【正文】 課后練習(xí) 1. 比較基于異常檢測(cè)模型和基于誤用檢測(cè)模型的特點(diǎn) 2. 下載 snort建立入侵檢測(cè)系統(tǒng) 3. 進(jìn)行掃描與入侵實(shí)驗(yàn)，了解所處網(wǎng)絡(luò)有無(wú)漏洞存在。 單擊 “ user”圖標(biāo)。 5. 修改系統(tǒng)參數(shù)并遠(yuǎn)程控制系統(tǒng)。 實(shí)驗(yàn) 掃描與入侵 。 實(shí)驗(yàn) 掃描與入侵 ? 在 “ notify dialog”選項(xiàng)卡中，去除 “ notify on connection”復(fù)選框。 ? 單擊 “ OK”按鈕進(jìn)行安裝，在默認(rèn)的情況下，遠(yuǎn)程主機(jī)會(huì)被通知建立連接，這樣會(huì)使入侵者暴露入侵痕跡。 在 DameWare主界面，單擊左側(cè)圖標(biāo) “ remote control”，在打開(kāi)菜單中雙擊 “ mini remote control”，然后在彈出界面的 “ user”欄中填入獲得的用戶名 “ administrator”，由于密碼為空，所以 “ password”欄不填。 實(shí)驗(yàn) 掃描與入侵 入侵步驟 DameWare中添加遠(yuǎn)程主機(jī)。在指定 IP范圍的輸入框中輸入要掃描的 IP地址段，如： 。 實(shí)驗(yàn) 掃描與入侵 入侵步驟： 1. 利用 xscan掃描遠(yuǎn)程主機(jī)是否存在弱口令，獲取管理員權(quán)限。 實(shí)驗(yàn) 掃描與入侵 ? DameWare是一款網(wǎng)管工具，只要擁有遠(yuǎn)程主機(jī)管理員權(quán)限的帳號(hào)，任何人都可以通過(guò)圖形界面來(lái)控制該遠(yuǎn)程主機(jī)。 在 VICTIM上運(yùn)行 ARP –A， 有如下的輸出： Interface: on Interface 0x3000006 Inter Address Physical Address Type 000000000001 dynamic 000000000001 dynamic 欺騙成功 ！ （ 通過(guò)網(wǎng)關(guān)出去的信息發(fā)給了攻擊者 ） 實(shí)驗(yàn) 掃描與入侵 ? 入侵工具： xscan, DameWare ? 實(shí)驗(yàn) 掃描與入侵 ? Xscan是一款優(yōu)秀的綜合掃描器，對(duì) 指定 IP地址段或單機(jī) 進(jìn)行安全漏洞檢測(cè)。 交換局域網(wǎng)嗅探 ? 交換機(jī)在正常模式下按 MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)包，此時(shí)只能監(jiān)聽(tīng)廣播數(shù)據(jù)包。 ? 被監(jiān)聽(tīng)的網(wǎng)絡(luò)類型： ? 以太網(wǎng) ? FDDI、 Token ring ? 使用電話線 ? 通過(guò)有線電視信道 ? 微波和無(wú)線電 網(wǎng)絡(luò)監(jiān)聽(tīng)原理 ? 舉例：共享式集線器 （ HUB） 連接 將網(wǎng)卡置于混雜模式實(shí)現(xiàn)監(jiān)聽(tīng) Sniffer軟件 ? Wireshark ? NetxRay ? Sniffer Pro ? CuteSniffer(小巧 ， 功能較全 ) ? Iris ? Ace Password Sniffer(自動(dòng)捕獲口令 ) CuteSniffer 自動(dòng)捕捉口令 ? Ace Password Sniffer，能監(jiān)聽(tīng) LAN，取得密碼。 ? 普通模式下 ， 網(wǎng)卡只接收與自己 MAC地址相同的數(shù)據(jù)包 ，并將其傳遞給操作系統(tǒng) 。但在 Windows環(huán)境下，該方法無(wú)效，因?yàn)椴徽撃繕?biāo)端口是否打開(kāi)，操作系統(tǒng)都返回 RST包。 ? 優(yōu)點(diǎn)： 由于這種技術(shù)不包含標(biāo)準(zhǔn)的 TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而必 SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè) SYN包的包過(guò)濾器。當(dāng)一個(gè) FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被 丟掉 ，并且返回一個(gè) RST數(shù)據(jù)包。如果應(yīng)答是 RST包，那么說(shuō)明端口是關(guān)閉的；如果應(yīng)答中包含 SYN和 ACK包，說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài)，再傳送一個(gè) RST包給目標(biāo)機(jī)從而停止建立連接。否則，這個(gè)端口不可用，即沒(méi)有提供服務(wù)。 開(kāi)放掃描 TCP Connect 掃描 ? 實(shí)現(xiàn)原理 ：通過(guò)調(diào)用 socket函數(shù) connect()連接到目標(biāo)計(jì)算機(jī)上，完成一次完整的三次握手過(guò)程。 ? 缺點(diǎn)： ? 只適合于 UNIX/Linux系統(tǒng)， Windows 會(huì)忽略這種請(qǐng)求包； ? 這種掃描方式容易引起廣播風(fēng)暴 ICMP報(bào)文類型 ? 0 Echo Reply ? 3 Destination Unreachable ? 4 Source Quench ? 5 Redirect ? 8 Echo ? 11 Time Exceeded ? 