"DOS attack Settings..."------------防御D.o.S攻击的策略

上图所示，“LIMITS”版块包括“MAX CLIENTS”（“最大客户端数”），“MAX RECEIVE SIZE（BYTES）”（最大接受数据大小‘以字节为单位’），“MAX RECEIVE LOG SIZE（BYTES）”（最大接受日志大小‘以字节为单位’），"Visitor DOS Attack Limits"版块包括“MAX concurrent CONNECTIONS PER IP"（“某一个IP在同一时间内可以允许的最大连接数”），“MAX CONNECTIONS PER IP”（“某一个IP可以允许的最大连接数”），“LOCK OUT FOR(MINUTES)”（当上两项被超过时，KFSENSOR会自动将攻击者的IP锁定在一个时间内，在这个时间内如果此IP没有再向本机发送连接请求的话它就可以得到‘允许’连接的请求了，相反则被本机拒绝接受，此项就为此时间的长短选项，以分钟为单位），“Global DOS Attack Limit”版块包括“Max TCP Connections”（“允许连接的最大TCP数量”），“Max UDP Connections”（“允许连接的最大UDP数量”），“Reset Lock Up After (Hours)”（“LOCK UP后的重新调整时间”）。注：“Global DOS Attack Limit”版块中的选项是为了应付DDOS的，所以要慎重选择。

"EMAIL Alerts..."-------------------通过EMAIL发出警报的设置 这个界面也太简单了......所以........：P

"SET UP WIZARDS..."-----------------策略建立向导 此为第一次启动时的“策略建立向导”，可以帮你快捷的运用这个工具。

“HELP”：（HELP喏....这个不用多说了吧....）

----------------------------------------------------------------------------------------------

介绍一下KFSENSOR的帮助吧，关于KFSENSOR的帮助目录树分为三个部分：

1）KFSENSOR的介绍，包括介绍，未来的版本与版权。

2）KFSENSOR的“观念”： 观念的总体看法 KFSENSOR的优点 KFSENSOR是如何工作的 KFSENSOR的术语 KFSENSOR如何与其他安全产品相配合 展开KFSENSOR 攻击的类型 行为解析（这篇不错） 测试KFSENSOR的方法与途径

3）KFSENSOR手册（这个目录下的东西就更要看了）

----------------------------------------------------------------------------------------------

SOME TIPS：

此程序默认使用的所有文本都为XML文本。

启动后会在HONEYPOT机上生成一个环型连接，连接两端分别为kfsensmonitor.exe与kfsnserv.exe两个进程调用。

此工具最好是配合ACTIVE PORTS一齐使用。 （简单介绍一下ACTIVE PORTS吧，其实它就是FPORT.EXE的GUI版本，而且还有针对某端口所开进程的强行杀死功能。） 使用ACTIVE PORTS配合KFSENSOR的方法是：第一，可以有效的发现有什么在企图连接你的主机，连接了你的什么端口等。第二，好象TCP139等很难直接用OS删除的端口可以先使用ACTIVE PORTS将此端口的使用者进程强行杀死，然后用KFSENSOR监听。 ACTIVE PORTS下载地址（WAWA汉化非安装版）：http://haowawa.8866.org/down/aports.zip

在此工具的根目录下有一个名曰“CONF”的子目录，进去后会发现一个名字为"KFSensor"的XML文本文件，使用ASCII编辑器（记事本等）打开后，可以发现里面的‘内部结构’了，其实此文本为KFSENSOR启动时的默认配置，如：

TRUE

9747

127.0.0.1

就是指：

KFSENSOR默认启动时为ACTIVE状态

默认主进程使用端口为9747

默认绑定IP为127.0.0.1

还有很多很多.......下面是有关的详细说明：

--------此工具建立与最后保存了的时间

------------------默认主‘任务’（在‘任务’切换栏可以修改）

-----------------DNS缓存时间

-------------LOCKOUT IP所用的时间（此为默认值，在防DOS栏可以修改）

---------设置EMAIL入侵报告（如果其值为FALSE，其以下子值全部空）

----------日志‘等级’（有几项选择：EMERG‘暴露’ALERT‘警告’CRIT‘标准’ERR‘错误’WARNING‘警告’NOTICE‘注意’INFO‘信息’DEBUG‘调试’

--------最大客户端值(可在防DOS栏修改）

--------------某一个IP在同一时间内可以允许的最大连接数(可在防DOS栏修改）

-------------------某一个IP可以允许的最大连接数(可在防DOS栏修改）

--------------------最大接受日志大小‘以字节为单位’(可在防DOS栏修改）

-----------------------最大接受数据大小‘以字节为单位’(可在防DOS栏修改）

--------------------允许连接的最大TCP数量(可在防DOS栏修改）

--------------------允许连接的最大UDP数量(可在防DOS栏修改）

----------------LOCK UP后的重新调整时间‘以时间为单位’(可在防DOS栏修改）

与之间的为主设置区。不过比较简单，就是我先前举的例子：

---------程序活动状态

----------主程序端口

----主程序绑定端口

----限制于本地主机（此为默认值就可以了）

--------允许监控（此为默认值就可以了）

在后还有两项：

--------------TCP允许接收的缓冲器大小

--------------TCP允许发出的缓冲器大小

在此以后的文本结构分别为每一个‘任务’的主体部分（可以在“Scenario"->>“EDIT Scenario...”中修改）与简单BANNER内容设置部分（可以在“Scenario"->>"EDIT SIM SERVER..."中修改）。

注意：以上的全为此IDS启动后的默认值，只要你使用ASCII编辑工具修改后并保存，再重新启动KFSENSOR，它就可以按你修改后的配置运行了。