网络安全基础_培训资料

1、网络基础概念网络基础概念-网络基础-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术网络就是一群通过一定形式连接起来的计算机。互联网就是由多个局域网和广域网组成的网络。计算机网络也是由硬件和软件构成的。计算机网络也是由硬件和软件构成的。硬件系统包括硬件系统包括网络服务器网络工作站网络适配器传输介质其他网络硬件设备（交换机、路由器、防火墙、入侵检测系统等。）软件系统包括软件系统包括网络操作系统软件（windows、unix等系统）网络通信协议（

2、TCP/IP、IPX等）网络工具软件（网络浏览器、网络下载工具等）网络应用软件（酒店管理系统、订单管理系统等）物理层（物理层（Physical LayerPhysical Layer） 为上层协议提供了一个传输数据的物理媒体数据的单位称为比特（bit）典型代表：EIA/TIA RS-232、V.35、RJ-45等数据链路层（数据链路层（Data Link LayerData Link Layer） 在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。 数据的单位称为帧（frame） 典型代表：SDLC、HDLC、PPP、STP、帧中继等

3、网络层（网络层（Network LayerNetwork Layer） 负责对子网间的数据包进行路由选择。此外，网络层还可以实现拥塞控制、网际互连等数据的单位称为数据包（packet）典型代表：IP、IPX、RIP、OSPF等传输层（传输层（Transport LayerTransport Layer） 负责将上层数据分段并提供端到端的、可靠的或不可靠的传输，此外，传输层还要处理端到端的差错控制和流量控制问题数据的单位称为数据段（segment）典型代表：TCP、UDP等会话层（会话层（Session LayerSession Layer） 管理主机之间的会话进程，即负责建立、管理、终止进程之

4、间的会话 典型代表：NETBIOS、ZIP（appletalk区域信息协议）等 表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解 典型代表：ASCII、JPEG、MPEG等应用层（应用层（Application LayerApplication Layer）为操作系统或网络应用程序提供访问网络服务的接口代表包括：telnet、ftp、http、snmp等TCPTCP协议和协议和IPIP协议指两个用在协议指两个用在InternetInternet上的网络协上的网络协议（或数据传输的方法）。它们分别是传输控制议（或数据传输的方法）。它们分别是传输控制协议和互连网

5、协议。这两个协议属于众多的协议和互连网协议。这两个协议属于众多的TCP/IP TCP/IP 协议组中的一部分。协议组中的一部分。TCP/IPTCP/IP协议组中的协议保证协议组中的协议保证InternetInternet上数据的传上数据的传输，提供了几乎现在上网所用到的所有服务。这输，提供了几乎现在上网所用到的所有服务。这些服务包括：电子邮件的传输些服务包括：电子邮件的传输 文件传输文件传输 新闻新闻组的发布组的发布 访问万维网。访问万维网。TCP/IPTCP/IP协议准确的说是一个协议组（协议集合），协议准确的说是一个协议组（协议集合），其中包含了其中包含了TCPTCP协议和协议和IPIP协

6、议及其他的一些协议。协议及其他的一些协议。网络基础概念网络基础概念-TCP/IPTCP/IP协议介绍协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析TCP/IPTCP/IP模

7、型与模型与OSIOSI模型模型七层七层 VS VS 四层四层TCP/IPTCP/IP四层模型四层模型网络接口层；网络接口层；(PPP(PPP、ARP)ARP)互联层；互联层；(IP(IP、ICMP)ICMP)传输层；传输层；(TCP(TCP、UDP)UDP)应用层；应用层；(HTTP(HTTP，SNMPSNMP，FTPFTP，SMTPSMTP，DNSDNS，Telnet )Telnet )01631version hdr lnthtype of servicetotal length of datagramidentification numberfragment offsettime-to-

8、live (ttl)protocolheader checksumsource IP address (4 bytes)destination IP address (4 bytes)options field (variable length, max length 40 bytes)data20bytesR DF MF所有 TCP, UDP, ICMP 数据通过IP数据包封装进行传输。IP数据报的传输是不可靠的。IP 网络是面向无连接的。1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPI

