七、报头值关键元素小结，信息包种类检查分析

　　从上面讨论的例子中，我们看到了可用于创建IDS特征的多种报头值信息。通常，最有可能用于生成报头相关特征的元素为以下几种：

　　IP地址，特别保留地址、非路由地址、广播地址。

　　不应被使用的端口号，特别是众所周知的协议端口号和木马端口号。

　　异常信息包片断。

　　特殊TCP标志组合值。
相关文章链接
"网管知识 网吧的技术漏洞应如何封杀？
网络安全管理走出十字路口

　　不应该经常出现的ICMP字节或代码。　

　　知道了如何使用基于报头的特征数据，接下来要确定的是检查何种信息包。确定的标准依然是根据实际需求而定。因为ICMP和UDP信息包是无状态的，所以大多数情况下，需要对它们的每一个“属下”都进行检查。而TCP信息包是有连接状态的，因此有时候可以只检查连接中的第一个信息包。例如，象IP地址和端口这样的特征将在连接的所有数据包中保持不变，只对它们检查一次就可放心。其他特征如TCP标志会在对话过程的不同数据包中有所不同，如果要查找特殊的标志组合值，就需要对每一个数据包进行检查。检查的数量越多，消耗的资源和时间也就越多。

　　另外我们还要了解一点：关注TCP、UDP或者ICMP的报头信息要比关注DNS报头信息更方便。因为TCP、UDP以及ICMP都属于IP协议，它们的报头信息和载荷信息都位于IP数据包的payload部分，比如要获取TCP报头数值，首先解析IP报头，然后就可以判断出这个载荷的“父亲”是TCP。而象DNS这样的协议，它又包含在UDP和TCP数据包的载荷中，如果要获取DNS的信息，就必须深入2层才能看到真面目。而且，解析此类协议还需要更多更复杂的编程代码，完全不如TCP等简单。实际上，这个解析操作也正是区分不同协议的关键所在，评价IDS系统的好坏也体现在是否能够很好地分析更多的协议。

　　八、结语

　　本文对如何定制IDS的关键部件特征数据库做了详细地介绍，相信你已经对此有了进一步的认识。入侵者总是狡猾多变的，我们不能让手中的钢刀有刃无光，要经常地磨砺它、改装它，才可能以万变应万变，让入侵者胆战心惊！

 更多天网防火墙使用技巧和教程 点击进入天网防火墙软件门户
使用中出现问题不知道怎么解决？去天网防火墙软件社区 求助吧