12 Parameter Problem ? 13 Timestamp ? 14 Timestamp Reply ? 15 Information Request ? 16 Information Reply ? 17 Address Mask Request ? 18 Address Mask Reply 端口掃描技術(shù) ? 當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。 ? 優(yōu)點(diǎn)： 簡(jiǎn)單，系統(tǒng)支持 ? 缺點(diǎn)： 很容易被防火墻限制 ? 可以通過(guò)并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（ ICMP Sweep掃描）。向目標(biāo)主機(jī)發(fā)送 ICMP Echo Request (type 8)數(shù)據(jù)包，等待回復(fù)的 ICMP Echo Reply 包 (type 0) 。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。 （ 3）第 3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。 （ 2）第 2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。 ? Nslookup :客戶程序，可以把 DNS數(shù)據(jù)庫(kù)中的信息挖掘出來(lái) Nslookup查詢的新浪 注：本機(jī)所訪問(wèn)到的新浪網(wǎng)頁(yè)是鏡像網(wǎng)站 目 錄 1. 網(wǎng)絡(luò)信息收集 2. 網(wǎng)絡(luò)掃描技術(shù) 3. 網(wǎng)絡(luò)流量偵聽(tīng)技術(shù) 掃描技術(shù) ? 掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一，是一種基于 Inter遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)，是為使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。 網(wǎng)絡(luò)信息收集 — 社會(huì)信息 ? 指通過(guò)非網(wǎng)絡(luò)技術(shù)手段獲得的信息 ? 社會(huì)工程：獲取員工的信任。 snort軟件 。 完成這一實(shí)驗(yàn)之后 ， 將能夠：安裝“ snort”服務(wù) ， 使用 “ snort”服務(wù) 。 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 CIDF的體系結(jié)構(gòu) 事件產(chǎn)生器 響應(yīng)單元 事件數(shù)據(jù)庫(kù) 事件分析器 CIDF的體系結(jié)構(gòu) 原始事件 響應(yīng)事件 通用入侵檢測(cè)框架 CIDF ? 目前 CIDF的進(jìn)展不盡如人意，該項(xiàng)目組的工作基本處于停滯狀態(tài)，其思想和理念也沒(méi)有得到很好的貫徹和執(zhí)行。 ? 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ? 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ?傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測(cè)引擎 ?檢測(cè)引擎安裝在傳感器計(jì)算機(jī)本身 ?網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè) 管理 /配置 入侵分析引擎器 網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù) 嗅探器 嗅探器 分析結(jié)果 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) ? 為解決高速網(wǎng)絡(luò)上的丟包問(wèn)題， 1999年 6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上 ? 每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來(lái) 數(shù)據(jù)采集構(gòu)件 應(yīng)急處理構(gòu)件 通信傳輸構(gòu)件 檢測(cè)分析構(gòu)件 管理構(gòu)件 安全知識(shí)庫(kù) 分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖 基于網(wǎng)絡(luò)的入侵檢測(cè)的好處 ?威懾外部人員 ?檢測(cè) ?自動(dòng)響應(yīng)及報(bào)告 基于網(wǎng)絡(luò)的技術(shù)面臨的問(wèn)題 ?分組重組 ?高速網(wǎng)絡(luò) ?加密 基于異常的入侵檢測(cè) ? 思想：任何正常人的行為有一定的規(guī)律 ? 需要考慮的問(wèn)題： （ 1）選擇哪些數(shù)據(jù)來(lái)表現(xiàn)用戶的行為 （ 2）通過(guò)以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測(cè)方法的不同 （ 3）考慮學(xué)習(xí)過(guò)程的時(shí)間長(zhǎng)短、用戶行為的時(shí)效性等問(wèn)題 數(shù)據(jù)選取的原則 （ 1） 數(shù)據(jù)能充分反映用戶行為特征的全貌 （ 2） 應(yīng)使需要的數(shù)據(jù)量