9、CMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析在同一个网段里，用户可以随意改变自己的在同一个网段里，用户可以随意改变自己的IPIP地地址；黑客可以利用工具构建特殊的址；黑客可以利用工具构建特殊的IPIP报，并指定报，并指定IPIP地址。地址。IPIP伪装能做什么？伪装能做什么？DoS(DoS(主机、路由器）主机、路由器）伪装成信任主机伪装成信任主机切断并接管连接切断并接管连接绕过防火墙绕过防火墙IPIP伪装给黑客带来的好处伪装给黑客带来的好处获得访问权。获得访问权。不留下踪迹。（不留下踪迹。（synfloodingsynfloodi

10、ng工具）工具）1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析MTU limiteddatagramsfragments数据报到达目的地时才会进行组装数据报到达目的地时才会进行组装 需要组装在一起的数据分片具有同样需要组装在一起的数据分片具有同样的标志号的标志号通过分片位移位标志数据分片在的数通过分片位移位标志数据分片在的数据报组装过程中的序列位置据报组装过程中的序列位置除了最后的

11、数据片，其他的数据片均除了最后的数据片，其他的数据片均会置会置“MF”MF”位位receiving computersfragment reassembly buffer攻击者构建分片目标接收分片重组分片Internetbuffer 65535 byteslast frag is too large causing 16-bit variablesto overflow first frag : 36 bytes03524second frag:4 bytes当前包的段偏移在前一包数据内当前包的段偏移在前一包数据内计算出来的计算出来的lenlen竟变成了一个竟变成了一个负数，于是负数，于是me

12、mcpy()memcpy()最终将会把最终将会把大量的数据拷贝到内核中大量的数据拷贝到内核中 offsetendnewoffsetlen = end - newoffset 0memcpy( *dest, *src, len)unsigned int or unsigned long1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析081631typecodechecksumconte

13、nts depend on type and codeexample specific format: echo request/reply 081631typecodechecksumidentifiersequence numberoptional data ICMP（Internet Control Message Protocol）ICMP sweepsICMP sweeps原理：原理：PingPing命令在测试下一台主机时，先等待命令在测试下一台主机时，先等待当前系统给出响应或超时；当前系统给出响应或超时；ICMP SweepICMP Sweep技术在技术在发送发送ICMP echo

14、 requestICMP echo request时不等待。时不等待。工具：工具：-fping,gping,nmap,fping,gping,nmap,-Pinger (Rhino 9);Ping Pinger (Rhino 9);Ping Sweep(SolarWinds);WS_Ping Sweep(SolarWinds);WS_Ping ProPack(IPSwitch) ProPack(IPSwitch) 实例：（实例：（FakePingFakePing工具）工具）Broadcast ICMPSmurf攻击，向网络的广播地址发送echo requset请求，将得到网络中所有主机的ech

15、o reply响应。对策：根据具体需要，可将边界路由器配置deny进入内网的ICMP echo request；配置关键的UNIX系统不响应ICMP echo request；配置路由器不响应directed-broadcast;攻击者目标发送一个发送一个echo request echo request 的广播包的广播包源地址伪造成目标主机的地址源地址伪造成目标主机的地址因为中间网络的众多机器都响应广播包，因为中间网络的众多机器都响应广播包，目标主机会接收到大量的目标主机会接收到大量的 echo repliesecho replies中间网络1 1、协议族模型与格式、协议族模型与格式2 2、

16、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析UDP UDP 是不可靠的是不可靠的: : 是指是指UDPUDP协议不保证每个数据报协议不保证每个数据报都能到达希望的目的都能到达希望的目的端口号区分发送进程与接收进程端口号区分发送进程与接收进程DNSDNS、QQQQ、TFTPTFTP、SNMPSNMPclientserverport = 33987/udpport = 53/udpDNSport = 7070/udpport = 7

17、070/udpRealAudiosource port number01631destination port numberUDP datagram lengthUDP checksumoptional dataechoport 7攻击者攻击者chargenport 19intermediary目标目标 Network Congestion （udpflooding工具）工具）1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6

