第十章 網(wǎng)絡(luò)攻防及入侵檢測(cè)

1、第十章第十章 網(wǎng)絡(luò)攻防和入侵檢測(cè)網(wǎng)絡(luò)攻防和入侵檢測(cè)pIPIP只是發(fā)送數(shù)據(jù)并保證數(shù)據(jù)的完整性，不保持任何連接狀只是發(fā)送數(shù)據(jù)并保證數(shù)據(jù)的完整性，不保持任何連接狀態(tài)的信息，每個(gè)態(tài)的信息，每個(gè)IPIP數(shù)據(jù)報(bào)文被發(fā)送出去，不關(guān)心前后數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)文被發(fā)送出去，不關(guān)心前后數(shù)據(jù)報(bào)文的情況，所以可以修改文的情況，所以可以修改IPIP堆棧，在源地址和目的地址中放堆棧，在源地址和目的地址中放入任何滿足要求的入任何滿足要求的IPIP地址，即提供虛假的地址，即提供虛假的IPIP地址。地址。p突破防火墻系統(tǒng)最常用的方法是就突破防火墻系統(tǒng)最常用的方法是就IPIP地址欺騙，它同時(shí)也地址欺騙，它同時(shí)也是其他一系列攻擊方法的基礎(chǔ)

2、。黑客或入侵者利用偽造的是其他一系列攻擊方法的基礎(chǔ)。黑客或入侵者利用偽造的IPIP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部站的分組過發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部站的分組過濾器，這種類型的攻擊是非常危險(xiǎn)的。關(guān)于涉及到的分組真濾器，這種類型的攻擊是非常危險(xiǎn)的。關(guān)于涉及到的分組真正是內(nèi)部的還是外部的分組被包裝得看起來象內(nèi)部的種種跡正是內(nèi)部的還是外部的分組被包裝得看起來象內(nèi)部的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之內(nèi)，則它就把該分組按內(nèi)部通信對(duì)待并讓其通過。內(nèi)，則它就把該分組按內(nèi)部通信對(duì)待并讓其通過。 假定入侵者知

3、道主機(jī)假定入侵者知道主機(jī)和和已經(jīng)建立了信任關(guān)系，已經(jīng)建立了信任關(guān)系，入侵者打算欺騙的是主機(jī)入侵者打算欺騙的是主機(jī)。 入侵者要對(duì)入侵者要對(duì)實(shí)施欺騙，他必須假扮實(shí)施欺騙，他必須假扮，所有，所有就必須讓就必須讓的主機(jī)無法響應(yīng)任何請(qǐng)求。的主機(jī)無法響應(yīng)任何請(qǐng)求。 進(jìn)行一次進(jìn)行一次IPIP欺騙需要經(jīng)過以下步驟：欺騙需要經(jīng)過以下步驟：確定攻擊目標(biāo)確

4、定攻擊目標(biāo)使得計(jì)劃要冒充的主機(jī)無法響應(yīng)目標(biāo)主機(jī)的會(huì)話使得計(jì)劃要冒充的主機(jī)無法響應(yīng)目標(biāo)主機(jī)的會(huì)話猜出來自目標(biāo)主機(jī)的正確序列號(hào)猜出來自目標(biāo)主機(jī)的正確序列號(hào)冒充連接到目標(biāo)主機(jī)冒充連接到目標(biāo)主機(jī)根據(jù)猜出的正確序列號(hào)向目標(biāo)主機(jī)發(fā)送回應(yīng)根據(jù)猜出的正確序列號(hào)向目標(biāo)主機(jī)發(fā)送回應(yīng)IPIP包包進(jìn)行系列會(huì)話進(jìn)行系列會(huì)話(1)(1)拋棄基于地址的信任策略拋棄基于地址的信任策略 (2)(2)進(jìn)行包過濾進(jìn)行包過濾 (3)(3)使用加密方法使用加密方法 (4)(4)使用隨機(jī)化的初始序列號(hào)使用隨機(jī)化的初始序列號(hào)淚滴淚滴(Teardrop)(Teardrop)攻擊（攻擊（IPIP碎片攻擊）碎片攻擊） 鏈路層具有鏈路層具有最大傳

5、輸單元最大傳輸單元MTUMTU這個(gè)特性，它限制了數(shù)據(jù)幀這個(gè)特性，它限制了數(shù)據(jù)幀的最大長(zhǎng)度，不同的網(wǎng)絡(luò)類型都有一個(gè)的最大長(zhǎng)度，不同的網(wǎng)絡(luò)類型都有一個(gè)上限值上限值。以太網(wǎng)的。以太網(wǎng)的MTUMTU是是15001500。 如果如果IPIP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過了層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過了MTUMTU，那么那么IPIP層就要對(duì)數(shù)據(jù)包進(jìn)行層就要對(duì)數(shù)據(jù)包進(jìn)行分片分片（fragmentationfragmentation）操作，）操作，使每一片的長(zhǎng)度都小于或等于使每一片的長(zhǎng)度都小于或等于MTUMTU。每一。每一IPIP分片都分片都各自路由各自路由，到達(dá)目的主機(jī)后在到達(dá)目的主機(jī)后在IP

6、IP層重組，首部中的數(shù)據(jù)能夠正確完成分層重組，首部中的數(shù)據(jù)能夠正確完成分片的重組。片的重組。 若在若在IPIP分組中指定一個(gè)分組中指定一個(gè)非法的片偏移值非法的片偏移值，將可能造成某，將可能造成某些協(xié)議軟件出現(xiàn)些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋緩沖區(qū)覆蓋，導(dǎo)致系統(tǒng)崩潰。，導(dǎo)致系統(tǒng)崩潰。國(guó)際互聯(lián)網(wǎng)絡(luò)服務(wù)器服務(wù)器防火墻其它網(wǎng)絡(luò)廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內(nèi)域網(wǎng)國(guó)際互聯(lián)網(wǎng)服務(wù)器服務(wù)器防火墻其它網(wǎng)絡(luò)廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內(nèi)域網(wǎng)服務(wù)器服務(wù)器防火墻其它網(wǎng)絡(luò)電話網(wǎng)廣域網(wǎng)國(guó)際互聯(lián)網(wǎng)絡(luò)內(nèi)域網(wǎng)企業(yè)網(wǎng)服務(wù)器服務(wù)器防火墻企業(yè)網(wǎng)其它網(wǎng)絡(luò)電話網(wǎng)廣域網(wǎng)國(guó)際互聯(lián)網(wǎng)絡(luò)內(nèi)域網(wǎng)ICMPICMP洪水洪水(PING flooding)(PING floodin

