IDS6基于网络的入侵检测技术.ppt

第6章 基于网络的入侵检测技术 第6章 基于网络的入侵检测技术 q分层协议模型与TCP/IP协议 q网络数据包的捕获 q包捕获机制BPF模型 q基于Libpcap库的数据捕获技术 q检测引擎的设计 q网络入侵特征实例分析 q检测实例分析 TCP/IP协议分层结构 TCP/IP分层协议OSI 分层 应用层 FTPSMTPTelnetDNS S N M P 7 传输层 TCPUDP 4 网络层 IP, ICMP (RIP, OSPF) 3 ARP, RARP 链路层 Ethernet Token Bus Token Ring FDDI W L A N 2 1 数据报文的分层封装 局域网和网络设备的工作原理 qHUB工作原理 q网卡工作原理 q局域网工作过程 全双工 q两台设备在发送和接收数据时，通信双方都能 在同一时刻进行发送或接收操作，这样的传送 方式就是全双工。而处于半双工传送方式的设 备，当其中一台设备在发送数据时，另一台只 能接收，而不能同时将自己的数据发送出去。 q由于集线器采取的是“广播”传输信息的方式， 因此集线器传送数据时只能工作在半双工状态 下，比如说计算机1与计算机8需要相互传送一 些数据，当计算机1在发送数据时，计算机8只 能接收计算机1发过来的数据，只有等计算机1 停止发送并做好了接收准备，它才能将自己的 信息发送给计算机1或其它计算机。 半双工 q集线器的工作原理很简单，一个具备8个端口 的集线器，共连接了8。集线器是一种“共享” 设备，集线器本身不能识别目的地址，当同一 局域网内的A主机给B主机传输数据时，数据 包在以集线器为架构的网络上是以广播方式传 输的，由每一台终端通过验证数据包头的地址 信息来确定是否接收。 HUB工作原理 q由于以太网等很多网络（常见共享HUB连接 的内部网）是基于总线方式，物理上是广播的 ，就是当一个机器发给另一个机器的数据，共 享HUB先收到然后把它接收到的数据再发给 其他的（来的那个口不发了）每一个口，所以 在共享HUB下面同一网段的所有机器的网卡 都能接收到数据。 HUB工作原理 q交换式HUB的内部程序能记住每个口的MAC 地址，以后就根据地址将数据发到相应的端口 ，而不是像共享HUB那样发给所有的口，所 以交换HUB下只有应该接收数据的机器的网 卡能接收到数据，当然广播包还是发往所有口 。 HUB工作原理 q显然共享HUB的工作模式使得两个机器传输 数据的时候其他机器别的口也占用了，所以共 享 HUB决定了同一网段同一时间只能有两个 机器进行数据通信，而交换HUB两个机器传 输数据的时候别的口没有占用，所以别的端口 之间也可以同时传输。 HUB工作原理 q这就是共享HUB与交换HUB不同的两个地方 ，共享HUB是同一时间只能一个机器发数据 并且所有机器都可以接收，而交换HUB同一 时间可以有多端口间进行数据传输。 交换机 q交换机也叫交换式集线器，它通过对信息进行 重新生成，并经过内部处理后转发至指定端口 ，具备自动寻址能力和交换作用，由于交换机 根据所传递信息包的目的地址，将每一信息包 独立地从源端口送至目的端口，避免了和其他 端口发生碰撞。广义的交换机就是一种在通信 系统中完成信息交换功能的设备。 交换机的工作原理 q交换机是针对共享工作模式的弱点而推出的。 集线器是采用共享工作模式的代表，如果把集 线器比作一个邮递员，那么这个邮递员是个不 认识字的“傻瓜”。 q要他去送信，他不知道直接根据信件上的地址 将信件送给收信人，只会拿着信分发给所有的 人，然后让接收的人根据地址信息来判断是不 是自己的! 交换机的工作原理 q而交换机则是一个“聪明”的邮递员-交换机拥有一条 高带宽的外部总线和内部交换矩阵。交换机的所有的 端口都挂接在这条外部总线上，当控制电路收到数据 包以后，处理端口会查找内存中的地址对照表以确定 目的MAC（网卡的硬件地址）的NIC（网卡）挂接在 哪个端口上，通过内部交换矩阵迅速将数据包传送到 目的端口。目的MAC若不存在，交换机才广播到所 有的端口，接收端口回应后交换机会“学习”新的地址 ，并把它添加入内部地址表中。 q可见，交换机在收到某个网卡发过来的“信件” 时，会根据上面的地址信息，以及自己掌握的 “常住居民户口簿”快速将信件送到收信人的手 中。万一收信人的地址不在“户口簿”上，交换 机才会像集线器一样将信分发给所有的人，然 后从中找到收信人。