第9章网络攻防入侵检测.pptVIP

第9章 网络攻防和入侵检测 网络安全与网络攻击是紧密联系在一起的，研究网络安全不能忌讳网络攻击。研究网络安全若不了解网络攻击原理及其技术等于纸上谈兵。从某种意义上说，没有攻击就没有安全，也可以说安全与攻击并存。网络攻击是网络安全研究中的重要课题之一。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。 入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制。作为传统安全机制的补充，入侵检测技术不再是被动地对入侵行为进行识别和防护，而是能够提出预警并做出相应反应动作。入侵检测系统(Intrusion Detection System，IDS)可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点。本章将围绕网络攻防和入侵检测展开详细介绍。 9.1 网络攻击概述 近年来，网络攻击事件频繁发生，攻击泛滥已成互联网行业重病，各行业呼吁国家和运营商联手整治网络攻击，保障网络安全。面对多种多样的网络攻击，为了能够更好地防御这些攻击，就特别有必要了解相关的网络攻击。 9.1.1 网络攻击的概念 网络攻击(Network Attack)是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。 1. 网络攻击的形成 1) 攻击者 黑客的特点： (1)充当黑客的年轻人居多。 (2) 人员的构成相对集中。 (3) 黑客活动时间相对固定。 (4) 从发展趋势看，黑客正在不断地走向系统化、组织化和年轻化。 2) 攻击工具 3) 攻击效果 4) 攻击目的 2. 网络攻击的特点 9.1.2 网络攻击的类型 根据ITU-TX.800和RFC2828对网络安全攻击进行的分类，有被动攻击和主动攻击两种类型。 被动攻击是指在不影响网络正常工作的情况下，进行截获、窃听、破译以获得重要机密信息的攻击行为。 主动攻击是指对数据甚至网络本身进行恶意的破坏，包括对数据进行篡改或伪造数据流，主要有阻断、伪造、重放、消息篡改和拒绝服务等形式。 另外，恶意代码(或称恶意程序)也属于一种很特殊的主动攻击方式 主动攻击与被动攻击的特性恰好相反。被动攻击虽然难以检测但可以防御，主动攻击却难以防御，但容易检测。完全杜绝主动攻击是很困难的，但一个好的身份认证协议能防御主动攻击。 按照攻击对象将网络攻击归纳为服务攻击与非服务攻击两大类型。 在大多数场合，也常常按照所采用的攻击手段将网络攻击划分为系统入侵类攻击、拒绝服务攻击、缓冲区溢出攻击、欺骗攻击等类型。 9.1.3 网络攻击的手段 目前，网络安全领域风起云涌，从频频被利用的系统漏洞到悄然运行的木马工具，从技术精湛的网络注入到隐蔽性更强的钓鱼式攻击，攻击手段越来越加高明。网络攻击技术的发展已经呈现出：①智能化、自动化网络攻击；②多目标网络攻击；③协同网络攻击；④网络拒绝服务攻击；⑤高速网络攻击等特点。而且，在互联网上黑客网站随处可见，攻击工具也可以任意下载，攻击活动日益猖獗。黑客攻击已经对网络安全构成了极大的威胁。从攻击者的角度来看，常用的攻击手段不外乎以下几种，其步骤如图9-2所示。 9.1.4 网络攻击在我国的发展过程 在我国，第一代(1996—1998)，1996年因特网在中国兴起，中国第一代黑客大多是从事科研、机械等方面的工作的人，他们有着较高的文化素质和计算机技术水平。 第二代(1998—2000)，随着计算机的普及和因特网的发展，在第一代黑客的影响和指点下，中国出现了第二代的黑客。他们一部分是从事计算机的工作者和网络爱好者，另一部分是在校学生。 第三代(2000—2003)，这一代黑客主要由在校学生组成，其技术水平和文化素质与第一代、第二代相差甚远，大都只是照搬网上一些有前人总结出来的经验和攻击手法。 第四代(2003至今)，黑客组织开始由大联盟向小团队模式发展，更注重小组间的技术交流及一种团队合作精神，比较出色的有“邪恶八进制”、“火狐技术联盟”等。 9.2 探 测 技 术 探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多地了解与攻击目标安全相关的方方面面的信息，以便能够集中火力进行攻击。探测又可以分为3个基本步骤：踩点、扫描和查点。 9.2.1 踩点 踩点是攻击者最先需要进行的工作。踩点有很多方法，目前使用最多的有社交工程、搜索引擎、Whois方法和DNS查询等。 社交工程学，在黑客理论中，指利用人性的弱点、利用人际交往上的