【正文】 將異?；顒?dòng)定義為入侵 ? 漏報(bào) (false negative)： 如果系統(tǒng)未能檢測(cè)出真正的入侵行為 六 、 入侵檢測(cè)的分類 ? 按照數(shù)據(jù)來源： ? 基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī) ? 基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行 ? 混合型 入侵檢測(cè)產(chǎn)品特點(diǎn)： 1） 記錄盡可能多的 “ 攻擊特征 ” ， 并經(jīng)常更新以檢測(cè)新的威脅 。但是，一旦受到大范圍 IP的 PING，很容易導(dǎo)致帶寬被占，影響普通用戶對(duì)其網(wǎng)頁(yè)的連接速度以及使用在該服務(wù)器上的一切服務(wù)，嚴(yán)重的可以使該服務(wù)器DOWN機(jī)（即死機(jī)）。 2）開發(fā)高性能的掃描器 如何使嗅探器對(duì)付網(wǎng)絡(luò)分段和加密算法等；將當(dāng)前最先進(jìn)的工具結(jié)合起來，設(shè)計(jì)出一個(gè)有復(fù)合功能的、擁有學(xué)習(xí)能力的、自適應(yīng)系統(tǒng)。 – 不過，許多防火墻是禁止帶源路由的包的 ? 主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) – 傳統(tǒng)主機(jī)掃描技術(shù) – 高級(jí)主機(jī)掃描技術(shù) 3)主機(jī)掃描 網(wǎng)絡(luò)安全 三、網(wǎng)絡(luò)攻擊方法 遠(yuǎn)程攻擊的概念 遠(yuǎn)程攻擊的對(duì)象是攻擊者暫時(shí)還無(wú)法控制的計(jì)算機(jī)，遠(yuǎn)程攻擊是專門攻擊除攻擊者本機(jī)以外的計(jì)算機(jī)，遠(yuǎn)程計(jì)算機(jī)是能夠利用某種協(xié)議、通過英特網(wǎng)或者其他網(wǎng)絡(luò)介質(zhì)而被使用的計(jì)算機(jī)遠(yuǎn)程攻擊的分析。利用（ 2）的權(quán)力和系統(tǒng)的漏洞，可以修改文件，運(yùn)行任何程序，留下下次入侵的缺口，或破壞整個(gè)系統(tǒng) （ 4）消除入侵痕跡 入侵者可利用的弱點(diǎn) （ 1）網(wǎng)絡(luò)傳輸和協(xié)議的漏洞 攻擊者利用網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。 ? 文件訪問：通過找到用戶標(biāo)識(shí)和口令，可以對(duì)文件進(jìn)行訪問。 ? 轉(zhuǎn)播：是攻擊者通過第三方的機(jī)器轉(zhuǎn)播或反射他的通信，這樣攻擊就好象來自第三方的機(jī)器而不是他。網(wǎng)絡(luò)安全 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 第八章 一、入侵和攻擊的種類 ? 有多種不同的入侵和攻擊行為，這里只給出最常見的種類。 ? 欺騙：欺騙是一種模仿或采取不是自己身份的行為。 ? 廣播：攻擊者發(fā)送一個(gè)信息包到廣播地址，以達(dá)到產(chǎn)生大量流量的目的。 本地 ? 旁側(cè)偷看 ? 未上鎖的終端 ? 被寫下的口令 ? 拔掉機(jī)器 ? 本地登錄 離線 ? 下載口令文件 ? 下載加密的文本 ? 復(fù)制大量的數(shù)據(jù) 欺騙技術(shù) ? IP欺騙 – 假冒他人的 IP地址來獲得信息或發(fā)送信息 ? 郵件欺騙 – 假冒他人的 地址發(fā)送信息 ? Web欺騙 – 你能相信你所看到的信息嗎？ ? 非技術(shù)性欺騙 – 把精力集中在攻擊公司的人力因素上 網(wǎng)絡(luò)安全 二、網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)攻擊的步驟 （ 1）信息收集，獲取目標(biāo)系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務(wù)和服務(wù)進(jìn)程的類型和版本，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) （ 2）獲得對(duì)系統(tǒng)的訪問權(quán)力 （ 3）獲得系統(tǒng)超級(jí)用戶的權(quán)力。 信息收集步驟 1）找到初始信息 – Open source – Whois – Nslookup 2）找到網(wǎng)絡(luò)的地址范圍 – Traceroute 3）找到活動(dòng)的機(jī)器 – Ping 4）找到開放端口和入口點(diǎn) – Nmap – Nessus 5）弄清操作系統(tǒng) – Nmap 6）弄清端口運(yùn)行的服務(wù) …… . 1)初始信息收集 : ?