7、g)攻擊攻擊 正常情況下，為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷正常情況下，為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，比如程序，比如pingping等，會(huì)發(fā)出等，會(huì)發(fā)出icmpicmp響應(yīng)請(qǐng)求報(bào)文響應(yīng)請(qǐng)求報(bào)文(icmp echo)(icmp echo)，接收計(jì)算機(jī)接收到，接收計(jì)算機(jī)接收到icmp echoicmp echo后，會(huì)后，會(huì)回應(yīng)一個(gè)回應(yīng)一個(gè)icmp echo replyicmp echo reply報(bào)文。而這個(gè)過程是需報(bào)文。而這個(gè)過程是需要要cpucpu處理的，有的情況下還可能消耗掉大量的資處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時(shí)候。這樣如果攻擊者向目標(biāo)源，比如處理分片的時(shí)候。這樣如

8、果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的計(jì)算機(jī)發(fā)送大量的icmp echoicmp echo報(bào)文報(bào)文( (產(chǎn)生產(chǎn)生icmpicmp洪水洪水) )，則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些echoecho報(bào)文，而無法繼報(bào)文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)攻擊攻擊(dos)(dos)。SmurfSmurf攻擊攻擊攻擊者偽造來自目標(biāo)網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)據(jù)包，IP目標(biāo)地址廣播地址廣播域內(nèi)的每臺(tái)計(jì)算機(jī)給目標(biāo)機(jī)發(fā)送錯(cuò)誤消息，因此攻擊效果同廣播域內(nèi)的機(jī)器數(shù)目成正比，結(jié)果形成拒絕服務(wù)攻擊UDP FRAGGLEUDP FRAGGLE攻擊攻擊FRAGG

9、LEFRAGGLE攻擊對(duì)攻擊對(duì)smurfsmurf作了簡(jiǎn)單的修改，使用的是作了簡(jiǎn)單的修改，使用的是UDPUDP應(yīng)答消息而非應(yīng)答消息而非ICMPICMP。 1.1.阻塞阻塞SmurfSmurf攻擊的源頭攻擊的源頭 SmurfSmurf攻擊依靠的是發(fā)送源地址假冒的攻擊依靠的是發(fā)送源地址假冒的echoecho請(qǐng)求。用戶可以使用路由器的訪問控制請(qǐng)求。用戶可以使用路由器的訪問控制保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點(diǎn)。使欺騙性分組無法找到反彈站點(diǎn)。SmurfSmu

10、rf攻擊的防止措施攻擊的防止措施SmurfSmurf攻擊的防止措施攻擊的防止措施2.2.阻塞阻塞SmurfSmurf的反彈站點(diǎn)的反彈站點(diǎn) 用戶可以有兩種選擇以阻塞用戶可以有兩種選擇以阻塞SmurfSmurf攻擊的反彈站點(diǎn)。第一種方攻擊的反彈站點(diǎn)。第一種方法可以簡(jiǎn)單地阻塞所有入站法可以簡(jiǎn)單地阻塞所有入站echoecho請(qǐng)求，這樣可以防止這些分組到請(qǐng)求，這樣可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。達(dá)自己的網(wǎng)絡(luò)。 如果不能阻塞所有入站如果不能阻塞所有入站echoecho請(qǐng)求，用戶就需要配置自己的路請(qǐng)求，用戶就需要配置自己的路由器把網(wǎng)絡(luò)廣播地址映射成為由器把網(wǎng)絡(luò)廣播地址映射成為L(zhǎng)ANLAN廣播地址。制止了這個(gè)

11、映射過程，廣播地址。制止了這個(gè)映射過程，自己的系統(tǒng)就不會(huì)再收到這些自己的系統(tǒng)就不會(huì)再收到這些echoecho請(qǐng)求。請(qǐng)求。 如果使用如果使用CiscoCisco路由器，則制止網(wǎng)絡(luò)廣播映射成為路由器，則制止網(wǎng)絡(luò)廣播映射成為L(zhǎng)ANLAN廣播的廣播的方法是在方法是在LANLAN接口的配置模式中輸入命令：接口的配置模式中輸入命令： no ip directed-broadcastno ip directed-broadcast。路由欺騙路由欺騙InterfaceInterfaceRAMROMFlashNVRAMInterfaceCPUInterfaceconsole路由欺騙路由欺騙n只讀存儲(chǔ)器（ROM）

12、q只讀存儲(chǔ)器，存放引導(dǎo)程序和IOS的一個(gè)最小子集，相當(dāng)于PC的BIOS。n閃存（Flash）q包含壓縮的IOS和微代碼，是一種可擦寫、可編程的ROM，系統(tǒng)掉電時(shí)數(shù)據(jù)不會(huì)丟失。nNVRAM（No-Voliate RAM）q存放路由器的配置文件，系統(tǒng)掉電時(shí)數(shù)據(jù)不會(huì)丟失。路由欺騙路由欺騙nRAMRAMq動(dòng)態(tài)內(nèi)存，系統(tǒng)掉電，內(nèi)容丟失動(dòng)態(tài)內(nèi)存，系統(tǒng)掉電，內(nèi)容丟失q操作系統(tǒng)運(yùn)行的空間操作系統(tǒng)運(yùn)行的空間命令命令解釋器解釋器操作系統(tǒng)操作系統(tǒng)進(jìn)程進(jìn)程活動(dòng)配置文件活動(dòng)配置文件路由表路由表緩沖區(qū)緩沖區(qū)路由欺騙路由欺騙PPP、CHAPMD5認(rèn)證認(rèn)證 利用了利用了RIPRIP協(xié)議基于無連接的協(xié)議基于無連接的UDP,RI

