《入侵检测与防御原理及实践（微课版）》 课件 第3、4章 CISCO IPS、开源入侵检测系统Snort2

商用入侵防御系统CISCOIPS目录IPS的部署方式IPS初始化特征定义事件动作规则异常检测案例：配置IPS为杂合模式案例：配置IPS为内联接口对模式案例：配置IPS为内联VLAN对模式IPS的部署方式1Managementport带外网管口，用于网管IPS，需要配置IP地址，有路由能力，管理流量（TELNET、HTTPS）从该接口进入ConsoleportandAUXport：CLI命令行控制口Ethernetport（业务接口）Sensor口，监控接口，没有IP，没有路由能力，需要被监控的流量从此进入或流出。IPS接口类型PromiscuousMode（杂合模式，也叫侧挂式）相当于IDS，阻断操作需要联动设备，且需要设备支持，目前思科IPS仅能联动思科设备，且需要设备支持。国产IDS也存在这种问题，如绿盟IDS，可以联动的设备仅有天融信与绿盟产品。不能阻止初始化包（有可能初始化包就是一个攻击），也不能阻止一个连接，比较容易逃避检查。优点是IDS对网络影响最小，即使IDS挂机不影响网络正常，业务流量即使超过IDS处理能力也仅仅只是放过这些流量不处理，不造成断网。工作模式InlineMode（内联模式）纯正的IPS。能够阻止触发包、后继数据包及所有源于该主机的报文，可以使用流量规范化技术，可减少或者消除网络逃避技术，也可有效阻止蠕虫。缺点：会影响网络数据包的转发速率，减缓流量速度并增加延时。IPS一旦挂机将断网，且一旦流量超过了IPS的处理能力将对网络正常工作产生影响，且会影响对时间敏感的应用程序，如VOIP流量。工作模式InlineMode（内联模式）（1）接口对模式：2个嗅探接口组成接口对，数据包通过IPS的第1个接口进入，从第2个接口流出。（2）VLAN对模式：该模式类似于接口对模式，具有扩展增强能力，能在物理接口上关联VLAN对。嗅探接口在VLAN对模式中作为802.1g中继端口，且IPS对中继端口上的VLAN对进行VLAN桥接。被VLAN对其中之一所接收的数据包将被分析，然后转发到其他配对VLAN。（3）VLAN组模式：每个物理接口或内部接口都可分成为VLAN组子接口，每个特定的子接口上包含一组VLAN。VLAN组模式提供对同一传感器应用多个策略的能力。VLAN组模式允许传感器模拟多接口，传感器可以只有几个接口，但看上去拥有很多个接口。工作模式注意：IPS处理流量是有限制的，IPS4240流量最大为250M。IPS不太可能部署在流量巨大的核心网络，一般IPS会放在企业网络出口边界。部署位置在边界上部署应该放在边界设备内部还是外部？只要有钱，内外一起放！！！一般情况只需要一个就足够了，而且推荐放在内部。因为如果外部放置可能会产生很多无用的告警，比如有攻击行为产生，可能该攻击行为在经过防火墙时被防火墙过滤掉工作模式可根据企业需求进行选择，比如企业要求上网优先，可以选择侧挂式，若需求更安全则需选择在线模式。部署位置部署阶段1、实施阶段购置IPS并将其按要求接入网络sensor几乎是默认配置，没有任何更改2、调整阶段实施阶段结束后开始，并且会持续一段时间，可能在一两个月左右，通过不断地调整sensor来提高告警的准确性，减少误报和漏报。网络复杂程度不同，时间也不同，需要了解网络流量3、维护阶段主要是升级IPS系统和更新SIG，这个阶段是永久持续的。IPS部署IPS调整是为了让IPS更适合用户网络，监控告警可以更准确地判断某一行为是否严重或造成网络安全影响，以便更好地保护网络。调整前需了解网络：（1）自身网络的情况，如拓扑、地址空间、操作系统和应用程序、安全策略等。（2）需要保护的设备，如漏洞扫描程序、重要的服务器或设备等。（3）特征库中所调整的Signature（特征，简称SIG）所监控的协议。（4）区分网络中哪些是正常流量，哪些是异常流量。调整方法：（1）激活或禁用SIG（2）修改SIG参数（3）自定义SIG（4）创建eventactionoverrides策略和eventactionfilters策略IPS调整IPS初始化2GNS3安装及配置设置语言（中文）导入IOS镜像（R、SW、FW等的OS）模拟环境配置搭建网络拓扑（添加接口模块并连接）计算IDLEPC减小CPU使用率关联SecureCRT和Wireshark设置SecureCRT（alt+序号）字体大小配色方案透明度要求：纯英文的路径关注CPU的使用率推荐用CLI命令配置基本的参数初始化IPS后，利用CiscoIPS设备管理器（IDM）以图形化界面来实现管理。2.启动IPS利用代码初始化sensor#conft 进入配置模式 sensor(config)#servicehost 进入主机配置模式sensor(config-hos)#network-settings 进入网络配置模式sensor(config-hos-net)#host-nameIPS4215 设备命名sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩码及网关sensor(config-hos-net)#telnet-optionenabled 开启telnetsensor(config-hos-net)#access-list/24 定义管理网段sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges?[yes]:yes 保存配置 IPS初始化利用代码初始化sensor(config)#serviceweb-server 启动WEB服务并利用IDM管理IPSsensor(config-web)#enable-tlstrue 允许https的WEB管理sensor(config-web)#port443 开启网管端口sensor(config-web)#exitApplyChanges?