【文章內(nèi)容簡介】 術(shù)實(shí)現(xiàn)審計(jì)跟蹤、攻擊檢測等在網(wǎng)絡(luò)安全問題上具有重要意義。3 入侵檢測系統(tǒng)與嗅探器 入侵檢測概念建立入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全的一個重要工作，通過學(xué)習(xí)，對入侵檢測系統(tǒng)有了一定的了解，下面對入侵檢測技術(shù)做一個總體介紹。入侵檢測技術(shù)與防火墻、PKI 等技術(shù)不同，防火墻、PKI 只是立足于“防” ，而入侵檢測是對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。為了提高入侵檢測系統(tǒng)（IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測工作組（IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范 IDS 的標(biāo)準(zhǔn)。DARPA 提出的建議是公共入侵檢測框架（CIDF） ，最早由加州大學(xué)戴維斯分校安全室主持起草工作。CIDF 提出了一個通用模型， 將入侵檢測系統(tǒng)分成了四大模塊：事件產(chǎn)生器（Event Generators） ，事件分析器（Event Analyzers） ，響應(yīng)單元（Response Units）和事件數(shù)據(jù)庫（Event Database） 。各部分功能是：1. 事件產(chǎn)生器獲得數(shù)據(jù)并向 IDS 的其它模塊提供；2. 事件分析器針對數(shù)據(jù)進(jìn)行入侵分析；3. 響應(yīng)單元對分析的結(jié)果作出不同的響應(yīng)；4. 數(shù)據(jù)庫存儲以上三個模塊收集及分析的各種數(shù)據(jù)。在檢測的技術(shù)上，主要分為三類：靜態(tài)分析、異常檢測、誤用檢測。：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。：通過歷史數(shù)據(jù)定義用戶正常活動的模型，當(dāng)檢測到與所建立的正常模型有差異的行為發(fā)生時，認(rèn)為可能有入侵行為的發(fā)生。：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式，再通過這些已知的行為模式來檢測當(dāng)前網(wǎng)絡(luò)中是否存在入侵行為。上述三種方法均建立在數(shù)據(jù)包捕獲的基礎(chǔ)上。 入侵檢測的實(shí)現(xiàn)與嗅探器 入侵檢測的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。在這里以誤用檢測方法對入侵檢測的實(shí)現(xiàn)做更詳細(xì)的介紹。系統(tǒng)編寫構(gòu)架如圖 31 所示： 顯示模塊入侵檢測模塊網(wǎng)絡(luò)協(xié)議分析模塊數(shù)據(jù)包捕獲模塊 存儲模塊規(guī)則解析模塊攻擊特征圖 31 入侵檢測系統(tǒng)的架構(gòu)由圖 31 可以知道，在編寫入侵檢測系統(tǒng)時，需要遵循 CIDF 標(biāo)準(zhǔn)來進(jìn)行系統(tǒng)的設(shè)計(jì)，首先通過數(shù)據(jù)包嗅探技術(shù)獲得網(wǎng)絡(luò)上流通的數(shù)據(jù)包；其次通過攻擊特征庫對嗅探到的數(shù)據(jù)包進(jìn)行入侵行為的檢測；再次對入侵?jǐn)?shù)據(jù)包做出報(bào)警；最后將這些入侵事件紀(jì)錄到數(shù)據(jù)庫，便于查詢和分析。 入侵檢測的實(shí)現(xiàn)與嗅探器的關(guān)系數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中，這個過程要依賴于網(wǎng)絡(luò)物理層到應(yīng)用層以及操作系統(tǒng)本身各方面進(jìn)行協(xié)調(diào)、設(shè)置，下面通過實(shí)例來看一下以太網(wǎng)絡(luò)中數(shù)據(jù)包的流程：1. 物理層，在一個以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡(luò)介質(zhì)（網(wǎng)線、HUB）中以廣播的形式到達(dá)局域網(wǎng)每一個節(jié)點(diǎn)；2. 數(shù)據(jù)鏈路層，節(jié)點(diǎn)的網(wǎng)絡(luò)適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（Frame） ，通過一系列的檢驗(yàn)，將到來的大量的數(shù)據(jù)幀中屬于自己且正確合法的數(shù)據(jù)幀重構(gòu)成數(shù)據(jù)包（Packet）送入操作系統(tǒng)的協(xié)議棧；3. 網(wǎng)絡(luò)層至運(yùn)輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、TCP、UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址） ，是否屬于本操作系統(tǒng)上的應(yīng)用程序的接收范圍（根據(jù) Port 端口號） ，如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報(bào)文（Segment）送入應(yīng)用程序。