火龙果软件-入侵检测与防御技术精讲.doc

?? 第7章 入侵检测与防御技术 ?7.1 入侵检测系统概述? 　　任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵，它可以是针对安全策略的违规行为、针对授权特征的滥用行为，还可以是针对正常行为特征的异常行为。这些攻击可分为六个层次。　　1．第一层　　第一层次的攻击一般是基于应用层的操作，第一层的各种攻击一般应是互不相干的。典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击，这些攻击的目的只是为了干扰目标的正常工作，化解这些攻击一般是十分容易的。拒绝服务发生的可能性很大，对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒绝列表中，使攻击者网络中所有主机都不能对你的网络进行访问。　　第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话，然后设法了解哪些目录是共享的、哪些目录没被共享，如果在网络上采取了适当的安全措施，这些行为是不会带来危险的，如果共享目录未被正确地配置或系统正在运行远程服务，那么这类攻击就能方便得手。　　网络上一旦发现服务拒绝攻击的迹象，就应在整个系统中查找攻击来源，拒绝服务攻击通常是欺骗攻击的先兆或一部分，如果发现在某主机的一个服务端口上出现了拥塞现象，那就应对此端口特别注意，找出绑定在此端口上的服务；如果服务是内部系统的组成部分，那就应该特别加以重视。许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效，真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。　　2．第二层和第三层　　第二层是指本地用户获得不应获得的文件(或目录)读权限，第三层则上升为获得写权限。这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。如果某本地用户获得了访问tmp目录的权限，那么问题就是很糟糕的，可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击，甚至可能继续下去。　　本地攻击和其他攻击存在一些区别，“本地用户”(Local User)是一种相对的概念。“本地用户”是指能自由登录到网络的任何一台主机上的用户。本地用户引起的威胁与网络类型有直接的关系，如对一个ISP而言，本地用户可以是任何人。本地用户发起的攻击既可能是不成熟的，也可能是非常致命的，但无论攻击技术水平高是低，都必须利用Telnet。　　访问控制环境中，存在着两个与权限密切相关的问题，都决定着第二层攻击能否发展成为三层、四层或五层攻击。这两个问题就是误配置和软件漏洞。如果对权限理解不透彻，第一个问题可能出现。第二个问题比较常见，任何时候都会出现。　　3．第四层　　第四层攻击主要是指外部用户获得访问内部文件的权利。所获得的访问权限可以各不相同，有的只能用于验证一些文件是否存在，有的则能读文件。如果远程用户(没有有效账户的用户)利用一些安全漏洞在你的服务器上执行数量有限的几条命令，则也属于第四层攻击。　　第四层攻击所利用的漏洞一般是由服务器配置不当、CGI程序的漏洞和溢出问题引起的。　　4．第五层和第六层　　第五层攻击是指获得特权文件的写权限，第六层攻击则是指获得系统管理员的权限或根权限。这两类攻击都利用了本不该出现却出现的漏洞，在此级别上，远程用户有读、写和执行文件的权限，这类攻击都是致命的。　　一般来讲，如果阻止了第二层、第三层及第四层攻击，那么除非是利用软件本身的漏洞，五层、六层攻击几乎不可能出现。 7.1.2 　　1．对第一层攻击的防范　　防范第一层攻击的方法：首先对源地址进行分析，发现攻击迹象后，与攻击者的服务进行联系。这种防范手段当拒绝服务攻击看上去和其他更高层次的攻击相似时，即攻击持续时间较长时，这时应该不仅仅是拒绝接受数据。　　2．对第二层攻击的防范　　对第二层攻击的处理应局限在内部，不要泄露有关本地用户已访问到他们不应访问的东西这一信息，采取的基本措施是不做任何警告就冻结或取消本地用户的账号，通过这种方法可以保留那些来不及被删除的证据。　　万一无法完全获得攻击证据，可以先做出警告并暂时保留其账号，然后尽可能全面地记录整个事件的过程，当攻击又发生时再做出处理。　　3．对第三、第四和第五层攻击的防范　　如果遭受的攻击是第三、第四、第五层攻击，那么所受的威胁就十分得大，必须采取下列一些措施：　　1）将遭受攻击的网段隔离出来，把攻击限制在较小的范围内。　　2）让攻击行为继续进行。　　3）对攻击行为进行大量的日志工作。　　4）在另一个网段上，竭尽全力地判断攻击源。　　此时还需要和攻击者周旋，因为这种类型的访问是非法的，如果想抓住他，那么需要收集证据，但证据的收集是需要时间的。在Internet犯罪案件中，证据并没有统一的标准。能使罪犯绳之以法的确凿证据是那些能证明攻击者曾侵入过网络，如攻击者用拒绝服务攻击使服务器死机的证据。在寻找攻击者并定位攻击者的