[yes]:yes Warning:Theeditoperationhasnoeffectontherunningconfigurationsensor(config)#exitsensor#copycurrent-configbackup-config 保存IPS的配置 IPS初始化利用setup向导初始化IPS初始化初始化IPS后，IPS在IP网络上便可达，在浏览器地址栏上输入https://IPS网管接口的IP地址，就可以启动IDM，以图形化界面完成其余的配置。IDM配置IPS接口配置3注意：默认所有的Sensor接口都是关闭的，需要激活接口，并将接口指派到virtualsensor配置网络配置：交换机配SPAN，路由器配IPIPS激活指定的特征库IPS激活监控接口并关联virtualsensorICMPping，特征代码为2000/2004案例：配置IPS为杂合模式网络配置交换机配置SPAN路由器配置IP案例：配置IPS为杂合模式IPS主页案例：配置IPS为杂合模式激活监控接口案例：配置IPS为杂合模式激活特征库案例：配置IPS为杂合模式关联VirtualSensors案例：配置IPS为杂合模式查看监控信息案例：配置IPS为杂合模式案例：配置IPS为内联接口对模式流量直接穿越IPS，监控、记录并阻止PING包，交换机配置VLAN配置交换机配置VLAN，并划分到接口IPS激活指定的特征库激活监控接口，创建接口对，并关联virtualsensor案例：配置IPS为内联接口对模式网络配置交换机配置VLAN路由器配置IP案例：配置IPS为内联接口对模式激活监控接口案例：配置IPS为内联接口对模式创建接口对案例：配置IPS为内联接口对模式关联VirtualSensors激活特征库案例：配置IPS为内联接口对模式效果验证案例：配置IPS为内联接口对模式BypassAUTO：当IPS引擎故障或系统故障时IPS自动进入BYPASS模式，使流量不被监控OFF：当IPS故障，IPS关闭接口，不处理流量，当交换机发现接口坏时会更改数据转发路径。建议网络有备用链路时使用。ON：在线模式部署方式，关闭IPS监控，直接转发流量，一般建议排错情况下使用。IPS的其他接口特性TrafficFlowNotificationsIPS的其他接口特性案例：配置IPS为内联VLAN对模式流量直接穿越IPS，监控、记录并阻止PING包，交换机配置VLAN配置交换机配置VLAN及TRUNK，并划分到接口IPS激活指定的特征库激活监控接口，创建VLAN对，并关联virtualsensor案例：配置IPS为内联VLAN对模式交换机配置VLAN及TRUNK，并划分到接口案例：配置IPS为内联VLAN对模式启用监控接口案例：配置IPS为内联VLAN对模式添加VLAN对案例：配置IPS为内联VLAN对模式关联到virtualsensor激活特征库案例：配置IPS为内联VLAN对模式特征定义（SignatureDefinitions）4CiscoIPS策略的配置包含特征定义（SignatureDefinitions）、事件动作规则（EventActionRules）和异常检测（AnomalyDetections）3个部分。（1）特征定义策略：用于定义IPS的特征库，可以对特征库中的特征进行新增、修改、删除、启用/禁用等操作。（2）事件动作规则策略：主要用于对IPS的调整，通过创建EventActionOverrides和EventActionFilters策略，以便根据RiskRating（RR，风险等级）来定义增加或减少事件动作。（3）异常检测策略：用于检测异常流量，可以在IPS未升级最新的特征策略时抵御蠕虫病毒等。IPS策略特征（Signature）是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述。当检测到恶意行为时，IPS通过将流量与具体特征对比，监控网络流量并生成警报。与杀毒软件模式相同，IPS的特征库必须保持实时更新，定期升级。IPS的singnature想让特征生效必须为Enable，且为Active。系统开机时自动加载为Active状态的特征。即使是Disable的状态的也会被加载，只不过当匹配数据时不做动作而已。Retired状态的即是系统开机时不加载的特征。如果把一个Disable且Acitve状态的特征置为Retired状态，IPS将会把系统所有的Active状态的特征全部删除并重新加载，杞刚刚置为Retired状态的不载进去。IPS在加载过程中将消耗大量硬件资源。若工作状态的IPS频繁此操作，将有可能对网络造成一定影响。IPS的singnature特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为。CiscoIPS使用特征引擎，通过查找相似的特征，检查网络流量的入侵行为。signatureengine有多种分类，针对不同网络情况可选择不同类型的引擎。每一个engine都有专属于本engine的特定参数。配置这些特定的engine参数，能优化signature对网络的分析，可为你的网络创建新的signature。signature参数分为普通参数和特殊参数Engine为特殊参数其他参数均为普通参数，参数选项大致相同特征引擎Signatureengine特征引擎的分类：1、ATOMIC2、FLOOD3、SERVICE4、STRING5、SWEEP6、TROJAN7、TRAFFIC8、AIC9、STATE10、META11、NORMALIZER每个引擎的特殊参数不同，普通参数所有引擎都相同。特征引擎Signatureengine1、ATOMICEngineATOMIC引擎对一个单一的IP包内的特定字段匹配ATOMICARPATOMICIPATOMICIPV6ATOMICADVANCED例：ICMPrequest的类型值为8，replys类型值为0，可抓包。