【正文】 目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息 。 不幸的是 ， 跟蹤是最有可能被忽略的階段 （ 部分原因是資源有限而且事件處理人員在事件恢復(fù)后已經(jīng)筋疲力盡 ） 。 然而 ， 這一階段也是非常關(guān)鍵的 ， 如果這一步被忽略 ， 很難預(yù)想事件響應(yīng)工作的成功率有多大 。 追蹤網(wǎng)絡(luò)攻擊有多種不同的意思 ， 這取決于這個術(shù)語的使用場合 。 狹義上來說 ， 就是找到事件發(fā)生的源頭 。 在大多數(shù)情況下是指發(fā)現(xiàn) IP地址 、MAC地址或認(rèn)證的主機(jī)名 。 在另一方面來說它是指確定攻擊者的身份 。 追蹤漏洞掃描是一個比較特殊的問題。在大部分網(wǎng)絡(luò)環(huán)境下，漏洞掃描是經(jīng)常發(fā)生的事情?，F(xiàn)實(shí)中，追蹤掃描和追蹤入侵前兆是不同類型的事件。稱為攻擊追蹤可能更好一些，但也許掃描追蹤是最合適的稱呼。但關(guān)鍵的是追蹤掃描源是一件極不具效率的事情，因?yàn)榇罅康膾呙枋莵碜院戏ǖ谋还ハ莸闹鳈C(jī)。而且每天如此大量的掃描使得我們無法去追蹤源頭。因此這件事變得非常的不現(xiàn)實(shí)。雖然我們必須注意掃描這個問題，但在大多數(shù)情況下如果去追蹤源頭就太浪費(fèi)時間和資源了。 IDS入侵特征庫創(chuàng)建和解析 IDS要有效地捕捉入侵行為 ， 必須擁有一個強(qiáng)大的入侵特征數(shù)據(jù)庫 ， 這就如同公安部門必須擁有健全的罪犯信息庫一樣 。 但是 ， IDS一般所帶的特征數(shù)據(jù)庫都比較死板 ， 遇到 “ 變臉 ” 的入侵行為往往相逢不相識 。 因此 ， 管理員有必要學(xué)會如何創(chuàng)建滿足實(shí)際需要的特征數(shù)據(jù)樣板 ， 做到一變應(yīng)萬變 ，在這里 ， 將對入侵特征的概念 、 種類以及如何創(chuàng)建特征進(jìn)行介紹 ， 以幫助讀者掌握對付入侵者 “ 變臉 ” 的方法 。 （ signature） 的基本概念 IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù) ， 通常分為多種 ， 以下是一些典型識別方法： l 來自保留 IP地址的連接企圖：可通過檢查 IP報(bào)頭 （ IP header） 的來源地址輕易地識別 。 l 帶有非法 TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包：可通過對比 TCP報(bào)頭中的標(biāo)志集與已知正確和錯誤標(biāo)記聯(lián)合物的不同點(diǎn)來識別 。 l 含有特殊病毒信息的 Email：可通過對比每封 Email的主題信息和病態(tài) Email的主題信息來識別 ， 或者 ， 通過搜索相似的特定名字來識別 。 l 查詢負(fù)載中的 DNS緩沖區(qū)溢出企圖：可通過解析 DNS域及檢查每個域的長度來識別利用 DNS域的緩沖區(qū)溢出企圖 。 還有另外一個識別方法是：在負(fù)載中搜索 “ 殼代碼利用 ”（ exploit shellcode） 的序列代碼組合 。 l 通過對 POP3服務(wù)器發(fā)出成百上千次同一命令而導(dǎo)致的 DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù) ， 看看是否超過了預(yù)設(shè)上限 ， 而發(fā)出報(bào)警信息 。 l未登錄情況下使用文件和目錄命令對 FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的 FTP對話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)登錄命令的入侵企圖。 特征是檢測數(shù)據(jù)包中的可疑內(nèi)容是否真正 “ 不可用 ” 的樣板 ， 也就是“ 破壞分子 ” 的克隆 。 特征的定制或編寫程度可粗可細(xì) ， 完全取決于實(shí)際需求 。 或者只是判斷是否發(fā)生了異常行為而不確定具體是什么攻擊行為 ，從而節(jié)省資源和時間；或者是判斷出具體的攻擊手段或漏洞利用方式 ， 從而獲取更多的信息 。 報(bào)頭值 （ Header Values） 的結(jié)構(gòu)比較簡單 ， 而且可以很清楚地識別出異常報(bào)頭信息 ， 因此 ， 特征數(shù)據(jù)的首席候選值就是報(bào)頭值 。 一個經(jīng)典的例子是：明顯違背 RFC793中規(guī)定的 TCP標(biāo)準(zhǔn) 、 設(shè)置了 SYN和 FIN標(biāo)記的 TCP數(shù)據(jù)包 。 這種數(shù)據(jù)包被許多入侵軟件采用 ， 向防火墻 、 路由器以及 IDS系統(tǒng)發(fā)起攻擊 。 非法報(bào)頭值是特征數(shù)據(jù)的一個非?；A(chǔ)的部分，合法但可疑的報(bào)頭值也同等重要。例如，如果存在到端口 31337或 27374的可疑連接，就完全有理由懷疑有特洛伊木馬在活動；再附加上其他探測信息，就能夠進(jìn)一步地判斷是 “ 真馬 ” 還是 “ 假馬 ” 。 “ 候選人 ” 為了更好地理解如何開發(fā)基于報(bào)頭值的特殊數(shù)據(jù) ， 下面通過分析一個實(shí)例 ，對整個過程進(jìn)行詳細(xì)闡述 。 