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用為了嗅探到網(wǎng)絡(luò)中的任意一個數(shù)據(jù)包，必須對物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所有類型的網(wǎng)絡(luò)，不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng)是一個廣播型的網(wǎng)絡(luò)，在一個標(biāo)準(zhǔn)的以太網(wǎng)子網(wǎng)上，多臺計(jì)算機(jī)通過一條線路互聯(lián)，且任何時刻，電纜上只有一個數(shù)據(jù)包存在，為了保證多臺計(jì)算機(jī)能 共 享 同 一 線 路 ， 以 太 網(wǎng) 使 用 了 CSMA/CD（Carrier Sense MultipleAccess/Collision Detection)載波偵聽多路訪問/沖突檢測,這樣一來，共享線路上的所有以太網(wǎng)卡及相關(guān)設(shè)備總是處于對線路上的信號進(jìn)行監(jiān)聽的狀態(tài)中,這使得每一臺機(jī)器都能夠探知并接受線路上的數(shù)據(jù)流。事實(shí)證明嗅探適用于基于廣播包的網(wǎng)絡(luò)，如利用廣播技術(shù)來分發(fā)數(shù)據(jù)包的連通網(wǎng)絡(luò)（或者使用令牌的網(wǎng)絡(luò)，只不過因?yàn)榱钆撇灰欢ń?jīng)過本機(jī)器，所以只能嗅探到網(wǎng)絡(luò)中部分?jǐn)?shù)據(jù)包） 。此外如果在一個子網(wǎng)內(nèi)部進(jìn)行嗅探，而子網(wǎng)頂部存在著諸如交換機(jī)這類設(shè)備，由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn)行監(jiān)聽，若想要對此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級的包交換網(wǎng)絡(luò)中。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡(luò)中安裝一個 hub，在將監(jiān)聽機(jī)器和子網(wǎng)交換機(jī)用此 hub 連接起來，這樣，就能夠?qū)Υ俗泳W(wǎng)進(jìn)行監(jiān)聽了，另一種辦法就是在交換機(jī)上給監(jiān)聽機(jī)器做端口映射，指明讓它接受經(jīng)過交換機(jī)的所有數(shù)據(jù)包。當(dāng)數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡(luò)模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設(shè)置混雜模式，就可以成功的接收從驅(qū)動層來的各種數(shù)據(jù)包。大多數(shù)的操作系統(tǒng)在這一層使用的是 Socket 套接字技術(shù)，它們通過函數(shù) ioctlsocket(socket, SIO_RCVALL, amp。Value)來實(shí)現(xiàn)混雜模式接收數(shù)據(jù)包。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層——應(yīng)用程序中。最終，所有的數(shù)據(jù)變成可以識別的文字、符號出現(xiàn)在機(jī)器的視頻輸出上。4 嗅探器的實(shí)現(xiàn)與測試 利用套接字開發(fā)網(wǎng)絡(luò)嗅探程序的步驟利用套接字開發(fā)網(wǎng)絡(luò)嗅探器程序時的一般步驟如圖 41 所示：關(guān)閉套接字是開始建立套接字綁定套接字設(shè)置網(wǎng)卡為混雜模式初始化數(shù)據(jù)包接收結(jié)構(gòu)停止接收分析處理數(shù)據(jù)包否開始捕獲顯示分析結(jié)果圖 41 嗅探器工作流程如圖 41 所示，在利用套接字開發(fā)網(wǎng)絡(luò)嗅探器程序時的一般步驟是：首先，創(chuàng)建原始套接字，并設(shè)置其操作選項(xiàng)；其次將原始套接字綁定到本地網(wǎng)卡地址上；設(shè)置網(wǎng)卡為混雜模式，這樣網(wǎng)卡就可以收到任何在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包；在以上條件下開始對數(shù)據(jù)包進(jìn)行捕獲、分析。 嗅探器的具體實(shí)現(xiàn)原理嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對網(wǎng)卡的編程是使用通常的套接字（socket）方式來進(jìn)行。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序無法收取到達(dá)的數(shù)據(jù)包。而本設(shè)計(jì)的要求通過網(wǎng)絡(luò)嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包，因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代通常的正常模式。 具體到編程實(shí)現(xiàn)上，這種對網(wǎng)卡混雜模式的設(shè)置是通過原始套接字（raw socket）來實(shí)現(xiàn)的，這也有別于通常經(jīng)常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報(bào)套接字。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP 頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進(jìn)行設(shè)置。至此，實(shí)際就可以開始對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行嗅探了，對數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報(bào)套接字那樣通過 recv()函數(shù)來完成。