第8章 入侵检测技术 全面.ppt

1、第 8 章 入侵检测技术,本章学习目标： 了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标,8.1 入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。,入侵检测是防火墙的合理补充，它

2、帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。,8.1 入侵检测系统概述,8.1.1 相关术语,攻击 攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件（event）,入侵 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别

3、的过程 入侵检测系统（IDS） 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,8.1 入侵检测系统概述,8.1.1 相关术语,入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点

4、收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。,8.1 入侵检测系统概述,8.1.2 入侵检测,8.1 入侵检测系统概述,入侵检测系统,入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安

5、全策略的行为。,8.1 入侵检测系统概述,8.1.3 入侵检测系统的作用,监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪,形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.,8.1 入侵检测系统概述,入侵检测系统包括三个过程 （1）信息收集 （2）信息分析 （3）结果处理,8.1.4 入侵检测过程,（1）信息搜集,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状

6、态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为,( 2 ) 信息分析,信息分析,模式匹配 统计分析 完整性分析，往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一

7、般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有

8、效,8.1.5 入侵检测系统的结构,CIDF（Common Intrusion Detection Framework）阐述了一个入侵检测系统的通用模型，如图8-1所示。,8-2,图8-3 引擎的工作流程,引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能,8.1.5 入侵检测系统的结构,8.2 入侵检测的原理与技术,8.2.1 入侵检测的实现方式,入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。,基于网络的入侵检测系统（NIDS） 基于主机的入侵检测系统（HIDS） 混合型入侵检测系统（Hybrid

9、 IDS）,8.2 入侵检测的原理与技术,8.2.1 入侵检测的实现方式,1、网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。,安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中 混杂模式监听 分析网段中所有的数据包 实时检测和响应,Desktops,Web Servers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Network-based 入侵检测,Network-based IDS,Networ

10、k-based IDS,Network-based IDS,8.2 入侵检测的原理与技术,图8-4 网络IDS工作模型,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,8.2 入侵检测的原理与技术,网络IDS优势,(1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源； (3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高； (4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保

11、护，事后分析取证； (5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。,8.2 入侵检测的原理与技术,网络IDS的劣势,(1)不适合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性,8.2 入侵检测的原理与技术,8.2.1 入侵检测的实现方式,2、主机IDS： 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。, 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,Desktops,Web Ser

12、vers,Telecommuters,Customers,Servers,Network,Branch Office,Partners,Host-based 入侵检测,Hacker,Host-based IDS,Host-based IDS,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容： 系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,8.2 入侵检测的原理与技术,主机IDS优势,(1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到NIDS无法检测的攻击 (4) HI

13、DS适用加密的和交换的环境。 (5) 不需要额外的硬件设备。,8.2 入侵检测的原理与技术,主机IDS的劣势,(1) HIDS对被保护主机的影响。 (2) HIDS的安全性受到宿主操作系统的限制。 (3) HIDS的数据源受到审计系统限制。 (4) 被木马化的系统内核能够骗过HIDS。 (5) 维护/升级不方便。,8.2 入侵检测的原理与技术,3、混合型入侵检测系统（Hybrid IDS） 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。,8.2 入侵检测的原

14、理与技术,8.2.3 IDS采用的技术,入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有： 静态配置分析技术 异常检测技术 误用检测技术,1静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动。,8.2 入侵检测的原理与技术,8.2.3 IDS采用的技术,2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计

15、数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。,8.2 入侵检测的原理与技术,8.2.3 IDS采用的技术,3误用检测技术 误用检测技术(Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。 这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新

16、的入侵攻击行为以及未知的、潜在的系统缺陷的检测。,防火墙旨在拒绝那些明显可疑的网络流量，但仍允许某些流量通过，因此它对很多入侵攻击无计可施。IDS通过监视网络和系统资源，寻找违反安全策略的行为，并发出警报，因此IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。,8.3 入侵防护系统(IPS),8.3.1 入侵防护系统的概念,目前，企业所面临的安全问题越来越复杂，如蠕虫、DDoS攻击、垃圾邮件等安全威胁日益增多，给企业网络造成严重的破坏。越来越多的用户发现，IDS不能满足新网络环境下对安全的需求。因此，人们迫切需要找到一种主动入侵防护解决方案，以确保企业网络尽量少地受到威胁和