13、PvlUDP,RIPvl沒有沒有身份認(rèn)證機(jī)制身份認(rèn)證機(jī)制, ,而而RIPv2RIPv2的認(rèn)證形式采用的認(rèn)證形式采用1616宇節(jié)的宇節(jié)的明文密碼明文密碼. .攻擊者很容易將分組發(fā)給攻擊者很容易將分組發(fā)給RIPRIP路由器路由器, ,要要求它將分組發(fā)給未授權(quán)網(wǎng)絡(luò)或系統(tǒng)而不是真正的求它將分組發(fā)給未授權(quán)網(wǎng)絡(luò)或系統(tǒng)而不是真正的系統(tǒng)系統(tǒng) 。路由欺騙路由欺騙RAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 0

14、52 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network network RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 52 ip rip authentication key-chain kal ip

15、 rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 將將TCPTCP包的包的源地址源地址和和目的地址目的地址，源端口源端口和和目的端口目的端口都設(shè)置成相同即可。其中，地址都設(shè)置成相同即可。其中，地址字段都設(shè)置為字段都設(shè)置為目標(biāo)機(jī)器的目標(biāo)機(jī)器的IPIP地址地址。需要注意。需要注意的是，對(duì)應(yīng)的端口所提供的服務(wù)必須是的是，對(duì)應(yīng)的端口所提供的服務(wù)必須是激活激活的。的。LANDLAND攻擊可以非常有效地使目標(biāo)機(jī)器重攻擊可以非常有效地使目標(biāo)

16、機(jī)器重新啟動(dòng)或者死機(jī)。新啟動(dòng)或者死機(jī)。 解決方案：過濾源地址和目標(biāo)地址相同解決方案：過濾源地址和目標(biāo)地址相同的的IPIP數(shù)據(jù)包；給系統(tǒng)升級(jí)或打補(bǔ)丁。數(shù)據(jù)包；給系統(tǒng)升級(jí)或打補(bǔ)丁。LANDLAND攻擊攻擊SYN floodingSYN flooding攻擊攻擊 利用利用TCPTCP連接三次握手過程，打開大量的半連接三次握手過程，打開大量的半開開TCPTCP連接，使得目標(biāo)機(jī)器不能進(jìn)一步接受連接，使得目標(biāo)機(jī)器不能進(jìn)一步接受TCPTCP連連接。每個(gè)機(jī)器都需要為這種半開連接分配一定的接。每個(gè)機(jī)器都需要為這種半開連接分配一定的資源，并且，這種半開連接的數(shù)量是有限制的，資源，并且，這種半開連接的數(shù)量是有限制的

17、，達(dá)到最大數(shù)量時(shí)，機(jī)器就不再接受進(jìn)來的連接請(qǐng)達(dá)到最大數(shù)量時(shí)，機(jī)器就不再接受進(jìn)來的連接請(qǐng)求，從而不能夠提供相應(yīng)的服務(wù)。求，從而不能夠提供相應(yīng)的服務(wù)。p連接請(qǐng)求是正常的，但是，源連接請(qǐng)求是正常的，但是，源IPIP地址往往是偽造的，地址往往是偽造的，并且是一臺(tái)不可達(dá)的機(jī)器的并且是一臺(tái)不可達(dá)的機(jī)器的IPIP地址，否則，被偽造地址地址，否則，被偽造地址的機(jī)器會(huì)重置這些半開連接。的機(jī)器會(huì)重置這些半開連接。p一般，半開連接超時(shí)之后，會(huì)自動(dòng)被清除，所以，攻一般，半開連接超時(shí)之后，會(huì)自動(dòng)被清除，所以，攻擊者的系統(tǒng)發(fā)出擊者的系統(tǒng)發(fā)出SYNSYN包的速度要比目標(biāo)機(jī)器清除半開連包的速度要比目標(biāo)機(jī)器清除半開連接的速度要

18、快。接的速度要快。p任何連接到任何連接到InternetInternet上并提供基于上并提供基于TCPTCP的網(wǎng)絡(luò)服務(wù)，都的網(wǎng)絡(luò)服務(wù)，都有可能成為攻擊的目標(biāo)。有可能成為攻擊的目標(biāo)。p這樣的攻擊很難跟蹤，因?yàn)樵吹刂吠豢尚?，而且這樣的攻擊很難跟蹤，因?yàn)樵吹刂吠豢尚?，而且不在線。不在線。SYN floodingSYN flooding攻擊攻擊SYN floodingSYN flooding攻擊攻擊SYN floodingSYN flooding攻擊防止措施攻擊防止措施p縮短縮短SYN Timeout(SYN Timeout(連接等待超時(shí)連接等待超時(shí)) )時(shí)間時(shí)間p根據(jù)源根據(jù)源IPIP記錄記錄

19、SYNSYN連接連接p負(fù)反饋策略負(fù)反饋策略p容忍策略容忍策略p利用利用DNSDNS進(jìn)行負(fù)載均衡進(jìn)行負(fù)載均衡p利用防火墻技術(shù)利用防火墻技術(shù) 在神話傳說中，特洛伊木馬表面上是在神話傳說中，特洛伊木馬表面上是“禮禮物物”，但實(shí)際卻藏匿了大量襲擊特洛伊城的希臘，但實(shí)際卻藏匿了大量襲擊特洛伊城的希臘士兵?，F(xiàn)在，特洛伊木馬是一些表面有用的軟件士兵?，F(xiàn)在，特洛伊木馬是一些表面有用的軟件程序，實(shí)際目的是危害計(jì)算機(jī)安全性并破壞計(jì)算程序，實(shí)際目的是危害計(jì)算機(jī)安全性并破壞計(jì)算機(jī)。黑客的特洛伊木馬程序事先已經(jīng)以某種方式機(jī)。黑客的特洛伊木馬程序事先已經(jīng)以某種方式潛入你的機(jī)器，并在適當(dāng)?shù)臅r(shí)候激活，潛伏在后潛入你的機(jī)器，并