特征引擎Signatureengine协议号：1：ICMP6：TCP17：UDP47：GRE1、ATOMICEngine例：创建一个SIG，匹配23端口的第一个SYN包，并告警特征引擎Signatureengine2、FLOODengine对泛洪攻击进行防护FLOODHOST对单个目的主机泛洪FLOODNET对一个目的网络泛洪一个经典的ICMP主机泛洪SIG：2152ICMP请求每秒超过60就告警默认被禁用特征引擎Signatureengine3、SERVICEengine针对特定的应用层服务的攻击1、SERVICEDNS2、SERVICEFTP3、SERVICEGENERIC4、SERVICEGENERICADVANCED5、SERVICEH2256、SERVICEHTTP7、SERVICEIDENT9、SERVICEMSRPC10、SERVICEMSSQL特征引擎Signatureengine11、SERVICENTP12、SERVICERPC13、SERVICESMB14SERVICESMBADVANCED15、SERVICESNMP16、SERVICESSH17、SERVICETNS3、SERVICEengine案例：HTTP特征引擎SignatureengineSERVICEHTTP可对URL中的字段进行限制，主要针对URL当中URI，ARG，HEADER，REQUEST四个字段进行两种控制，分别为长度及正则表达式（关键字）匹配。限制长度可以比较有效地防止缓冲区溢出攻击。使用如下特定字符可正确匹配相关字符。1、“^”：表示以特定的字符开始，如^A。2、在“[”右边使用“^”：表示排除[]内部的字符，如[^0-9]。3、“$”：表示必须以$左边的字符结尾，如a$。4、“|”表示或者，如Cisco|cisco。5、“[]”：表示[]内部字符任意一个，如[Rr]oot。6、“.”：匹配任意一个字符，如A.B。7、“\”：转义符，如：只匹配A.B，其他不要。8、“*”：表示*号左边的字符出现零次或多次，如A*。9、“+”：表示+号左边的字符至少出现一次，如+A。10、“?”：表示？号左边的字符出现零次或一次。正则表达式4、stringengine对一个流内的多个数据包缓存，并且通过正则表达式匹配。经典考试案例：TELNET主机输入关键字被RESET连接或告警。1、STRINGICMP2、STRINGTCP3、STRINGUDP4、MULTISTRING特征引擎Signatureengine5、Sweepengine扫描引擎，对网络扫描进行监控。一个网络，不可能做到拒绝扫描，因为不可能把所有服务都关闭，但一般扫描攻击的报文都会变得不太正常，因此可以部署IPS来发现扫描。（1）SWEEP普通扫描（2）SWEEPotherTCP特殊TCP包扫描普通扫描一般为正规扫描，如端口号按顺序，IP地址从小到大或从大到小地扫，一般有规律性。特殊TCP扫描或者特殊扫描则没有规律，正常情况IPS很难发现这是一个扫描攻击，典型的NMAP扫描工具可做到特殊扫描。如随机扫描不同端口，且不在短时间内扫描；或者TCP报文SYN与FIN同时被置位的包；或者扫描时间很长，如扫描1-1024端口，扫一个星期或半个月等等，正常情况下都比较难被发现为扫描攻击。特征引擎Signatureengine6、METAEngine元特征基于多个独立特征，这些特征定义为在很短的时间间隔内以相关方式发生的事件。不处理数据，用于提供事件的关联。主要用来关联一些事件来产生某种告警，如图所示特征引擎Signatureengine在3秒内5个SIG告警，正常人根本不知道为什么，META提供了这一事件的关联，当出现这种情况时产生个告警，告诉管理员，3秒内出现如上5个告警有可能是出现了NIMDA蠕虫病毒。7、TRAFFICEngine检测非标准流量或异常流量，如ICMPTUNNEL，80端口的TELNETTRAFFICICMPTRAFFICAnomaly正常情况ICMP的数据位为填充位，没有意义，一般填充的内容是重复的大写的ABCD。木马程序有可能使用ICMP协议来承载数据。目的是为了能够隐藏这些传送的数据。让安全设备或者网管无法发现这些重要数据正在被泄漏。配置TRAFFICICMP可检测这些ICMP数据位，如果发现填充的数据并非正常填充的无意义的数据则认为这是ICMP流量异常，可有效防止信息泄漏。特征引擎Signatureengine8、AlCEngine（应用层监控和控制引擎）对FTP与HTTP协议进行彻底的流量分析，实现应用层过滤。AICFTP：检测FTP流量，控制FTP会话中发布的命令AICHTTP：提供HTTP会话更细粒度的控制，以防止HTTP协议弊端，允许管理控制应用可以认为是IPS的另一种功能，可以让IPS有防火墙类似的功能对流量进行限制。IPS与防火墙在功能上几乎没有交集，IPS只做流量监控，发现流量不对或者说匹配了SIG就告警或执行某种动作，主要功能还是在于对某些协议进行防御。而防火墙的功能主要在于限制，比如仅能访问某些特定站点，只能下载某些文件等等，主要对流量访问作控制及限制。特征引擎Signatureengine9、STATEEngine可对CISCO登陆，远程打印，SMTP发送邮件的特定状态的特定字段匹配。作用于发现发送的邮件字段中或登陆cisco设备时的特殊字段。状态引擎所具有的隐藏配置文件用于定义状态转换，因而新的状态定义可运行于更新的特征库。特征引擎Signatureengine10、NORMALIZEREngine规范化引擎规范化流量，保障IPS告警更准确。很多攻击流量都为不标准的流量，也有很多逃避技术来逃避检查。可以配置IP和TCP标准化功能，为与IP和TCP标准化相关的特征事件提供配置。IPfragmentationnormalizationTCPnormailization特征引擎Signatureengine11、TROJANEngine:木马引擎检测木马程序的网络流量，分析流量中的非标准协议，如BO2K和TFN2K协议。TROJANBO2KTORJANTFN2KTROJANUDP木马程序一般情况都为控制主机或者窃听信息，因此木马程序也会产生一些网络流量，可部署IPS来发现一些木马程序产生的流量。特征引擎Signatureengine每个特征都有很多参数，特征的参数可分为普通参数和特殊参数（即引擎参数）两种。1）普通参数2）引擎参数所有的SIG的普通参数都是一样的，只有引擎参数是不同的！！！特征的参数所有的SIG的普通参数都是一样的，只有引擎参数是不同的！！！1、SIG定义：Signature普通参数Sub-ID：子ID号，有可能多种版本的SIG告警严重级别：info，low，medium，hight ASRSIG真实度：默认100，100％真实 SFR杂合增量：用于计算在线模式和杂合模式的威胁率。默认为0，表示两种模式的威胁相同，配置10则表示在线模式的威胁率要比杂合模式高10。

