网络攻防技术概述与课程_课程8-攻击分析和防御技术基础.ppt

* 改为图示 * Filter:过滤 NAT：转换 mangle:包处理，如策略路由打标签 raw 原始处理（通常不同） * 具有代表性的业界产品 * /wiki/VPN * * * 所有的黑客攻击都由这样的要素： 攻击的主体——攻击者 攻击的客体——我们的系统和网络，系统和网络存在的漏洞为攻击者提供了攻击的客观条件 再有就是攻击的过程 反黑技术： 针对系统和网络漏洞——研究漏洞扫描、评估技术，帮助加固系统的安全性 针对黑客攻击的过程——研究实时入侵检测系统，及时对黑客的入侵给予阻止、防范甚至反击。 对攻击者的惩罚，主要由法律和专政机关解决。 图6.24 * D. Denning * iptables -A FORWARD -i $LAN_IFACE -m state --state RELATED,ESTABLISHED -j QUEUE * * * * Snort v2.x – 预处理 IP分片/TCP流处理/流跟踪 frag#/stream#/flow 应用层协议分析 telnet, rpc, http 工作: 应用层协议解码, 应用层协议规范异常检查, Unicode解码, … 异常检测 Portscan类: portscan#/sfportscan Arpspoof检测，BO探测 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Snort v2.x – 核心检测引擎 核心检测引擎: Signature-based (Rule-based) Snort规则库: 描述已知攻击的数据包/流特征 检测引擎: 基于模式匹配算法查看当前数据包/流是否满足已知攻击规则 Snort规则库 Sourcefire VRT Certified Rules: /vrt/ snortrules-snapshot-CURRENT_s.tar.gz : 当前公开发布最新规则库 VRT Certified Rules for Snort: snortrules-snapshot-CURRENT.tar.gz: Sourcefire付费服务 Snort规则知识库: /snort-db/ * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Snort v2.x的攻击规则(1) 示例规则-wuftpd格式化字符串攻击检测规则 alert tcp $EXTERNAL_NET any - $HOME_NET 21 (msg:”FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux”; flow:to_server, established; content:”|31c031db31c9b046cd8031c031db|”;reference:bugtraq,1387;reference:cve, CAN-2000-0573;classtype:attempted-admin;sid:344;rev:4;) * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Snort v2.x的攻击规则(2) 规则头 alert: 报警/日志类型 （alert, log, pass, dynamic, activate） tcp: 协议类型 (tcp, udp, icmp, ip) $EXTERNAL_NET: 源IP地址匹配范围；any: 源端口 -: 流方向 $HOME_NET: 目标IP地址匹配范围；21: 目标端口 规则体 检测规则选项 flow:to_server, established; 匹配数据包为从客户端至服务器端，已建连接 流状态检测规则选项 ? spp_clientserver.c检测插件 content:”|31c031db31c9b046cd8031c031db|”; 匹配内容模式?多模式匹配算法检测当前数据包中是否含有该模式 报警信息选项：msg:”FTP EXPLOIT wu-ftpd … overflow Linux” 索引和分类选项：reference, classtype 规则ID和版本：sid, rev * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Snort v2.x的规则树解析建立 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Snort v2.x的性能优化-多规则检测引擎 单模式匹配算法 Knuth-Morris-Pratt(KMP): ”快速”模式匹配 Boyer-Moore (BM)算法 多模式匹配算法 问