20、在適當(dāng)?shù)臅r(shí)候激活，潛伏在后臺(tái)監(jiān)視系統(tǒng)的運(yùn)行，它同一般程序一樣，能實(shí)現(xiàn)臺(tái)監(jiān)視系統(tǒng)的運(yùn)行，它同一般程序一樣，能實(shí)現(xiàn)任何軟件的任何功能。任何軟件的任何功能。1.修改圖標(biāo)修改圖標(biāo) 木馬服務(wù)端所用的圖標(biāo)也是有講究的，木木馬服務(wù)端所用的圖標(biāo)也是有講究的，木馬經(jīng)常故意偽裝成了馬經(jīng)常故意偽裝成了XT.HTMLXT.HTML等你可能認(rèn)為對(duì)系等你可能認(rèn)為對(duì)系統(tǒng)沒有多少危害的文件圖標(biāo)，這樣很容易誘惑你統(tǒng)沒有多少危害的文件圖標(biāo)，這樣很容易誘惑你把它打開。把它打開。 木馬采用的偽裝方法木馬采用的偽裝方法2.2.捆綁文件捆綁文件這種偽裝手段是將木馬捆綁到一個(gè)安裝程序這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行

21、時(shí)，木馬在用戶毫無察覺的上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的情況下，偷偷地進(jìn)入了系統(tǒng)。被捆綁的文件一般情況下，偷偷地進(jìn)入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件是可執(zhí)行文件 ( (即即EXEEXE、COMCOM一類的文件一類的文件) )。 木馬采用的偽裝方法木馬采用的偽裝方法3.3.出錯(cuò)顯示出錯(cuò)顯示如果打開一個(gè)文件，沒有任何反應(yīng)，這很可如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序。木馬提供了一個(gè)叫做出錯(cuò)顯能就是個(gè)木馬程序。木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時(shí)，會(huì)彈示的功能。當(dāng)服務(wù)端用戶打開木馬程序時(shí)，會(huì)彈出一個(gè)錯(cuò)誤提示框出一個(gè)錯(cuò)誤提示框 ( (這當(dāng)然是假的這

22、當(dāng)然是假的) )，錯(cuò)誤內(nèi)容，錯(cuò)誤內(nèi)容可自由定義，大多會(huì)定制成一些諸如可自由定義，大多會(huì)定制成一些諸如 文件已破文件已破壞，無法打開壞，無法打開!之類的信息，當(dāng)服務(wù)端用戶信以之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí)，木馬卻悄悄侵人了系統(tǒng)。為真時(shí)，木馬卻悄悄侵人了系統(tǒng)。 木馬采用的偽裝方法木馬采用的偽裝方法4.4.自我銷毀自我銷毀 木馬的自我銷毀功能是指安裝完木馬后，木馬的自我銷毀功能是指安裝完木馬后，源木馬文件自動(dòng)銷毀，這樣服務(wù)端用戶就很難源木馬文件自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助找到木馬的來源，在沒有查殺木馬的工具幫助下。就很難刪除木馬了。下。就很難刪除木馬了。

23、 木馬采用的偽裝方法木馬采用的偽裝方法5.5.木馬更名木馬更名木馬的命名也是千奇百怪，不過大多是改為木馬的命名也是千奇百怪，不過大多是改為和系統(tǒng)文件名差不多的名字，如果你對(duì)系統(tǒng)文件和系統(tǒng)文件名差不多的名字，如果你對(duì)系統(tǒng)文件不夠了解，那可就危險(xiǎn)了。例如有的木馬把名字不夠了解，那可就危險(xiǎn)了。例如有的木馬把名字改為改為window.exewindow.exe，如果不告訴你這是木馬的話，如果不告訴你這是木馬的話，該文件不會(huì)被你輕易刪除，還有就是更改一些后該文件不會(huì)被你輕易刪除，還有就是更改一些后綴名，比如把綴名，比如把dlldll改為改為dldl等，如果你不仔細(xì)看，等，如果你不仔細(xì)看，也很難發(fā)現(xiàn)。也很

24、難發(fā)現(xiàn)。木馬采用的偽裝方法木馬采用的偽裝方法6.6.在任務(wù)欄里隱藏在任務(wù)欄里隱藏如果在如果在windowswindows的任務(wù)欄里出現(xiàn)一個(gè)莫名其的任務(wù)欄里出現(xiàn)一個(gè)莫名其妙的圖標(biāo)，木馬就很容易暴露了。因此木馬程序妙的圖標(biāo)，木馬就很容易暴露了。因此木馬程序總是把自己在任務(wù)欄中隱藏起來。這在編程時(shí)是總是把自己在任務(wù)欄中隱藏起來。這在編程時(shí)是很容易實(shí)現(xiàn)的。以很容易實(shí)現(xiàn)的。以VBVB為例，只要把為例，只要把formform的的VisibleVisible屬性設(shè)置為屬性設(shè)置為False, ShowInTaskBarFalse, ShowInTaskBar設(shè)為設(shè)為FalseFalse程序就不會(huì)出現(xiàn)在任務(wù)欄里

