【正文】 nux 下的實現(xiàn) 第 18 頁 共 2 1 頁 在 linux( 內(nèi)核 )中有以下處理 :當發(fā)現(xiàn)有位置重合時（ offset2end1） ,將offset 向后調(diào)到 end1（ offset2=end1） , 然后更改 len2 的值： len2=end2offset2。 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 17 頁 共 2 1 頁 檢測：如果在網(wǎng)絡內(nèi)檢測到目標地址為廣播地址的 icmp 包。攻擊者可假冒服務器端無法連接的地址向其發(fā)出 SYN，服務器向這個假的 IP 發(fā)回 SYN/ACK，但由于沒有 ACK 發(fā)回來，服務器只能等TIMEOUT。 nmap 向端口發(fā)出只有 FIN標記的 TCP 數(shù)據(jù)包 . ： 描述：包括端口掃描和 icmp sweep，入侵者在攻擊之前往往用此種辦法收集遠端系統(tǒng)的信息。 nmap 和 queso 等工具均可通過發(fā)送各種異常的數(shù)據(jù)包，并通過觀察系統(tǒng)的不同反映來準確的鑒定遠端的操作系統(tǒng)類型。 已知的有漏洞的 cgi 程序非常多，如 ， phf,glimpse,handler, htmlscript,icat,info2 ， nphtestcgi,pfdispaly,phf,php, testcgi,webdist,webgais,websendmail 等。 routing 描述： IP 選項（ IP option）中有源路由功能，由發(fā)送方指定傳輸路徑，但這種功能除進行調(diào)試外，幾乎沒有任何實際應用。 描述：向 139 端口發(fā)出帶有 OOB 標志（ tcp urgent）的數(shù)據(jù)包 ,早期的 95 ，及 NT（如果沒有相應的補?。⒓串敊C。同時，正如本文一開始便提到的，網(wǎng)絡安全需要縱深的、多樣的防護。 ，同時更快的網(wǎng)絡使數(shù)據(jù)的實時分析越發(fā)困難。參考文獻 [1]中提到了若干種逃避 IDS 檢測的辦法，這種現(xiàn)象存在的主要原因是： IDS 必須清楚的了解所有操作系統(tǒng)網(wǎng)絡協(xié)議的運作情況 ，甚至細節(jié)，才能準確的進行分析，否則 [1]中提到的 insertion,evasion 的問題便無法解決。若對 IDS 攻擊成功，則直接導致其報警失靈，入侵者在其后所作的行為將無法被記錄。但是，不恰當?shù)姆磻苋菀讕硇碌膯栴}，一個典型的例子便是：攻擊者假冒大量不同的 IP進行模擬攻擊，而 IDS 系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊（ DOS）。 入侵檢測系統(tǒng)是一項新生事物，隨著技術水平的上升和對新攻擊的識別的增加，IDS需要不斷的升級才能保證網(wǎng)絡的安全性，而不同 廠家之間的產(chǎn)品在升級周期、升級手段上均有很大差別。可以想見，隨著網(wǎng)絡流量的進一步加大（許多大型ICP 目前都有數(shù)百兆的帶寬），對 IDS 將提出更大的挑戰(zhàn)，在 PC 機上運行純軟件系統(tǒng)的方式需要突破。 IDS要能有所定制以更適應多樣的環(huán)境要求。還有許多系統(tǒng)通過 VPN（虛擬專用網(wǎng)）進行網(wǎng)絡之間 的互聯(lián)，如果 IDS 不了解其所用的隧道機制，會出現(xiàn)大量的誤報和漏報。 IDS 必須不斷跟蹤最新的安全技術，才能不致被攻擊者遠遠超越。 第四章 存在的問題 盡管有眾多的商業(yè)產(chǎn)品出現(xiàn)，與諸如防火墻等技術高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當多的問題。 IDS 的測試還沒有客觀的標準。但 IAP 設計的過于復雜，且是否會成為標準尚不明朗，所以 暫時可能先設計一個簡單點的協(xié)議來實現(xiàn)加密和驗證。 （ 4）磁盤定額：對日志過大以后的情況尚沒有人為規(guī)定，不過目前可以用 linux自身的 quato 功能實現(xiàn)（寫滿一定磁盤定額后覆蓋）。 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 12 頁 共 2 1 頁 未完成部分 此章所描述的功能與最終理想的程序有所出入（主要是由于時間關系有些部分尚未完成），具體差別有： （ 1）無法靈活的升級：所有的入侵檢測部分都以編譯后的程序的形式提供（可以高效處理 ,但同時失去了靈活性）用戶必須完全或部分更新原有程序才能實現(xiàn)升級。