17、攻击。,入侵防护系统(IPS: Intrusion Prevention System)则能提供主动性的防护，其设计旨在对入侵活动和攻击性网络流量进行拦截，避免其直接进入内部网络，而不是简单地在恶意流量传送时或传送后才发出警报。,8.3 入侵防护系统(IPS),IPS是一种主动的、积极的入侵防范和阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上看，与IDS相比，入侵防御系统IPS又有了新的发展，能够对网络起到较好的实时防护作用。,IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经

18、过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样，有问题的数据包以及所有来自同一数据流的后续数据包，都能够在 IPS 设备中被清除掉。,8.3 入侵防护系统(IPS),IPS能够对所有数据包仔细检查，立即确定是许可还是禁止这些包的访问。IPS拥有多个过滤器，能够防止系统中各种类型的弱点免受攻击。当新的漏洞或攻击手段被发现之后，IPS就会创建一个新的过滤器并将其纳入自己的管辖之下，试探攻击这些漏洞的任何恶意企图都会受到拦截。,8.3.2 入侵防护系统的原理,8.3 入侵防护系统(IPS),8.3 入侵防护系统(IPS),8.3.2 入侵防护系统的原理,IPS

19、技术包括基于主机的入侵防护系统和基于网络的入侵防护系统两大类。 基于主机的入侵防护系统(HIPS) 基于网络的入侵防护系统(NIPS),8.3 入侵防护系统(IPS),8.3.3 入侵防护系统的分类,AIP是用来保护特定应用服务(如Web和数据库等应用)的网络设施，通常部署在应用服务器之前。通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。大部分对应用层的攻击都是通过HTTP协议(80端口)进行。据国外权威机构统计，97的Web站点存在一定的应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范，但其应用层的漏洞仍可被利用，进而受到入侵和攻击。,8.3 入侵

20、防护系统(IPS),8.3.4 应用入侵防护系统(AIP),因此对于Web等应用协议， AIP应用比较广泛。通过制订合理的安全策略，AIP能够对恶意脚本、Cookie投毒、隐藏域修改、缓存溢出、参数篡改、强制浏览、SQL插入、已知漏洞攻击等Web攻击进行有效的防范。虽然AIP刚出现近两年，但其发展迅速。Yankee Group预测在未来的五年里，AIP将和防火墙、IDS和反病毒等安全技术一起，成为网络安全整体解决方案的重要组成部分。,8.3 入侵防护系统(IPS),从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实

21、施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。 从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。,8.3.5 IDS与IPS的区别,8.3.5 IDS与IPS的区别,入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息

22、系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。 入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施对黑客行为的阻击。 入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。,IPS可以理解为深度filewall。,8.4 网络扫描和网络监听,防火墙是保证网络安全的第一道屏障。它能根据企业的安全政策控制(允许或拒绝)出入网络的信息流，且本身具有较强的抗攻击能力。但是它也存在一些诸如不能防止来自内部网络用户的攻击、不能防止绕过它的攻击

23、、不能防止带病毒文件的传输等不足之处。,IDS是网络安全的第二道闸门，是防火墙的必要补充。然而，由于网络IDS也存在一些局限性，现已出现IDS躲避技术和越过网络IDS的新技术。 因此，对付破坏系统企图的理想方法就是建立一个完全安全的系统，但实际上这是根本不可能的。美国公布的一份研究报告，指出软件中不可能没有漏洞和缺陷。,8.4 网络扫描和网络监听,影响网络系统安全的因素很多，但不外乎来自系统内部的漏洞(缺陷或脆弱性)和来自网络系统外部的威胁。,8.4 网络扫描和网络监听,8.4.1 网络系统漏洞,在计算机网络安全领域，网络系统漏洞是指网络系统硬件、软件或策略上存在的缺陷或脆弱性。计算机网络本身

