Unit2攻击技术分析.ppt

入侵检测及扫描技术 —— 攻击分类与分析 主要内容 相关术语 入侵步骤 攻击分类 攻击语言分类 拒绝服务攻击及其检测 协议分析与模式匹配 相关术语 脆弱性(Vulnerability):指计算机系统的错误配置的或不完美的、能够被计算机未授权的用户所利用的元素。 入侵(Intrusion):入侵是系统全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。 入 侵 步 骤 入侵步骤的划分 黑客入侵通常是一序列不确定的行为。每一次完整且成功的入侵都有很大差别，企图分析完整的入侵是很困难的。 Ruiu把一次成功的网络入侵分成了七个阶段：侦察、脆弱性识别、渗透、控制、嵌入、数据抽象和修改、攻击重放 入侵步骤分析 - 侦察:信息的收集 - 脆弱性识别:对信息进行判断如端口扫描 - 渗透:进入目标系统，验证非法获得的口令、劫持TCP会话 - 控制:对目标系统实施控制 - 嵌入:对系统进行安装和修改，如特洛伊木马、后门、修改日志销毁痕迹 - 数据抽象和修改:进行破坏活动 - 攻击重放:利用被破坏的系统 攻 击 分 类 攻击分类方法的理想特征 Amoroso认为攻击分类方法应有以下6个特点: 互斥性：各类别应该互斥，不能重叠； 穷举性：全部类别包含了所有可能的攻击； 非二义性：各类别应当精确、清晰，没有不确定性； 可重复性：对一个样本多次分类的结果都应一样 可接受性：分类符合逻辑和知觉，能得到认同； 可用性：分类可用于该领域中的深入调查、研究 根据攻击发生的方式 将攻击分为3类：(Anderson) 外部攻击：非授权用户的攻击 内部攻击：系统合法用户对访问权限以外的资源造成危害（80%） 不当行为：系统合法用户对权限以内的资源的误用行为 按照入侵行为的表现方式 误用行为 误用行为包括：企图非法闯入，伪装攻击，对安全控制系统的渗透，泄漏，拒绝服务，恶意使用等行为。 异常行为 异常行为描述的攻击涉及系统资源的不正常使用。 按照攻击目的（或动机） (1)拒绝服务攻击 是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Syn flooding (UDP flooding)，Ping of death，Smurf (Fraggle)，Teardrop，TCP RST攻击，Jot2，电子邮件炸弹，畸形消息攻击。 (2)利用型攻击 是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。 按照攻击目的（或动机）（续1） (3)信息收集型攻击 不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。 (4)假消息攻击 用于为攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。 按照使用的技术手段 网络信息收集技术 包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。 目标网络权限提升技术 包括本地权限提升和远程权限提升。 目标网络渗透技术 包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。 目标网络摧毁技术 包括目标服务终止、目标系统瘫痪和目标网络瘫痪。 按照检测方式 （1）检查单IP包首部（包括tcp、udp首部）即可发觉的攻击，如winnuke，ping of death，land，部分OS detection，source routing等。这些攻击往往在包头部分就有明显的攻击特征。 （2）检查单IP包，并同时要检查数据段信息才能发觉的攻击，如利用cgi漏洞，和大量的buffer overflow攻击。这些攻击往往需要在数据段中查找相应的字符串来发现攻击行为。 基于行为的分类 Staliing针对信息传输系统，把攻击分为4类： 中断（Interruption）：摧毁系统，使其不可用 拦截（Interception）：未经授权获得资源的访问权 修改（Modification）:未经授权获得资源的访问权，并对资源进行破坏 伪造（Fabrication）：非授权人员将假冒对象放入被攻击系统的内部 按照检测方式（续1） (3) 通过检测发生频率才能发觉的攻击，如扫描，syn flooding，smurf等。但是需要维持一个额外的按时间统计的发生频率统计表，且因为结论是通过统计得来的，所以报警阈值的选择比较关键，这会影响到误判、漏判。 (4) 通过组装分片可以发现的分片攻击，如teadrop，nestea，jolt等。