6-2入侵监测与服务协议端口管理.pptVIP

网络安全实训模块任务二　入侵监测与服务协议 端口管理安全 一、实训的目的 了解入侵监测与服务协议端口管理的原理与实现方式 二、实训内容 通过了解入侵监测与服务协议端口管理的原理与实现方式 入侵监测定义 入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术。 入侵监测系统模型三个功能部件 1．提供事件记录流的信息源  2．发现入侵迹象的分析引擎  3．基于分析引擎的分析结果产生反映的响应部件 　　　　 　　　　  入侵监测与防火墙的协同 防火墙与入侵监测可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是入侵监测可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当入侵监测发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。 入侵监测与路由器、交换机的协同 由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以入侵监测与交换机、路由器的协同与入侵监测同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。  入侵监测与防病毒系统的协同 入侵监测与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说入侵监测还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，入侵监测与防病毒系统的协同也变得越来越重要。  入侵监测与蜜罐和填充单元系统协同 蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当监测到对蜜罐的访问时，很可能就有攻击者闯入。“蜜罐”上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息。“蜜罐”的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。 “填充单元”采取另一种不同的方法。“填充单元”不试图用引诱性的数据吸引攻击者，它等待传统的入侵监测来监测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与“蜜罐”相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。“填充单元”为监测攻击者的行为提供了独特的机会。 端口扫描的原理 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。 1．TCP connect( )扫描 2．TCP SYN扫描 3．TCP FIN扫描 4．Fragmentation 扫描 5．UDP recfrom( )和write( )扫描 6．ICMP扫描 端口扫描的工具 1．NSS NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。 2．SATAN SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。 3．Strobe Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。 监听的可能性 网络监听是黑客们常用的一种方法。 下面表格描述了在通常的一些传输介质上，信息被监听的可能性。 * 端口管理安全 端口扫描简介 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。 网 络 监 听 网络监听的原理 当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。 网络监听的最大用处是获得用户口令。 网 络 监 听 网络监听的原理 当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来