24、存在着一些漏洞，非授权用户利用这些漏洞可对网络系统进行非法访问。这种非法访问可能使系统内数据的完整性受到威胁，也可能使信息遭到破坏而不能继续使用，更为严重的是有价值的信息被窃取而不留任何痕迹,网络系统漏洞的主要表现,网络系统硬件的缺陷（主要有硬件故障、网络线路 威胁、电磁辐射和存储介质脆弱等方面。 ）,(2) 软件安全漏洞（指在计算机程序、系统或协议 中存在的安全漏洞） 应用软件的安全漏洞 操作系统的安全漏洞 数据库的安全漏洞 通信协议的安全漏洞 网络软件与网络服务的安全漏洞,扫描器是检测远程或本地系统安全脆弱性的软件，通过与目标主机TCP/IP端口建立连接和并请求某些服务，记录目标主机的应答

25、，搜集目标主机相关信息，从而发现目标主机存在的安全漏洞。,扫描技术双刃剑 安全评估工具：管理员用来确保系统的安全性 黑客攻击工具：黑客用来探查系统的入侵点,8.4.2 扫描器（Scanner）,扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。 扫描器测试TCP/IP端口和服务，并记录目标的回答。通过这种方法，可以搜集到关于目标主机的有用信息。,8.4.2 扫描器（Scanner）,1.扫描器的基本工作原理,发现一个主机和网络的能力 发现系统运行的服务 通过测试这些服务，发现漏洞的能力 进一步的功能：如操作系统辨识、应用系统识别,扫描是否合法 未经授权对目标网络进行扫描是违法的

26、！,8.4.2 扫描器（Scanner）,2.扫描器的功能,产生报表,扫描漏洞,收集服务类型/版本,端口扫描,检验操作系统,扫描网络,Solaris 2.6, ,10.10.10.X, ,Windows 2000,IIS 5.0,HP 10.20,SMTP,Telnet ,WWW,Apache 3.0,Sendmail 8.9.3,扫描模块,各扫描模块共享扫描结果,数据库,IP地址 并发扫描,输入 : 扫描目标对象,输出 : 系统漏洞列表,Alive,Alive,Alive,3. 扫描器的典型扫描过程,根据工作模式的不同，扫描器一般可分成网络型扫描器和主机型扫描器两大类。其中前者基于网络，通过

27、请求/应答方式远程检测目标网络和主机系统的安全漏洞；后者基于主机，通过在主机系统本地运行代理程序来检测系统漏洞，如操作系统漏洞扫描器和数据库系统漏洞扫描器。,4扫描器分类,(1) 网络型安全漏洞扫描器 网络型扫描器主要是仿真黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务及各种应用程序的漏洞。网络型扫描器可以放置于Internet端，也就是可以放在家里去扫描本单位主机的漏洞，这样等于是在仿真一个黑客从Internet去攻击本单位的主机。,(2) 主机型安全漏洞扫描器 主机型扫描器主要是针对操作系统内部的问题作更深入的扫描，如对UNIX、Windows

28、NT、Linux系统的扫描。一般采用C/S的架构，有一个统一控管的主控台（console）和分布于个重要操作系统的代理（agents）,然后由console端下达命令给agents进行扫描，各agents再回报给console扫描的结果，最后由console端呈现出安全漏洞报表。,常用的扫描器是TCP端口扫描器，它可以搜集到关于目标主机的有用信息(如匿名用户是否可以登录等)。而其它所谓的扫描器仅仅是Unix网络应用程序，但现在已有了用于任何操作系统的扫描器。,5. 端口扫描,端口：许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的。当主机接收到一个连接请求时，便

29、启动一个服务，与请求客户服务的机器通信。为简化这一过程，每个应用程序被赋予一个唯一的地址，这个地址称为端口。,端口扫描工具：使用端口扫描工具也是一种获取主机信息方法,它可以帮助系统管理员更好地管理系统与外界的交互。,ICMP扫描：是最常见的扫描方式，常用于网络地址扫描。如“ping”,”tracert”等就是简单的ICMP扫描应用程序。它通过发送数据包，即可扫描对方主机是否在线，并可得到相应的网络往返时延。,它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。,此外还有UDP扫描、TCP connect () 扫描、TCP SYN扫描、TCP FIN扫描等。不管是哪种扫