PD2、SIG描述：Signature普通参数3、eventcounterSignature普通参数Eventcounter：只要满足SIG引擎的参数配置就会有一个事件，而且会对应一个告警。如果该值为10，则需要10个事件才会有一个告警。比如PING，PING了10个包会有10个事件及一个告警。Eventcounterkey：默认攻击者与受害主机之间一个包触发了SIG就告警了，如果eventcount的值为10，则需要10个包的源和目都是这个攻击者与受害主机。也可以选择其他，eventcount的值必须满足所选的条件才会有告警。3、eventcounterSignature普通参数SpecifyAlertInterval：告警间隔时间，默认为NO，意思为有一个事件就告警，或者有10个事件就告警。而且不管等了多久凑足了10个都会告警。如果配置如上，则表示在60秒内，凑足eventcount里配置的个数就会告警，如eventcount配置为10，interval配置为60，表示在60秒内，凑足10个包会告警，如果在这时间内没有凑足10个不告警。4、Alertfrequency告警频率Signature普通参数这里面的参数与eventcount的配置有关。Summarymode：默认ICMP是summarizeFireall：所有都告警，eventcount里面配置的个数是多少就会有多少个告警条目。Ping100就有100告警Fireonce：在一个时间周期内只告警一次，不管有多少攻击。时间周期听说是14-15分钟，思科没说。Sunmmarize：汇总，默认有个intervall间隔时间30秒。当第一个包出现，产生告警了，等待30秒后会有一个汇总告警，这个参数也与eventcount的参数有关，如果eventcount设置为10个，则要10个包出现了才有一个告警，然后等30秒再来个汇总告警，告诉你30秒内一共出现了几个包。4、Alertfrequency告警频率Signature普通参数Summarizekey：sunmmarize模式下的参数。默认选项为攻击者与受害主机之间。5、Status状态Signature普通参数所有SlG都必须是enable，且为非退休状态。VulnerableOSlist：脆弱OS列表。用来匹配该攻击事件对哪类系统生效。特征的事件动作（EventAction）共有16种，动作可分为如下三大类1、告警与日志行为2、拒绝行为3、其他行为注意：引擎的不同，行为内的参数也不同特征的事件动作1、告警与日志行为Producealert：告警，默认所有signature都有这个行为，只是告警。Produceverbosealert：冗长告警，把触发告警的流量的抓包文件显示出来。2004可测Logattackerpackets：将对触发告警的包的源主机lP进行日志记录一段时间Logpairpackets：启动包含攻击/受害者地址对的包的P日志记录。Logvictimpackets：启动去往受害者地址的包，进行日志记录。RequestSNMPtrap：发现告是将告警推送一份到SNMP服务器。特征的事件动作2、拒绝行为（必须为在线模式）DenyPacketInline：触发SIG，该报文被拒绝DenyConnectionInline：触发SIG且一小时内该源目IP及源目端口被拒绝访问DenyAttackerVictimPairInline：禁止触发SIG的包的源至目的流量DenyAttackerServicePairInline：禁止触发SIG的包的源去往任意目的的某个端口（目的端口）DenyAttackerInline：触发SIG的包的源IP一小时内被禁止访问所有特征的事件动作3、其他行为(IPS的特殊处理，通过与其他设备联动拒绝流量或服务)RequestBlockConnection：触发SIG，IPS远程连接设备拒绝该触发包的源目IP源目端口连接RequestBlockHost：触发SIG，远程连接设备拒绝某个主机半小时RequestRateLimit：触发SIG，限速半小时ResetTCPConnection：触发SIG，IPS模拟源目发送ResetTCP连接。ModifyPacketInline：修改某些报头位被置位的位。如TCP包前三位默认为0，若发现被置位则IPS修改成默认值。特征的事件动作自定义singnature5调整Signature2004，设置ICMP告警。需求：1、调整SIG2004告警级别为最高级2、当PING去往目的主机时告警3、每个事件告警一次4、连续三个PING包去往时告警5、30s内出现6个PING去往时告警6、超过40秒两个告警时切换到summary7、当40秒内告警超过5个时切换到global实验1：调整SIG2004创建一个新的signature60010，告警级别设置为高，配置去往23端口服务，匹配关键字ccie，且字母不区分大小写。当发现该关键字时Producealert、ProduceVerboseAlert、LogAttackerPackets、ResetTcpConnect。实验2：设置特定报文触发告警实验2：设置特定报文触发告警需求：创建一个自定义signature60011匹配去往目的端口23的SYN包名称：SYN严重级别：高脆弱OS：IOS当匹配该条件时，产生告警并查看抓包信息，并配置LogAttackerPackets。实验3：触发23端口的SYN包需求：创建一个自定义signature60011匹配去往目的端口23的SYN包名称：SYN严重级别：高脆弱OS：IOS当匹配该条件时，产生告警并查看抓包信息，并配置LogAttackerPackets。