2.1.入侵侦测系统简介-东海大学资讯工程学系.doc

私立東海大學資訊工程學系 學士論文 指導教授：呂芳懌 IP位置的保護暨入侵偵測與防禦系統 組員 942861 楊凱傑 942867 李喬瑋 942869 賴仲哲 942961 陳煒勝摘要 　　 近年來，網路的迅速發展，隨著科技時代演變及網路入侵手法的日益更新Intrusion Detection System, IDS)，具有即時網路安全偵測與回應功能，用來偵查入侵異常行為，負責監控網路環境安全的防衛系統，偵測攻擊者以及內部人員對未經授權之資訊系統做不正當的存取或攻擊，能在入侵行為造成危害前發出即時警告，並進行相關反應措施，防範系統遭致破壞。Switch 上SNMP 的功能，並搭配資料庫、PHP、以及Snort 的多重搭配，讓我們可以從網頁上輕鬆的得到目前區域網路的狀況，並同時偵測網路上的IP 使用情形，並且可以偵測不當使用區域網路與IP 的使用者。我們利用開放軟體的組合，幫助網路的管理者與使用者抵禦部分外來的侵擾。 目錄 摘要 2 圖表 4 第一章 緒論 4 1.1. 研究動機 4 1.2. 研究目標 5 第二章 研究背景 7 2.1. 入侵偵測系統簡介 7 2.1.1. 入侵偵測系統之運作 7 2.1.2. 入侵偵測系統對網路的作用 12 2.1.3. 入侵偵測軟體 - Snort 13 2.1.4. Snort架構 14 第三章 研究方法 16 3.1. 網路系統架構 16 3.1.1. 小型實驗環境 16 3.1.2. 大型實驗環境預想圖 17 3.2. 網頁程式架構 18 3.3. 網頁服務套件 19 3.3.1. MySQL 19 3.3.2. Apache 20 3.3.3. PHP 20 3.4. 防火牆軟體 21 3.4.1. IPTables 21 3.5. 輔助軟體 22 3.5.1. minicom 22 3.5.2. ARPWatch 22 3.6. Snort 23 3.6.1. Snort與IPTables 23 3.6.2. Snort與Switch 24 3.7. PHP與網頁圖表 25 第四章 研究結果 25 4.1. 自訂特徵 25 4.2. 搶IP偵測 26 4.2.1. 搶IP之行為 26 4.2.2. 搶IP解決辦法 26 4.3. ARP攻擊的偵測 27 4.3.1. ARP攻擊之行為 27 4.3.2. ARP攻擊解決辦法 27 4.4. 部份防禦 28 參考文獻 28 圖表 圖2.1 Snort系統之流程圖 16 圖3.2 小型實驗環境 17 圖3.3 大型實驗環境預想圖 18 緒論 研究動機 由於網路應用快速發展，開發許多以網路為基礎的應用與服務，因此網路環境的安全性，成為相當受到關注的研究領域與議題。網路安全的技術，隨著網路重要性的增加，也因此有著長足的進步。近年來因學校受到網路攻擊的次數頻繁，傳統的網路安全技術，大多為被動的資訊防禦技術，利用加密、簽認、阻擋等等方式，來避免可能的攻擊行為。但是隨著攻擊行為的複雜化與多樣化，這些網路安全技術對於複雜的攻擊逐漸失去防禦的能力，也因此，在這幾年來，主動式的入侵偵測，儼然成為重要的發展方向之一。 目前駭客猖獗，嚴重影響網路安全，其攻擊手段包括單純的封包指令攻擊、木馬程式攻擊及DoS/ DDoS阻斷攻擊IP 的使用等為了預防及減輕這些駭客入侵所造成之傷害，許多學者專家紛紛投入防火牆與入侵偵測系統的研究許多企業與個人皆架設用以保護主機及網路安全的設備及機制，但駭客的技術日新月異，網路安全的把關難以做到滴水不漏的情形。Intrusion Detection System, IDS)，具有即時網路安全偵測與回應功能，用來偵查入侵異常行為，負責監控網路環境安全的防衛系統，偵測攻擊者以及內部人員對未經授權之資訊系統做不正當的存取或攻擊，能在入侵行為造成危害前發出即時警告，並進行相關反應措施，防範系統遭致破壞。目前，最普遍的兩種入侵是基於網路的“promiscuous mode”(混亂模式)下來攔截所有過往的網路通訊，以進行偵測及分析。主要的檢測方式，最簡單的即是檢測網路封包內的標頭(header)以及其使用的指令及語法，從中判定是否包含駭客行為，所以被入侵者能在偵測到有攻擊行為的同時，就進行反制動作或提早預警。因此，網路型入侵偵測系統主要可以擁有下列優點：[2][8] 1. 成本較低 只需要一台主機即可偵測同一區域網路中的所有可能的攻擊行為，因此所需要增加的硬體成本相對較少。 2. 可偵測到主機式入侵偵測系統偵測不到的攻擊行為 某些網路攻擊行為(如DoS等)，攻擊模式僅從網路封包著手，因此必須依靠網路型入侵偵測系統來偵測。 駭客消除入侵證據較困難 由於網路型入侵偵測系統在偵測攻擊行為時較具有即時