2、 多个高速网段的同时监控
目前双网卡探测技术仅仅适用于非常低带宽的网络环境(例如:ISS公司在其Realsecure 的最新版本的系统需求手册中明确指出:支持在一台主机上安装两个其network_sensor,但只允许在带宽非常低的网络;安装三块网卡和三个network_sensor监控三个网络也可以,但我们不支持这种安装和维护服务。)。也就是说在现在通用的硬件架构和的条件下,当两块网卡同时抓包并进行分析的时候,其消耗的系统资源远远大于用一块网卡来分析两块网卡的合流量。尤其在高速网络(千兆)中应用,其性能影响更为明显。当然,如果基于RISC的结构,并将抓包和协议分析的技术在专用的硬件芯片中实现,应该是有一定程度的提高。遗憾的是目前国际、国内的厂商都没有实现,原因是芯片技术有技术壁垒和垄断,单独开发其成本必然很高。
所以可以相信要实现双网卡探测正常流量下工作,这还是有很长的路要走。现在多个高速网段的同时监控,如果不指明其适用环境,不能不说是对用户的欺骗。
3、 监控的最大TCP连接数
TCP最大连接数原本是的一个指标,现在被某些厂商引入做为一个的指标,并通过其大小来比拼产品优势。最新的一个数据是,某产品在千兆的白皮书中声称的最大TCP连接数是50万。
支持的TCP连接数的多少主要不在于程序的实现上的差别,可以简单修改配置。影响其数量主要在于系统内存的大小。计算方法是:
最大连接数 × 每连接使用的缓冲区大小 = 内存占用
比如:如果我们每一个连接使用4k的缓冲区进行处理,那么维持10000个的tcp连接数意味着最大连接情况下的内存占用是4k*10000=40M
如何提高连接数的方法有两种:提高内存容量是一种很容易理解的方法。假如说内存占用数不变的情况下,我们可以通过减少每连接使用的缓冲区的大小,来提高最大连接数。(如果是600M内存空间,我们将缓冲区大小减少为0.5k,那么最大连接数可以到1200k)。但是如果每连接使用的缓冲区太小,会影响检测的准确程度,导致漏报,所以一般2k、4k是相对合理的大小。
用TCP最大连接数多少来比较两个ids系统的能力,也是一种谎言吧!
4、 检测规则升级
现在防病毒产品的升级周期基本上是每周一次,而有些厂商也基本和防病毒升级保持了同步。在细看看其检测规则,原来是使用snort的规则。大家都知道snort规则是免费发布的,只要有时间从网上去下载就可以了,根本不需要投入专门的人力去分析研究。由此,数量是有保证的,升级也是有保证的。但是snort本身只是一个轻量级的系统,又如何指望能够在高速网上使用呢?
5、 网络内容实时回放
有一部分厂商主要功能是把HTTP、FTP以及邮件信息全部给抓下来,管理员可以随时看别人网上信息的内容。这一项功能对某些用户是十分有诱惑力的。但是,本身是对网络信息进行检测,发现其中包含的入侵行为和违规行为上报。而对于上网、邮件发送通常是正常行为,把这些信息完整回放出来未免是有侵犯隐私权和泄密的可能。同时,由于网上信息也大部分是这种正常行为,记录这些信息会消耗大量资源,降低性能,在高速IDS上如果也采用这种回放无疑是灾难性的。 入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测入侵检测防火墙入侵检测操作系统
千兆IDS中的亮点与谎言
0
相关文章
关注我们
