2.2.1.Chức năng của sensor
2.2.1.1.Sensors nền mạng
Sensor nền mạng là chương trình hoặc thiết bị mạng (thiết bị vật lý) nó thực hiện bắt gói tin đi ngang qua Ethernet cục bộ hoặc token ring hoặc điểm chuyển mạch mạng. Một trong những lợi thế nhất của sensor nền mạng là số host mà chúng cung cấp dữ liệu. Trường hợp cuối cùng, một sensor có thể giám sát tất cả các traffic đi vào hoặc đi ra khỏi mạng. Nếu như một mạng có hàng ngàn host, sensor này có thể dữ liệu bất bình thường. Cách tiếp cận này sinh lợi nhuận rất lớn. Hơn nữa, nếu cấu hình hợp lý, sensor không phải là gánh nặng của mạng, đặc biệt nếu có 2 giao diện mạng- một để giám sát và một để quản lý. Giao diện giám sát không có bất cứ stack TCP/IP, nó không có bất kỳ liên kết tới bất kỳ địa chỉ IP, cả hai tạo nên một thực thể hoàn toàn trong suốt trên mạng.
Chương trình mà IDS sử dụng như sensor là tcpdump và libpcap. Nói tóm lại, tcpdump (www.tcpdump.org) bắt gói tin và in header gói tin và thực hiện so
sánh biểu thức cụ thể. Những tham số gói tin rất có tác dụng trong việc phát hiện xâm nhập như thời gian, địa chỉ nguồn địa chỉ đích, port nguồn port đích, TCP flags, số sequence ban đầu từ IP nguồn khởi đầu kết nối, số sequence kết thúc kết nối, số byte và kích thước window.
Libpcap là thư viện được gọi bởi ứng dụng. Libpcap(
http://sourceforge.net/projects/libpcap ) tạo ra để bắt gói tin từ nhân của hệ điều hành và gửi chúng tới một hoặc một số ứng dụng- trong trường hợp này là tới ứng dụng phát hiện xâm nhập. Ví dụ card Ethernet có thể bắt gói tin.
Một số sensor khác cũng được sử dụng. Ví dụ một số nhà cung cấp IDS phát triển sensor mang tính độc quyền của riêng họ. Những sensor này có nhiều chức năng hơn tcpdump và libpcap có.