【正文】 入侵檢測(cè)產(chǎn)品特點(diǎn)： 1） 記錄盡可能多的 “ 攻擊特征 ” ， 并經(jīng)常更新以檢測(cè)新的威脅 。例如： 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 網(wǎng)絡(luò)安全 具體的操作方法： 在上網(wǎng)后 ， 進(jìn)入 WINDOWS的 DOS模式下 輸入 ping 這里輸入對(duì)方的網(wǎng)頁地址或者 IP,如果再加上 t參數(shù)則為無限循環(huán)的 PING。但是，一旦受到大范圍 IP的 PING，很容易導(dǎo)致帶寬被占，影響普通用戶對(duì)其網(wǎng)頁的連接速度以及使用在該服務(wù)器上的一切服務(wù)，嚴(yán)重的可以使該服務(wù)器DOWN機(jī)（即死機(jī)）。 只有深入研究和了解網(wǎng)絡(luò)系統(tǒng)的易損性，獲悉系統(tǒng)的漏洞和弱點(diǎn)，才可能對(duì)癥下藥，實(shí)施強(qiáng)有力的攻擊。 2）開發(fā)高性能的掃描器 如何使嗅探器對(duì)付網(wǎng)絡(luò)分段和加密算法等；將當(dāng)前最先進(jìn)的工具結(jié)合起來，設(shè)計(jì)出一個(gè)有復(fù)合功能的、擁有學(xué)習(xí)能力的、自適應(yīng)系統(tǒng)。網(wǎng)絡(luò)攻擊的應(yīng)用主要包括： 竊取安全信息、獲取有用信息、 破壞網(wǎng)絡(luò)服務(wù)、惡化數(shù)據(jù)、網(wǎng)絡(luò)欺騙等等。 – 不過，許多防火墻是禁止帶源路由的包的 ? 主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) – 傳統(tǒng)主機(jī)掃描技術(shù) – 高級(jí)主機(jī)掃描技術(shù) 3)主機(jī)掃描 網(wǎng)絡(luò)安全 三、網(wǎng)絡(luò)攻擊方法 遠(yuǎn)程攻擊的概念 遠(yuǎn)程攻擊的對(duì)象是攻擊者暫時(shí)還無法控制的計(jì)算機(jī)，遠(yuǎn)程攻擊是專門攻擊除攻擊者本機(jī)以外的計(jì)算機(jī)，遠(yuǎn)程計(jì)算機(jī)是能夠利用某種協(xié)議、通過英特網(wǎng)或者其他網(wǎng)絡(luò)介質(zhì)而被使用的計(jì)算機(jī)遠(yuǎn)程攻擊的分析。 （ 3）管理的漏洞 攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入的系統(tǒng)信息，包括口令、用戶名等。利用（ 2）的權(quán)力和系統(tǒng)的漏洞，可以修改文件，運(yùn)行任何程序，留下下次入侵的缺口，或破壞整個(gè)系統(tǒng) （ 4）消除入侵痕跡 入侵者可利用的弱點(diǎn) （ 1）網(wǎng)絡(luò)傳輸和協(xié)議的漏洞 攻擊者利用網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。 ? 應(yīng)用搶劫：接收應(yīng)用并且達(dá)到非授權(quán)訪問。 ? 文件訪問：通過找到用戶標(biāo)識(shí)和口令，可以對(duì)文件進(jìn)行訪問。 在局域網(wǎng)上 ? 嗅探流量：觀察網(wǎng)絡(luò)上所有流量的被動(dòng)攻擊。 ? 轉(zhuǎn)播：是攻擊者通過第三方的機(jī)器轉(zhuǎn)播或反射他的通信，這樣攻擊就好象來自第三方的機(jī)器而不是他。 ? 會(huì)話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個(gè)現(xiàn)存動(dòng)態(tài)會(huì)話的過程。網(wǎng)絡(luò)安全 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 第八章 一、入侵和攻擊的種類 ? 有多種不同的入侵和攻擊行為，這里只給出最常見的種類。 ? 在 Inter上 ?在局域網(wǎng)上 ?本地 ?離線 在 Inter上 ? 協(xié)作攻擊： Inter允許全世界范圍的連接，這很容易使來自全世界的人們?cè)谝粋€(gè)攻擊中進(jìn)行合作參與。 ? 欺騙：欺騙是一種模仿或采取不是自己身份的行為。 ? 特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。 ? 廣播：攻擊者發(fā)送一個(gè)信息包到廣播地址，以達(dá)到產(chǎn)生大量流量的目的。 ? 遠(yuǎn)程控制：通過安裝木馬實(shí)現(xiàn)對(duì)機(jī)器的遠(yuǎn)程控制。 本地 ? 旁側(cè)偷看 ? 未上鎖的終端 ? 被寫下的口令 ? 拔掉機(jī)器 ? 本地登錄 離線 ? 下載口令文件 ? 下載加密的文本 ? 復(fù)制大量的數(shù)據(jù) 欺騙技術(shù) ? IP欺騙 – 假冒他人的 IP地址來獲得信息或發(fā)送信息 ? 郵件欺騙 – 假冒他人的 地址發(fā)送信息 ? Web欺騙 – 你能相信你所看到的信息嗎？ ? 