18、 6、TCPTCP协议脆弱分析协议脆弱分析TCP TCP 提供一种可靠的、面向连接的服务提供一种可靠的、面向连接的服务: :在规定的时间内没有收到在规定的时间内没有收到“收到确认收到确认”信息，信息， TCP TCP 将重发数据报。将重发数据报。每个每个TCPTCP数据报都有唯一的数据报都有唯一的 sequence number sequence number ，用于排序与重传。用于排序与重传。与与UDPUDP一样一样, ,使用使用 port numbers port numbers 来区分收发进程来区分收发进程由标志位的组合指明由标志位的组合指明TCPTCP分组的功能分组的功能client(

19、port = 33623/tcp)server(port = 23/tcp)SYNSYN - ACK ACKsession proceedsACK set for remainder of sessionACKFIN ACKFIN ACKACK客户端与服务器端都可以发起关闭序列通过普通的网络连线，用户传送信息要求服务器通过普通的网络连线，用户传送信息要求服务器予以确定予以确定, ,服务器接收到客户请求后回复用户。服务器接收到客户请求后回复用户。用户被确定后，就可登入服务器。用户被确定后，就可登入服务器。 用户传送众多要求确认的信息到服务器，使服务用户传送众多要求确认的信息到服务器，使服务器里充

20、斥着这种无用的信息。所有的信息都有需器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址回复的虚假地址（synflooding工具）工具）达到达到“拒绝服务拒绝服务”攻击的效果：攻击的效果：当服务器试图回传时，却无法找到用户。服务当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切器于是暂时等候，有时超过一分钟，然后再切断连接。断连接。服务器切断连接时，黑客再度传送新一批需要服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态。务器处于瘫痪状态。防御办法：防御办法：增加连接队列大

21、小增加连接队列大小缩短建立连接超时期限缩短建立连接超时期限应用厂家的相关软件补丁应用厂家的相关软件补丁应用网络应用网络IDSIDS网络基础概念网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术路由器简介路由器简介路由器的优缺点路由器的优缺点路由器分类路由器分类路由器的功能路由器的功能路由器工作在路由器工作在OSIOSI模型的第三层，即网络层模型的第三层，即网络层路由器利用网络层定义的路由器利用网络层定义的“逻

22、辑逻辑”上的网络地址上的网络地址（即（即IPIP地址）来区别不同的网络，实现网络的互地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性连和隔离，保持各个网络的独立性路由器的主要工作就是为经过路由器的每个数据帧路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送寻找一条最佳传输路径，并将该数据有效地传送到目的站点到目的站点优点：优点：适用于大规模的网络环境适用于大规模的网络环境适应复杂的网络拓扑结构适应复杂的网络拓扑结构安全性高安全性高子网隔离，抑制网络广播风暴子网隔离，抑制网络广播风暴缺点：缺点：不支持非路由协议不支持非路由协议配置复杂配置复杂

23、价格高价格高按结构分类：模块化路由器和非模块化路由器按结构分类：模块化路由器和非模块化路由器按功能分类：骨干级路由器、企业级路由器按功能分类：骨干级路由器、企业级路由器 接入级路由器接入级路由器按网络位置分类：边界路由器和中间节点路由器按网络位置分类：边界路由器和中间节点路由器网络互联网络互联路由器支持各种局域网和广域网的接口，实现不同网路由器支持各种局域网和广域网的接口，实现不同网络互相通信。络互相通信。数据处理数据处理提供包括分组过滤、分组转发、优先级、复用、加密、提供包括分组过滤、分组转发、优先级、复用、加密、压缩和简单防火墙功能。压缩和简单防火墙功能。网络管理网络管理路由器提供包括配置

24、管理、性能管理、容错管理和流路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。量控制等功能。网络基础概念网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术交换机原理交换机原理交换机的优缺点交换机的优缺点交换机分类交换机分类交换技术和交换机最早起源于电话通讯系统交换技术和交换机最早起源于电话通讯系统（PSTNPSTN）。）。交换机工作在交换机工作在OSIOSI模型中的第二层，即数据链路层。模型中的第二

25、层，即数据链路层。交换机是一种基于交换机是一种基于MACMAC地址识别，能完成封装转发地址识别，能完成封装转发数据包功能的网络设备。交换机通过学习数据包功能的网络设备。交换机通过学习MACMAC地址，地址，将其存放在内部将其存放在内部MACMAC地址表中，通过在数据帧的始地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路由，使发者和目标接收者之间建立临时的交换路由，使数据帧直接由源地址达到目的地址。数据帧直接由源地址达到目的地址。MAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD

