局域网ip端口状态检测工具,如何检查服务器是否被入侵?

局域网ip端口状态检测工具，如何检查服务器是否被入侵？

检查服务器是否被入侵，如果有资金投入，可以上专业的入侵检测设备IDS。但题主既然拿到这里问，应该是不想投入资金来解决。事实上，不花钱也可以有两种办法来检查。

1、用人工+纯技术（不推荐）

这种方法说白了还是靠技术工程师。技术工程师对安全理解有多深就能检查到多深。如果技术工程师，只是照搬照抄网络上几个命令去检查，基本没有什么用。因为现在的入侵已经不是10年前的入侵了。轻易留下痕迹的入侵是失败的入侵。

大量的服务器入侵都是隐藏在正常的访问当中，或者病毒、木马、甚至黑客攻击当中。它们隐藏的更深，它们入侵的目的很多都不是为了破坏机器，而是为了获取重要数据。所以，人工是很难发现它的。就算你是高手，等你发现时，入侵基本已经完成。数据已经被盗走。你说还有什么意义吗？所以，强烈不推荐这种方法。

2、免费开源IDS自动检测

如今的入侵行为要想被第一时间发现，必须在服务器的入口，也就是网络上部署一套IDS自动化进行入侵检测，它会自动分析所有通过网络的数据包，自动进行协议分析。一旦，发现可疑的数据行为。立即报警。哪些人工无法快速完成的繁杂的分析，对它来说瞬间即可完成。这才对现在有效入侵的检测方式。

如今，不用花钱的开源IDS系统。互联网上非常多。比如：Snort、Prelude IDS、Firestorm等等。这里我就以“snort”来简单介绍一下如何来部署一套开源IDS。

①、Snort入侵检测原理

从技术上原理上讲，Snort是一个基于特征检测的网络入侵检测系统。检测原理如下：

首先，要定义不符合安全策略的事件的特征。这些定义特征值的合集就成为一个安全特征库。sonrt自带有广大安全开发者定义的规则库，专业人士，也可以自己定义规则库。

其次，网络收集所有进入网络的数据包，然后对数据包进行分析，并和安全特征库进行比对。如果出现相应的特征值，则该数据包被认为是可疑入侵。

随后，然后对可疑入侵行为进行集中报警，同时记录下日志。我们就可以第一时间发现入侵行为。接下来，我们就可以去阻断入侵。

Snort 入侵检测的功能非常强大，而且是一个轻量级的检测引擎。

②、Snort安装步骤

第一步：环境准备（以windows为例）

我们得准备一台服务器。安装上windows操作系统。

到互联网下载Snort的最新windows 安装包。

第二步：开始安装程序

按照setup程序向导，一步一步往下安装即可。安装位置我们可以自由选择，默认安装在c:\snort\下。安装到末尾，要求我们安装抓包工具winpcap。这个必须安装上去。

第三步：安装规则库

首先，我们先去snort官方网站下载规则库。这里必须先注册成为会员才能下载规则库。

下载完成后，将下载的最新规则库，进行解压。并将解压后都文件替换掉安装文件夹内的旧规则库。这样规则库就安装成功了

③、配置snort

配置snort主要通过编辑配置文件

snort.conf

。改文件在安装目录下的etc\

snort.conf

。编辑工具尽量用notepad++，比较方便。

在文件中修改配置如下：var rule_path---c:\snort\rulesvar so_rule_path---c:\snort\so_rulesvar preproc_rule_path---c:\snort\preproc_rules。dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\

sf_dcerpc.dll

dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_dns.dll dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\

sf_ftptelnet.dll

dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dlloutput alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT 

配置完这些，系统就可以运行了。

④、运行snort

系统运行需要在windows的命令行来启动。我们通过cmd命令打开cmd命令窗口。通过CD命令切换到c:\snort\bin\目录下。在该目录下执行

snort -v -i1总结

在安全发展飞快的今天，我们需要通过自动化安全工具来帮助检测服务器是否被入侵。

以上推荐的snort就是一款非常好用的开源网络入侵检测工具。如果对你有所帮助，希望实际使用参考文档，可以登录snort官网去仔细查看。以上是我的粗浅认识，希望能够帮到你。

