入侵检测系统IDSFAQ.docVIP

　　入侵检测系统IDS FAQ～教育资源库 　　1.问：都有哪些重要的IDS系统？ 　　根据监测对象不同，IDS系统分为很多种，以下是几种很重要的IDS系统： 　　1、NIDS 　　NIDS是的缩写，即网络入侵检测系统，主要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器。 　　2、SIV 　　SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系统文件或者通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为，例如对于HTTP服务器的日志文件，只要搜索sail lt; /etc/passail送信，实在是高！ 　　(3) 不对输入内容进行预期检查：有些编程人员怕麻烦，对输入内容不进行预期的匹配检查，使入侵者输送炸弹的工作轻松简单。 　　(4)Race conditions：多任务多线程的程序越来越多，在提高运行效率的同时，也要注意Race conditions的问题。比如说：程序A和程序B都按照读/改/写的顺序操作一个文件，当A进行完读和改的工作时，B启动立即执行完读/改/写的全部工作，这时A继续执行写工作，结果是A的操作没有了表现！入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的，所以，编程人员要注意文件操作的顺序以及锁定等问题。 　　1.4.2、系统配置不当 　　(1)默认配置的不足：许多系统安装后都有默认的安全配置信息，通常被称为easy to use。但遗憾的是，easy to use还意味着easy to break in。所以，一定对默认配置进行扬弃的工作。 　　(2)管理员懒散：懒散的表现之一就是系统安装后保持管理员口令的空值，而且随后不进行修改。要知道，入侵者首先要做的事情就是搜索网络上是否有这样的管理员为空口令的机器。 　　(3)临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试完后却忘记了禁止它，这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是：除非一个端口是必须使用的，否则禁止它！一般情况下，安全审计数据包可用于 12345下一页 友情提醒：，特别！发现这样的端口并通知管理者。 　　(4)信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带来借牛打力、间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。所以，要对信任关系严格审核、确保真正的安全联盟。 　　1.4.3、口令失窃 　　(1)弱不禁破的口令：就是说虽然设置了口令，但却简单得再简单不过，狡猾的入侵者只需吹灰之力就可破解。 　　(2)字典攻击：就是指入侵者使用一个程序，该程序借助一个包含用户名和口令的字典数据库，不断地尝试登录系统，直到成功进入。毋庸置疑，这种方式的关键在于有一个好的字典。 　　(3)暴力攻击：与字典攻击类似，但这个字典却是动态的，就是说，字典包含了所有可能的字符组合。例如，一个包含大小写的4字符口令大约有50万个组合，1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者，一般的计算机要花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧，真正是一两拨千斤啊！ 　　1.4.4、嗅探未加密通讯数据 　　(1)共享介质：传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据，但是如果采用交换型以太网结构，嗅探行为将变得非常困难。 　　(2)服务器嗅探：交换型网络也有一个明显的不足，入侵者可以在服务器上特别是充当路由功能的服务器上安装一个嗅探器软件，然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如，虽然不知道用户的口令，但当用户使用Tel软件登录时就可以嗅探到他输入的口令了。 　　(3) 远程嗅探：许多设备都具有RMON（Remote monitor，远程监控）功能以便管理者使用公共体字符串（public munity strings）进行远程调试。随着宽带的不断普及，入侵者对这个后门越来越感兴趣了。 　　1.4.5、设计存在缺陷 　　(1)TCP/IP协议的缺陷:TCP/IP协议现在已经广为应用、但是它设计时却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成安全漏洞在所难免，例如smurf攻击、ICMP Unreachable数据包断开、IP地址欺骗以及SYN flood。然而，最大的问题在于IP协议是非常容易轻信的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在Ipse