软体系统报告.DOC

軟體系統報告 Intrusion Detection System 李翰林 (組長)、曹霖維 O. Abstraction 隨著網際網路的興盛及普及，無論是一般的家庭用戶，還是中小企業，多多少少和網路有關係。網際網路的興起，不只「秀才不出門，能知天下事」，而且還能幫助你不必出門，也能搞定大小事，舉凡訂購車票、網路報稅等。 表面看來，網際網路是多麼的美好、方便、強大。不過，大部份的人並不了解，網路上充斥者各式各樣的危險。只要你的電腦和網際網路有了接觸，從四面八方而來的威脅就會接踵而至。有心入侵他人電腦的入侵者，不斷地以各種方式刺探電腦，並且伺機對其下手。而被入侵的電腦所造成的災害也有數種，例如系統資源被耗盡、帳號被他人取得，甚至於系統服務中斷。無論是那一方面損害，都會造成網路使用者的不便或是硬體／軟體的損害。 本次報告將要介紹一些入侵偵測系統，其中包括了封包偵測的程式，還有系統漏洞偵測工具，來讓一般的使用者或是電腦系統管理者都可以掌握電腦的狀況，補強自已系統安全的漏洞。 然而，有些偵測程式可能亦具有窺探他人電腦的功力，甚至某些有開放源始碼的偵測工具，在修改程式碼之後亦可能對他人的系統造成傷害。「害人之心不可有，防人之心不可無」，擁有這些免費又強大的工具請用來保護自已，至於害人又害已的事情，還是少作為妙。 I. Introduction 知已知彼，百戰不殆。所以本章的第一部份，我們將先簡單地討論個各種網路攻擊，還有近年來的攻擊趨勢。第二個部份我們將介紹各式偵測入侵系統。 A. 常見的攻擊模式、步驟，和近年的攻擊趨勢 甲．攻擊模式 常見的攻擊模式有五種：獲取指令、電子郵件、特洛依木馬、誘入法、以及尋找系統的漏洞 獲取指令是指利用合法的指令和使用者入侵電腦。方法有很多，包括從電子郵件取得他人的帳號和密碼、或是查看主機常使用的帳號，算是最簡單的攻擊法。 特洛依木馬：就如同名字一樣，入侵者會寫出一種看似毫無惡意的程式來下載，就如同迎接木馬進城一樣。殊不知該程式內夾帶了後門程式。當使用者下載到此程式，並且安裝之後，就如同把電腦交給入侵者一樣，而入侵者即可以受害者的電腦為所欲為。 電子郵件：其一是以數以萬計無意義的信件、讓使用者的電腦或是網路大癱瘓。另一種則是以釣魚的方式來引誘使用者說出敏感的資料，或是讓使用者安裝他們的木馬程式。 誘入法其實和前兩種攻擊方式極為類似，就是以假信件，假網頁等來騙取使用者的資料 尋找系統的漏洞：此種攻擊方式即尋找系統的漏洞，舉凡緩衝區溢位、Windows的register檔等。一個疏於管理的和更新的系統易遭此種攻擊.。 乙．攻擊步驟 一個入侵者的入侵方式如下：他會把自已給隱藏起來，不被發現。然後尋找目標主機，並分析這個系統。一但取得該系統的帳號和密碼之後，即可登錄該主機。接下來，把紀錄檔清除，並留下後門程式。一但上述的流程作完，便可對目標主機所所欲為了。 丙．攻擊的趨勢 從1988年開始，位於美國卡內基梅隆大學的CERT CC(計算機緊急響應小組協調中心)就開始調查入侵者的活動。CERT CC給出一些關於最新入侵者攻擊方式的趨勢。他們把這些趨勢分成六大類： 攻擊過程的自動化與攻擊工具的快速更新 攻擊工具的不斷複雜化 漏洞發現得更快 滲透防火牆 非對稱式攻擊威脅的增加 對於網路基礎建設攻擊的威脅增加 B. 入侵偵測系統之介紹 入侵偵測系統(IDS, Intrusion Detection System)，顧名思義，即是一種入侵偵測系統。本篇報告我們所要介紹的IDS有以下幾種軟體，它們的簡介： Snort: 此套入侵偵測系統於1998年，由Martin Roesch開發，只負責作偵測，並且把偵測的結果寫進記錄檔或是資料庫當中，是目前被廣泛使用的入侵偵測軟體。以下兩張螢幕抓圖是snort的啟動和運行畫面： ACID (Analysis Console fore Intrusion Databases): 此套軟體由Roman Danaliw 所開發，是Automated Incident Reporting的一部份。這套軟體是用來分析Snort所產生的紀錄檔，並且產生成一個網頁界面，方便讓使用者閱讀。 BASE (Basic Analysis and Security Engine): 此套系統和ACID大同小異，而BASE的確也是ACID的延伸版本。不同的是，此套系統增加了使用者的認證，並且可以將紀錄檔依照時間的範圍來分類等等。更厲害的是，它可以產生長條圖，圓餅圖等，更可以讓使用者對入侵資料的數據分析一目了然。 arirang: 此軟體是一個網路掃描器，該軟體是以twwwscan為基礎架構所組成，而該偵測系統的目地是偵測您電腦上所的漏洞，產生一份報告，並且告訴使用者如何