25、了。程序就不會(huì)出現(xiàn)在任務(wù)欄里了。木馬采用的偽裝方法木馬采用的偽裝方法7.7.在任務(wù)管理器里隱藏在任務(wù)管理器里隱藏查看正在運(yùn)行的進(jìn)程最簡(jiǎn)單的方法就是按下查看正在運(yùn)行的進(jìn)程最簡(jiǎn)單的方法就是按下Ctrl+Alt+DelCtrl+Alt+Del時(shí)出現(xiàn)的任務(wù)管理器。木馬會(huì)千時(shí)出現(xiàn)的任務(wù)管理器。木馬會(huì)千方百計(jì)地偽裝自己，使自己不出現(xiàn)在任務(wù)管理器方百計(jì)地偽裝自己，使自己不出現(xiàn)在任務(wù)管理器里。木馬發(fā)現(xiàn)把自己設(shè)為里。木馬發(fā)現(xiàn)把自己設(shè)為 系統(tǒng)服務(wù)系統(tǒng)服務(wù)“就可以輕就可以輕松地騙過去。松地騙過去。木馬采用的偽裝方法木馬采用的偽裝方法8.8.隱藏通訊隱藏通訊任何木馬運(yùn)行后都要和攻擊者進(jìn)行通訊連接，任何木馬運(yùn)行后都要和

26、攻擊者進(jìn)行通訊連接，或者通過即時(shí)連接，如攻擊者通過客戶端直接接或者通過即時(shí)連接，如攻擊者通過客戶端直接接人被植人木馬的主機(jī)人被植人木馬的主機(jī); ;或者通過間接通訊?，F(xiàn)在或者通過間接通訊。現(xiàn)在大部分木馬一般在占領(lǐng)主機(jī)后會(huì)在大部分木馬一般在占領(lǐng)主機(jī)后會(huì)在10241024以上不易以上不易發(fā)現(xiàn)的高端口上駐留發(fā)現(xiàn)的高端口上駐留; ;有一些木馬會(huì)選擇一些常有一些木馬會(huì)選擇一些常用的端口，如用的端口，如8080、23,23,特別是有一種木馬還可以特別是有一種木馬還可以做到收到正常的做到收到正常的HTTPHTTP請(qǐng)求仍然把它交與請(qǐng)求仍然把它交與WebWeb服務(wù)服務(wù)器處理，收到特殊約定的數(shù)據(jù)包后，才調(diào)用木馬器處

27、理，收到特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序。程序。 木馬采用的偽裝方法木馬采用的偽裝方法9.9.隱藏隱加載方式隱藏隱加載方式通過修改虛擬設(shè)備驅(qū)動(dòng)程序通過修改虛擬設(shè)備驅(qū)動(dòng)程序(VXD)(VXD)或修改動(dòng)或修改動(dòng)態(tài)遵掇庫(kù)態(tài)遵掇庫(kù) (DLL)(DLL)來加載木馬。它采用替代系統(tǒng)功來加載木馬。它采用替代系統(tǒng)功能的方法能的方法( (改寫改寫vxdvxd或或DLLDLL文件文件) )，木馬會(huì)將修改，木馬會(huì)將修改后的后的DLLDLL替換系統(tǒng)已知的替換系統(tǒng)已知的DLLDLL，并對(duì)所有的函數(shù)調(diào)，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過濾。對(duì)于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器用進(jìn)行過濾。對(duì)于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的

28、系統(tǒng)直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLLDLL。一旦發(fā)現(xiàn)控制端。一旦發(fā)現(xiàn)控制端的請(qǐng)求就會(huì)激活自身，綁在一個(gè)進(jìn)程上進(jìn)行正常的請(qǐng)求就會(huì)激活自身，綁在一個(gè)進(jìn)程上進(jìn)行正常的木馬操作。這樣做的好處是沒有增加新的文件，的木馬操作。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進(jìn)程，使用常規(guī)不需要打開新的端口，沒有新的進(jìn)程，使用常規(guī)的方法監(jiān)測(cè)不到它。的方法監(jiān)測(cè)不到它。木馬采用的偽裝方法木馬采用的偽裝方法 1.1.在在Win.iniWin.ini中啟動(dòng)中啟動(dòng)在在Win.iniWin.ini的的windowswindows字段中有啟動(dòng)命字段中有啟動(dòng)命令令“l(fā)oadload”和和“runrun”，在一般情況

29、下，在一般情況下 “”后面是空白的，如果有后跟程序，比方后面是空白的，如果有后跟程序，比方說是這個(gè)樣子：說是這個(gè)樣子：run=c:windowsfile.exe run=c:windowsfile.exe load=c:windowsfile.exeload=c:windowsfile.exe木馬的啟動(dòng)木馬的啟動(dòng)2.2.在在System.iniSystem.ini中啟動(dòng)中啟動(dòng)System.iniSystem.ini位于位于WindowsWindows的安裝目錄下，其的安裝目錄下，其bootboot字段的字段的shell=Explorer.exeshell=Explorer.exe是木馬喜歡的隱

30、是木馬喜歡的隱藏加載之所，木馬通常的做法是將該何變?yōu)檫@藏加載之所，木馬通常的做法是將該何變?yōu)檫@樣樣:shell=Explorer.exefile.exe:shell=Explorer.exefile.exe。注意這里的。注意這里的file.exefile.exe就是木馬服務(wù)端程序就是木馬服務(wù)端程序! !另外，在另外，在SystemSystem中的中的386Enh386Enh字段，要注意檢字段，要注意檢查在此段內(nèi)的查在此段內(nèi)的“driverdriver路徑路徑 程序名程序名”這里也有這里也有可能被木馬所利用。再有，在可能被木馬所利用。再有，在System.iniSystem.ini中的中的mic

31、mic、driversdrivers、drivers32drivers32這這3 3個(gè)字段也要注個(gè)字段也要注意。意。木馬的啟動(dòng)木馬的啟動(dòng)3.3.注冊(cè)表注冊(cè)表p HKEY_LOCAL_MACHINESoftwareMicrosoftHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWindowsCurrentVersion下的五個(gè)以下的五個(gè)以RunRun和和RunServicesRunServices主鍵主鍵, , 其中可能有啟動(dòng)木馬的鍵值。其中可能有啟動(dòng)木馬的鍵值。p HKEY_CLASSES_ROOTHKEY_CLASSES_RO

