snort和scapy以及hping

snort
这是一个很好的开源的入侵检测软件，基于libpcap，可以步在路由器，可以步在交换机镜像旁路，也可以步在自己的linux机器上，配制简单，策略丰富，在非加密链路上，甚至可以实现七层内容监控。最简单的学习方式就是阅读它自带的rule，比如最简单的/etc/snort/rules/icmp.rules，它的第一策略行是：
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"...
之后我相信你肯定会找HOME_NET以及EXTERNAL_NET这两个环境变量是怎么回事...或者，对于实用主义者来讲，直接在最上面加一行：
alert ip any any -> any any (msg:"ICMP ISS Pinger";)  (vi中yy一行然后p上即可，修改掉所有环境变量，改成any，把icmp改成ip)
然后启动snort，一会就会发现/var/log/snort/alert文件爆满了...当你删除了爆满文件之后，你肯定就要想办法不让它爆满了，如何做呢？学习规则的格式以及写法，监控你真正需要的，过滤掉不需要的，当你完成这些，那你就是snort高手了。
scapy
对于想自己构造数据包并且仅仅抱着玩的态度的人来说，scapy是比hping更好的选择，它基于python，这就是说它的语法和python一致，可以自己写python函数来定义包，但是这也决定了它很慢，只能玩，或者作一些一次性的事，比如arp-mac欺骗。以下的命令行发送了一个自己定义的udp包：
sr(IP(src="11.22.33.44", dst="192.168.188.248", flags=0, frag=0, proto=17)/UDP(sport=1111, dport=2222, len=123))
sr是什么？src，frag，dport等字段为何是这种名字而不是别的呢？首先shell下敲入scapy：
Welcome to Scapy (0.9.17.1beta)
>>>
接着，很显然，敲入help()，没有得到什么信息，通过man之后，敲入ls()，ls(IP)，ls(UDP)...lsc()，lsc(sr)...一切都是python的东西。接下来scapy就没有什么难理解的了，只剩下乐趣了。也许你可以在局域网发一个：
sendp(Ether(dst=tmac)/ARP(op="who-has", psrc=你想截获的IP, pdst=target))
好玩吗？需要注意的事，mac欺骗并不是那么好做的，你可以试图将目的地址为其它主机的包骗到你的机器，但是常规的协议栈还是会丢弃或者转发的，数据包根本就到不了用户态，怎么办呢？还是靠抓包，比如依靠tcpdump或者ethereal等工具，或者，真正的猛士可以自己修改协议栈，将自己的协议栈也欺骗掉。
hping

...