第五章系统攻击与入侵检测.pptVIP

第5章 系统攻击与入侵检测;本章学习目标： 系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。 本章应该掌握以下内容： 入侵的概念 几种系统攻击方法的原理 入侵检测的原理 入侵检测系统的组成及结构;5.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 5.1.1 黑客与入侵者 Hacker Cracker,Intruder 5.1.2系统攻击的三个阶段 （1）收集信息 （2）探测系统安全弱点 （3）实施攻击 ;5.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3．缺乏良好安全体系的系统 ;5.2 系统攻击方法;5.2.1 口令攻击 2．设置安全的口令 （1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。;3．一次性口令 （OTP，One-Time Password）。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。 OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。 ;5.2.2 IP欺骗;;SYN Flooding攻击;SYN-Flooding攻击示意图;;（2）序列号猜测 方法如下：攻击者先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。;(3）实施欺骗 Z伪装成A所信任的主机B攻击目标A的过程如下： t1: Z（B）－－SYN －－－ A t2: B ＜－－－SYN/ACK－－－ A t3: Z（B）－－－ACK－－－＞ A t4: Z（B）－－－—PSH－－－＞ A ;2. IP欺骗的防止 （1）抛弃基于地址的信任策略 （2）进行包过滤 （3）使用加密方法 （4）使用随机化的初始序列号 ;5.2.3 端口扫描;2．端口扫描 端口扫描是获取主机信息的一种常用方法。 利用端口扫描程序可以了解远程服务器提供的各种服务及其TCP端口分配，了解服务器的操作系统及目标网络结构等信息。 作为系统管理员使用扫描工具，可以及时检查和发现自己系统存在的安全弱点和安全漏洞，是非很常用的网络管理工具，许多安全软件都提供扫描功能。 端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。 通过这种方法，还可以搜集到很多关于目标主机的各种有用的信息，比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用TELNET等等。端口扫描程序在网上很容易找到，因而许多人认为扫描工具是入侵工具中最危险的一类。 ;5.2.4 网络监听 网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。 网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。 ;1．网络监听的原理 以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。 在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。 然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。 ;2．网络监听工具及其作用