网络安全培训P177

网络安全培训/sundae_meng主要内容网络安全的概念安全的网络常见网络攻击的介绍常见主机攻击介绍安全的主机网络监测事故处理案例分析FAQ/sundae_meng计算机安全简介/sundae_meng安全？什么是计算机安全？谁定义计算机安全？计算机安全(公安部定义1994)：计算机系统的硬件、软件和数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、显露，系统不能连续正常运行。

计算机安全的含义(1991)：避免窃取和破坏硬件避免窃取和破坏信息避免破坏服务/sundae_meng保密性、完整性和服务失效保密性：防止信息在非授权情况下的泄漏。完整性：保护信息使其不致被篡改或破坏。服务失效：临时降低系统性能、系统崩溃而需要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。/sundae_meng可信系统的评价准则类别名称主要特征A1验证设计形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明B3安全区域存取监督器(安全内核)，高抗渗透能力B2结构化保护形式化模型，隐密通道约束，面向安全的体系结构，较好的抗渗透能力B1有标识的安全保护强制存取控制，安全标识，删去安全相关的缺陷C2受控存取保护单独的可说明性，广泛的审核，附加软件包C1任意安全保护任意存取控制，在共同工作的用户中防止事故D低级保护不分等级/sundae_meng计算机安全的内容计算机实体安全软件安全数据安全运行安全环境安全/sundae_meng网络安全概述/sundae_meng网络安全概述什么是网络安全？谁定义网络安全？体系是网络安全的重要特性安全需求和安全政策/sundae_meng主要的网络安全体系安全管理制度安全域边界管理数据安全体制安全监测分析系统病毒防护？自动安全管理系统？……/sundae_meng网络安全体系示意/sundae_meng不同体系所面对的威胁不同体系面对不同来源的威胁管理制度面对人的威胁边界管理面对来自网络外部的威胁数据安全体制主要针对内部或外部信道的威胁(此外，防止泄密、进行鉴别等)安全监测系统用于发现和补救存在的危险/sundae_meng威胁从何而来？安全的模糊性网络的开放性产品的垄断性技术的公开性人类的天性/sundae_meng安全的模糊性安全是相对的，不易明确安全的目标安全是复杂的，不易认清存在的问题安全是广泛的，不易普及安全的知识/sundae_meng网络的开放性互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会/sundae_meng产品的垄断性工业界试图将专用技术引入Internet以获得垄断地位，从而将开放式的环境演变为商品化的环境，如ActiveX。专用技术的细节通常受到有关厂家的保护，因而缺乏广泛的安全讨论，容易出现安全缺陷，例如ActiveX允许进行控件下载，又缺乏对控件的运行约束。/sundae_meng技术的公开性如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。/sundae_meng人类的天性好奇心、显示心惰性和依赖心理家丑不可外扬/sundae_meng安全管理制度木桶原则：木桶盛水的高度等于其最短的木板的长度安全链条：链条的强度等于其最弱一环的强度“人”是最短的木板和最弱的一环!!!/sundae_meng网络边界安全/sundae_meng网络边界安全使用防火墙!?什么是防火墙!？机房里用防火砖砌的墙???不同的人对防火墙有不同的定义!!!一种定义：防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策/sundae_meng防火墙和关键路径关键路径可以是物理的也可以是逻辑的/sundae_meng防火墙体系IPPacketFilter(如路由器中的accesslist)堡垒主机、多协议过滤器(如checkpoint防火墙)应用级防火墙(如Proxy、分裂的DNS,Sendmail、WEB过滤的Gaunlet防火墙)参考OSI模型的近似防火墙分层体系/sundae_meng信息安全与网络安全/sundae_meng数据安全数据保密：密码体制。内容完整：数字签名，信息摘录。无否认：公证机制，审计功能，数字签名。/sundae_meng网络安全传输安全：数据保密，内容完整；访问安全：身份认证，访问控制；运行安全：基础设施的可靠性，安全监测。/sundae_meng访问控制用于限定对网络的使用，包括对某个用户进行访问控制；和对某个资源进行访问控制。端系统访问控制自主访问控制强制访问控制基于角色的访问控制政策网络的访问控制：防火墙技术/sundae_meng构建安全的网络/sundae_meng构建安全的网络明确安全需求制定安全政策在边界建立符合安全政策的防火墙体系划分内部的安全政策域对特定的主机节点进行加固使用合理的访问控制政策、鉴别机制和数据安全体制建立有效的可承受的监测体制/sundae_meng明确安全需求不同的网络安全需求是不同的安全需求是建立安全政策的基础例如校园网可以有：保证网络的可用：路由器不瘫痪、邮件发送正常等等保证网络用户使用的可管理防止出现异常的流量导致异常的费用防止对核心服务器的攻击，以保护学校的声望对学校某学生的机器不特别关心，除非他报案/sundae_meng制定安全政策根据安全需求制定安全政策安全政策可以是形式化的，也可以是口语化的安全政策表示的是什么是允许的什么是不允许的例如(可以不用书面定义，可以包括所采用的技术手段的种类)：在边界使用防火墙，允许内部注册用户的对外访问，禁止随意的对内部访问等内部开发网段使用SSH作为数据安全手段鉴别采用口令认证的方式/sundae_meng在边界建立符合安全政策的防火墙体系Internet路由器防火墙WWW、SMTPProxy内部用户DMZ/sundae_meng划分内部的安全政策域例如某公司可以划为：用户上网域、服务器域、开发域等Internet路由器WWW、SMTP内部开发区服务器域(DMZ)用户上网区