实验3：触发23端口的SYN包需求：当PC在30秒内访问URL/exec/-/show/run/CR或/exec/-/Show/run/CR，show首字母不区分大小写，超过三次时，触发signature60020名称：SHOW严重级别：高动作：告警并丢弃该攻击者后续报文实验4：自定义singnature限制访问URLEventActionRules事件动作规则6CiscoIPS包含一个名为rules0的默认事件动作规则策略，也可以根据需要添加新的事件动作规则。通过事件动作规则（EventActionRules），用户可以创建EventActionOverrides（事件动作重写）、EventActionFilters（事件动作过滤）策略，根据RiskRating（RR，风险等级）的值来增加或减少事件动作，实现对IPS的调整。EventActionRules事件动作规则EventVariables（事件变量）类似于object，方便后续调用无需记IP地址EventActionRules事件动作规则TargetValueRating（TVR，目标价值率）可为网络设备指派一个值，用于描述设备的重要性，用于计算每一个告警的RR。简单地讲，就是网络设备很多，有重要的服务器，有不重要的无线路由器或PC，即设备的重要性不同。当有攻击发生，且攻击的对象不同，IPS即可以对这些预先配置好的TVR值来判断这条攻击（告警）是否对网络威胁极大。默认值为中等MediumEventActionRules事件动作规则注意：在同一级别中添加多个设备时，变量与IP地址不能复合使用。RiskRating（RR，风险等级）RiskRating是一个0到100的数值，用来量化在网络在一个特定事件的风险程度。该值越高，风险越大，告警重要程度越高。计算公式：EventActionRules事件动作规则ASR：告警的严重级别。Information（25），low（50），medium（75），high（100）TVR：目标价值率。Zero（50），low（75），medium（100），high（150），missioncritical（200），默认值为mediumSFR：SIG真实度。取值0到100，越大越真实，创建SIG时默认提供的值为75。ARR：attackrelevancyrating，攻击关联率。Relevancy（10），unknown（0），notrelevancy（-10）PD：杂合增量。默认情况都为0，在线模式不计算PD值，杂合模式减10。取值0到30WLR：watchlistrating取值为0到35。关联产品CSAMC，如果一个攻击，NIPS及HIPS两个产品都发现了，CSAMC就会产生一个关联值来让IPS加分。可忽略。

RiskRating（RR，风险等级）计算公式：EventActionRules事件动作规则测试1：R1#ping测试2：R2#ping

OSIdentifications（操作系统识别）为了计算RR，需要知道是否有关联上，因此需要知道目标操作系统发现目标设备所使用的操作系统，通过检测TCP报文的SYN和ACK包的特定字段进行判断。通过报文的序列号或IP头部字段中的ID位等特殊位来判断。发现操作系统的方法有三种：1）手动添加2）自动学习3）导入:需要从CSAMC导入，该产品已停用EventActionRules事件动作规则OSIdentifications（操作系统识别）配置R1为IOS，R2为WINDOWS，同时修改SIG2004的脆弱OS选项为IOS，然后再次PING测试，查看告警RR值。EventActionRules事件动作规则

R1PINGR2，目的操作系统为window，而告警的脆弱OS为IOS，不匹配，RR值为37R2PINGR1，目的操作系统为IOS，告警的脆弱1OS也为IOS，匹配，RR值为60EventActionOverrides（事件动作重写）根据RR的值来定义新的动作，可以根据不同范围的RR值来定义。默认配置如图。EventActionRules事件动作规则默认RR值为90-100之间的，即使SIG的动作当中只设置了告警，该报文也会被丢弃。可以测试2004，将其告警严重级别设置为high，所有PING包都将被DENY，原因是RR值100，会额外添加一个动作，就是上面默认配置的DENYPACKET。EventActionOverrides（事件动作重写）EventActionRules事件动作规则实验配置：R1PINGR2，配置RISK20-59，添加动作为produceverbosealertR2PINGR1，配置RISK60-90，添加动作为denyattackerPING测试效果。EventActionFilters（事件动作过滤）与eventactionoverride刚好相反，eventactionoverride是根据条件添加额外的动作，eventactionfilters是根据条件来减少动作。可根据的条件如图：EventActionRules事件动作规则EventActionFilters（事件动作过滤）实验：配置两个SIG:1、TELNET会话出现CCIE关键字触发告警2、发现finger流量触发告警EventActionRules事件动作规则AnomalyDetection异常检测7AD是用于检测感染蠕虫病毒主机的一个组件。可以在IPS未升级最新的SIG策略时抵御蠕虫病毒或红色代码病毒。AD组件先在网络当中学习正常流量，当网络流量突然出现异常时发生告警或采取相应的行为。背景：当网络中出现了蠕虫病毒，该病毒会通过邮件或网络连接进行传播，传播过程会占用大量链路带宽；被感染病毒的主机可能遭受黑客远程入侵攻击或被黑客远程控制进行网络扫描，因此网络带宽同样会突然上涨，并有可能出现拥塞。此时IPS并没有做任何的SIG升级，可能并不能够匹配到这一螺虫病毒，因此现在的IPS没任何卵用；为了解决这一问题IPS添加了AD组件，让IPS先在网络中学习一段时间，让IPS知道网络在正常的情况下是怎么样的，当网络出现了带宽突然上涨或网络扫描的蠕虫病毒的特征时采取行为。