计算机网络安全管理第6章.pptVIP

（3） 单击“确定”按钮，返回X-Scan操作主界面。 （4） 单击工具栏上的按钮，开始进行扫描操作，如图6-20所示。扫描结束后，将显示如图6-21所示的内容，其中该主机存在弱口令，管理员账号administrator的密码为123456。通过以上简单几步的操作，就可以获取远程主机的用户账号和密码。如果利用系统自带的字典无法获取时，用户可利用字典工具生成复杂的用户账号和密码字典进行破解，需要时甚至可以进行暴力破解。 6.5 操作实例：黑客入侵行为分析与防范 在获取了远程主机的账号和密码后，就可以对其进行远程入侵。目前，在网上流行着许多入侵工具，为便于教学，通过测试给读者推荐一款功能强大的入侵工具DameWare。DameWare集成了众多的管理工具，最初目的是用于网络的远程管理，但现在却成为著名的入侵软件。下面就以DameWare为例，介绍远程入侵的实现过程。 6.5.1 建立与远程主机的连接 （1） 选择“开始→程序→DameWare NT Utilities→DameWare NT Utilities”，将打开如图6-22所示的DameWare操作主窗口。其中： Active Directory。如果该主机加入到Windows 2000/2003域名，其域名将会在这里显示出来。本例没有加入域，所以显示“No AD Membership”。 Microsoft Windows Network。显示与该主机位于同一网段中的工作组名称，如MSHOME、WORKGROUP等。 Favorite Domains。如果该主机加入域，并在域中进行操作，可以选择此项。 Favorite Machines。如果对单一主机或一组主机进行操作，可以选择此项。 3． 入侵检测系统中的关键术语 随着IDS技术的发展，与之相关的术语相应出现，且同一术语也在发生着不同程度的变化，下面介绍与IDS技术相关的一些基本术语。 【注意】由于IDS的快速发展，IDS产品不断丰富。但在实际应用中，不同的厂商的产品说明中可能会用同一个术语表示不同的含义，或同一术语的含义有所不同。 （1） Alerts（报警） 当一个入侵正在发生或者试图发生时，IDS系统将发布一个报警（alert）信息通知系统管理员。对于IDS来说，alert信息一般是通过远程控制台来显示。其中，IDS与远程控制台之间可以通过SNMP（简单网络管理协议）、E-mail、SMS（短信息）中的一种或以上几种方式中的多种方式的混合来传递给管理员。 在报警中，可分为错误的报警和正确的报警两种。其中，错误报警又分为误报和漏报两种。 · 误报。 · 漏报。 需要注意的是：一般情况下，漏报是因为IDS的软件缺陷所导致的。 正确的报警是代表当网络受到攻击时，IDS能准确指出的情形。正确的报警也分为正确命中和正确拒绝两类。 · 正确命中。 · 正确拒绝。 (2) Attacks（攻击） Attacks（攻击）指试图渗透系统或绕过系统的安全策略以获取信息、修改信息以及破坏目标网络或系统功能的行为。下面列出的是IDS能够检测出的最常见的Internet攻击类型： · 攻击类型1：DoS攻击（Denial of Service attack，拒绝服务攻击）。 · 攻击类型2：DDoS攻击（Distributed Denial of Service attack，分布式拒绝服务攻击）。 · 攻击类型3：Smurf。这是一种出现较早的攻击方式，攻击者使用被攻击主机的IP地址来伪装源地址，并向一个smurf放大器（Smurf Amplifier）的广播地址执行ping操作，然后所有活动主机都会向该被攻击主机发送应答信息，从而使被攻击主机中断网络连接。 · 攻击类型4：Trojans（特洛伊木马）。 6.3.2 入侵检测技术的分类 根据实现技术和原理的不同，可以入侵检测分为异常检测模型、误用检测模型和混合检测模型三类。 1． 异常检测模型 异常检测（Anomaly Detection）模型主要检测与可接受行为之间的偏差。如果可以预先定义每项可接受的行为（如对HTTP的正常访问、正常的TCP连接、正常的SMTP协议使用等），那么每项不可接受的行为（如TCP半连接状态、大量连续的SMTP连接等）就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型的漏报率低，但误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 2． 误用检测模型 误用检测（Misuse Detection）模型主要检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够