Libnids（Library Network Intrusion Detection System） .

Libnids（Library Network Intrusion Detection System）是一个网络入侵检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架，并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵检测系统，并可以在此基础上进一步扩展开发。Libnids实现了入侵检测系统的底层功能，使开发者可以专注于高层的功能开发。

Libnids是基于Libpcap和Libnet而开发的，所以它具有Libpcap和Libnet的优点，具有较强的移植性，效率高，使用简单。Libnids是仿造Linux 2.0.x内核中的TCP/IP协议部分而实现的，具有高可靠性，并通过了许多测试。

Libnids的主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组及端口扫描攻击测试和异常数据包测试等。Libnids使用了Libpcap捕获数据包的功能，可以设定过滤规则，指定捕获感兴趣的数据包。IP碎片重组是Libnids的一个重要内容，它是仿照Linux内核中的IP重组而实现的，所以非常可靠。Libnids提供了TCP数据流重组功能，这是Lipcap所不具备的，利用TCP数据流重组，可以分析基于TCP协议的各种应用层协议。另外，Libnids还提供了检测TCP端口扫描攻击的功能，检测异常数据包的功能，这是入侵检测系统（IDS）最基本的功能。

Libnids是Rafal Wojtczuk开发的，对于我目前使用的是在Windows平台下所对应的开发包，Libnids-W32-1.19 版本的，目前应该来说是最新的，http://www.packetstormsecurity.org/UNIX/IDS/Libnids-W32-1.19.tar.gz，这个是下载地址，顺便说句，对于英文的东西，还是觉得Google的技术更好些，百度在这方面，不是他的专长了，险些没有找到下载地址。

Libnids的使用范围

Libnids使用了Libpcap。所以他具有捕获数据包的功能，利用Libnids可以轻松地实现对数据包的捕获，对其进行分析。同时，Libnids提供了TCP数据流重组功能，所以对于分析基于TCP协议的各种协议Libnids都能胜任。Libnids还提供了对IP分片进行重组的功能，以及端口扫描检测和异常数据包检测功能，所以它对于分析网络异常情况也是非常有效的。总结起来，Libnids可以用在以下几个方面。当然，良好的扩展性可以给我们带来更多的惊喜。

一、入侵检测系统

Libnids的设计是作为入侵检测系统的一个部件来设计的，它实现了入侵检测系统中非常基础的功能，如数据包捕获、协议分析接口等。另外，它还专门针对入侵检测系统的特性，实现了TCP数据流重组功能，这对于分析准对TCP协议的各种攻击是很有效的。还有，它已经实现了IP碎片重组功能、对异常数据包的检测功能以及对TCP端口扫描的检测功能。最重要的是，Libnids为入侵检测系统更深入的开发提供了开发接口。因此，开发人员可以更关注于对入侵检测技术的研究，而不用考虑底层的实现细节。

二、网络协议分析

Libnids是在Libpcap的基础上开发的，所以它具备了Libpcap的功能，可以实现各种协议的分析，并在Libpcap的基础上开发了更多的功能，如TCP数据流重组。这样，在利用Libnids分析基于TCP协议的各种协议时，不仅可以分析各种单个TCP数据包，而且可以分析整个TCP连接过程。这对于分析FTP协议，HTTP协议，POP3协议等基于TCP的应用层协议是非常有帮助的。

三、网络嗅探

网络嗅探也成网络监视，主要是指检测网络信息，查看网络内容。针对不同的目的，有各种各样的故障，它可以利用网络嗅探技术来实现。对于网络非法攻击者来说，为了获得敏感信息，他也可以利用网络嗅探技术来获取他所需要的内容，如，密码、用户、帐号等。后面，读者将可以看到，利用Libnids可以轻松获取很多协议传输的用户和密码。所以说，Libnids是一把双刃剑。除此之外，利用Libnids还可以重现网络内容，还原网络数据，如重现HTTP协议中传输的网页，POP3协议中传输的电子邮件等。

---

我们要用它在Windows下开发，同样需要注意的就是要设置好我们需要的Include和Lib库了，大概需要Libnids.lib Wpcap.lib wsock32.lib