服务器 开发服务器 禁止开发禁止(允许FTP)/sundae_meng对特定的主机节点进行加固对特殊位置的主机必须进行加固如上例WWW服务器和Mail服务器对于内部开发服务器也需要加固可以制定一定的制度，要求内部员工也对各自的主机进行加固/sundae_meng使用合理的访问控制、鉴别机制和数据安全体制建立授权访问控制的政策，例如：哪些人可以访问哪些信息、权限如何等选择内部或外部使用的鉴别机制，例如口令机制、证书、LDAP、NIS选择使用或不使用数据安全体制，使用哪种数据安全体制，例如CA、KDC。如采用Kerberos(KDC)/sundae_meng建立有效的可承受的监测体制使用不使用安全监测系统基于网络还是基于主机的安全监测系统例如：在边界上使用基于网络的入侵检测系统在服务器上使用基于主机的安全状态检查系统等等/sundae_meng总结计算机安全是指对计算机硬件、软件和数据的保护网络安全是成体系的网络边界的管理常常使用防火墙体系信息安全依靠数据安全体系保障安全监测体系可以用于发现系统漏洞和入侵行为根据安全需求和安全政策建立相对安全的网络/sundae_meng常见攻击介绍针对网络的攻击拒绝服务攻击（DenyofService)针对主机的攻击缓冲区溢出攻击（bufferoverflow)后门和木马(backdoor&Trojan)蠕虫、病毒/sundae_meng网络入侵的步骤(简单服务失效攻击)获取目标系统信息从远程获取系统的部分权利从远程获取系统的特权清除痕迹留后门破坏系统/sundae_meng常见网络攻击

－－DoS消耗有限资源网络链接带宽消耗其他资源处理时间磁盘空间账号封锁配置信息的改变/sundae_mengDoS分类Synflood其他flood（smurf等）分布式DoS(DDoS)/sundae_mengSynflood攻击原理攻击TCP协议的实现攻击者不完成TCP的三次握手服务器显示TCP半开状态的数目与带宽无关通常使用假冒的源地址给追查带来很大的困难/sundae_mengTCPThree-WayHandshakeSYNClientwishestoestablishconnectionSYN-ACKServeragreestoconnectionrequestACKClientfinisheshandshakeClientinitiatesrequestConnectionisnow

