攻击前:

　　大多数公司都会努力采取积极的预防措施来阻止网络入侵，但是入侵还是会发生，还是会造成损失。而且，如果对手花费大量时间并拥有相当的技术知识，如果他们工作努力的话，同样还是可以进入您的网络。如前所述，大多数网络入侵是从受信任的网络中发起的，这使得攻击可以完全避开防火墙。大多数公司都利用一个基于网络的入侵检测系统，该系统是一个分布式的探测器，可以监视内部网段并查询未授权的通讯或请求。

　　“入侵检测”是一种网络安全，如其名所示，可以检测、识别以及隔离各种试图入侵或非法、不适当使用计算机的行为。攻击一般通过外部网络连接或在被攻击组织的内部发起。目标系统通常是服务器或工作站系统，但是攻击者也有可能瞄准网络设备，比如集线器、路由器以及交换机。

　　网络入侵检测系统（NIDS）可以帮助您识别入侵是否正在发生。它可以检测、监视并记录潜在的安全漏洞。目前，网络IDS产品通常采用比较流行的被动方法，通过监视网络中的通讯，生成一个协议分析报告来收集数据。一个IDS负责监视某一个特定网段的通讯。它可以获得该网段通讯的副本，从而通过“监听混杂模式”或查看流经网络接口卡的每一个信息包来进行检查。它可以检查这些信息包，可以通过将这些信息包与已知的攻击特征进行对比来判断入侵是否发生。IDS可以通过检查信息包中是否包含已知攻击模式的特征标记，也就是说，信息包中所包含的一串字符是否与特定模式相匹配，或者通过设定已知攻击类型的规则来进行判断。

　　尽管网络入侵检测系统很有用也值得推荐，但它并非不会出错，因此您不能被这种虚假的安全感所蒙蔽。目前一些已经公布的可以避开NIDS系统的技术（嵌入、规避以及拒绝服务：躲开网络入侵检测， Thomas H. Ptacek, Secure Networks, 第1-63页，1998年1月），已经早已被那些内外部的高级黑客所利用了。而且，目前还没有 NIDS产品可以灵活到能够完全应对当今大型网络所采用的高速和大量分布式拓扑结构。而这正是Sniffer Technologies和Sniffer Distributed产品系列能够弥补传统技术缺陷的地方。Sniffer Distributed不应该被视为NIDS的替代品，而是对现有NIDS的有益补充。在本文的后半部分，我们会有一个章节来专门讨论NIDS与Sniffer Distributed的不同，从而使您可以了解如何使用Sniffer产品来增强目前已经配置的技术。