【正文】 nux 下的實(shí)現(xiàn) 第 18 頁 共 2 1 頁 在 linux( 內(nèi)核 )中有以下處理 :當(dāng)發(fā)現(xiàn)有位置重合時(shí)（ offset2end1） ,將offset 向后調(diào)到 end1（ offset2=end1） , 然后更改 len2 的值： len2=end2offset2。 畢業(yè)設(shè)計(jì)（論文）：入侵檢測(cè)系統(tǒng)（ IDS）分析及其在 linux 下的實(shí)現(xiàn) 第 17 頁 共 2 1 頁 檢測(cè)：如果在網(wǎng)絡(luò)內(nèi)檢測(cè)到目標(biāo)地址為廣播地址的 icmp 包。攻擊者可假冒服務(wù)器端無法連接的地址向其發(fā)出 SYN，服務(wù)器向這個(gè)假的 IP 發(fā)回 SYN/ACK，但由于沒有 ACK 發(fā)回來，服務(wù)器只能等TIMEOUT。 nmap 向端口發(fā)出只有 FIN標(biāo)記的 TCP 數(shù)據(jù)包 . ： 描述：包括端口掃描和 icmp sweep，入侵者在攻擊之前往往用此種辦法收集遠(yuǎn)端系統(tǒng)的信息。 nmap 和 queso 等工具均可通過發(fā)送各種異常的數(shù)據(jù)包，并通過觀察系統(tǒng)的不同反映來準(zhǔn)確的鑒定遠(yuǎn)端的操作系統(tǒng)類型。 已知的有漏洞的 cgi 程序非常多，如 ， phf,glimpse,handler, htmlscript,icat,info2 ， nphtestcgi,pfdispaly,phf,php, testcgi,webdist,webgais,websendmail 等。 routing 描述： IP 選項(xiàng)（ IP option）中有源路由功能，由發(fā)送方指定傳輸路徑，但這種功能除進(jìn)行調(diào)試外，幾乎沒有任何實(shí)際應(yīng)用。 描述：向 139 端口發(fā)出帶有 OOB 標(biāo)志（ tcp urgent）的數(shù)據(jù)包 ,早期的 95 ，及 NT（如果沒有相應(yīng)的補(bǔ)丁）會(huì)立即當(dāng)機(jī)。同時(shí)，正如本文一開始便提到的，網(wǎng)絡(luò)安全需要縱深的、多樣的防護(hù)。 ，同時(shí)更快的網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析越發(fā)困難。參考文獻(xiàn) [1]中提到了若干種逃避 IDS 檢測(cè)的辦法，這種現(xiàn)象存在的主要原因是： IDS 必須清楚的了解所有操作系統(tǒng)網(wǎng)絡(luò)協(xié)議的運(yùn)作情況 ，甚至細(xì)節(jié)，才能準(zhǔn)確的進(jìn)行分析，否則 [1]中提到的 insertion,evasion 的問題便無法解決。若對(duì) IDS 攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無法被記錄。但是，不恰當(dāng)?shù)姆磻?yīng)很容易帶來新的問題，一個(gè)典型的例子便是：攻擊者假冒大量不同的 IP進(jìn)行模擬攻擊，而 IDS 系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒有進(jìn)行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊（ DOS）。 入侵檢測(cè)系統(tǒng)是一項(xiàng)新生事物，隨著技術(shù)水平的上升和對(duì)新攻擊的識(shí)別的增加，IDS需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性，而不同 廠家之間的產(chǎn)品在升級(jí)周期、升級(jí)手段上均有很大差別?？梢韵胍?，隨著網(wǎng)絡(luò)流量的進(jìn)一步加大（許多大型ICP 目前都有數(shù)百兆的帶寬），對(duì) IDS 將提出更大的挑戰(zhàn)，在 PC 機(jī)上運(yùn)行純軟件系統(tǒng)的方式需要突破。 IDS要能有所定制以更適應(yīng)多樣的環(huán)境要求。還有許多系統(tǒng)通過 VPN（虛擬專用網(wǎng)）進(jìn)行網(wǎng)絡(luò)之間 的互聯(lián)，如果 IDS 不了解其所用的隧道機(jī)制，會(huì)出現(xiàn)大量的誤報(bào)和漏報(bào)。 IDS 必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。 第四章 存在的問題 盡管有眾多的商業(yè)產(chǎn)品出現(xiàn)，與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問題。 IDS 的測(cè)試還沒有客觀的標(biāo)準(zhǔn)。但 IAP 設(shè)計(jì)的過于復(fù)雜，且是否會(huì)成為標(biāo)準(zhǔn)尚不明朗，所以 暫時(shí)可能先設(shè)計(jì)一個(gè)簡單點(diǎn)的協(xié)議來實(shí)現(xiàn)加密和驗(yàn)證。 （ 4）磁盤定額：對(duì)日志過大以后的情況尚沒有人為規(guī)定，不過目前可以用 linux自身的 quato 功能實(shí)現(xiàn)（寫滿一定磁盤定額后覆蓋）。 畢業(yè)設(shè)計(jì)（論文）：入侵檢測(cè)系統(tǒng)（ IDS）分析及其在 linux 下的實(shí)現(xiàn) 第 12 頁 共 2 1 頁 未完成部分 此章所描述的功能與最終理想的程序有所出入（主要是由于時(shí)間關(guān)系有些部分尚未完成），具體差別有： （ 1）無法靈活的升級(jí)：所有的入侵檢測(cè)部分都以編譯后的程序的形式提供（可以高效處理 ,但同時(shí)失去了靈活性）用戶必須完全或部分更新原有程序才能實(shí)現(xiàn)升級(jí)。