【正文】 WINDOWS的 DOS模式下 輸入 ping 這里輸入對(duì)方的網(wǎng)頁(yè)地址或者 IP,如果再加上 t參數(shù)則為無(wú)限循環(huán)的 PING。 ping t 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 入侵檢測(cè)的定義 ?對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ?進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) ?IDS : Intrusion Detection System 五、入侵檢測(cè) IDS基本結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件 （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信息收集 ? 入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為 ? 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息 ? 盡可能擴(kuò)大檢測(cè)范圍 ? 從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn) 信息收集 ? 入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性 ? 要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性 ? 特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集的來(lái)源 ? 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 網(wǎng)絡(luò)流量 ? 系統(tǒng)目錄和文件的異常變化 ? 程序執(zhí)行中的異常行為 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件 ? 日志文件中記錄了各種行為類(lèi)型，每種類(lèi)型又包含不同的信息，例如記錄“用戶(hù)活動(dòng)”類(lèi)型的日志，就包含登錄、用戶(hù) ID改變、用戶(hù)對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容 ? 顯然，對(duì)用戶(hù)活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等 系統(tǒng)目錄和文件的異常變化 ? 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo) ? 目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào) ? 入侵者經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析 信息分析 ? 模式匹配 ? 統(tǒng)計(jì)分析 ? 完整性分析，往往用于事后分析 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為 ? 一般來(lái)講，一種攻擊模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化） 統(tǒng)計(jì)分析 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等） ? 測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生 完整性分析 ? 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓? ? 這經(jīng)常包括文件和目錄的內(nèi)容及屬性 ? 在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效 結(jié)果處理 入侵檢測(cè)性能關(guān)鍵參數(shù) ? 誤報(bào) (false positive)： 如果系統(tǒng)錯(cuò)誤地將異?；顒?dòng)定義為入侵 ? 漏報(bào) (false negative)： 如果系統(tǒng)未能檢測(cè)出真正的入侵行為 六 、 入侵檢測(cè)的分類(lèi) ? 按照數(shù)據(jù)來(lái)源： ? 基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī) ? 基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行 ? 混合型 入侵檢測(cè)產(chǎn)品特點(diǎn)： 1） 記錄盡可能多的 “ 攻擊特征 ” ， 并經(jīng)常更新以檢測(cè)新的威脅 。 2） 給出盡可能詳盡的檢測(cè)信息 ， 并使這些信息能夠完全為網(wǎng)絡(luò)管理員所理解 。 3） 盡可能自動(dòng)對(duì)威脅做出回應(yīng) ， 能通過(guò)指示網(wǎng)絡(luò)設(shè)備在發(fā)生安全問(wèn)題時(shí)如何動(dòng)作 。 4） 盡可能減少產(chǎn)品副作用 。 網(wǎng)絡(luò)安全 入侵檢測(cè)產(chǎn)品分類(lèi)： 第一類(lèi)：對(duì)網(wǎng)絡(luò)或主機(jī)上安全漏洞進(jìn)行掃描的脆弱性評(píng)估工具 。 第二類(lèi)：為查找非授權(quán)使用網(wǎng)絡(luò)或主機(jī)系統(tǒng)企圖的產(chǎn)品 。 后一類(lèi)產(chǎn)品使用代理程序 ， 這類(lèi)代理程序可以根據(jù)它們所識(shí)別的攻擊特征來(lái)識(shí)別遇到的問(wèn)題 。 而且 ， 新的版本可以識(shí)別可疑的活動(dòng)模式 （ 采用人工智能判別 ， 而非具體的攻擊特征的異?，F(xiàn)象 ） 來(lái)確定可疑的活動(dòng) 。 網(wǎng)絡(luò)安全 入侵檢測(cè)工具： Haxor （ IBM） NetRanger（ Cisco） SessionWall3 （ Computer Associates ） CyberCop Scanner（ Network Associates） NukeNabber 網(wǎng)絡(luò)安全 入侵檢測(cè)工具成為今天安全管理員武器庫(kù)的一個(gè)可行的選擇 。黑客行為數(shù)量正在不斷增加 ， 入侵檢測(cè)工具能夠使用戶(hù)看到這個(gè)“ 魔鬼 ” 。 盡管這些產(chǎn)品尚顯幼稚 ， 但這已經(jīng)是一個(gè)有價(jià)值的貢獻(xiàn)了 。 網(wǎng)絡(luò)安全 選擇入侵檢測(cè)方式： 1） 基于主機(jī)系統(tǒng) 代理軟件被安裝在一臺(tái)被監(jiān)控的服務(wù)器上 ， 代理軟件跟蹤記錄這臺(tái)服務(wù)器上的非授權(quán)訪問(wèn)企圖或其它惡意行為 。 2） 基于網(wǎng)絡(luò) 代理軟件被安裝在局域網(wǎng)網(wǎng)段或防火墻后來(lái)監(jiān)視和分析網(wǎng)絡(luò)傳輸流 。 網(wǎng)絡(luò)安全 監(jiān)視入侵端口 網(wǎng)絡(luò)上的通訊都是通過(guò)端口通訊的 ， 不同的端口作用不同 。 使用瀏覽器查看網(wǎng)頁(yè) ， 是通過(guò) 80端口 ， 在 IRC中聊天是通過(guò) 6667端口 。 而類(lèi)似于 NETSPY等特洛依木馬軟件 ， 則通過(guò)7306或者其他端口進(jìn)行通信 ， 泄露資料 。 如果用軟件監(jiān)視 7306等相應(yīng)端口 ， 就可以監(jiān)視網(wǎng)絡(luò)黑客的入侵 。 （ 例如 NukeNabber軟件可設(shè)定監(jiān)視 7306端口 ， 如果有人掃描該端口或試圖進(jìn)入你的 7306端口 ， 就會(huì)發(fā)出手警告 ， 同時(shí)提示攻擊者的地址 ） 網(wǎng)絡(luò)安全 現(xiàn)在網(wǎng)絡(luò)上的特洛依木馬軟件很多 ， 所以要監(jiān)視的端口也很多 ， 下面是一些常用入侵端口 ， 需要監(jiān)視 。 7306 spy 7307 newspy 7308 newspy 12345 bus 6680 8111 9910 新版 bus 31337 bo 請(qǐng)?zhí)貏e注意；如果軟件告知某個(gè)端口不能被監(jiān)視 ， 說(shuō)明該端口已被其他程序占據(jù) ， 很可能就是黑客程序 ， 應(yīng)想法將它刪除 ！ 網(wǎng)絡(luò)安全 監(jiān)視系統(tǒng)線程 由于特洛依木馬程序的端口可任意改變 ，就產(chǎn)生了很多黑客程序變種 。 此時(shí) ， 要監(jiān)視所有端口就比較困難 。 在這種情況下 ， 就需要監(jiān)視操作系統(tǒng)的線程 。 也就是說(shuō) ， 看看電腦目前有 多 少 端 口 在 通 訊 。 可 以 用 檢 測(cè)