26、最初加电时最初加电时MAC地址表是空的地址表是空的主机主机A A发送数据帧给主机发送数据帧给主机C C交换机通过学习数据帧的源交换机通过学习数据帧的源MACMAC地址，记录下主机地址，记录下主机A A的的MACMAC地址地址 对应端对应端口口E0 E0 该数据帧转发到除端口该数据帧转发到除端口E0E0以外的其它所有端口以外的其它所有端口 ( (不清楚目标主机的单不清楚目标主机的单点传送用泛洪方式点传送用泛洪方式) )0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E0E1E2E3DCBAMAC地

27、址表地址表交换机交换机A A发送数据帧给主机发送数据帧给主机C C在地址表中有目标主机，数据帧不会泛洪而直接转发在地址表中有目标主机，数据帧不会泛洪而直接转发E0: 0260.8c01.1111E2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMAC地址表地址表 每段有自己的冲突域每段有自己的冲突域 广播信息向所有段转发广播信息向所有段转发缓冲区缓冲区交换交换交换机按工作的协议层划分二层交换机 依赖

28、于数据链路层中的信息（MAC地址）完成不同端口间数据的线速交换。三层交换机 具有路由功能，将IP地址信息提供给网络路径选择，实现不同网段间数据的线速交换。四层交换机 支持多种网络协议，如http、ftp等，为每个供搜寻使用的服务器组设立虚IP地址（VIP），每组服务器支持某种应用。在域名服务器（DNS）中存储的每个应用服务器地址是VIP，而不是真实的服务器地址。当某用户申请应用时，一个带有目标服务器 组的VIP连接请求（例如一个TCPSYN包）发给服务器交换机。服务器交换机在组中选取最好的服务器，将终端地址中的VIP用实际服务器的IP取代，并将连接请求传给服务器。 按照网络技术划分按照网络技术

29、划分以太网交换机以太网交换机令牌交换机令牌交换机FDDIFDDI交换机交换机ATMATM交换机交换机快速以太网交换机快速以太网交换机按照性能划分按照性能划分百兆交换机百兆交换机千兆交换机千兆交换机工作层次不同工作层次不同数据转发所依据的对象不同数据转发所依据的对象不同传统的交换机只能分割冲突域，不能分割广播域传统的交换机只能分割冲突域，不能分割广播域路由器可以分割冲突域和广播域路由器可以分割冲突域和广播域路由器提供防火墙的服务路由器提供防火墙的服务网络基础概念网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机

30、-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术防火墙定义防火墙定义防火墙分类防火墙分类防火墙原理防火墙原理防火墙是分隔不同安全级别网络的隔离设备，能防火墙是分隔不同安全级别网络的隔离设备，能够对网络访问行为进行策略控制够对网络访问行为进行策略控制防火墙安全防护的特性防火墙安全防护的特性防火墙的控制策略不能被绕过防火墙的控制策略不能被绕过防火墙要尽可能少的对已有网络产生影响防火墙要尽可能少的对已有网络产生影响防火墙本身难以渗透防火墙本身难以渗透防止网络攻击防止网络攻击 通过安全策略的限制阻挡非法访问（黑客攻击）通过安全策略的限制阻挡非法访问

31、（黑客攻击）强化安全策略强化安全策略 对内限制网络的滥用（即时聊天工具、对内限制网络的滥用（即时聊天工具、P2PP2P等）等）监控和审计网络使用监控和审计网络使用 可以监控网络使用状况（带宽可以监控网络使用状况（带宽, , 流量）和审计网流量）和审计网络使用的合法性络使用的合法性两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为 If having a firewall

32、is like having a security guard, then having an IDS is like having a network of sensors that tell you when someone has broken in, where they are and what theyre doing.ComputerWorld, April 2001包过滤防火墙包过滤防火墙最早的防火墙技术之一，功能简单，配置复杂最早的防火墙技术之一，功能简单，配置复杂应用网关防火墙应用网关防火墙最早的防火墙技术之二，连接效率低，速度慢最早的防火墙技术之二，连接效率低，速度慢状态