half-openClientconnectionEstablishedServerconnectionEstablishedClientconnectingtoaTCPport/sundae_mengSYNFloodIllustratedClientspoofsrequesthalf-openShalf-openShalf-openSQueuefilledSQueuefilledSQueuefilledSSASASAClientSYNFlood/sundae_mengSynflood攻击实例服务器很容易遭到该种攻击南邮“紫金飞鸿”曾遭受该攻击的困扰/sundae_mengSYNFloodProtectionCiscoroutersTCP截取截取SYN报文，转发到server建链成功后在恢复client与server的联系CheckpointFirewall-1SYNDefender与Cisco路由器的工作原理累死攻击者依然可以成功耗尽路由器或者防火墙的资源/sundae_mengTCPInterceptIllustratedRequestconnectionAnswersforserverSSAFinisheshandshakeARequestconnectionServeranswersSSAFinisheshandshakeAKnithalfconnections/sundae_mengSYNFloodPrevention增加监听队列长度依赖与操作系统的实现将超时设短半开链接能快速被淘汰有可能影响正常使用采用对该攻击不敏感的操作系统BSDWindows/sundae_mengSmurf攻击原理一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复。以网络地址为目标地址发送ICMO应答请求报文，其中很多主机会作出应答。攻击者将ICMP报文源地址填成受害主机，那么应答报文会到达受害主机处，造成网络拥塞。/sundae_mengSmurfAttackIllustratedICMPEchoRequestSrc:targetDest:55AttackerspoofsaddressAmplifier:

Everyhostreplies/sundae_mengSmurf攻击的预防关闭外部路由器或防火墙的广播地址特性；防止目标地址为广播地址的ICMP报文穿入。成为smurf攻击的目标，需要在上级网络设备上做报文过滤。/sundae_meng分布式DoS(DistributedDOS)从多个源点发起攻击堵塞一个源点不影响攻击的发生采用攻击二级结构攻击控制用的称为handlers发起攻击用的agents攻击目标为targets/sundae_mengDDOSIllustratedClientAgentHandlerAgentAgentHandlerAgentAgentAgent/sundae_mengDDoS攻击目前没有很好的预防方法DDoS攻击开销巨大但是一般主机不可能成为DDoS的目标Yahoo曾经遭受过DDoS攻击Sadmind/unicode蠕虫为DDoS做准备/sundae_meng针对主机的攻击缓冲区溢出后门和木马蠕虫、病毒/sundae_meng缓冲区溢出程序收到的参数比预计的长程序的栈结构产生混乱任意输入会导致服务器不能正常工作精心设计的输入会导致服务器程序执行任意指令/sundae_mengBufferOverflowIllustratedmain(){

show(“THISIS

MORETHAN24CHARACTERS!”);}show(char*p){strbuff[24];

strcpy(strbuf,p);}Stackmain()datamain()returnSavedregisterShow()data

Strbuf

24bytes

strcpy()returnERS!

THIS

.IS.MORE

.THA

N.24

.CHARACT

>

>

>

>

>Returnaddresscorrupt/sundae_meng缓冲区溢出的预防联系供应商下载和安装相关的补丁程序如果有源代码自己修改源代码，编译安装/sundae_meng后门和木马应用背景：攻入系统之后，为以后方便、隐蔽的进入系统，有时候攻击者会在系统预留后门。Trojanhorse:Aprogramthatappearstoserveonepurpose,butitrealityperformsanunrelated(andoftenmalicious)task./sundae_meng后门、木马技术