AnomalyDetection异常检测AD可以检测的两种情况遭受蠕虫病毒流量拥塞被感染的主机正在扫描其他脆弱主机AD的工作模式学习模式：在最初的24小时中为学习模式，在这时间内如果没有出现病毒，IPS就会记录下现在这种情况，AD会自动创建个初始的在线数据库，记录网络正常情况的基准线。检测模式：当学习模式已过，AD早创建数据库后，IPS就会通过这个数据库来开始检测网络的两种情况，如果一旦网络情况出现了超过正常情况的流量阈值就会告警。需要注意的，在配置时即使直接选择为检测模式，在最初的24小时内也只是学习模式，是不检测的。inactivemode不激活模式不检测：当网络出现了异步路由的情况的时候可以先择此模式。AnomalyDetection异常检测AD特性使用zone的概念，zone是一个目的IP地址集，通过把网络划分为不同的zone，降低漏报的机率。共分为三个zone，每一个zone都有属于自己的阈值。1、InternalZone：设置内部出现的网段ADzonesAD特性使用zone的概念，zone是一个目的IP地址集，通过把网络划分为不同的zone，降低漏报的机率。共分为三个zone，每一个zone都有属于自己的阈值。2、ExternalZone：不设置，一般只能对TCP或UDP操作ADzonesAD特性使用zone的概念，zone是一个目的IP地址集，通过把网络划分为不同的zone，降低漏报的机率。共分为三个zone，每一个zone都有属于自己的阈值。3、IllegalZone：设置内部及外部均不可能出现的网段，如172，因为内部并没有使用到172，外网也不可能存在172网段ADzones1、OperationSettingsAD配置600秒的默认学习时间，查看如下配置的IP地址在这个时间内连接主机数或扫描数，学习一个基准线，以后就按这个基准线来忽略这个IP地址的异常，并认为是正常情况。配置为漏洞扫描程序的IP地址或服务器IP地址配置为漏洞扫描程序的IP地址或服务器IP地址2、LearningAcceptMode学习模式AD配置循环模式设置学习的开始时间及学习时长3、zone一共三个zone，可以在每个zone内设置蠕虫触发告警的条件。三个zone配置套路都是一样的。主要看TCP配置，其他配置相同。AD配置ScannerThresholds扫描阈值默认值200，当单一源主机一分钟内向不同目的地址的相同特定端口发起超过200个不完全连接时触发相应的SIG。配置Blocking8配置Blocking技术，联动外部设备实现流量控制。如下图所示，IPS工作在杂合模式下，并不能完全抵御攻击，因此需要配置blocking技术联动外部设备通过配置相应的控制方法来阻止流量。注：BLOCKING是通过IPS的网管口登陆设备的，与之前所介绍的RESETTCP完全不同，RESETTCP是通过sensor口来注入的。配置BlockingIPS可联动的设备ASAROUTERSWITCH65006500FirewallServiceModules配置Blocking联动条件1、设备拥有IP地址2、允许telnet/SSH3、使用SSH需要有加密授权配置联动技术注意事项1、配置防地址欺骗2、配置排除主机地址3、定义网络入口4、为SIG配置BLOCK策略5、配置BLOCK时间，默认30分钟配置Blocking1、配置防地址欺骗配置Blocking1、配置防地址欺骗在边界路由器R1上完成防止地址欺骗技术的配置：R1(config)#interfaceethernet1/1R1(config-if)#ipverifyunicastreverse-path启动逆向路径检测功能R1(config-if)#ipaccess-group1inR1(config-if)#exitR1(config)#access-list1deny55R1(config)#access-list1deny55R1(config)#access-list1deny55R1(config)#access-list1deny55R1(config)#access-list1permitany配置Blocking2、配置排除主机地址配置Blocking3、定义网络入口配置Blocking3、定义网络入口配置Blocking3、定义网络入口配置Blocking4、为SIG配置BLOCK策略配置Blocking配置BlockingTHANKS!让网络更安全让世界更美好开源入侵检测系统Snort2目录Snort的体系结构Snort的的部署方式Snort的工作模式Snort2的安装与配置Snort2的命令行参数Snort2的预处理器Snort的体系结构1Snort是著名的开源、跨平台、轻量级的网络入侵检测系统，遵循公共通用许可证GPL，采用易于扩展的模块化体系结构。Snort最早是由程序员MartyRoesch在1998年用C语言开发的基于libpcap/winpcap/npcap的数据包嗅探器和日志记录工具。Snort采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。Snort能对网络流量进行实时捕获，对协议进行分析，可以自定义规则库、预处理器及输出插件等扩充其功能，如果有与规则库匹配的非法流量和可疑数据，可以记录到日志文件，并实时报警。Snort简介包解码器、预处理器、检测引擎、报警输出是SNORT系统的基本模块，以插件形式存在，有很强的可扩展性SNORT的体系结构（1）包捕获器：SNORT本身没有捕获数据包的模块，只能借助Linux的捕包函数库Libpcap或Windows的Winpcap直接从网卡获得数据包，并将捕获的数据包传递给包解码器。（2）包解码器：用于将包捕获器传递过来的原始数据包进行解码，并将解码后的数据包存放到SNORT定义的结构体中，方便后续的预处理器和检测引擎处理。（3）预处理器：用于将包解码器解码后的数据包进行预处理操作，使之规范化，方便检测引擎的检测。另外，预处理器也可以检测数据包是否有明显的错误，如果有则直接报警输出。预处理器是插件形式存在的，SNORT中内置了一些常用的预处理器，用户可以根据需要有选择地使用，也可根据添加自定义的预处理器。（4）检测引擎：是SNORT系统最核心的模块，通过规则库判断经过解码和预处理之后的数据包是否存在入侵行为。