33、检测防火墙状态检测防火墙现代主流防火墙，速度快，配置方便，功能较多现代主流防火墙，速度快，配置方便，功能较多DPIDPI防火墙（防火墙（Deep Packet InspectionDeep Packet Inspection）未来防火墙的发展方向，能够高速的对第七层数据进行检测未来防火墙的发展方向，能够高速的对第七层数据进行检测也叫分组过滤防火墙（也叫分组过滤防火墙（Packet FilteringPacket Filtering）。根据分组）。根据分组包的源、目的地址，端口号及协议类型、标志位确包的源、目的地址，端口号及协议类型、标志位确定是否允许分组包通过。所根据的信息来源于定是否允许分组

34、包通过。所根据的信息来源于IPIP、ICMPICMP、TCPTCP或或UDPUDP等协议的数据包头等协议的数据包头（Packet HeaderPacket Header）。优点：高效、透明优点：高效、透明缺点：对管理员要求高、处理信息能力有限缺点：对管理员要求高、处理信息能力有限也叫应用代理防火墙。每个代理需要一个不同的应也叫应用代理防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使应用必须添加针对此应用的服务程序，否则不能使用该服务。用该服务。优点：安全性高，检测内容优点：安全性

35、高，检测内容缺点：连接性能差、可伸缩性差缺点：连接性能差、可伸缩性差从传统包过滤发展而来，除了包过滤检测的特性外，从传统包过滤发展而来，除了包过滤检测的特性外，对网络连接设置状态特性加以检测。对网络连接设置状态特性加以检测。优点优点减少检查工作量，提高效率减少检查工作量，提高效率连接状态可以简化规则的设置连接状态可以简化规则的设置缺点：对应用层检测不够深入缺点：对应用层检测不够深入从状态检测防火墙发展而来，能够对数据包的的高从状态检测防火墙发展而来，能够对数据包的的高层数据进行重组和检测，如病毒检测，垃圾邮件检层数据进行重组和检测，如病毒检测，垃圾邮件检测，网页过滤等测，网页过滤等优点优点能够

36、提供更高级的安全策略控制能够提供更高级的安全策略控制具备一定的入侵检测和防病毒功能具备一定的入侵检测和防病毒功能缺点：目前的技术条件下速度太慢缺点：目前的技术条件下速度太慢状态检测成为主流技术，绝大多数的防火墙都采用状态检测成为主流技术，绝大多数的防火墙都采用状态检测技术。状态检测技术。产品不仅仅包含防火墙功能，还会集成许多产品不仅仅包含防火墙功能，还会集成许多VPNVPN、审计和网络管理的功能，越来越体现出审计和网络管理的功能，越来越体现出All-in-oneAll-in-one的趋势。的趋势。防火墙无法防止内部攻击防火墙无法防止内部攻击防火墙只实现了粗粒度的访问控制防火墙只实现了粗粒度的访

37、问控制防火墙的策略难于配置防火墙的策略难于配置防火墙无法防御数据驱动级的攻击防火墙无法防御数据驱动级的攻击网络基础概念网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术入侵入侵 对信息系统的非授权访问及（或）未经许可在对信息系统的非授权访问及（或）未经许可在信息系统中进行操作信息系统中进行操作入侵检测（入侵检测（Intrusion DetectionIntrusion Detection） 对企图入侵、正在进

38、行的入侵或已经发生的入侵进行对企图入侵、正在进行的入侵或已经发生的入侵进行 识别的过程识别的过程事件事件 CIDF CIDF 将入侵检测系统需要分析的数据统称为事件将入侵检测系统需要分析的数据统称为事件（eventevent）Pattern Matching Signature Pattern Matching Signature 模式匹配模式匹配Common Intrusion Detection FrameCommon Intrusion Detection Frame组件组件事件产生器（事件产生器（Event generatorsEvent generators）事件分析器（事件分析器（

39、Event analyzersEvent analyzers）响应单元（响应单元（Response unitsResponse units）事件数据库（事件数据库（Event databasesEvent databases）Honeypot(Honeypot(蜜罐蜜罐) ) 蜜罐是可以模拟脆弱性主机蜜罐是可以模拟脆弱性主机 诱惑攻击者在其上浪费时间，延缓对真正目标的诱惑攻击者在其上浪费时间，延缓对真正目标的攻击攻击false positivesfalse positives（误报（误报） 检测系统在检测时把系统的正常行为判为入侵行检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。