公開信息、網(wǎng)頁(yè)、 新聞報(bào)道、出版發(fā)行物、 新聞組或論壇 ?Whois – 為 Inter提供目錄服務(wù)，包括名字、通訊地址、電話號(hào)碼、電子郵箱、 IP地址等信息 ? Client/Server結(jié)構(gòu) – Client端 ? 發(fā)出請(qǐng)求，接受結(jié)果，并按格式顯示到客戶屏幕上 – Server端 ? 建立數(shù)據(jù)庫(kù)，接受注冊(cè)請(qǐng)求 ? 提供在線查詢服務(wù) ? 客戶程序 – UNIX系統(tǒng)自帶 whois程序 – Windows也有一些工具 – 直接通過 Web查詢 1)初始信息收集（續(xù)） :Nslookup ? 關(guān)于 DNS – 是一個(gè)全球分布式數(shù)據(jù)庫(kù)，對(duì)于每一個(gè) DNS節(jié)點(diǎn)，包含有該節(jié)點(diǎn)所在的機(jī)器的信息、郵件服務(wù)器的信息、主機(jī) CPU和操作系統(tǒng)等信息 – Nslookup是一個(gè)功能強(qiáng)大的客戶程序 ? 使用 Nslookup可查到域名服務(wù)器地址和 IP地址 C:\nslookup Server: Address: Nonauthoritative answer: Name: Address: 1)初始信息收集 :Ping ? 得到 IP地址的簡(jiǎn)單方法是 PING域名 C:\ping Pinging [] with 32 bytes …… . …… . 2)找到網(wǎng)絡(luò)地址范圍 ? Traceroute – 用來發(fā)現(xiàn)實(shí)際的路由路徑 – 原理：給目標(biāo)的一個(gè)無(wú)效端口發(fā)送一系列 UDP，其 TTL依次增一，中間路由器返回一個(gè) ICMP Time Exceeded消息 ? 關(guān)于 traceroute ? traceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨? ? 可以用來發(fā)現(xiàn)到一臺(tái)主機(jī)的路徑，為勾畫出網(wǎng)絡(luò)拓?fù)鋱D提供最基本的依據(jù) ? Windows平臺(tái)上為“ tracert”, ? Traceroute允許指定寬松的源路由選項(xiàng)。 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 網(wǎng)絡(luò)安全 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 發(fā)現(xiàn)一個(gè)系統(tǒng)的弱點(diǎn)是展開攻擊或防御的前提，途徑包括： 1）開發(fā)檢測(cè)系統(tǒng)易損性的工具 目前，已經(jīng)有大量的掃描器（ scanner）和嗅探器（ sniffer）出現(xiàn)，如 NSS、strobe、 Gobbler、 ETHLoad等。 網(wǎng)絡(luò)安全 4）使用 Ping命令 Ping命令本來是用做檢測(cè)目標(biāo)服務(wù)器的響應(yīng)速度，發(fā)送一個(gè) 32KB的封包到對(duì)方服務(wù)器，來獲得對(duì)方服務(wù)器的響應(yīng)時(shí)間。 ping t 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 入侵檢測(cè)的定義 ?對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ?進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) ?IDS : Intrusion Detection System 五、入侵檢測(cè) IDS基本結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件 （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信息收集 ? 入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為 ? 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息 ? 盡可能擴(kuò)大檢測(cè)范圍 ? 從一個(gè)源來的信息有可能看不出疑點(diǎn) 信息收集 ? 入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性 ? 要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性 ? 特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集的來源 ? 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 網(wǎng)絡(luò)流量 ? 系統(tǒng)目錄和文件的異常變化