需在SNORT启动前提前配置好规则库。（5）报警输出：若数据包被检测出错误或非法，则由此模块进行记录并报警。报警信息可以日志文件形式的保存，也可以保存在MYSQL、ORACLE等数据库系统中。用户也可以定制输出插件，将检测后的数据进行直观展示。（6）规则库：是检测引擎对数据包判断是否非法的依据，在SNORT启动时会对系统中的规则进行初始化，初始化好的规则被加载到一个三维链表中。（7）日志文件或数据库：用于记录报警信息。SNORT的体系结构Snort支持以内联（Inline）模式配置为IPS做阻断，只不过功能较弱。最常见的部署方式还是作为IDS来使用，与现有设备形成异构，实现网络流量的交叉检查。Snort作为IDS部署时，应将其以并联的方式挂接在所关注流量必经的链路上。可以将Snort部署在防火墙两侧，具体有以下3种部署方案。（1）部署防火墙外（2）部署在防火墙内（3）防火墙内外分别部署SNORT的部署方式Snort有嗅探器、数据包记录器和入侵检测3种工作模式。嗅探器模式：相当于Wireshark、tcpdump这样的数据包捕获工具，用户可以实时查看网络接口流量。数据包记录器模式：将抓取的数据包存储到本地硬盘中，文件名为snort.log.timestamp。用户可以使用Wireshark等软件或者snort-r功能分析该流量文件。入侵检测模式：最核心的模式，将捕获的数据包与检测规则进行模式匹配，当发现数据包匹配上某条规则，就会执行这条规则中所定义的动作。SNORT的工作模式SNORT2的关键文件SNORT的工作流程模块名源文件名称说明主模块SNORT.c主控模块plugbase.c完成插件的注册、初始化解码模块decode.c解码函数预处理模块preprocessors保存预处理插件规则处理模块rules.c完成所有与规则相关的工作parser.c完成—些辅助工作日志模块log.c完成与日志记录有关的功能SNORT的启动流程（1）调用初始化函数SnortInit()，完成命令行解析、输出模块注册、预处理模块注册、规则选项模块构建、加载动态插件等操作。（2）利用GetPacketSource()函数获取数据源，确定需要进行捕获数据报文的网卡，或者存储数据报文的文件；注册控制处理器，初始化进程文件和权限。SNORT的工作流程（3）调用函数SetPktProcessor()获取数据包，判断数据来源并标注对应的解码函数。（4）调用封装了Libpcap的DAQ函数库的DAQ_Start()函数，启动抓包流程。利用PacketLoop()函数循环抓包。SNORT能调用不同的解码函数对捕获的数据包进行解析，根据检测规则对异常协议进行识别与报警。数据包的处理过程SNORT的工作流程利用捕包库函数捕获到数据链路层的所有流量，包解码器按照数据包的类型逐层向上调用相应的解码函数解码。解码完毕后，识别出相应的协议类型，该过程是在数据链路层完成的。接下来调用网络层解码函数，对数据链路层解码完毕后的数据包做相似的解码工作。调用传输层解码函数对数据包进行最后的解码，并把解码后的数据包存放到系统定义好的数据结构中供预处理器来处理。Snort2的安装与配置2Snort2目前最高版本为2.9.20，有源码版和Windows版Snort2的安装安装完成后还需要安装Npcap，并对配置文件snort.conf进行编辑。Snort2的安装在WindowsXp/2003/Vista/2008上可以使用WinpcapWin7及以后上可以使用npcap，64bit，要匹配可以用snort-V查看Snort的版本和位数，也可以用snort-W可以查看版本、位数、可用接口等，还可以确定捕包函数库与Snort是否匹配。Snort2的安装配置snort.conf文件1）设置网络变量2）配置解码器3）配置基础检测引擎4）配置动态加载库5）配置预处理器6）配置输出插件7）自定义规则集8）自定义预处理器和解码器规则集9）自定义共享对象规则集Snort的配置1.设置网络相关变量IP变量ipvarHOME_NETanyipvarEXTERNAL_NETanyipvarDNS_SERVERS$HOME_NETipvarSMTP_SERVERS$HOME_NETipvarHTTP_SERVERS$HOME_NETipvarSQL_SERVERS$HOME_NETipvarTELNET_SERVERS$HOME_NETipvarSSH_SERVERS$HOME_NETipvarFTP_SERVERS$HOME_NETipvarSIP_SERVERS$HOME_NET Snort的配置（Snort.conf）1.设置网络相关变量端口变量portvarHTTP_PORTS[80,81,311,383,……portvarSHELLCODE_PORTS!80portvarORACLE_PORTS1024:portvarSSH_PORTS22portvarFTP_PORTS[21,2100,3535]portvarSIP_PORTS[5060,5061,5600]portvarFILE_DATA_PORTS[$HTTP_PORTS,110,143]portvarGTP_PORTS[2123,2152,3386]ipvarAIM_SERVERS[/23,/23,/24,……Snort的配置（Snort.conf）1.设置网络相关变量规则文件的路径（可以是相对路径，建议用绝对路径）104行：（105和106也可以先注释点）varRULE_PATHD:\snort\rules 规则路径varSO_RULE_PATHD:\snort\so_rules 共享函数库规则路径varPREPROC_RULE_PATHD:\snort\preproc_rules 预处理器规则路径注释掉113和114行#varWHITE_LIST_PATHD:\snort\rules 允许列表地址#varBLACK_LIST_PATHD:\snort\rules 屏蔽列表地址Snort的配置（Snort.conf）4.