l第十二周网络攻击与防御(第21,22章)剖析.ppt

* Microsoft Outlook 和 Outlook Express的所有版本都存在一个缓冲区溢出问题。远程攻击者可能在接受邮件的的主机上执行任意代码。这个安全问题出在Outlook对邮件头中GMT（时区）域的处理部分。这部分工作由INETCOMM.DLL来完成，由于缺乏对GMT域的长度检查，恶意用户可以构造一封特殊的邮件，在GMT域输入一段很长的字符串，就会导致outlook发生溢出：如果GMT域使用任意数据填充，将导致outlook崩溃；如果使用可执行代码填充，就可能让outlook/outlook express执行任意代码，可以在受害者不知道的情况下建立后门。 注意：这个漏洞的严重性在于并不需要用户浏览这封邮件，而是当用户通过POP3（Post Office Protocol，邮局协议）或者IMAP4（Internet Message Access Protocol, Internet消息访问）下载邮件时，溢出就会发生。 * 所有的黑客攻击都由这样的要素： 攻击的主体——攻击者 攻击的客体——我们的系统和网络，系统和网络存在的漏洞为攻击者提供了攻击的客观条件 再有就是攻击的过程 反黑技术： 针对系统和网络漏洞——研究漏洞扫描、评估技术，帮助加固系统的安全性 针对黑客攻击的过程——研究实时入侵检测系统，及时对黑客的入侵给予阻止、防范甚至反击。 对攻击者的惩罚，主要由法律和专政机关解决。 检测来自内部的攻击事件和越权访问 85％以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为防火墙系统的一个有效的补充 入侵检测系统可以有效的防范防火墙开放的服务入侵 * * * * * * * * * * * * * * * * 4、Snort检测（5） 逻辑匹配，或者是集合匹配。一些有更强事件检测能力的IDS，通过对不同类型的事件组合来进行判断，从而获得新的事件。少数IDS对多种事件的组合来构成逻辑推理，增强检测的智能。Snort对此类匹配支持的功能较弱，仅在stream等预处理插件中有一些。 4、Snort检测（6） 4、Snort检测（7） 4、Snort检测（8） 4、Snort检测（9） 对规则头解析的结果填入RTN，对规则选项解析的结果填入OTN。 抓取数据包后Snort要先进行一定程度的协议解析工作，主要是用相应的指针指向数据的各个域，这可以加快以后检测的匹配速度。然后数据包需要经过各个预处理器进行预处理，例如IP碎片重组、HTTP解码等。接下来就进入Snort的模式匹配过程，主要是遍历规则树试图匹配各个规则节点。 如前所述，Snort主要进行的是协议匹配、字符串匹配和长度匹配，而检测引擎中没有两次或者多次匹配的过程，也就是累计匹配和逻辑匹配，因此它不能检测分布事件，也不能检测流量异常，而只能通过端口协议字符串等来检测那些具有字符串数据特征的特定拒绝服务攻击工具的事件，这可以从snort的DDOS规则集看得出来。当然Portscan和Stream4等预处理器的增加使snort在累计匹配和逻辑匹配上有一些表现，比如，Portscan预处理器可以跟踪端口扫描事件的速率。 从Snort提供的规则也可以得到上面的结果，因为规则中所体现的基本都是对IP、ICMP、TCP、UDP这样的三、四层上的协议进行了解析，而对更上面的协议，比如第七层的应用协议等基本没有作协议分析，这些规则中主要进行的也是前三种方式的单包匹配。 当然这里的重点不是在匹配算法上，而更看重整个检测的结构和过程。首先能够看到的问题就是snort的规则树形结构过于简单，也就造成可能某些RTN下的OTN链比较庞大；没有对高层协议分析也是一个大问题，因为，协议分析可以更有效地定位匹配位置，加快匹配速率。因此，现在很多IDS将规则树更平坦，尽量让深度和宽度不失调，同时进行高层协议分析，这一代的IDS结构也就基本如此了。同时，有些IDS采用多层引擎的方式，来实现和加强累计匹配和逻辑匹配的检测能力。其实现在Snort的结构发展也基本是对这些问题的解决。 * 欢迎辞 * * * * 多态（Polymorphism）是一种对杀毒软件造成严重威胁的技术。一个多态病毒在触发时由加密模块进行解密，在感染时由加密模块进行加密感染，但其加密模块在每一次感染中会有所修改。一个仔细设计的多态病毒在每一次感染中没有一个部分是相同的。这使得使用病毒特征码进行侦测变得异常困难。 --加密后的病毒体只要key不同，加密病毒的特征值就消失了。每条解密指令都不是固定的。在每次感染后，因为解密代码几乎没有规律可寻，而其他代码又经过加密，所 以整个病毒代码都不是固定的，如果指望能够从这些代码中找到固定的病毒特征码则是徒劳的。这就是多态病毒思想。 变