【正文】 將異常活動定義為入侵 ? 漏報 (false negative)： 如果系統(tǒng)未能檢測出真正的入侵行為 六 、 入侵檢測的分類 ? 按照數據來源： ? 基于主機：系統(tǒng)獲取數據的依據是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機 ? 基于網絡：系統(tǒng)獲取的數據是網絡傳輸的數據包，保護的是網絡的運行 ? 混合型 入侵檢測產品特點： 1） 記錄盡可能多的 “ 攻擊特征 ” ， 并經常更新以檢測新的威脅 。但是，一旦受到大范圍 IP的 PING，很容易導致帶寬被占，影響普通用戶對其網頁的連接速度以及使用在該服務器上的一切服務，嚴重的可以使該服務器DOWN機（即死機）。 2）開發(fā)高性能的掃描器 如何使嗅探器對付網絡分段和加密算法等；將當前最先進的工具結合起來，設計出一個有復合功能的、擁有學習能力的、自適應系統(tǒng)。 – 不過，許多防火墻是禁止帶源路由的包的 ? 主機掃描的目的是確定在目標網絡上的主機是否可達，同時盡可能多映射目標網絡的拓撲結構 – 傳統(tǒng)主機掃描技術 – 高級主機掃描技術 3)主機掃描 網絡安全 三、網絡攻擊方法 遠程攻擊的概念 遠程攻擊的對象是攻擊者暫時還無法控制的計算機，遠程攻擊是專門攻擊除攻擊者本機以外的計算機，遠程計算機是能夠利用某種協(xié)議、通過英特網或者其他網絡介質而被使用的計算機遠程攻擊的分析。利用（ 2）的權力和系統(tǒng)的漏洞，可以修改文件，運行任何程序，留下下次入侵的缺口，或破壞整個系統(tǒng) （ 4）消除入侵痕跡 入侵者可利用的弱點 （ 1）網絡傳輸和協(xié)議的漏洞 攻擊者利用網絡傳輸時對協(xié)議的信任以及網絡傳輸的漏洞進入系統(tǒng)。 ? 文件訪問：通過找到用戶標識和口令，可以對文件進行訪問。 ? 轉播：是攻擊者通過第三方的機器轉播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他。網絡安全 第四節(jié) 網絡入侵及其安全防御 第八章 一、入侵和攻擊的種類 ? 有多種不同的入侵和攻擊行為，這里只給出最常見的種類。 ? 欺騙：欺騙是一種模仿或采取不是自己身份的行為。 ? 廣播：攻擊者發(fā)送一個信息包到廣播地址，以達到產生大量流量的目的。 本地 ? 旁側偷看 ? 未上鎖的終端 ? 被寫下的口令 ? 拔掉機器 ? 本地登錄 離線 ? 下載口令文件 ? 下載加密的文本 ? 復制大量的數據 欺騙技術 ? IP欺騙 – 假冒他人的 IP地址來獲得信息或發(fā)送信息 ? 郵件欺騙 – 假冒他人的 地址發(fā)送信息 ? Web欺騙 – 你能相信你所看到的信息嗎？ ? 非技術性欺騙 – 把精力集中在攻擊公司的人力因素上 網絡安全 二、網絡攻擊 網絡攻擊的步驟 （ 1）信息收集，獲取目標系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務和服務進程的類型和版本，網絡拓撲結構 （ 2）獲得對系統(tǒng)的訪問權力 （ 3）獲得系統(tǒng)超級用戶的權力。 信息收集步驟 1）找到初始信息 – Open source – Whois – Nslookup 2）找到網絡的地址范圍 – Traceroute 3）找到活動的機器 – Ping 4）找到開放端口和入口點 – Nmap – Nessus 5）弄清操作系統(tǒng) – Nmap 6）弄清端口運行的服務 …… . 1)初始信息收集 : ?公開信息、網頁、 新聞報道、出版發(fā)行物、 新聞組或論壇 ?Whois – 為 Inter提供目錄服務，包括名字、通訊地址、電話號碼、電子郵箱、 IP地址等信息 ? Client/Server結構 – Client端 ? 發(fā)出請求，接受結果，并按格式顯示到客戶屏幕上 – Server端 ? 建立數據庫，接受注冊請求 ? 提供在線查詢服務 ? 客戶程序 – UNIX系統(tǒng)自帶 whois程序 – Windows也有一些工具 – 直接通過 Web查詢 1)初始信息收集（續(xù)） :Nslookup ? 關于 DNS – 是一個全球分布式數據庫，對于每一個 DNS節(jié)點，包含有該節(jié)點所在的機器的信息、郵件服務器的信息、主機 CPU和操作系統(tǒng)等信息 – Nslookup是一個功能強大的客戶程序 ? 使用 Nslookup可查到域名服務器地址和 IP地址 C:\nslookup Server: Address: Nonauthoritative answer: Name: Address: 1)初始信息收集 :Ping ? 得到 IP地址的簡單方法是 PING域名 C:\ping Pinging [] with 32 bytes …… . …… . 2)找到網絡地址范圍 ? Traceroute – 用來發(fā)現實際的路由路徑 – 原理：給目標的一個無效端口發(fā)送一系列 UDP，其 TTL依次增一，中間路由器返回一個 ICMP Time Exceeded消息 ? 關于 traceroute ? traceroute有一些命令行參數，可以改變缺省的行為 ? 可以用來發(fā)現到一臺主機的路徑，為勾畫出網絡拓撲圖提供最基本的依據 ? Windows平臺上為“ tracert”, ? Traceroute允許指定寬松的源路由選項。 第四節(jié) 網絡入侵及其安全防御 網絡安全 第四節(jié) 網絡入侵及其安全防御 發(fā)現一個系統(tǒng)的弱點是展開攻擊或防御的前提，途徑包括： 1）開發(fā)檢測系統(tǒng)易損性的工具 目前，已經有大量的掃描器（ scanner）和嗅探器（ sniffer）出現，如 NSS、strobe、 Gobbler、 ETHLoad等。 網絡安全 4）使用 Ping命令 Ping命令本來是用做檢測目標服務器的響應速度，發(fā)送一個 32KB的封包到對方服務器，來獲得對方服務器的響應時間。 ping t 第四節(jié) 網絡入侵及其安全防御 入侵檢測的定義 ?對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性 ?進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) ?IDS : Intrusion Detection System 五、入侵檢測 IDS基本結構 入侵檢測系統(tǒng)包括三個功能部件 （ 1） 信息收集 （ 2） 信息分析 （ 3） 結果處理 信息收集 ? 入侵檢測的第一步是信息收集，收集內容包括系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為 ? 需要在計算機網絡系統(tǒng)中的若干不同關鍵點（不同網段和不同主機）收集信息 ? 盡可能擴大檢測范圍 ? 從一個源來的信息有可能看不出疑點 信息收集 ? 入侵檢測很大程度上依賴于收集信息的可靠性和正確性 ? 要保證用來檢測網絡系統(tǒng)的軟件的完整性 ? 特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息 信息收集的來源 ? 系統(tǒng)或網絡的日志文件 ? 網絡流量 ? 系統(tǒng)目錄和文件的異常變化