入侵检测与防火墙1.pptVIP

入侵检测与防火墙 郭庆北 guoqb@126.com 2007-9-10 试验 1.个人防火墙配置 了解个人防火墙的安装配置，以及技术原理 2.Snort安装配置使用 在学习使用Snort开源软件 导弹防御系统 第1讲? 入侵检测基本内容 网络入侵案例 对入侵检测的需求 基于攻击模式的网络攻击类型 基于攻击发起者的网络攻击类型 常见的网络攻击 入侵检测系统模型 入侵检测系统分类 入侵检测系统部署 入侵检测技术 网络入侵案例 案例1 北京珠穆朗玛网络技术有限公司诉北京百度网讯科技有限公司通过发动DDOS攻击实施不正当竞争行为并索赔1500万元一案，于今天上午在北京市第一中级人民法院进行公开开庭审理。这起案件被称为全国首例网络攻击案，受到了新闻媒体和社会各界，尤其是IT领域的广泛关注。 案例2 美国东部时间5月7日下午(北京时间5月8日凌晨)，美国白宫官员表示，他们目前仍旧无法确定5月4日对美国白宫网站实施“拒绝服务攻击”的黑客究竟来自何方。 美国白宫发言人杰米-奥尔表示，5月4日的攻击行动大约发生在早上8:00(北京时间5月4日晚9:00)，它使美国白宫网站的服务受到影响，并使网站访问在上午9:00到11:15(北京时间5月4日晚10:00到5月5日凌晨0:15)之间完全被阻断。目前技术人员们正在采取措施加强白服务器的安全保障。 对入侵检测的需求 利益的驱使 个人能力显示的动机驱使 网络攻击工具的唾手可得 黑客的相对隐藏性 对网络的访问简单而广泛 基于攻击模式的网络攻击类型 拒绝服务攻击（DoS）：这种攻击都是通过很大范围访问提供的服务，其范围之大使得服务器或者网络提供正常服务的能力很大程度上被削弱。 网络访问攻击：入侵者获取对网络资源的未授权访问，并利用此访问执行任意数量的未授权的甚至是非法的行为攻击。 网络访问攻击又可进一步分为：数据访问和系统访问 请问：攻击和病毒是不是一回事。 基于攻击发起者的网络攻击类型 由受信任的（内部）用户发起的攻击 由不受信任的（外部）用户发起的攻击 由没有经验的“脚本少年”黑客发起的攻击 由有经验的“专业”黑客发起的攻击 常见的网络攻击 拒绝服务攻击（DoS） 1.旨在资源耗尽的开发 针对网络的CPU资源或者网络根据连接速度提供给用户的带宽。 2.旨在导致常规操作系统立即停止的开发 针对操作系统或者协议的脆弱性使系统崩溃。 资源耗尽类型的DoS攻击 1.简单的DoS攻击 单个攻击者发起的对一个或者多个对象的资源耗尽攻击。攻击者可能使用欺骗方法假装攻击来自于大范围内的IP地址，实际来自攻击者。 实例包括TCP SYN洪泛、Smurf攻击和不同的分组风暴。 SYN-ACK永远得不到ACK响应，三次握手不能正常进行，耗费服务器端存储空间和CPU资源。 定时器机制失去意义。 IDS如何阻止这种攻击？ IDS通过查找SYN洪泛的行为模式来检查攻击，大多数的基于网络的IDS能够检测到SYN洪泛并且重置连接，回收服务器的资源。 2.Smurf攻击 Attacker向一个具有大量主机和因特网连接的网络的广播地址（如55）发送一个欺骗性ECHO请求。路由器在收到该广播分组后，会对本地网段中的所有主机进行广播。所有主机都回向欺骗性分组的IP地址发送ECHO响应信息。 IDS如何阻止这种攻击？ Smurf依靠欺骗性源地址发送ECHO请求，IDS通过检查IP地址的合法性防止这种攻击。 3.分布式拒绝服务攻击 有大量的攻击机器对受害机器进行的攻击。 实例包括Trinoo、TFN、TFN2K和Stacheldraht等。 Trinoo DDoS网络的建立遵循以下步骤： 1.攻击者使用一个通常是不安全的帐号搜集到一组安全性较差的机器。 2.一旦搜集到这样的一组安全性较差的主机，就会运行脚本程序对它们发起攻击并将它们转换成主控端或者端口监控程序。一个主控端可以控制多个端口监控程序。端口监控程序是在收到主控端提供的受攻击的IP地址之后，真正向受害主机发送大量UDP分组的机器。 3.当攻击者在主控端上发出一个命令之后，就发起DDoS攻击。 4.攻击由发向主控端命令里的受害IP地址的UDP分组组成，接收端口是随机的。攻击源IP地址是不欺骗的。可以用不同的命令对分组的大小以及攻击持续的时间进行指定。分组的内容是相当随机的，大多数情况下是取后台程序所在主机上的随机存储器中的随机存储内容。 IDS如何阻止这种攻击？ IDS的监测主要基于主控端和受控端之间的通信所暴露的蛛丝马迹。IDS签名能够识别Trinoo网络中主控端和端口监控程序之间的流量。这些工具大都使用回送应答进行通信，所以IDS特征可以留意那些没有先前的回送发出却能出现的回送应答。 导致常规操作系统立即停止的攻击 1.死亡之