下面是一個例子： Feb_27_20:30:31 agent01 Feb_27_20:31:07 web_server agent02 在設計日志格式時我曾經(jīng)考慮過許多方案，主要是想分出更多的項，如記錄兩端的端口信息，加入可信度和計數(shù)，這樣在以后可以很方便的排序和查找，但最終還是采用了這種簡單的格式。當然也可以采用 windows 應用程序。此時的文件為用戶可讀。 waRcher 目前可以處理以下攻擊： of death routing CGI 攻擊 OS detection flood 及其所有變種 數(shù)據(jù)采集部分與數(shù)據(jù)分析部分（即 agent 程序）的整體流程圖為： 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 10 頁 共 2 1 頁 若識別出有異常行為，則向控制臺告警（采用類似 IAP的協(xié)議）。這樣主要是為了減少誤報與漏報，從攻擊的核心特征發(fā)現(xiàn)它，而不是象許多其他系統(tǒng)那樣，只檢查攻擊包的表面特征。在得到數(shù)據(jù)幀之后， agent 模擬操作系統(tǒng)的 TCP/IP 堆棧對數(shù)據(jù)進行處理并與已知攻擊行為的特征進行比較，從中發(fā)現(xiàn)異常行為，并向控制臺告警。 unsigned char *data。 struct igmphdr *igmph。 agent 將數(shù)據(jù)讀到緩沖區(qū)之后，首先將其封裝為 sbuff 結構，當數(shù)據(jù)在程序中傳遞時，均采用此結構。如果操作系統(tǒng)被攻擊導致拒絕服務， agent 也將無法運行。 [10]提供了一個內(nèi)核中的 sniffer 的框架。 數(shù)據(jù)采 集部分還做了一項工作就是將網(wǎng)卡置于混雜模式，這樣可以監(jiān)聽到整個網(wǎng)段的數(shù)據(jù)。（直接采用操作系統(tǒng)提供的接口主要是考慮高效性，但為了將來的移植問題，以后仍然可能會改為使用libpcap 庫提供的函數(shù)接口。 三 者 的 關 系 如 下 圖 所 示 ： 同大多數(shù)商業(yè) IDS 一樣， waRcher 采用了分布式的結構。 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 6 頁 共 2 1 頁 第三章 linux 下的實現(xiàn) 系統(tǒng)框架 waRcher 是一個在 linux 下運行的基于標識檢測的網(wǎng)絡 IDS。基于異常的檢測技術的核心是維護一個知識庫。此方法非常類似殺毒軟件。 對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。對于 IAP 的具體實現(xiàn)，請參看 [9]，其中給出了非常詳盡的說明。 IETF 目前有一個專門的小組 Intrusion Detection Working Group (idwg)負責定義這種通信格式，稱作 Intrusion Detection Exchange Format。 缺點：必須購買額外的設備 (Tap)；若所保護的資源眾多， IDS 必須配備眾多網(wǎng)絡接口。 優(yōu)點：可得到幾乎所有關鍵數(shù)據(jù)。如果交換機廠商把此端口開放出來，用戶可將 IDS 系統(tǒng)接到此端口上。 對于主機型 IDS，其數(shù)據(jù)采集部分當然位于其所監(jiān)測的主機上。 入侵檢測系統(tǒng)的幾個部件往往位于不同的主機上。 但由于現(xiàn)在網(wǎng)絡的日趨復雜和高速網(wǎng)絡的普及，這種結構正受到越來越大的挑戰(zhàn)。往往將一臺機子的網(wǎng)卡設于混雜模式（ promisc mode） ,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。 IDS 分類 一般來說，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型。 在這個模型中，前三者以程序的形式出現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)流的形式。 事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。但就目前而言，入侵檢測系統(tǒng)還缺乏相應的標準。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡安全的運行。 入侵檢測（ Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣的手段。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線