网络分析专家 netexpert » 安全分析 » 分享一下我自己开发的入侵检测+Sniffer软件

easyspy 发表于 2009-12-4 11:06

分享一下我自己开发的入侵检测+Sniffer软件

1. 支持基于统计值事件（也就是告警），比如定义下面这个事件（也就是告警）就是定义了网络里FTP的带宽超过了10kpbs并且持续了5秒，就会发出一个告警：
[img]http://easyspy.net/images/ftp_alarm.png[/img]

2. 支持基于Packet的事件（也就是告警），比如下面这个事件就是当网络中某个数据包中存在"X5O!P%@AP[4\PZX54(P^)7"这样的特征码并且有个方向的端口为5678时就会触发这个告警。
[img]http://easyspy.net/images/packet_alarm.png[/img]

3. 另外一个最大的特点：支持自定义特征来识别应用层协议，这就让你不仅局限于只根据端口来识别应用层协议

下载地址：
[url=http://easyspy.net]http://easyspy.net[/url]

反斗神鹰 发表于 2009-12-22 22:53

:victory: :victory:

alexhj 发表于 2009-12-23 09:08

我试试看看

Vader 发表于 2009-12-24 00:51

看上去很不错 :D

usertest 发表于 2009-12-24 09:08

很棒的东西，谢谢楼主。
可惜Winpcap不支持Win7，所以在Win7下用不了它。

Vader 发表于 2009-12-24 10:43

win7下是winpcap 4.1 ，可以用的，偶就是windows 7

usertest 发表于 2009-12-24 13:06

回复 6# Vader 的帖子

谢谢提醒，俺去试试。

usertest 发表于 2009-12-24 13:12

回复 6# Vader 的帖子

俺装了4.1.1，果然可以使用，太好了，再次感谢！

win_study 发表于 2009-12-25 17:23

感觉相当不错。

win_study 发表于 2009-12-26 08:53

现在发布的是beta版本？有功能限制？
觉得从使用习惯上考虑，后续版本能不能稍作更改？
1.monitor无法“暂停”，并保留长时间段监控到的数据或图表，网络的长时间采样或基准**更利用网络健康状况的分析。
2.“抓包选项”下“抓包期间停止监控”选项不起作用。
3.抓包“停止”后能不能直接打开最后一个“easyspy_*.pcap”文件，或直接进入当前缓存文件的分析状态。

czljim 发表于 2010-1-8 15:36

呵呵 WIN7 下要去關網下 早就出來了。。。

easyspy 发表于 2010-2-1 14:51

[quote]原帖由 [i]win_study[/i] 于 2009-12-26 08:53 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=161305&ptid=25704][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
现在发布的是beta版本？有功能限制？
觉得从使用习惯上考虑，后续版本能不能稍作更改？
1.monitor无法“暂停”，并保留长时间段监控到的数据或图表，网络的长时间采样或基准**更利用网络健康状况的分析。
2.“抓包 ... [/quote]

感谢反馈，我们会认真考虑您的宝贵建议。

loori 发表于 2010-2-12 21:55

跟omnipeek蛮像的，呵呵

翔宇天空 发表于 2010-2-14 21:06

真的不错，能不能交个朋友。向你学习一下。

fqtyfz 发表于 2010-2-22 09:32

C写的？

protostar 发表于 2010-2-23 22:17

支持一下，待会下载下来看看，不知道能否受得了大流量的考验。

xinshouqiujiao 发表于 2010-4-15 23:41

留下一个脚印 等学成了回来取

laoqin518 发表于 2010-4-18 13:31

好东西，先试试！

martellin 发表于 2010-4-19 15:47

支持！

查看完整版本: 分享一下我自己开发的入侵检测+Sniffer软件