40、为的错误被称为误报。 检测系统在检测过程中出现误报的概率称为系统检测系统在检测过程中出现误报的概率称为系统的误报率。的误报率。false negativesfalse negatives（漏报）漏报） 检测系统在检测时把某些入侵行为判为正常行为检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。的错误现象称为漏报。 检测系统在检测过程中出现漏报的概率称为系统检测系统在检测过程中出现漏报的概率称为系统的漏报率。的漏报率。Intrusion DetectionIntrusion Detection：通过从计算机网络或系：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从统中的

41、若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术；和遭到入侵的迹象的一种安全技术；Intrusion Detection SystemIntrusion Detection System：由感应器、分析：由感应器、分析器和扫描器组成，在器和扫描器组成，在ITIT系统中检测可能危害系统系统中检测可能危害系统资产的行为并做出正确响应。资产的行为并做出正确响应。活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图攻击模式库入侵检测器应急措施配置

42、系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图简单的入侵检测示意图%c1%1c%c1%1cDir c:防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由防火墙不能防止用户由InternetInternet上下载上下载被病毒感染的计算机程序或者将该类程被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。序附在电子邮件上传输。确保网络的安全确保网络的安全, ,就要对网络内部进行实时的就要对网络内部进行实时的检测检测

43、 , , 这就需要这就需要IDSIDS无时不在的防护！无时不在的防护！监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X X光光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象

44、机，还包括保安员的摄象机，监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪联联动动入侵检测入侵检测防火墙防火墙实时性实时性协议层次协议层次应用层应用层表示层表示层会话层会话层传输层传输层IP层层数据链层数据链层物理层物理层 实时实时 准实时准实时 事后事后实时分析所有的数据包，决定是否允许通过监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警）记录所有的操作以备事后查询为系统提供全方位的保护为系统提供全方位的保护审计系统审计系统收集收集过程过程 ID:2092 用户名用户名: Administrator 登录登录

45、 ID:(0 x0,0 x141FA) 文 进 日 注册. 件 程 志 表. 网络入侵检测系统通过抓取网络上的所有报文，分析处理后，报告异常网络入侵检测系统通过抓取网络上的所有报文，分析处理后，报告异常。01 01 01 0101 01 01 01收集收集01 01 01 01 01 01 01 01 01 01 01 01 01010101010101 1、实时分析网络数据，检测网络系统的非法行为；、实时分析网络数据，检测网络系统的非法行为；2 2、网络、网络IDSIDS系统单独架设，不占用其它计算机系统的任何资源；系统单独架设，不占用其它计算机系统的任何资源；3 3、网络、网络IDSIDS

46、系统是一个独立的网络设备，可以做到对黑客透明，系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；因此其本身的安全性高；4 4、它既可以用于实时监测系统，也是记录审计系统，可以做、它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；到实时保护，事后分析取证；5 5、通过与防火墙的联动，不但可以对攻击预警，还可以更有、通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。6 6、网络、网络IDSIDS采用集中管理的分布工作方式，能够远程监控。可采用集中管理的分布工作方式，能够远程监控。可以对每一个探测器进行远程配

47、置，可以监测多个网络出口以对每一个探测器进行远程配置，可以监测多个网络出口或应用于广域网络监测，并支持加密通信和认证。或应用于广域网络监测，并支持加密通信和认证。7 7、以安全策略模板，安全事件，安全事件响应方式支持安全、以安全策略模板，安全事件，安全事件响应方式支持安全策略定义。策略定义。8 8、探测器支持多接口，有隐蔽自身的自我保护功能。、探测器支持多接口，有隐蔽自身的自我保护功能。1 1、网络局限、网络局限2 2、不能处理加密数据、不能处理加密数据3 3、资源及处理能力局限、资源及处理能力局限4 4、系统相关的脆弱性、系统相关的脆弱性网络基础概念网络基础概念-TCP/IP协议介绍-TCP