非技術(shù)性欺騙 – 把精力集中在攻擊公司的人力因素上 網(wǎng)絡(luò)安全 二、網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)攻擊的步驟 （ 1）信息收集，獲取目標(biāo)系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務(wù)和服務(wù)進(jìn)程的類型和版本，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) （ 2）獲得對(duì)系統(tǒng)的訪問權(quán)力 （ 3）獲得系統(tǒng)超級(jí)用戶的權(quán)力。 （ 2）系統(tǒng)的漏洞 攻擊者可以利用系統(tǒng)內(nèi)部或服務(wù)進(jìn)程的 BUG和配置錯(cuò)誤進(jìn)行攻擊。 信息收集步驟 1）找到初始信息 – Open source – Whois – Nslookup 2）找到網(wǎng)絡(luò)的地址范圍 – Traceroute 3）找到活動(dòng)的機(jī)器 – Ping 4）找到開放端口和入口點(diǎn) – Nmap – Nessus 5）弄清操作系統(tǒng) – Nmap 6）弄清端口運(yùn)行的服務(wù) …… . 1)初始信息收集 : ?公開信息、網(wǎng)頁、 新聞報(bào)道、出版發(fā)行物、 新聞組或論壇 ?Whois – 為 Inter提供目錄服務(wù)，包括名字、通訊地址、電話號(hào)碼、電子郵箱、 IP地址等信息 ? Client/Server結(jié)構(gòu) – Client端 ? 發(fā)出請(qǐng)求，接受結(jié)果，并按格式顯示到客戶屏幕上 – Server端 ? 建立數(shù)據(jù)庫，接受注冊(cè)請(qǐng)求 ? 提供在線查詢服務(wù) ? 客戶程序 – UNIX系統(tǒng)自帶 whois程序 – Windows也有一些工具 – 直接通過 Web查詢 1)初始信息收集（續(xù)） :Nslookup ? 關(guān)于 DNS – 是一個(gè)全球分布式數(shù)據(jù)庫，對(duì)于每一個(gè) DNS節(jié)點(diǎn)，包含有該節(jié)點(diǎn)所在的機(jī)器的信息、郵件服務(wù)器的信息、主機(jī) CPU和操作系統(tǒng)等信息 – Nslookup是一個(gè)功能強(qiáng)大的客戶程序 ? 使用 Nslookup可查到域名服務(wù)器地址和 IP地址 C:\nslookup Server: Address: Nonauthoritative answer: Name: Address: 1)初始信息收集 :Ping ? 得到 IP地址的簡(jiǎn)單方法是 PING域名 C:\ping Pinging [] with 32 bytes …… . …… . 2)找到網(wǎng)絡(luò)地址范圍 ? Traceroute – 用來發(fā)現(xiàn)實(shí)際的路由路徑 – 原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列 UDP，其 TTL依次增一，中間路由器返回一個(gè) ICMP Time Exceeded消息 ? 關(guān)于 traceroute ? traceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨? ? 可以用來發(fā)現(xiàn)到一臺(tái)主機(jī)的路徑，為勾畫出網(wǎng)絡(luò)拓?fù)鋱D提供最基本的依據(jù) ? Windows平臺(tái)上為“ tracert”, ? Traceroute允許指定寬松的源路由選項(xiàng)。 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊既可是因?yàn)槟撤N需要直接發(fā)起攻擊，也可以在防御系統(tǒng)受到攻擊時(shí)發(fā)起反擊，有時(shí)候，攻擊對(duì)方往往是最好的防御。 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 網(wǎng)絡(luò)安全 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 發(fā)現(xiàn)一個(gè)系統(tǒng)的弱點(diǎn)是展開攻擊或防御的前提，途徑包括： 1）開發(fā)檢測(cè)系統(tǒng)易損性的工具 目前，已經(jīng)有大量的掃描器（ scanner）和嗅探器（ sniffer）出現(xiàn)，如 NSS、strobe、 Gobbler、 ETHLoad等。 網(wǎng)絡(luò)安全 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 3）人工分析 為了進(jìn)一步發(fā)展易損性檢測(cè)系統(tǒng)，還應(yīng)對(duì)新興的防御技術(shù)進(jìn)行深入的分析，比如分析新的安全協(xié)議中的漏洞等等。 網(wǎng)絡(luò)