而找到收信人之后，交换 机会立刻将这个人的信息登记到“户口簿”上， 这样以后再为该客户服务时，就可以迅速将信 件送达了。 Sniffer qSniffer是利用计算机的网络接口截获目的 地为其他计算机的数据报文的一种工具。 qSniffer要通知网卡接收其收到的所有包（ 该模式叫作混杂模式：指网络上的设备都对 总线上传送的所有数据进行侦听，并不仅仅 是针对它们自己的数据），在共享HUB下就 能接收到这个网段的所有数据包，但是在交 换HUB下就只能接收自己的包和广播包。 Sniffer qSniffer的正当用处主要是分析网络的流 量,以便找出所关心的网络中潜在的问题 。 qSniffer作用在网络基础结构的底层。通 常情况下， 用户并不直接和该层打交道 ，有些甚至不知道有这一层存在。 共享和交换网络环境下的数据捕获 q要想捕获流经网卡的但不属于自己主机的所 有数据流，就必须绕开系统正常工作的处理 机制，直接访问网络底层。 q首先需要将网卡的工作模式设置为混杂模式 ，使之可以接收目标地址不是自己的MAC地 址的数据包，然后直接访问数据链路层，获 取数据并由应用程序进行过滤处理。 共享和交换网络环境下的数据捕获 q在UNIX系统中可以用Libpcap包捕获函数库 直接与内核驱动交互操作，实现对网络数据 包的捕获。 q在Win32平台上可以使用Winpcap，通过VxD 虚拟设备驱动程序实现网络数据捕获的功能 。 常用的包捕获机制 包捕获机制系 统 平 台备 注 BPFBSD系列Berkeley Packet Filter DLPI Solaris, HP-UNIX， SCO UNIX Data Link Provider Interface NITSunOS 3Network Interface Tap SNOOPIRIX SNITSunOS 4 Streams Network Interface Tap SOCK-PACKETLinux LSF=Linux 2.1.75Linux Socket Filter DrainIRIX BPF的模型及其接口 缓存缓存 过滤器过滤器 缓存 协议栈 链路层驱动器链路层驱动器 程序1程序3程序2 过滤器 链路层驱动器 程序4 Libpcap介绍 qLibpcap的英文意思是 Packet Capture library，即数据包捕获函数库。 q它是UNIX平台上的一个包捕获函数库，其源 代码可从网上获得。 q它是一个独立于系统的用户层包捕获的API 接口，为底层网络监测提供了一个可移植的 框架。 Windows平台下的Winpcap库 qLibpcap过去只支持Unix,现在已经可以支持 Win32,这是通过在Wiin32系统中安装 Winpcap来实现的。 qWinpcap的主要功能在于独立于主机协议而 发送和接收原始数据报，主要提供了四大功 能： Windows平台下的Winpcap库 q(1)捕获原始数据报，包括在共享网络上各 主机发送/接收的以及相互之间交换的数据 报； q(2)在数据报发往应用程序之前，按照自定 义的规则将某些特殊的数据报过滤掉； q(3)在网络上发送原始的数据报 q(4)收集网络通信过程中的统计信息。 Winpcap结构示意图 检测引擎的设计 q网络检测引擎必须获取和分析网络上传输的 数据包，才能得到可能入侵的信息。 q检测引擎首先需要利用数据包截获机制，截 获引擎所在网络中的数据包。 q经过过滤后，引擎需要采用一定的技术对数 据包进行处理和分析，从而发现数据流中存 在的入侵事件和行为。 检测引擎的设计 q有效的处理和分析技术是检测引擎的重要 组成部分。 q检测引擎主要的分析技术有模式匹配技术 和协议分析技术等。 模式匹配技术 q从网络数据包的包头开始和攻击特征比较； q如果比较结果相同，则检测到一个可能的攻 击； q如果比较结果不同，从网络数据包中下一个 位置重新开始比较； 模式匹配技术 q直到检测到攻击或网络数据包中的所有字 节匹配完毕，一个攻击特征匹配结束。 q对于每一个攻击特征，重复1步到4步的操 作。 q直到每一个攻击特征匹配完毕，对给定数 据包的匹配完毕。 协议分析技术 q网络通信协议是一个高度格式化的、具有明 确含义和取值的数据流，如果将协议分析和 模式匹配方法结合起来，可以获得更好的效 率、更精确的结果。 