30、描，都要发送数据包到目标端口，探测端口的开放情况。 良好的扫描监测系统可通过对网络扫描数据包的监测，提前预报网络攻击。,当系统管理员扫描到某服务端口号时，便会想到该服务是否关闭，若原来是关闭的，而现在又被扫描到，则说明系统现在正受到侵犯。,网络漏洞扫描就是对目标系统进行检测，判断其是否有漏洞存在，并采取相应措施。漏洞扫描通过远程检测目标主机TCP/IP不同端口的服务，记录目标的响应，收集目标主机的各种信息(如是否可用匿名登录、是否有可写的FTP目录、是否可用Telnet等)。,6. 漏洞扫描,漏洞扫描器主要的功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞，进而从扫描出来的安全漏洞报告里

31、告诉使用者，系统上的安全漏洞有多少，如何去修补，到那里下载Patches(补丁程序)。,Ping扫描可完成映射出网络拓扑结构的任务，为黑客向网络攻击做准备。Ping扫描有两种实现方式： ICMP Ping扫描 TCP Ping扫描,7Ping扫描,ICMP Ping扫描 TCP Ping扫描 网络远程扫描技术 Web网站扫描技术 系统安全扫描技术 防火墙系统扫描技术,8. 网络扫描技术,案例1 系统用户扫描,可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括： （1）扫描出NT主机上存在的用户名。 （2）自动猜测空密码和与用户名相同的密

32、码。 （3）可以使用指定密码字典猜测密码。 （4）可以使用指定字符来穷举猜测密码。,扫 描（案例1 续）,对IP为09的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机的IP地址，如下图所示。 可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表如图所示。,密码破解（案例1 续）,利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。一个典型的密码字典如图所示。,设置密码字典（案例1 续）,选择

33、菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件，如图所示。,进行系统破解（案例1 续）,利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐一的匹配，如图所示。,案例2 漏洞扫描,使用工具软件X-Scan-v2.3 该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式 扫描内容包括： 远程操作系统类型及版本 标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SER

34、VER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等。,主界面(案例2续),扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。主界面如图所示。,扫描参数(案例2续),可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图所示。,扫描参数(案例2续),该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。 下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台

35、主机，在指定IP范围框中输入：09-09，如图所示。,漏洞扫描(案例2续),设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图所示。,8.4.3 网络监听,在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器等。将网络接口设置为监听模式便可以源源不断地将网上的信息截获。

36、黑客们用得最多的是截获用户的口令。,8.4.3 网络监听,在传输介质上，信息可能被监听。在网络上，监听效果最好的地方是在网关、路由器和防火墙一类的设备处，通常由网络管理员来操作。使用监听最方便的地方是在局域网中的任何一台连网的主机上。,8.4.3 网络监听,1. 监听的可能性,Ethernet网：是广播式的网络。运行在一台计算机中的包监听程序可以监听大多数信息包。 令牌网：尽管它不是广播式网络，但带有令牌的那些包在传输过程中，平均要经过网络上一半的计算机。越高的数据传输速率会使监听变得越困难。,8.4.3 网络监听,电话线：可容易地被一些接触线路的人搭线窃听。高速的调制解调器将比低速的调制解调

37、器搭线窃听困难一些。 微波线路：微波线路上的信息也容易被截获。无线电本来就是一个广播型的传输媒介。任何有无线电接收机的人都可以截获那些传输的信息。,8.4.3 网络监听,有线电视信道：发送IP数据包的TV系统依靠调制解调技术。该调制解调技术使用TV通道进行下行数据传输。在这些线路上传输的信息没有加密，因此，可以被一些可以从物理上访问到TV电缆的人截获。,8.4.3 网络监听,网络监听本来是为了管理网络，监视网络的状态和数据流动情况。但是由于它能有效地截获网上的数据，因此也成了黑客使用得最多的方法。监听只能对同一网段的主机进行。因为不是同一网段的数据包，在网关就被滤掉，传不到该网段来。否则，一台

