攻击与监控技术.ppt

攻击与监控技术 目录 一、引言 二、对INTERNET网络攻击行为的分析 三、对INTERNET安全漏洞的分析 四、攻击者常用的辅助工具 五、网络监控与入侵检测系统 一、引 言 计算机网络安全是实现信息安全的重要途径。 安全攻击图示 源 宿 源 宿 1、 正常 2、阻断 源 宿 源 宿 源 宿 3、截获 4、篡改 5、伪造 常见攻击分类 1、窃取口令字； 2、社会工程； 3、BUGs和后门； 4、鉴别失效； 5、协议缺陷； 6、信息泄露； 7、拒绝服务。 网络攻击的现状 1、黑客从业余向专业化发展，有组织的攻击出现； 2、内部攻击越来越多，防不胜防； 3、网络安全方面的资源和人员十分有限； 4、安全政策直接影响网络安全的效果； 5、安全技术与INTERNET的有机结合仍是关键所在。 二、对INTERNET网络攻击行为的分析 网络攻击的类型 1、本地攻击； 2、远程攻击； 3、穿过防火墙的攻击。 网络攻击的目的 1、读取网络内的信息； 2、在非根目录下写入或执行程序； 3、在根目录下写入或执行程序。 INTERNET攻击分级 0、拒绝服务攻击：使用户无法访问文件或程序； 1、本地用户能读取本地系统上的文件； 2、本地用户能在本系统的非根目录下写入或执行文件； 3、本地用户能在本系统的根目录下写入或执行文件； 4、同一网络上的远程用户能在本系统中读取或传送文件； 5、同一网络上的远程用户能在网络中写入或执行非根目录下的文件 6、同一网络上的过程用户能在网络中写入或执行根目录下的文件； 7、远程用户穿过防火墙能读取网络中传送的文件； 8、远程用户穿过防火墙能在本系统的非根目录下写入或执行文件； 9、远程用户穿过防火墙能在本系统的根目录下写入或执行文件。 网络攻击的基本步骤 1、设法进入目标系统； 2、进入系统的核心； 3、通过已进入的系统攻击其它系统。 三、对INTERNET安全漏洞的分析 INTERNET网络漏洞/弱点 四、攻击者常用的辅助工具 网络攻击者常用的工具 1、网络攻击工具： Trojan后门，网络嗅探器，网络跟踪程序，Crack 2、网络安全分析工具： SATAN， SAFESuite, COPS 3、网络检索工具： YAHOO，ALTAVISTA，INFOSEEK，SPIDER 4、网络监控与协议分析工具： Net Monitor, Protocol Analyser, Cookies 常用攻击手段 1、获取口令字后，直接攻击； 2、利用协议的缺陷，进行攻击； 3、获取系统泄漏的信息后，实施攻击； 4、利用秘密通道和方式，实施攻击； 5、采用电子欺骗，实施攻击； 6、利用系统存在的缺陷，进行攻击； 7、利用重新引导和过载流量，实施失效（DOS）攻击； 8、利用截获会话和连接，实施攻击。 五、网络监控与入侵检测系统 网络入侵检测系统 网络入侵检测系统是一种安全工具, 可以检测真实的攻击行为。 入侵检测系统的CIDF模型（入侵检测通用框架） 组成 E模块：事件生成器：感知器官 A模块：分析机：可能很复杂；e.g.攻击模式 D模块：存储机制：存储上述行为产生的数据 C模块：反应措施： 分类 基于主机：与OS相关，注重本地用户行为 基于网络：可观察到网络的低层操作 CIDF 模块间的关系 入侵检测系统举例 1、RealSecure ISS 公司 不检查：坏序列号；IP碎片重组；TCP/IP校验和；TCP RST 2、NetRanger Wheel Group 公司 不检查：SYN包中数据；IP碎片重组；TCP/IP校验和 3、SessionWall-3 AbirNet 公司 不检查：SYN包中数据；IP碎片重组 4、NFR NFR 公司 不检查：TCP/IP校验和；TCP碎片重组 本身不是入侵检测系统，但具网络监视功能。可编程，有源码。 * * 电子邮件