么

这个涉及到入侵检测类

如果木马是潜伏期，比较复杂，一时半会给你讲不清楚

如果木马是活动期，正在枯陆孙大流量发包，

方法如下

1、iptraf -f，然后 选IP traffic monitor

指定你的网卡

会看到很多对应关系，这样就可以找到发包最大的IP对应关系出来

2、netstat -tuanp |grep 大流量ip ，会得到对没链应进程

3、iptables限制其出网

4、kill并删除对应进程，然后查看/etc/rc.d 有没有被注东西，包括chkconfig等，所有系统自起的全看看，，详细的可以查询一悉举下入侵检测部分时间有限不一 一说了

④ Linux的系统的安全如何保障保护Linux系统安全的九个常用方法

在现在这个世道中，保障基于Linux的系统的安全是十分重要的。但是，你得知道怎么干。一个简单反恶意程序软件是远远不够的，你需要采取其它措施来协同工作。那么Linux的系统的安全如何保障？今天小编就为大家总结九个常用方法来保护Linux系统安全，希望能帮助到大家。

1. 使用SELinux

SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。(LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门)

2禁用不用的服务和应用

通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。(LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。)

3 订阅漏洞警报服务

安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。

4 使用Iptables

Iptables是什么?这是一个应用框架，它允许用户自己为系统建立一个强大的防火墙。因此，要提升安全防护能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。

5 检查系统日志

你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守燃羡好这道防线。

6 考虑使用端口试探

设置端口试探(Port knocking)是建立服务器安全连接的好方法。一般做法是发生特定的包给服务器，以触发服务器的回应/连接(打开防火墙)。端口敲门对于那些有开放端口的系统是一个很好的防护措施。

7. 默认拒绝所有

防火墙有两种思路：一个是允许每一点通信，另一个是拒绝所有访问，提示你是否许可。第二种更好一些。你消指应该只允许那些重要的通信进入。(LCTT译注：即默认许可策略和默认禁止策略，前者你需要指定哪些应该禁止，除此之外统统放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

8.使用全盘加密

加密的数据更难窃取，有时候根本不可能被窃取，这就是你应该对整个驱动器加密的原因。采用这种方式后，如果有某个人进入到你的系统，那么他看到这些加密的数据后，就有得头痛了。根据一些报告，大多数数据丢失源于机器被盗。

9.使用入侵检测系统

入侵检测系统，或者叫IDS，允许你拿段配更好地管理系统上的通信和受到的攻击。Snort是目前公认的Linux上的最好的IDS。

以上就是保护Linux系统安全的九个常用方法，希望能帮助到大家！

⑤ 如何检查Linux系统服务器的安全性

但由于该操作系统是一个多用户操作系统，黑客们为了在攻击中隐藏自己，往往会选择 Linux作为首先攻击的对象。那么，作为一名Linux用户，我们该如何通过合理的方法来防范Linux的安全呢？下面笔者搜集和整理了一些防范 Linux安全的几则措施，现在把它们贡献出来，恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互厅丛检测线路完好的一个应用程序，计算机间交流数据的传输没有 经过任何的加密处理，因此我们在用ping命令来检测某一个服务器时，可能在因特网上存在某个非法分子，通过专门的黑客程序把在网络线路上传输的信息中途 窃取，并利用偷盗过来的信息对指定的服务器或者系统进行攻击，为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里，如果要想使 ping没反应也就是用来忽略icmp包，因此我们可以在Linux的命令行中输入如下命令： echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令，就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行，我们应该对Linux完好的系统进 行备份，最好是在一完成Linux系统的安装任务后就对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。备份信息时，我们可以把完好的系统信息备份在CD-ROM光盘上，以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下，系统会自动记录用户输入过的命令，而root用户发出的命令往往具有敏感的 信息，为了保证安全性，一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令，我们可以在Linux的命令行下，首先 用cd命令进入到/etc命令，然后用编辑命令来打开该目录下面的profile文件，并在其中输入如下内容： HISTFILESIZE=0
HISTSIZE=0当然，我们也可以直接在命令行中输入如下命令： ln -s /dev/null ~/.bash_history5、为关键分区建立只读属性Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况 下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生 了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽 量将它们设置为只读，并且对它们的链拆文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。 6、杀掉攻击者的所有进程假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录，而且我们确定该用户在这台 主机上没有相应的帐号，这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏，我们应该马上锁住指定的帐号，如果攻击者已经登录到指定的系统，我 们应该马上断开主机与网络的物理连接。如有可能，我们还要棚伏枣进一步查看此用户的历史记录，再仔细查看一下其他用户是否也已经被假冒，攻击者是否拥有有限权 限；最后应该杀掉此用户的所有进程，并把此主机的IP地址掩码加入到文件hosts.deny中。 7、改进系统内部安全机制我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出，从而达到增强Linux系 统内部安全机制的目的，大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存 中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括 Linux Torvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的 某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。 8、对系统进行跟踪记录为了能密切地监视黑客的攻击活动，我们应该启动日志文件，来记录系统的运行情况，当黑客在攻 击系统时，它的蛛丝马迹都会被记录在日志文件中的，因此有许多黑客在开始攻击系统时，往往首先通过修改系统的日志文件，来隐藏自己的行踪，为此我们必须限 制对/var/log文件的访问，禁止一般权限的用户去查看日志文件。当然，系统中内置的日志管理程序功能可能不是太强，我们应该采用专门的日志程序，来 观察那些可疑的多次连接尝试。另外，我们还要小心保护好具有根权限的密码和用户，因为黑客一旦知道了这些具有根权限的帐号后，他们就可以修改日志文件来隐 藏其踪迹了。 9、使用专用程序来防范安全有时，我们通过人工的方法来监视系统的安全比较麻烦，或者是不周密，因此我们还可以通过专业 程序来防范系统的安全，目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honey pot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中， 一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。 10、将入侵消灭在萌芽状态入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄 行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸 如Abacus Port Sentry这样专业的工具，来监视网络接口并且与防火墙交互操作，最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时，Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对 端号大量的并行扫瞄并且阻止所有这样的入侵者。 11、严格管理好口令前面我们也曾经说到过，黑客一旦获取具有根权限的帐号时，就可以对系统进行任意的破坏和攻 击，因此我们必须保护好系统的操作口令。通常用户的口令是保存在文件/etc/passwd文件中的，尽管/etc/passwd是一个经过加密的文件， 但黑客们可以通过许多专用的搜索方法来查找口令，如果我们的口令选择不当，就很容易被黑客搜索到。因此，我们一定要选择一个确保不容易被搜索的口令。另外，我们最好能安装一个口令过滤工具，并借用该工具来帮助自己检查设置的口令是否耐得住攻击。