32、OT文件類型文件類型shellopen shellopen commandcommand主鍵主鍵, ,查看其鍵值。國(guó)產(chǎn)木馬查看其鍵值。國(guó)產(chǎn)木馬“冰河冰河”就是就是修改修改HKEY_CLASSES_ROOTtxtfileshell open HKEY_CLASSES_ROOTtxtfileshell open commandcommand下的鍵值下的鍵值, ,將將“C:WINDOWSNOTEPAD.EXE C:WINDOWSNOTEPAD.EXE %1”%1”改為改為“ “ C:WINDOWSSYSTEMSYXXXPLR.EXE C:WINDOWSSYSTEMSYXXXPLR.EXE %1” %

33、1” ，這時(shí)你雙擊一個(gè)，這時(shí)你雙擊一個(gè)TXTTXT文件后，原本應(yīng)用文件后，原本應(yīng)用NOTEPADNOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。 木馬的啟動(dòng)木馬的啟動(dòng)4.4.在在Autoexec.batAutoexec.bat和和Config.sysConfig.sys中加載運(yùn)行中加載運(yùn)行在在C C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都需要控制端用戶與服馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動(dòng)命令的同名務(wù)端建立連接后，將己添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這

34、兩個(gè)文件才行，而且采文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在Autoexec.batAutoexec.bat和和ConfingsConfings中加載木馬程序的并中加載木馬程序的并不多見，但也不能因此而掉以輕心。不多見，但也不能因此而掉以輕心。 木馬的啟動(dòng)木馬的啟動(dòng)p端口掃描端口掃描p檢查注冊(cè)表檢查注冊(cè)表p查找文件查找文件p殺病毒軟件殺病毒軟件木馬的破解木馬的破解拒絕服務(wù)攻擊拒絕服務(wù)攻擊 DoSDoS是是Denial of ServiceDenial of Service的簡(jiǎn)稱，即拒絕服務(wù)。造的簡(jiǎn)稱，即拒絕服務(wù)。

35、造成成DoSDoS的攻擊行為被稱為的攻擊行為被稱為DoSDoS攻擊攻擊。 拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了目標(biāo)主機(jī)拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了目標(biāo)主機(jī)大量的大量的共享資源共享資源，使目標(biāo)主機(jī)沒有，使目標(biāo)主機(jī)沒有剩余的資源剩余的資源給其它用戶提供給其它用戶提供服務(wù)的一種攻擊方式。服務(wù)的一種攻擊方式。 拒絕服務(wù)攻擊的結(jié)果可以拒絕服務(wù)攻擊的結(jié)果可以降低系統(tǒng)資源的可用性降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡(luò)帶寬、這些資源可以是網(wǎng)絡(luò)帶寬、CPUCPU時(shí)間、磁盤空間、打印機(jī)、時(shí)間、磁盤空間、打印機(jī)、甚至是系統(tǒng)管理員的時(shí)間。甚至是系統(tǒng)管理員的時(shí)間。 拒絕服務(wù)攻擊究其原因是因?yàn)檫@是由于拒絕服務(wù)攻擊究其原因是

36、因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本網(wǎng)絡(luò)協(xié)議本身的安全缺陷身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。者的終極手法。 最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。 帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無法通過。 連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。遭受遭受DoSDoS攻擊時(shí)的現(xiàn)象攻擊時(shí)的現(xiàn)象 ： 1.1.被攻擊主機(jī)上有大量等待的被攻擊主機(jī)上有大量等待的TCPTCP連接連接 2.2.網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，

37、源地網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假址為假 3.3.制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊受害主機(jī)無法正常和外界通訊 4.4.利用受害主機(jī)提供的利用受害主機(jī)提供的服務(wù)服務(wù)或或傳輸協(xié)議傳輸協(xié)議上的上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求主機(jī)無法及時(shí)處理所有正常請(qǐng)求 5.5.嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) netstat -an | grep SYN 83.9 9.1801 0 0 24656 0 SYN

38、_RCVD 83.13 9.1801 0 0 24656 0 SYN_RCVD 83.19 9.1801 0 0 24656 0 SYN_RCVD 83.21 9.1801 0 0 24656 0 SYN_RCVD 83.22 9.1801 0 0 24656 0 SYN_RCVD 83.23 9.1801 0 0 24656 0 SYN_RCVD 83.25 127.0.0

39、.79.1801 0 0 24656 0 SYN_RCVD 83.37 9.1801 0 0 24656 0 SYN_RCVD 83.53 9.1801 0 0 24656 0 SYN_RCVD # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an | grep SYN | wc -l 5267 共有五千多個(gè)共有五千多個(gè)SynSyn的半連接存儲(chǔ)在內(nèi)存中。這的半連接存儲(chǔ)在內(nèi)存中。這時(shí)候被攻擊機(jī)

40、已經(jīng)不能響應(yīng)新的服務(wù)請(qǐng)求了，系統(tǒng)時(shí)候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請(qǐng)求了，系統(tǒng)運(yùn)行非常慢，也無法運(yùn)行非常慢，也無法pingping通。通。 這是在攻擊發(fā)起后僅僅這是在攻擊發(fā)起后僅僅7070秒鐘左右時(shí)的情況。秒鐘左右時(shí)的情況。. .防火墻防火墻 p禁止對(duì)主機(jī)的非開放服務(wù)的訪問禁止對(duì)主機(jī)的非開放服務(wù)的訪問 p限制同時(shí)打開的限制同時(shí)打開的SYNSYN最大連接數(shù)最大連接數(shù) p限制特定限制特定IPIP地址的訪問地址的訪問 p啟用防火墻的防啟用防火墻的防DDoSDDoS的屬性的屬性 p嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問 . .路由器路由器 以以CiscoCisco路由器為例

