第11讲系统安全性-入侵检测概述.ppt

网络与信息安全技术第十一讲入侵检测 华中科技大学软件工程硕士课程 网络入侵基本步骤 第一步 踩点 利用经验和工具分析对方的网络结构和组织信息 WHOIS查询 DNS查询 Host tracerouter 第二步 扫描 使用端口扫描工具(猜测操作系统类型) Nmap SuperScan X-Scan …….. 漏洞扫描 端口 CGI漏洞(避开IDS) RPC漏洞 SQL-Server漏洞 NT弱口令，FTP账户，NETBIOS信息 …………. 第三步 攻击 缓冲区溢出 输入验证漏洞 应用程序漏洞或者配置错误漏洞 暴力猜解密码 拒绝服务攻击 信任关系欺骗攻击(客户机攻击模式) …… 第四步 清除日志 清除系统日志 SysLogd(/var/log) %WINNT%\system32\config\ …. 清除应用程序日志 ${prefix}/logs/ %WINNT%\system32\logfiles\ ….. 湮没日志 …… 第六步 隐藏自己 隐藏的win32服务 NTFS流文件 Loadable Kernel Modules DLL和动态嵌入技术 ….. 第七步 后门 Login Backdoor Bindshell CGI Backdoor Ping Backdoor ACK Backdoor Database Backdoor Aapache