48、/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术什么是日志审计技术什么是日志审计技术SyslogSyslog协议标准介绍协议标准介绍操作系统日志审计操作系统日志审计WindowsWindows日志审计日志审计类类UNIXUNIX系统日志审计系统日志审计WebWeb服务器日志审计服务器日志审计IISIIS日志审计日志审计ApacheApache日志审计日志审计数据库系统日志审计数据库系统日志审计OracleOracle数据库日志审计数据库日志审计MS

49、-SQLMS-SQL数据库日志审计数据库日志审计DB2DB2数据库日志审计数据库日志审计日志审计是负责收集企业范围内的安全和系统的信息，有日志审计是负责收集企业范围内的安全和系统的信息，有效的分析来自异构系统的安全事件数据，通过归类、合并、效的分析来自异构系统的安全事件数据，通过归类、合并、优化、直观的呈现等方法，使企业员工轻松的识别网络环优化、直观的呈现等方法，使企业员工轻松的识别网络环境中潜在的恶意威胁活动。境中潜在的恶意威胁活动。SyslogSyslog是一种工业标准的协议，可用来记录设备的日志。是一种工业标准的协议，可用来记录设备的日志。在在UNIXUNIX系统，路由器、交换机等网络设

50、备中，系统日志系统，路由器、交换机等网络设备中，系统日志（system logsystem log）记录系统中任何时间发生的事件，管理者）记录系统中任何时间发生的事件，管理者可以通过查看系统记录，随时掌握系统运行状况。可以通过查看系统记录，随时掌握系统运行状况。在在UNIXUNIX系统里，被系统里，被syslogsyslog协议接受的事件可以被记录到不协议接受的事件可以被记录到不同的文件，还可以通过网络实现运行同的文件，还可以通过网络实现运行syslogsyslog协议的机器间协议的机器间的信息传递。的信息传递。被传输的被传输的syslogsyslog信息的格式主要有信息的格式主要有3 3个易

51、识别的部分，分个易识别的部分，分别是别是PRIPRI、HEADERHEADER、MSGMSG。数据包的长度大于数据包的长度大于10241024字节，使用字节，使用UDPUDP的的514514端口。端口。PRIPRI部分必须有部分必须有3 3、4 4、5 5个字符，以个字符，以“”结尾。方括号内的数字被称为优先级结尾。方括号内的数字被称为优先级(Priority)(Priority)。优先级从。优先级从0 0到到7 7共共8 8个级别。个级别。标题标题(HEADER)(HEADER)部分由称为部分由称为TIMESTAMPTIMESTAMP或者或者HOSTNAMEHOSTNAME的两个的两个域组成

52、，域组成，PRIPRI结尾的结尾的“”会马上跟着一个会马上跟着一个TIMESTAMP,TIMESTAMP,任何任何一个一个TIMESTAMPTIMESTAMP后面必须跟着一个空格字符。后面必须跟着一个空格字符。MSGMSG部分是部分是syslogsyslog数据包剩下的部分，通常包含了产生信数据包剩下的部分，通常包含了产生信息进程的额外信息，及信息的文本部分。息进程的额外信息，及信息的文本部分。MSGMSG有两个域，有两个域，分别是分别是TAGTAG和和CONTENTCONTENT域。域。TAGTAG域的值是产生信息的程序或者进程的名称，域的值是产生信息的程序或者进程的名称，CONTENTCO

53、NTENT包包含了这个信息的详细内容。含了这个信息的详细内容。 SyslogSyslog信息的格式：信息的格式： 时间戳时间戳 主机名主机名 模块名模块名/ /级别级别/ /信息摘要信息摘要: :内容内容 timestamp sysname module/level/digest:contenttimestamp sysname module/level/digest:content 日志分析系统架构图日志分析系统架构图syslogd日志分析示意图日志分析示意图操作系统日志审计操作系统日志审计WindowsWindows系统日志审计系统日志审计类类UNIXUNIX系统日志审计系统日志审计WEB

54、WEB服务器日志审计服务器日志审计IISIIS服务器日志审计服务器日志审计ApacheApache服务器日志审计服务器日志审计数据库系统日志审计数据库系统日志审计OracleOracle数据库日志审计数据库日志审计MS-SQLMS-SQL数据库日志审计数据库日志审计DB2DB2数据库日志审计数据库日志审计Windows 2000 Windows 2000 服务器默认是不打开任何审核策略。服务器默认是不打开任何审核策略。WindowsWindows系统包含以下策略的审核：系统包含以下策略的审核：策略更改策略更改登录事件登录事件对象访问对象访问过程追踪过程追踪目录服务访问目录服务访问特权使用特权使