配置动态加载库可动态加载的模块改247行和250行dynamicpreprocessordirectoryD:\snort\lib\snort_dynamicpreprocessor 动态预处理器库路径dynamicengineD:\snort\lib\snort_dynamicengine\sf_engine.dll 基本预处理器引擎路径注释掉253行#dynamicdetectiondirectory/usr/local/lib/snort_dynamicrules 动态规则库路径Snort的配置（Snort.conf）5.配置预处理器用于将包解码器解码后的数据包进行预处理操作，使之规范化，方便检测引擎的检测。也可以检测数据包是否有明显的错误，如果有则直接报警输出。预处理器是插件形式存在的，源文件名都是以spp_开头的，SNORT中内置了一些常用的预处理器，如：IP分片重组（frag2）、TCP流重组(stream4)、各种应用层解码等。用户可以根据需要有选择地使用，通常采用默认值，也可根据添加自定义的预处理器。常见分类：模拟TCP/IP堆栈功能的插件：如IP分片重组、TCP流重组插件。各种解码插件：如HTTP解码插件、Unicode解码插件、RPC解码插件、Telnet协商插件等。规则匹配无法进行攻击检测时所用的检测插件：如端口扫描插件、Spade异常入侵检测插件、Bo检测插件、Arp欺骗检测插件等。Snort的配置（Snort.conf）6.配置输出插件在报文匹配某条规则需要输出时，调用相应的输出插件。它们的源文件名都以spo_开头，这些插件分为日志和警告两种类型放入两个列表中，在规则匹配过程中和匹配结束之后调用，以便记录日志和警告。输出方式1）输出到unified2文件：outputunified2:filenamesnort.log,limit128U2boat：用于将Unified2文件转换为不同格式的工具。U2SpewFoo：用于将Unified2文件的内容转储到stdout的轻量级工具。2）输出到syslog：outputalert_syslog:LOG_AUTHLOG_ALERT3）输出到pcap文件：outputlog_tcpdump:tcpdump.log4）输出到数据库：outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full Snort的配置（Snort.conf）7.定制snort规则集是检测引擎对数据包判断是否非法的依据，在SNORT启动时会对系统中的规则进行初始化，初始化好的规则被加载到一个三维链表中。#include<被包含文件的完整路径和文件名>include$RULE_PATH/local.rulesalerticmpanyany->anyany(msg:"TestingICMPalert";sid:1000001;)Snort的配置（Snort.conf）Snort的使用3嗅探器：从网络上读取数据包并作为连续不断的流显示在终端上。snort–v-i4：输出IP和TCP/UDP/ICMP的包头信息snort–vd-i4：输出IP和TCP/UDP/ICMP的包头信息和应用层的数据snort–vde-i4：输出数据链路层、IP和TCP/UDP/ICMP的包头信息以及应用层的数据数据包记录器：把数据包记录到硬盘上的log目录中（log目录必须存在）snort–dev–l./logsnort–dev–l./log-h/24网络入侵检测系统：此模式最复杂，且是可配置的，可以让Snort分析网络数据流以匹配用户定义的规则，并根据检测结果采取一定的动作。snort–dev–l./log

-h/24–csnort.conf为了提高性能，建议不要使用ve这两个参数Snort2的命令行参数c:\snort\bin>snort[options]<filters>主要snort参数介绍-A<alert>：设置<alert>的模式是full、fast，还是none；full模式是记录标准的alert模式到alert文件中；fast模式只写入时间戳、messages、IPs、ports到文件中，none模式关闭报警。-a：显示ARP包。-b：把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为二进制形式，这个选项对于fast记录模式比较好，因为它不需要花费包的信息转化为文本的时间。Snort在100Mbps网络中使用“b”比较好。-c<cf>：使用配置文件<cf>，这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。-C：在信息包信息使用ASCII码来显示，而不是hexdump。Snort的命令行参数主要snort参数介绍-d：解码应用层-D：把Snort以守护进程的方法来运行，默认情况下alert记录发送到/var/log/snort.alert文件中去。-e：显示第二层（数据链路层）的包头信息。-F<bpf>：从<bpf>文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器。-h<hn>：设置网络地址，如一个C类IP地址，使用这个选项，可限制数据进出的方向。-i<if>：使用网络接口参数<if>。-l <ld>：LOG信息包记录到<ld>目录中去。-M<wkstn>：发送WinPopup信息到包含<wkstn>文件中存在的工作站列表中去，这选项需要Samba的支持，wkstn文件很简单，每一行只要添加包含在SMB中的主机名即可（注意不需要两个斜杠＼＼）。Snort的命令行参数主要snort参数介绍-n<cnt>：指定在处理<cnt>个数据包后退出。-N：关闭Log记录，但ALERT功能仍旧正常。-o：改变所采用的记录文件，如正常情况下采用Alert→Pass→Log，而采用此选项是这样的顺序：Pass→Alert→Log，其中Pass是那些允许通过的规则而不记录和报警，ALERT是不允许通过的规则，LOG指LOG记录。-p：关闭杂乱模式嗅探方式，一般用来更安全的调试网络-r<tf>：读取tcpdump方式产生的文件<tf>,这个方法用来得到一个Shadow(Shado