我是数智风，用经验回答问题，欢迎关注评论

如何快速找到局域网中影响网速的机器？

如果确定了局域网不存在网络回环等其他问题，那么大概率就是某台机器在线看视频或者进行下载抢占带宽，占用了大量网络资源。在这里我提供两种不依赖登录交换机或者路由器，查找影响局域网速主机的方法：

windows下使用“聚生网管”

“聚生网管”一款老牌的局域网管理工具，以前我经常推荐给朋友使用，尤其是在群租房里大家共用宽带的时候，总是有些人全天24小时P2P下载占用带宽，我就用这款软件来解决这种问题。下载安装完成之后选择使用的网卡开始监控：

然后就可以看到监控界面，此时就能够发现流量异常的主机，如果它的下行速度非常快的话基本上就能确定是他有问题了：

然后可以使用右键点击相关的主机，进入限制策略编辑，选择限制的功能。

Linux下使用ettercap

ettercap是一款可以进行局域网嗅探的程序，Kali Linux自带，其他系统需要手动安装，我用的是Manjaro，使用yay包管理器可以直接安装。在这里我安装的是带有GUI图形界面的ettercap-gtk。

yay -S ettercap-gtk

安装之后就可以使用ettercap-gtk进行局域网的主机监控了，运行时需要root权限。

首先在终端里运行：

sudo ettercap -G

启动之后选择Sniff→Unified sniffing，再选择当前使用的网卡接口，我这里是enp2s0，其他系统可以使用ipconfig查看网络接口：

然后选择Host list显示出当前局域网的主机列表：

在这里我发现主机列表肯定是不对的，所以要进行一下扫描，选择Hosts→Scan for hosts：

经过一番扫描之后，可以看到当前我的局域网上所有的主机了，再选择View→Connections查看当前这些主机的所有连接情况：

点击最右边一栏的RX Bytes对数据进行排序，下载流量最高的主机排在最前面(这里是我自己)：

到这里就可以知道局域网内的哪台主机在疯狂下载了。

总结一下：聚生网管最新的版本是2016版的，因为我现在手头没有windows系统无法确认是否对win10兼容，所以我不太确定windows的方案还能不能用。但这个ettercap是可以用的，并且带了很多攻击插件可以用来限制上网，更多的功能留给朋友们自己去发掘吧。

如果我的回答对你有点价值，请莫忘点赞加关注，谢谢！

欢迎在评论区发表看法。

自适应接口是什么意思？

路由器上的WAN/LAN接口，也叫做WAN/LAN自适应接口，它属于RJ45接口（网线接口）。

可以将其他网络设备（电脑、电视机、交换机、光猫等）用网线连接到路由器上的WAN/LAN接口。路由器会自动把连接光猫、宽带网线的接口作为WAN接口（外网接口），把剩余的接口作为LAN接口（局域网接口）。

怎么知道自己电脑的端口是多少？

首先，我们需要了解什么是端口。在网络通信中，端口是一块逻辑地址，用于标识一台计算机中某个特定应用程序的通信通道。

每个应用程序都有指定的端口号，用以区分不同的通信连接。一般来说，端口号是16位整数，取值范围是0~65535。那么我们如何知道自己电脑的端口号呢？这里提供两种方法。

第一种方法是通过“命令提示符”来查找。首先，打开“命令提示符”窗口，输入“netstat -ano”命令，回车后会显示正在进行的网络连接状态以及端口号。

我们可以根据端口号和PID（进程标识符）来判断是哪个程序在使用哪个端口。第二种方法是通过“资源监视器”来查找。

打开任务管理器，在“性能”选项卡中选择“资源监视器”按钮，再在“网络”选项卡中找到“TCP/IP”。

这里我们可以看到每个正在使用的端口号及其对应的应用程序名称和PID。综上，了解了什么是端口以及两种查找端口号的方法，我们就能轻松知道自己电脑的端口号了。

什么是内网接口？

内网接口主要是用于路由器与局域网进行连接，因局域网类型也是多种多样的，所以这也就决定了路由器的局域网接口类型也可能是多样的。不同的网络设备有不同的接口类型，常见的以太网接口主要有AUI、BNC和RJ-45接口，还有FDDI、ATM、光纤接口，这些网络都有相应的网络接口。