38、Internet主机，就可以监听整个Internet了。,8.4.3 网络监听,2. 网络监听的检测,简单的检测方法 网络监听很难被发现，因为这是一种被动攻击，它没有主动行动，也不修改数据包。 当系统运行网络监听软件时，系统因为负荷过重会响应很慢，但不能因为其响应过慢而怀疑其正在进行网络监听。,8.4.3 网络监听,可用以下方法检测系统是否运行网络监听软件： 方法一： 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，而处于监听状态的机器则能接收。,8.4.3 网络监听,方法二： 往网上发送大量不存在的物

39、理地址的信息包，由于监听程序处理这些包，将导致性能下降。通过比较该机器前后的性能加以判断。但这种方法难度比较大。,方法三： 使用反监听工具（如anti sniffer等）进行检测,8.4.3 网络监听,从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 使用加密技术 划分VLAN,8.4.3 网络监听,3. 网络监听的防范,sniffer(网络嗅探器，也叫网络分析仪)是一种常用的收集和分析网络数据的工具(程序)。它接收和分析的数据可以是用户的账号和密码，也可以是一些商用机密数据等。随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患

40、中扮演重要角色之一的sniffer已受到人们越来越多的关注。,8.4.4 网络嗅探器(sniffer),1sniffer的概念,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。 监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不

41、能监听不同网段的计算机传输的信息。,8.4.4 网络嗅探器(sniffer),监听软件,防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。 除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件： 嗅探经典Iris 密码监听工具Win Sniffer 密码监听工具pswmonitor和非交换环境局域网的fssniffer等等 Sniffer Pro是一款非常著名监听的工具，但是Sniffer Pro不能有效的提取有效的信息。,案例：监听工具-Win Sniffer,Win Sniffer专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。主界面

42、如图所示。,设置（案例续）,只要做简单的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以，如图所示。,抓取密码（案例续）,这样就可以抓取密码了，使用DOS命令行连接远程的FTP服务，如图所示。,会话过程（案例续）,打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息，如图所示。,随着网络用户的不断增多，安全缺陷的不断发现和广大用户对网络的日益依赖，只从防护方面考虑网络安全问题，已无法保证满足要求。这就需要一种服务，该服务能够在安全事件发生时进行紧急援助，避免造成更大的损失。这种服务就是紧急响应。,8.5 计

43、算机紧急响应,8.5.1 紧急响应,1紧急响应的概念,计算机病毒发作和黑客入侵会导致计算机网络崩溃，造成了巨大的损失。使人们认识到网络安全及对网络安全事件进行紧急响应的重要性。1989年在美国国防部的资助下，卡内基梅隆大学软件工程研究中心成立了世界上第一个计算机紧急响应小组(CERT)。十余年来，CERT在反击大规模的网络入侵方面起到了重要作用。,2计算机紧急响应小组,我国的计算机紧急响应小组简称CNCERT，不同机构也有相应的计算机紧急响应小组。国际上众多的计算机紧急响应小组(CERT)组织了一个紧密合作的国际性组织-事件响应与安全组织论坛(FIRST)。,准备阶段。 检测阶段。 抑制阶段。

44、 根除阶段。 恢复阶段。 报告和总结阶段。,3紧急响应的主要阶段,准备工作Preparation（1）,帮助服务对象建立安全政策； 帮助服务对象按照安全政策配置安全设备和软件； 扫描、风险分析、打补丁； 建立监控设施; 建立协作体系和应急制度； 建立信息沟通渠道和通报机制； 建立数据汇总分析体系;,检测Detection（2）,主动+被动（检测） 确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源； 确定事件性质和影响的严重程度，预计采用什么样的专用资源来修复。 通过汇总，确定是否发生了全网的大规模事件； 确定应急等级，决定启动哪一级应急方案。,入侵检测设备、全局预警系统,网络使用者报告的异常情况,抑制Containment（3）,初步分析，重点确定适当的遏制方法，如隔离； 咨询安全政策； 确定进一步操作的风险，控制损失保持最小； 列出若干选项，讲明各自的风险 ，应该由服务对象来做决定。 确保封锁方法对各网业务影响最小； 通过协调争取各网一致行动，实施隔离； 汇总数据，估算损失和隔离效果。,根除Erad