41、路由器為例 pCisco Express ForwardingCisco Express Forwarding（CEFCEF） p使用使用 unicast reverse-path unicast reverse-path p訪問控制列表（訪問控制列表（ACLACL）過濾）過濾 p設(shè)置設(shè)置SYNSYN數(shù)據(jù)包流量速率數(shù)據(jù)包流量速率 p升級(jí)版本過低的升級(jí)版本過低的ISO ISO p為路由器建立為路由器建立log serverlog server 3.3.主機(jī)上的設(shè)置主機(jī)上的設(shè)置 p關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù) p限制同時(shí)打開的限制同時(shí)打開的SynSyn半連接數(shù)目半連接數(shù)目 p縮短縮短SynSy

42、n半連接的半連接的time outtime out時(shí)間時(shí)間 p及時(shí)更新系統(tǒng)補(bǔ)丁及時(shí)更新系統(tǒng)補(bǔ)丁 p優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)，調(diào)整路由表以將拒絕服務(wù)優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)，調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小；攻擊的影響減到最??；p應(yīng)用路由器的帶寬分配技術(shù)；應(yīng)用路由器的帶寬分配技術(shù)；p優(yōu)化可能成為攻擊目標(biāo)的主機(jī)，禁止所有不必要優(yōu)化可能成為攻擊目標(biāo)的主機(jī)，禁止所有不必要的服務(wù)；的服務(wù)；p定期使用漏洞掃描軟件全面檢查網(wǎng)絡(luò)中的現(xiàn)有的定期使用漏洞掃描軟件全面檢查網(wǎng)絡(luò)中的現(xiàn)有的和潛在的漏洞，及時(shí)安裝補(bǔ)丁程序，并注意定期升和潛在的漏洞，及時(shí)安裝補(bǔ)丁程序，并注意定期升級(jí)系統(tǒng)軟件，有效提高系統(tǒng)安全性；級(jí)系統(tǒng)軟件，有效

43、提高系統(tǒng)安全性；p當(dāng)檢測(cè)到拒絕服務(wù)攻擊時(shí)，若發(fā)現(xiàn)攻擊數(shù)據(jù)包來當(dāng)檢測(cè)到拒絕服務(wù)攻擊時(shí)，若發(fā)現(xiàn)攻擊數(shù)據(jù)包來自某些自某些ISPISP時(shí)應(yīng)盡快和他們?nèi)〉寐?lián)系；可以使用負(fù)載時(shí)應(yīng)盡快和他們?nèi)〉寐?lián)系；可以使用負(fù)載均衡技術(shù)和蜜罐技術(shù)抵御此類攻擊。均衡技術(shù)和蜜罐技術(shù)抵御此類攻擊。 u對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。的機(jī)密性、完整性和可用性。u進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。測(cè)系統(tǒng)。uIDS : Intru

44、sion Detection SystemIDS : Intrusion Detection System 入侵檢測(cè)的定義入侵檢測(cè)的定義動(dòng)態(tài)安全模型動(dòng)態(tài)安全模型P2DRP2DR入侵檢測(cè)的起源入侵檢測(cè)的起源u19801980年年4 4月，月，James P. Anderson :James P. Anderson :Computer Computer Security Threat Monitoring and SurveillanceSecurity Threat Monitoring and Surveillance（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的

45、技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念。詳細(xì)闡述了入侵檢測(cè)的概念。u他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種。并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種。u還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。入侵檢測(cè)的起源入侵檢測(cè)的起源 從從19841984年到年到19861986年，喬治敦大學(xué)的年，喬治敦大學(xué)的Dorothy DenningDorothy Denning和和SRI/C

46、SLSRI/CSL的的Peter NeumannPeter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為模型，取名為IDESIDES（入侵檢測(cè)專家系統(tǒng)）。（入侵檢測(cè)專家系統(tǒng)）。入侵檢測(cè)的起源入侵檢測(cè)的起源u19901990，加州大學(xué)戴維斯分校的，加州大學(xué)戴維斯分校的L. T. HeberleinL. T. Heberlein等人等人開發(fā)出了開發(fā)出了NSMNSM（Network Security MonitorNetwork Security Monitor）。）。u該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可

47、以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。控異種主機(jī)。u入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁(yè)，兩大陣營(yíng)正入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的式形成：基于網(wǎng)絡(luò)的IDSIDS和基于主機(jī)的和基于主機(jī)的IDSIDS。 入侵檢測(cè)組成入侵檢測(cè)組成 輸出：反應(yīng)或事件 輸出：高級(jí)中斷事件 輸出：事件的存儲(chǔ)信息 輸出：原始或低級(jí)事件 輸入：原始事件源 事件產(chǎn)生器 響應(yīng)單元 事件數(shù)據(jù)庫(kù) 事件分析器 入侵檢測(cè)功能入侵檢測(cè)功能u監(jiān)控、分析用戶的和系統(tǒng)的活動(dòng)監(jiān)控、分析用戶的和系統(tǒng)的活動(dòng)u發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象u記錄、報(bào)警和

48、響應(yīng)記錄、報(bào)警和響應(yīng)入侵檢測(cè)的分類依據(jù)數(shù)據(jù)來源分類入侵檢測(cè)的分類依據(jù)數(shù)據(jù)來源分類u基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。機(jī)。u基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。u混合型混合型入侵檢測(cè)的分類依據(jù)檢測(cè)原理分類入侵檢測(cè)的分類依據(jù)檢測(cè)原理分類u異常檢測(cè)模型（異常檢測(cè)模型（Anomaly Detection ):Anomaly Detection ):首先首先總結(jié)正常操作應(yīng)該具有的特征（

49、用戶輪廓），總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。是入侵。 u誤用檢測(cè)模型（誤用檢測(cè)模型（Misuse Detection)Misuse Detection)：收集：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。入侵檢測(cè)異常檢測(cè)入侵檢測(cè)異常檢測(cè)1.1.前提：入侵是異?；顒?dòng)的子集前提：入侵是異?；顒?dòng)的子集 2.2.用戶輪廓用戶輪廓(

