TWIDS可依據snort規則過濾本機封包,同時監控封包傳輸頻率,因此您可自行設計snort語法的過濾規則來保護您的電腦。 1. 防護本機電腦,避免成為DoS或Spam的攻擊機。預設下列兩項規則置入TWIDS.rules內: 2. 監控您的電腦是否對外提供服務 (找出暗地提供服務的木馬程式)。預設下列規則置入TWIDS.rules內:
3. 作為實體防火牆過濾及阻擋功能:Action由alert改為drop: 4. 找出本機異常網路封包傳輸 / 限定特定網路服務伺服器:
5.作為個人電腦網路傳輸的鑑識工具: 6.管制電腦網頁登入或不當網頁瀏覽:
效能實測
此外,我們將固定不變的過濾規則置於TWIDS.rules檔案內。 一旦規則檔案修改後,在一分鐘內,軟體會自動解譯讓TWIDS引擎進行過濾動作。 軟體過濾引擎主要依據 C:\TWIDS 目錄內的 TWIDS.ini 組態設定檔做為主要的功能設定。 如果您有接觸過Snort規則語法,可以自行參考或修改TWIDS.var的變數定義。 軟體在即時封包過濾的運作過程中,會將符合過濾規則的部份記錄於Logs目錄的Events-日期.txt 內, 而TWIDS引擎本身在編譯與執行時也會產差XSSrv.txt的日誌檔案,這個檔案僅供除錯參考。
|