q协议分析的功能是辨别数据包的协议类型， 以便使用相应的数据分析程序来检测数据包 。 协议分析技术 q可以把所有的协议构成一棵协议树，一个特定 的协议是该树结构中的一个结点，可以用一棵 二叉树来表示。 协议分析技术 q一个网络数据包的分析就是一条从根到某个 叶子的路径。在程序中动态地维护和配置此 树结构即可实现非常灵活的协议分析功能。 q协议分析有效利用了网络协议的层次性和相 关协议的知识快速地判断攻击特征是否存在 。他的高效使得匹配的计算量大幅度减小。 特征（signature）的基本概念 qIDS中的特征就是指用于判别通讯信息种类的 样板数据，通常分为多种，以下是一些典型情 况及识别方法： q来自保留IP地址的连接企图：可通过检查IP报 头的来源地址识别。 特征（signature）的基本概念 q带有非法TCP 标志组合的数据包：可通过对比 TCP报头中的标志集与已知正确和错误标记组 合的不同点来识别。 q含有特殊病毒信息的Email：可通过对比每封 Email的主题信息和病态Email的主题信息来识 别，或者通过搜索特定名字的附近来识别。 特征（signature）的基本概念 q查询负载中的DNS缓冲区溢出企图：可通过 解析DNS域及检查每个域的长度来识别利用 DNS域的缓冲区溢出企图。还有另外一个识 别方法是：在负载中搜索“壳代码利用”（ exploit shellcode）的序列代码组合。 特征（signature）的基本概念 q通过对POP3服务器发出上千次同一命令而导 致的DoS攻击：通过跟踪记录某个命令连续 发出的次数，看看是否超过了预设上限，而 发出报警信息。 特征（signature）的基本概念 q未登录情况下使用文件和目录命令对FTP服 务器的文件访问攻击：通过创建具备状态跟 踪的特征样板以监视成功登录的FTP对话、 发现未经验证却发命令的入侵企图。 典型特征-报头值 q一般情况下，异常报头值的来源有以下几 种：来自保留IP地址的连接企图：可通过 检查IP报头的来源地址识别。 q许多包含报头值漏洞利用的入侵数据都会 故意违反RFC的标准定义。 典型特征-报头值 q许多包含错误代码的不完善软件也会产生违 反RFC定义的报头值数据。 q并非所有的操作系统和应用程序都能全面拥 护RFC定义。 q随着时间推移，执行新功能的协议可能不被 包含于现有RFC中。 候选特征 q只具有SYN和FIN标志集的数据包，这是公认 的恶意行为迹象。 q没有设置ACK标志，但却具有不同确认号码数 值的数据包，而正常情况应该是0。 候选特征 q来源端口和目标端口都被设置为21的数据包 ，经常与FTP服务器关联。这“种端口相同 的情况一般被称为“反身”（reflexive） ，除了个别时候如进行一些特别NetBIOS通 讯外，正常情况下不应该出现这种现象。“ 反身”端口本身并不违反TCP标准，但大多 数情况下它们并非预期数值。例如在一个正 常的FTP对话中，目标端口一般是21，而来 源端口通常都高于1023。 候选特征 qTCP窗口尺寸为1028，IP标识号码在所有数 据包中为39426。根据IP RFC的定义，这2类 数值应在数据包间有所不同，因此，如果持 续不变，就表明可疑。 报头值关键元素 qIP地址，特别保留地址、非路由地址、广播 地址。 q不应被使用的端口号，特别是众所周知的协 议端口号和木马端口号。 q异常信息包片断。 q特殊TCP标志组合值。 q不应该经常出现的ICMP字节或代码。 检测实例-数据包捕获 08/19-10:35:22.409202 :137 - 55:137 UDP TTL:128 TOS:0x0 ID:19775 IpLen:20 DgmLen:78 Len: 50 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+ 08/19-10:35:23.152199 :137 - 55:137 UDP TTL:128 TOS:0x0 ID:19776 IpLen:20 DgmLen:78 Len: 50 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ =+=+=+ 08/19-10:35:32.467024 :1221 - 90:80 TCP TTL:128 TOS:0x0 ID:46