4网络入侵与检测系统.docVIP

第四章 网络入侵与检测系统 4.1.1 黑客文化：Hacker创造新东西，Cracker破坏东西 4.1.2 技术基础： OS方面：UNIX的基本操作；Linux的基本操作；日志；Windows 9x的MSdos.sys及NT的注册表 Internet与TCP/IP协议方面 网络编程方面：Linux网络编程；套接字系统调用 如Socket（）；Windows网络编程，Winsock 如Socket（）打开一个流套接字；VC++的MFC ，CSocket类 4.1.3 入侵基本思想： ①确认攻击目标 任务：收集有用信息。如目标计算机的硬件信息、操作系统信息、应用软件信息、所在网络的信息、用户信息、存在的漏洞等。使用的工具：端口扫描，网络命令等。 ②选用合适方法入侵 利用口令猜测，重复登录，直至合法登录；发现漏洞（当然要有方法如缓冲区溢出法），直接登录；用IP欺骗 取得目标计算机的信任 ③留后门（木马），删除入侵记录，继续收集有用信息（如用sniffer收集数据）等 4.1.4 IDS 引入：①被动防御：加密、身份认证、访问控制、安全OS主动防范：入侵检测 Event Generator；2、活动记录器：Activity Profile；3、规则集：Rule Set 4.2 典型入侵攻击 4.2.1 端口扫描 1、系统的信息服务器可能提供一些入侵需要的信息，如finger、正上机的用户名、使用的终端、空闲的时间、登录时间、从哪登录等。2、但有些攻击者还需要进一步的分析工具，如端口扫描3、扫描对象：TCP，UDP 优点：操作方便，能发现已知的安全隐患 缺点：无法发现未被扫描工具包含的安全隐患及新的隐患 4.2.2 网络监听（sniffer ） 1、网络监听的原理：当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。网络监听的最大用处是获得用户口令。 2、可监听的传输介质：（1）Ethernet（2）FDDI，Token-Ring（3）电话线（4）IP通过电线电视信道（5）微波，无线电 3、防范 （1）方法1：对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。 （2）方法2 ：往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能加以判断。 （3）方法3 ：—般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。 （4）方法4：对网上传输的信息进行加密，可以有效地防止网络监听的攻击。 IP Spoofing） 1、欺骗的类型：（1）邮件欺骗：冒充发送者：如冒充管理者要求用户发信改指定口令来自SMTPSMTP的信息源信息可以控制；虽然系统管理员可以从连接关系来确定，但是可能因为多次中继、转发而无法确定。）（2）IP欺骗：如伪造源地址的IPIP防火墙，源于IP协议的漏洞（3）路由欺骗：伪造路由4）WWW服务器欺骗等：攻击者构造一个网站的完整拷贝，并且把客户旁路到该拷贝上，修改一切可能导致用户察觉的上下文信息，使用户作出错误的安全相关决定。该攻击的关键技术是“URL”，即将页面中的所有URL都重写。 IP欺骗是攻击的手段，而不是攻击的结果 2、IP欺骗的原理：1、基于IP的信任关系：IP只发送数据包，面向非连接的，不保持任何连接状态的信息2、可对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，即提供虚假的IP地址；3、TCP提供可靠传输：由数据包中的控制字提供 3、IP欺骗的过程：选定目标主机(发现信任模式(找到一个被目标主机信任的主机(使被信任的主机丧失工作能力(方法：TCP SYN淹没) (采样目标主机发出的TCP序列号，猜测出它的数据序列号 后门的种类（1）利用系统本身的缺陷： ①Rhost++ ②引导区后门（2）利用用户的疏忽： ①攻击用户口令的后门 间谍方式3）利用特洛伊木马程序：①校验和与时标 login后门（获得login.c）③telnetd后门 ④library(后门) ⑤文件系统后门（4）利用传输协议：①网络流量后门 TCP端口 ③UDP ④ICMP报文（5）利用服务的漏洞 4、IP欺骗的防范：对于来自网络外部的欺骗来说，只要在路由器里面设置不允许声称来自内部网络的外部计算机的包通过就行了。 当实施欺骗的主机在同一网络内时，攻击往往容易得手，并