但是與其他兩種套接字不同的是，原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網(wǎng)絡(luò)傳輸時的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進(jìn)行分析。下面先給出結(jié)構(gòu)，數(shù)據(jù)包的總體結(jié)構(gòu)如圖 42 所示： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結(jié)構(gòu)數(shù)據(jù)在從應(yīng)用層到達(dá)傳輸層時，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。其中 UDP 數(shù)據(jù)段頭比較簡單，由一個 8 字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如圖 43 所示： 16 位 16 位 源端口 目的端口 UDP 長度 UDP 校驗(yàn)和 圖 43 UDP 數(shù)據(jù)段頭格式對于此 UDP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) UDPPacketHead來定義：struct UDPPacketHead {WORD SourPort。 //16 位源端口WORD DestPort。 //16 位目的端口WORD Len。 //16 位長度WORD ChkSum。 //16 位校驗(yàn)和}。而 TCP 數(shù)據(jù)頭則比較復(fù)雜，以 20 個固定字節(jié)開始，在固定頭后面還可以有一些長度不固定的可選項(xiàng)，圖 44 給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號 確認(rèn)號 TCP頭長 （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校驗(yàn)和 緊急指針 可選項(xiàng)（0 或更多的 32 位字） 數(shù)據(jù)（可選項(xiàng)） 圖 44 TCP 數(shù)據(jù)段頭格式對于此 TCP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCPPacketHead來定義： struct TCPPacketHead {WORD SourPort。 //源端口WORD DestPort。 //目的端口DWORD SeqNo。 //32 位序列號DWORD AckNo。 //32 位確認(rèn)號BYTE HLen。 //4 位首部長度BYTE Flag。 //6 位標(biāo)志位WORD WndSize。 //16 位窗口大小WORD ChkSum。 //16 位校驗(yàn)和WORD UrgPtr。 //16 位緊急數(shù)據(jù)偏移量}。在網(wǎng)絡(luò)層，還要給 TCP 數(shù)據(jù)包添加一個 IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報(bào)。IP數(shù)據(jù)段頭格式如圖 45 所示： 16 位 16 位 版本 IHL 服務(wù)類型 總長 標(biāo)識 標(biāo)志 分段偏移 生命期 協(xié)議 頭校驗(yàn)和 源地址 目的地址 選項(xiàng)（0 或更多） 圖 45 IP 數(shù)據(jù)段頭格式同樣，在實(shí)際編程中也需要通過一個數(shù)據(jù)結(jié)構(gòu)來表示此 IP 數(shù)據(jù)段頭，下面給出此數(shù)據(jù)結(jié)構(gòu)的定義： typedef struct _IPHEADER { unsigned char header_len:4。 //4 位首部長度 unsigned char version:4。 //4 位版本號 unsigned char tos。 // 8 位服務(wù)類型 unsigned short total_len。 // 16 位總長度 unsigned short ident。 // 16 位標(biāo)識符 unsigned short flags。 //3 位標(biāo)志位 unsigned char ttl。 //8 位生存時間 unsigned char proto。 // 8 位協(xié)議 ( IP , TCP, UDP etc) unsigned short checksum。 //16 位 IP 首部校驗(yàn)和 unsigned int sourceIP。 //32 位源 IP 地址 unsigned int destIP。 //32 位目的 IP 地址}IPHEADER； 數(shù)據(jù)包捕獲程序設(shè)計(jì)根據(jù)前面的設(shè)計(jì)思路，本文在 windows 平臺下實(shí)現(xiàn)了一個嗅探器程序，開發(fā)工具使用 visual C++。下面就給出本設(shè)計(jì)的部分程序代碼，該設(shè)計(jì)可以捕獲到所有經(jīng)過本地網(wǎng)卡的數(shù)據(jù)包，并可從中分析出協(xié)議、IP 源地址、IP 目標(biāo)地址、TCP 源端口號、TCP 目標(biāo)端口號等信息。在捕獲數(shù)據(jù)包前，首先對原始套接字進(jìn)行設(shè)置，代碼如下：void CIpmonDlg::OnLookUp() {char szErr [ 50 ] , szHostName[MAX_PATH]。DWORD dwErr 。 SOCKADDR_IN sa。gethostname(szHostName, sizeof(szHostName)) 。//獲取主機(jī)名m_iphostsource = m_ipsource 。 m_ipcheckedhost = ntohl(m_iphost) 。if( 0 == m_threadID ){SetDlgItemText(IDC_LOOKUP,停止捕獲! )。}else{if( m_threadID ){