50、Profile): (Profile): 通常定義為各種行為參數(shù)及其閥通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍值的集合，用于描述正常行為范圍3.3.過程過程 監(jiān)控監(jiān)控 量化量化 比較比較 判定判定 修正修正4.4.指標(biāo)指標(biāo): :漏報(bào)漏報(bào)( (false positivefalse positive) ), ,錯(cuò)報(bào)錯(cuò)報(bào)( (false negativefalse negative) )入侵檢測(cè)異常檢測(cè)入侵檢測(cè)異常檢測(cè)u如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱為如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱為誤誤報(bào)報(bào)(false positive)(false positive) ；如果系

51、統(tǒng)未能檢測(cè)出真正；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱為的入侵行為則稱為漏報(bào)漏報(bào)(false negative)(false negative)。 u特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。多的系統(tǒng)資源。

52、activity measuresprobable intrusion入侵檢測(cè)異常檢測(cè)入侵檢測(cè)異常檢測(cè)入侵檢測(cè)誤用檢測(cè)入侵檢測(cè)誤用檢測(cè)1.1.前提：所有的入侵行為都有可被檢測(cè)到的特征前提：所有的入侵行為都有可被檢測(cè)到的特征 2.2.攻擊特征庫(kù)攻擊特征庫(kù): : 當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 3.3.過程過程 監(jiān)控監(jiān)控 特征提取特征提取 匹配匹配 判定判定 4.4.指標(biāo)指標(biāo) 錯(cuò)報(bào)低錯(cuò)報(bào)低 漏報(bào)高漏報(bào)高 入侵檢測(cè)誤用檢測(cè)入侵檢測(cè)誤用檢測(cè)u如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會(huì)如果入侵特征與

53、正常的用戶行能匹配，則系統(tǒng)會(huì)發(fā)生發(fā)生誤報(bào)誤報(bào)；如果沒有特征能與某種新的攻擊行；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)漏報(bào)。u特點(diǎn)：特點(diǎn)：采用特征匹配，濫用模式能明顯降低錯(cuò)采用特征匹配，濫用模式能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得濫用檢測(cè)無能為力?；瑫?huì)使得濫用檢測(cè)無能為力。入侵檢測(cè)誤用檢測(cè)入侵檢測(cè)誤用檢測(cè)Intrusion Patternsactivitiespattern matchingintrusionExample: if (src_ip = dst_ip) then “l(fā)and at

54、tack”Cant detect new attacks入侵檢測(cè)的分類依據(jù)體系結(jié)構(gòu)分類入侵檢測(cè)的分類依據(jù)體系結(jié)構(gòu)分類u集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行。分析集中在一臺(tái)主機(jī)上運(yùn)行。u分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上。算機(jī)和設(shè)備上。入侵檢測(cè)集中式入侵檢測(cè)集中式u優(yōu)點(diǎn)：優(yōu)點(diǎn)：q不會(huì)降低目標(biāo)機(jī)的性能不會(huì)降低目標(biāo)機(jī)的性能q統(tǒng)計(jì)行為信息統(tǒng)計(jì)行為信息q多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)u缺點(diǎn)：缺點(diǎn)：q不能進(jìn)行實(shí)時(shí)檢測(cè)不能進(jìn)行實(shí)時(shí)檢測(cè)q不能實(shí)時(shí)響應(yīng)不能實(shí)時(shí)響應(yīng)q

55、影響網(wǎng)絡(luò)通信量影響網(wǎng)絡(luò)通信量入侵檢測(cè)分布式入侵檢測(cè)分布式u優(yōu)點(diǎn)：優(yōu)點(diǎn)：q實(shí)時(shí)告警實(shí)時(shí)告警q實(shí)時(shí)響應(yīng)實(shí)時(shí)響應(yīng)u缺點(diǎn)：缺點(diǎn)：q降低目標(biāo)機(jī)的性能降低目標(biāo)機(jī)的性能q沒有統(tǒng)計(jì)行為信息沒有統(tǒng)計(jì)行為信息q沒有多主機(jī)標(biāo)志沒有多主機(jī)標(biāo)志q沒有用于支持起訴的原始數(shù)據(jù)沒有用于支持起訴的原始數(shù)據(jù)q降低了數(shù)據(jù)的辨析能力降低了數(shù)據(jù)的辨析能力q系統(tǒng)離線時(shí)不能分析數(shù)據(jù)系統(tǒng)離線時(shí)不能分析數(shù)據(jù)入侵檢測(cè)的分類依據(jù)工作方式分類入侵檢測(cè)的分類依據(jù)工作方式分類u脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析行分析u聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析變時(shí)進(jìn)行

56、分析相關(guān)術(shù)語(yǔ)相關(guān)術(shù)語(yǔ) Alert（警報(bào)）（警報(bào)） u當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDSIDS系統(tǒng)將發(fā)系統(tǒng)將發(fā)布一個(gè)布一個(gè)alertalert信息通知系統(tǒng)管理員信息通知系統(tǒng)管理員u如果控制臺(tái)與如果控制臺(tái)與IDSIDS系統(tǒng)同在一臺(tái)機(jī)器，系統(tǒng)同在一臺(tái)機(jī)器，alertalert信息將信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示顯示在監(jiān)視器上，也可能伴隨著聲音提示u如果是遠(yuǎn)程控制臺(tái)，那么如果是遠(yuǎn)程控制臺(tái)，那么alertalert將通過將通過IDSIDS系統(tǒng)內(nèi)置系統(tǒng)內(nèi)置方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上幾（短信息）或者以上幾種方法的混合方式傳遞給管理員種方法的混合方式傳遞給管理員相關(guān)術(shù)語(yǔ)相關(guān)術(shù)語(yǔ) Anomaly（異常）（異常） u當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)多數(shù)IDSIDS都會(huì)告警都會(huì)告警u一個(gè)基于一個(gè)基于anomalyanomaly（異常）的（異常）的IDSIDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)