第5章 网络安全教程系统攻击及入侵检测.ppt

第5章 系统攻击及入侵检测 基于网络的IDS的优点是： （1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。 （2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。 （3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。 5.4.3 基于分布式系统的入侵检测技术 典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统。 基于分布式系统的IDS结构 5.5 入侵检测产品简介 5.5.1 Cisco公司的NetRanger NetRanger是基本网络的入侵检测系统，可在Internet/Intranet两种环境中运行。系统包括两部分：检测网络包和发出报警的检测器，接收并分析报警和启动对策的控制器。 5.5.2 ISS公司的RealSecure RealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。 * * 本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，读者应该掌握以下内容： l???????? 系统入侵的概念 l???????? 几种系统攻击方法的原理 l???????? 入侵检测的原理 l????? 入侵检测系统的组成及结构 5.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。 5.1.1 黑客与入侵者 5.1.2系统攻击的三个阶段 （1）收集信息 （2）探测系统安全弱点 （3）实施攻击 5.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3．缺乏良好安全体系的系统 5.2 系统攻击方法 5.2.1 口令攻击 1．获取口令的一些方法 （1）是通过网络监听非法得到用户口令 （2）口令的穷举攻击 （3）利用系统管理员的失误 2．设置安全的口令 （1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。 3．一次性口令 （OTP，One-Time Password）。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。 5.2.2 IP欺骗 1．IP欺骗的工作原理 （1）使被信任主机丧失工作能力 TCP SYN-Flood ： t1: Z （X） －－－SYN －－－ B Z （X） －－－SYN －－－＞ B Z （X） －－－SYN －－－＞ B …………………………… t2: X ＜－－－SYN/ACK--------B X ＜－－－SYN/ACK--------B …………………………… t3: X ＜－－－ RST －－－ B （2）序列号猜测 序列号的猜测方法如下：攻击者先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一