下面是一個(gè)例子： Feb_27_20:30:31 agent01 Feb_27_20:31:07 web_server agent02 在設(shè)計(jì)日志格式時(shí)我曾經(jīng)考慮過許多方案，主要是想分出更多的項(xiàng)，如記錄兩端的端口信息，加入可信度和計(jì)數(shù)，這樣在以后可以很方便的排序和查找，但最終還是采用了這種簡單的格式。當(dāng)然也可以采用 windows 應(yīng)用程序。此時(shí)的文件為用戶可讀。 waRcher 目前可以處理以下攻擊： of death routing CGI 攻擊 OS detection flood 及其所有變種 數(shù)據(jù)采集部分與數(shù)據(jù)分析部分（即 agent 程序）的整體流程圖為： 畢業(yè)設(shè)計(jì)（論文）：入侵檢測(cè)系統(tǒng)（ IDS）分析及其在 linux 下的實(shí)現(xiàn) 第 10 頁 共 2 1 頁 若識(shí)別出有異常行為，則向控制臺(tái)告警（采用類似 IAP的協(xié)議）。這樣主要是為了減少誤報(bào)與漏報(bào)，從攻擊的核心特征發(fā)現(xiàn)它，而不是象許多其他系統(tǒng)那樣，只檢查攻擊包的表面特征。在得到數(shù)據(jù)幀之后， agent 模擬操作系統(tǒng)的 TCP/IP 堆棧對(duì)數(shù)據(jù)進(jìn)行處理并與已知攻擊行為的特征進(jìn)行比較，從中發(fā)現(xiàn)異常行為，并向控制臺(tái)告警。 unsigned char *data。 struct igmphdr *igmph。 agent 將數(shù)據(jù)讀到緩沖區(qū)之后，首先將其封裝為 sbuff 結(jié)構(gòu)，當(dāng)數(shù)據(jù)在程序中傳遞時(shí)，均采用此結(jié)構(gòu)。如果操作系統(tǒng)被攻擊導(dǎo)致拒絕服務(wù)， agent 也將無法運(yùn)行。 [10]提供了一個(gè)內(nèi)核中的 sniffer 的框架。 數(shù)據(jù)采 集部分還做了一項(xiàng)工作就是將網(wǎng)卡置于混雜模式，這樣可以監(jiān)聽到整個(gè)網(wǎng)段的數(shù)據(jù)。（直接采用操作系統(tǒng)提供的接口主要是考慮高效性，但為了將來的移植問題，以后仍然可能會(huì)改為使用libpcap 庫提供的函數(shù)接口。 三 者 的 關(guān) 系 如 下 圖 所 示 ： 同大多數(shù)商業(yè) IDS 一樣， waRcher 采用了分布式的結(jié)構(gòu)。 畢業(yè)設(shè)計(jì)（論文）：入侵檢測(cè)系統(tǒng)（ IDS）分析及其在 linux下的實(shí)現(xiàn) 第 6 頁 共 2 1 頁 第三章 linux 下的實(shí)現(xiàn) 系統(tǒng)框架 waRcher 是一個(gè)在 linux 下運(yùn)行的基于標(biāo)識(shí)檢測(cè)的網(wǎng)絡(luò) IDS?；诋惓５臋z測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫。此方法非常類似殺毒軟件。 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。對(duì)于 IAP 的具體實(shí)現(xiàn)，請(qǐng)參看 [9]，其中給出了非常詳盡的說明。 IETF 目前有一個(gè)專門的小組 Intrusion Detection Working Group (idwg)負(fù)責(zé)定義這種通信格式，稱作 Intrusion Detection Exchange Format。 缺點(diǎn)：必須購買額外的設(shè)備 (Tap)；若所保護(hù)的資源眾多， IDS 必須配備眾多網(wǎng)絡(luò)接口。 優(yōu)點(diǎn)：可得到幾乎所有關(guān)鍵數(shù)據(jù)。如果交換機(jī)廠商把此端口開放出來，用戶可將 IDS 系統(tǒng)接到此端口上。 對(duì)于主機(jī)型 IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上。 入侵檢測(cè)系統(tǒng)的幾個(gè)部件往往位于不同的主機(jī)上。 但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正受到越來越大的挑戰(zhàn)。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式（ promisc mode） ,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。 IDS 分類 一般來說，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。 在這個(gè)模型中，前三者以程序的形式出現(xiàn)，而最后一個(gè)則往往是文件或數(shù)據(jù)流的形式。 事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。但就目前而言，入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。 入侵檢測(cè)（ Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺。而隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線