Synscan是一個流行的用于掃描和探測系統(tǒng)的工具 ， 由于它的代碼被用于創(chuàng)建蠕蟲 Ramen的開始片斷而在 2021年早期大出風(fēng)頭 。 Synscan的執(zhí)行行為很具典型性 ， 它發(fā)出的信息包具有多種可分辨的特性 ， 包括： l 不同的來源 IP地址信息； l TCP來源端口 21， 目標(biāo)端口 21； l 服務(wù)類型 0； l IP鑒定號碼 39426（ IP identification number） ； l 設(shè)置 SYN和 FIN標(biāo)志位 ； l 不同的序列號集合 （ sequence numbers set） ； l 不同的確認(rèn)號碼集合 （ acknowledgment numbers set） ； l TCP窗口尺寸 1028 。 通過對以上數(shù)據(jù)進(jìn)行篩選 ， 看看哪個比較合適做特征數(shù)據(jù) 。 需要尋找的是非法 、 異?；蚩梢蓴?shù)據(jù) ， 大多數(shù)情況下 ， 這都反映出攻擊者利用的漏洞或者他們使用的特殊技術(shù) 。 以下是特征數(shù)據(jù)的候選對象： l 只具有 SYN和 FIN標(biāo)志集的數(shù)據(jù)包 ， 這是公認(rèn)的惡意行為跡象 。 l 沒有設(shè)置 ACK標(biāo)志 ， 但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包 ， 而正常情況應(yīng)該是 “ 0” 。 l 來源端口和目標(biāo)端口都被設(shè)置為 21的數(shù)據(jù)包 ， 經(jīng)常與 FTP服務(wù)器關(guān)聯(lián) 。 這種端口相同的情況一般被稱為 “ 反身 ” （ reflexive） ， 除了個別時候進(jìn)行一些特別 NetBIOS通訊外 ， 正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象 。“ 反身 ” 端口本身并不違反 TCP標(biāo)準(zhǔn) ， 但大多數(shù)情況下它們并非預(yù)期數(shù)值 。例如在一個正常的 FTP對話中 ， 目標(biāo)端口一般是 21， 而來源端口通常都高于 1023。 l TCP窗口尺寸為 1028， IP鑒定號碼在所有數(shù)據(jù)包中為 39426。 根據(jù) IP RFC的定義 ， 這 2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同 ， 因此 ， 如果持續(xù)不變 ， 就表明可疑 。 從以上 4個候選對象中 ， 我們可以單獨(dú)選出一項(xiàng)作為基于報(bào)頭的特征數(shù)據(jù) ， 也可以選出多項(xiàng)組合作為特征數(shù)據(jù) 。 選擇一項(xiàng)數(shù)據(jù)作為特征有很大的局限性 。 例如一個簡單的特征可以是只具有 SYN和 FIN標(biāo)志的數(shù)據(jù)包 ， 雖然這可以很好地提示我們可能有一個可疑的行為發(fā)生 ， 但卻不能給出為什么會發(fā)生的更多信息 。 SYN和 FIN通常聯(lián)合在一起攻擊防火墻和其他設(shè)備 ， 只要有它們出現(xiàn) ， 就預(yù)示著掃描正在發(fā)生 、 信息正在收集 、 攻擊將要開始 。 選擇以上 4項(xiàng)數(shù)據(jù)聯(lián)合作為特征也不現(xiàn)實(shí) ， 因?yàn)檫@顯得有些太特殊了 。 盡管能夠精確地提供行為信息 ， 但是比僅僅使用一個數(shù)據(jù)作為特征而言 ， 會顯得遠(yuǎn)遠(yuǎn)缺乏效率 。 實(shí)際上 ，特征定義永遠(yuǎn)要在效率和精確度間取得折中 。 大多數(shù)情況下 ， 簡單特征比復(fù)雜特征更傾向于誤報(bào) （ false positives） ；復(fù)雜特征比簡單特征更傾向于漏報(bào) （ false negatives） 。 由此看來，選擇最佳特征是沒有固定標(biāo)準(zhǔn)的，完全應(yīng)由實(shí)際情況決定。例如，我們想判斷攻擊可能采用的工具是什么，那么除了 SYN和 FIN標(biāo)志以外，還需要其他什么屬性？“ 反身 ” 端口雖然可疑，但是許多工具都使用到它，而且一些正常通訊也有此現(xiàn)象，因此不適宜選為特征。 TCP窗口尺寸 1028盡管有一點(diǎn)可疑，但也會自然的發(fā)生。 IP鑒定號碼39426也一樣。沒有 ACK標(biāo)志的 ACK數(shù)值很明顯是非法的，因此非常適于選為特征數(shù)據(jù)。當(dāng)然，根據(jù)環(huán)境的不同，及時地調(diào)整或組合特征數(shù)據(jù)，才能達(dá)到最優(yōu)效果。 下面 ， 我們創(chuàng)建一個特征 ， 用于檢測由 Synscan發(fā)出的每個 TCP信息包 ， 特征如下： l 只設(shè)置了 SYN和 FIN標(biāo)志； l IP鑒定號碼為 39426； l TCP窗口尺寸為 1028。 第一個項(xiàng)目太普遍，第二個和第三個項(xiàng)目聯(lián)合出現(xiàn)在同一數(shù)據(jù)包的情況不很多，因此，將這三個項(xiàng)目組合起來就可以定義一個詳細(xì)的特征了。再加上其他的 Synscan屬性不會顯著地提高特征的精確度，只能增加資源的耗費(fèi)。