NIDS通過(guò)從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而檢測(cè)和識(shí)別出系統(tǒng)中的未授權(quán)或異常現(xiàn)象。但它也有一定的局限性。

一、交換網(wǎng)絡(luò)環(huán)境

由于共享式HUB可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，將給網(wǎng)絡(luò)安全帶來(lái)極大的威脅，故而現(xiàn)在網(wǎng)絡(luò)，尤其是高速網(wǎng)絡(luò)基本上都采用交換機(jī)，從而給NIDS的網(wǎng)絡(luò)監(jiān)聽(tīng)?zhēng)?lái)麻煩。

1、監(jiān)聽(tīng)端口

現(xiàn)在較好的交換機(jī)都支持監(jiān)聽(tīng)端口，故很多NIDS都連接到監(jiān)聽(tīng)端口上。

通常連接到交換機(jī)時(shí)都是全雙工的，即在100MB的交換機(jī)上雙向流量可能達(dá)到200MB，但監(jiān)聽(tīng)端口的流量最多達(dá)到100MB，從而導(dǎo)致交換機(jī)丟包。

為了節(jié)省交換機(jī)端口，很可能配置為一個(gè)交換機(jī)端口監(jiān)聽(tīng)多個(gè)其它端口，在正常的流量下，監(jiān)聽(tīng)端口能夠全部監(jiān)聽(tīng)，但在受到攻擊的時(shí)候，網(wǎng)絡(luò)流量可能加大，從而使被監(jiān)聽(tīng)的端口流量總和超過(guò)監(jiān)聽(tīng)端口的上限，引起交換機(jī)丟包。

一般的交換機(jī)在負(fù)載較大的時(shí)候，監(jiān)聽(tīng)端口的速度趕不上其它端口的速度，從而導(dǎo)致交換機(jī)丟包。

增加監(jiān)聽(tīng)端口即意味做需要更多的交換機(jī)端口，這可能需要購(gòu)買(mǎi)額外的交換機(jī)，甚至修改網(wǎng)絡(luò)結(jié)構(gòu)(例如原來(lái)在一臺(tái)交換機(jī)上的一個(gè)VLAN現(xiàn)在需要分布到兩臺(tái)交換機(jī)上)。

支持監(jiān)聽(tīng)的交換機(jī)比不支持的交換機(jī)要貴許多，很多網(wǎng)絡(luò)在設(shè)計(jì)時(shí)并沒(méi)有考慮到網(wǎng)絡(luò)監(jiān)聽(tīng)的需求，購(gòu)買(mǎi)的交換機(jī)并不支持網(wǎng)絡(luò)監(jiān)聽(tīng)，或者監(jiān)聽(tīng)性能不好，從而在準(zhǔn)備安裝NIDS的時(shí)候需要更換交換機(jī)。

2、共享式HUB

在需要監(jiān)聽(tīng)的網(wǎng)線中連接一個(gè)共享式HUB，從而實(shí)現(xiàn)監(jiān)聽(tīng)的功能。對(duì)于小公司而言，在公司與Internet之間放置一個(gè)NIDS，是一個(gè)相對(duì)廉價(jià)并且比較容易實(shí)現(xiàn)的方案。

采用HUB，將導(dǎo)致主機(jī)的網(wǎng)絡(luò)連接由全雙工變?yōu)榘腚p工，并且如果NIDS發(fā)送的數(shù)據(jù)通過(guò)此HUB的話，將增加沖突的可能。

3、線纜分流

采用特殊的設(shè)備，直接從網(wǎng)線中拷貝一份相同的數(shù)據(jù)，從一根網(wǎng)線中將拷貝出兩份(每個(gè)方向一份)，連接到支持監(jiān)聽(tīng)的交換機(jī)上，NIDS再連接到此交換機(jī)上。這種方案不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，但需要增加交換機(jī)，價(jià)格不菲，并且面臨與監(jiān)聽(tīng)端口同樣的問(wèn)題。

二、網(wǎng)絡(luò)拓?fù)渚窒?/STRONG>