入侵检测与蜜罐技术.ppt

  1. 1、本文档共68页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
入侵检测与蜜罐技术.ppt

什么是蜜网 蜜网(honeynet) 蜜网是一种高交互型蜜罐,它不是单一的操作系统而是一种网络架构。 蜜网与传统蜜罐技术相比的优势 可以捕获更丰富的信息。 网络高度可控,使得管理员能有效的监视和控制入侵者的攻击活动。 典型的蜜网组成 防火墙、入侵检测系统(I.D.S)和多个蜜罐主机。 蜜网的设计 HoneyWall网关包括三个网络接口: eth0连接外网。 eth1连接蜜网。HoneyWall网关对攻击者而言完全不可见;是蜜网与其他网络连接的唯一连接点,所有进出的网络流量都受其控制和审计。 eth2连接日志记录服务器,也使管理员能够对远程 HoneyWall网关进行控制。 蜜墙的设计 蜜墙是设计一个蜜网的关键 进出蜜网的所有数据必须经过蜜墙,它将蜜网与外部网络隔开,是控制整个蜜网的中心枢纽。 蜜墙是基于二层网关技术而设计的。 蜜墙的设计 蜜墙的接口设计 蜜墙拥有3个以太网接口,其中外部接口eth0与企业内部网络相连,内部接口eth1与蜜网相连。 接口eth0和eth1均工作在网桥模式,不具有IP地址,因此企业内部网络和蜜网处于同一个网段。即可以捕获到来自Internet的攻击,也可以捕获到来自企业内网的攻击。 接口eth2拥有一个IP地址,目的是方便蜜墙的远程管理和IDS规则集的及时更新。对于该接口,要求有比较高的安全性,只允许特定端口和IP地址的数据包通过数据控制。 蜜墙的设计 蜜网的数据控制 为了防止入侵者在攻陷蜜罐后利用蜜罐系统向其它主机发起攻击,在蜜墙上实行“宽进严出”的策略,即允许蜜网接受所有外来数据,但严格控制蜜网向外部发出的数据。 蜜网的数据控制手段 连接数限制。 网络入侵防护系统。 路由器本身的访问控制功能。 蜜墙的设计 蜜网的数据捕获 防火墙日志 Iptables IDS日志 Snort 蜜罐日志 击键记录 — Sebek 蜜网的报警机制 监控软件Swatch 蜜网的风险与发展前景 蜜网的风险 蜜网并不是一种一劳永逸的解决方案,需要投入一定的人力、物力进行管理和维护。 蜜网技术可能会给其他主机带来一定的风险。 蜜网技术可能还存在一些相关的法律问题。 蜜网的发展前景 蜜网技术作为网络安全中的一个新兴领域,是对现有安全体系的一个重要补充,对提高网络安全防御能力起着重要的作用,具有广阔的发展前景。 Snort规则 Snort规则的组成 规则头 包含处理动作、协议、源/目的IP 地址、子网掩码以及源/目的端口。 规则选项 报警信息和异常包的信息,即特征码。 Snort的处理动作 pass:放行数据包。 log:把数据包记录到日志文件。 alert:产生报警消息并日志数据包。 Snort规则 Snort规则示例 记录从外部网络到C类网络192.l68.1的所有数据包。 检测对本地网络Web服务器的PHF服务的探测,发出报警消息“PHF probe!”,并记录整个探测包。 检测从外部网络到内部网络X-window服务端口的数据包,发出报警信息“X traffic” 。 log tcp any any -> /24 any alert tcp any any -> /24 80 (content: "/cgi-bin/phf";msg "PHF probe!") alert tcp !/24 any -> /24 6000:6010 ( msg: "X traffic";) 一个攻击检测实例 老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 简单的匹配 检查每个packet是否包含: “WIZ” | “DEBUG” 检查端口号 缩小匹配范围 Port 25:{ “WIZ” | “DEBUG” } 深入决策树 只判断客户端发送部分 Port 25:{ Client-sends: “WIZ” | Client-sends: “DEBUG” } 更加深入 状态检测 + 引向异常的分支 Port 25:{ stateful client-sends: “WIZ” | stateful client-sends: “DEBUG” after stateful “DATA” client-sends line > 1024 bytes means possible buffer overflow } 蜜罐技术 入侵者和防御者的不对称 工作量不对称 攻击方:夜深人静, 攻其弱点。 防守方:24*7, 全面防护。 信息不对称 攻击方:通过网络扫描、探测、踩点对攻击目标全面了解。 防守

文档评论(0)

danli208 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档