55、用系统事件系统事件帐户登录事件帐户登录事件帐户管理帐户管理通过通过“控制面板控制面板/ /管理工具管理工具/ /本地安全策略本地安全策略“，在，在“本地策本地策略略-审核策略审核策略”中打开相应的审核选项中打开相应的审核选项通过配置适当的审核策略，可以详细的记录系统的相关信息。通过配置适当的审核策略，可以详细的记录系统的相关信息。事件查看器中记录了我们需要记录的所有系统日志信息。事件查看器中记录了我们需要记录的所有系统日志信息。我们可以通过这些日志查出系统异常的蛛丝马迹我们可以通过这些日志查出系统异常的蛛丝马迹操作系统日志审计操作系统日志审计WindowsWindows系统日志审计系统日志审计

56、类类UNIXUNIX系统日志审计系统日志审计WEBWEB服务器日志审计服务器日志审计IISIIS服务器日志审计服务器日志审计ApacheApache服务器日志审计服务器日志审计数据库系统日志审计数据库系统日志审计OracleOracle数据库日志审计数据库日志审计MS-SQLMS-SQL数据库日志审计数据库日志审计DB2DB2数据库日志审计数据库日志审计LinuxLinux、FreeBSDFreeBSD、SolarisSolaris、AIXAIX、Hp-unixHp-unix和和CiscoCisco交换机和路由器都是采用标准的交换机和路由器都是采用标准的SyslogSyslog协议协议格式进行

57、日志的记录格式进行日志的记录这里主要介绍这里主要介绍Solaris 9&10Solaris 9&10系统系统SolarisSolaris系统系统wtmp/utmpwtmp/utmp文件记录了系统的登录日文件记录了系统的登录日志信息。使用志信息。使用lastlast命令进行查询命令进行查询wtmp/utmpwtmp/utmp文件主要记录的内容包括：文件主要记录的内容包括：未授权的访问未授权的访问非法登录事件非法登录事件1 1分钟内多次登录的事件分钟内多次登录的事件帐户登录时间帐户登录时间SolarisSolaris系统默认不记录错误登录尝试，需要手动系统默认不记录错误登录尝试，需

58、要手动创建日志文件创建日志文件日志记录的操作步骤如下：日志记录的操作步骤如下：touch /var/adm/loginlog touch /var/adm/loginlog chmod 600 /var/adm/loginlog chmod 600 /var/adm/loginlog chown root /var/adm/loginlog chown root /var/adm/loginlog 系统默认只记录连续系统默认只记录连续5 5次错误登录尝试的帐户信息，次错误登录尝试的帐户信息，系统会将其记录到系统会将其记录到/var/adm/loginglog/var/adm/loginglog

59、文件中，文件中，用户可以通过用户可以通过 #cat /var/adm/loginglog #cat /var/adm/loginglog 命令进行查询命令进行查询SyslogSyslog进程日志进程日志通过通过syslog.confsyslog.conf配置文件可以查看日志文件的存储位配置文件可以查看日志文件的存储位置和记录哪些类型的信息置和记录哪些类型的信息ErrorError、WarningWarning类型中记录的是系统级别的信息，通类型中记录的是系统级别的信息，通过查看这两类信息可以判断出是否有可能被缓冲区溢过查看这两类信息可以判断出是否有可能被缓冲区溢出或者本地服务莫名被关闭出或者本

60、地服务莫名被关闭AuthAuth类型中记录的是帐号登录的信息，通过分析帐号类型中记录的是帐号登录的信息，通过分析帐号登录时间、次数等信息判断有无异常登录情况登录时间、次数等信息判断有无异常登录情况历史命令日志信息历史命令日志信息/.sh_history/.sh_history和和/.bash_history/.bash_history文件记录的是历史操文件记录的是历史操作命令信息。作命令信息。通过查看以上文件可以检测类似通过查看以上文件可以检测类似useradduseradd、passwdpasswd、shadowshadow等等带等等带S S位的各种命令的执行信息。位的各种命令的执行信息。SUSU命令日志信