入侵检测系统FAQ(全).docVIP

入侵检测系统FAQ（全） 1.1 什么是网络侵入检测系统(NIDS)? 入侵是指一些人(称为黑客, 骇客)试图进入或者滥用你的系统。词语滥用的范围是很广泛的，可以包括从严厉的偷窃机密数据到一些次要的事情，比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢，这个是主要的)。 侵入检测系统(IDS)是用来检测这些入侵的系统。根据这个FAQ的打算，IDS可以有如下的分类: 网络侵入检测系统(NIDS) 监视网线的数据包并试图是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器, 路由器, 探测器[probe])。注意一个网络IDS监视很多主机，然而其他的只是监视一个主机(他们所安装的)。 系统完整检验(SIV) 监视系统文件试图发现是否有侵入者更改了文件(可能留个后门)。这样系统最著名的就是Tripwire。一个SIV也应该能监视其他的组件，比如Windows的注册表和chron的配置, 目的是发现知名的迹象。他也应该能检测到一个一般用户偶然获得root/Administrator级别权限。这个领域更多的产品应该被认为是工具而不是一个系统：比如Tripwire类似的工具检测临界系统组件的更改，却不能产生实时的告警。 日志文件监视器(LFM) 监视网络设备产生的日志文件。同NIDS类似，这些系统通过对日志文件的模式匹配提出是否有入侵者攻击的建议。一个典型的例子就是分析HTTP日志文件来发现入侵者试图一些知名漏洞(比如phf攻击)实例有swatch。 诱骗系统(包括decoys,lures,fly-traps,honeypots) 还有一些伪服务，目的是模拟一些知名洞来诱陷黑客。参见 掌 统工具包中的例子: /dtk/。也可以简单的通过重新命名NT的系统管理员帐号，然后建立一个无权限的虚帐号进行广泛的审计。在此文档后面有关于诱骗系统的更多描述。同时参见/~lspitz/honeypot.html 其他 1.2 谁在滥用(misusing)系统? 有两个词来描述攻击者: 黑客和骇客。黑客是一个一般术语：喜欢进入东西的人。良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人。恶意的黑客是那些喜欢进入其他人系统的人。良性黑客希望媒体能停止对所有黑客的苛刻批评，使用骇客来做替代。很不幸，这个想法没有被接受无论如何，在这个FAQ使用的词语是入侵者，来一般表示那些想要进入其 他人系统的人。 侵入者可以被分为两类: 外部的: 你网络外面的侵入者，或者可能攻击你的外部存在(乱改的web服务器,通过e-mail服务器转来的垃圾邮件)。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络(卖主,客户, 中间商等)。 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人(比如社会安全雇员因为不喜欢某人就将其标志为死亡)和模仿更改权力的人(比如使用别人的终端)。一个常被引用的统计就是80%的安全问题同内部人有关。 有几种类型的侵入者: 快乐骑士(Joy riders)因能而黑;文化破坏者(Vandals)意于毁坏或更改Web页面; 奸商 (Profiteers)意于利益，如控制系统勒索或者窃取数据得利。 1.3 入侵者如何进入系统? 入侵者进入系统的主要途径: 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。 应该注意网络侵入检测系统主要关心远程侵入。 1.4 入侵者为什么能侵入系统? 软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。 1.4.1 软件bug 软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。软件bug可以分为如下几种: 缓冲区溢出: 我们读来的几乎所有的安全漏洞归于这一类。一个典型的例子是一个开发人员设定了一个256字符长的缓冲区来存储用户