－－获得系统控制权之后，可以做什么？修改系统配置修改文件系统添加系统服务后门技术通常采用以上的手段或其组合。/sundae_meng后门、木马的检测和预防MD5基线给干净系统文件做MD5校验定时做当前系统的MD5校验，并做比对入侵检测系统后门活动有一定的规律安装入侵检测系统，一定程度上能够发现后门从CD-ROM启动防止后门隐藏在引导区中/sundae_meng蠕虫能够自行扩散的网络攻击程序各种攻击手段的组合有时候为DDoS做攻击准备具体问题具体分析/sundae_meng一个蠕虫实例第一步，随机生成IP作为二级受害主机的超集，对这些IP所在的C类网段的111口进行横向扫描（检测是否存在rpc服务），保存结果，获得存在rpc服务的主机集合；第二步，对上述存在rpc服务的主机，检测是否运行sadmind服务，保存检测结果，获得存在sadmind服务的主机集合，即二级受害主机集合一；第三步，对二级受害主机集一以轮询方式尝试sadmind栈溢出攻击；/sundae_meng蠕虫实例（续上）第四步，检查栈溢出攻击是否成功。如果成功则进行第五步（扩散攻击系统）否则跳第九步（进行另一种攻击尝试）；第五步，sadmind栈溢出攻击成功后，攻击程序可以通过登录二级受害主机的600口获得一个具有超级用户权限的shell。攻击程序利用这个shell，添加二级受害主机对一级受害主机的信任关系，使一级受害主机可以执行二级受害主机的远程shell指令。/sundae_meng一个蠕虫实例（续上）第六步，一级受害主机将攻击代码上载至二级受害主机，设置二级受害主机的攻击环境，修改系统启动文件并且消除入侵痕迹。第七步，一级受害主机远程启动二级受害主机的攻击进程。由于在第六步中，一级受害主机设置了二级受害主机的攻击环境、修改了系统配置，因此，二级受害主机不能通过重新启动系统阻止CUC攻击的扩散。这样，二级受害主机迅速完成了从受害者到“帮凶”的角色转换。/sundae_meng一个蠕虫实例（续上）第八步，一级受害主机发现它作为攻击者已经成功的感染了一定数量的主机（目前已发现版本的数量为2000）后，允许自身暴露。第九步，随机生成IP作为二级受害主机的超集，对这些IP所在的C类网段的80口进行横向扫描（检测是否为WWW服务器），保存结果，获得存在WWW服务的主机集合（即二级受害主机集合二）；第十步，对二级受害主机集合尝试UNICODE攻击（该攻击针对WindowsNT系列系统），试图修改其主页。

/sundae_meng攻击示意图/sundae_mengUNIX简史/sundae_mengUNIX安全管理基本原则好的安全管理起始于安全规划危险评估哪些需要被保护？他们有多大的价值？要使他抵御什么样的危险？怎样来保护？/sundae_mengUNIX安全管理基本原则（续上）成本收益分析用户培训了解社会工程管理员素质培养遵守安全守则/sundae_meng安全的主机（UNIX）主机的安全配置配置管理服务裁剪主机的安全管理日常安全管理系统审计常用工具介绍/sundae_mengUNIX的安全配置帐号管理文件系统的管理服务管理/sundae_meng一个UNIX防御模型/sundae_mengUNIX帐号管理侵入系统最简洁的方式是获得系统帐号选择安全的口令最安全的口令是完全随机的由字母、数字、标点、特殊字符组成选择的口令要经得住两层攻击依据个人信息猜测用口令猜测程序猜测/sundae_mengUNIX帐号管理（续上）口令禁忌不要选择字典中的单词不要选择简单字母组合（abcdef等）不要选择任何指明个人信息的口令不要选择包含用户名的口令尽量不要短于6个字符不要选择全大写或者全小写的组合/sundae_mengUNIX帐号管理（续上）好的口令不能短于6个字符选择包含非字母字符的口令选择一个容易记住而不必写下来的口令选择一个易于输入的口令口令不能落纸关闭不必要的帐号/sundae_mengUNIX文件系统安全定义用户安全级别系统文件的访问控制重要数据的备份和加密存放重要数据一定要做分机备份外部可访问主机的重要数据需要加密存放/sundae_mengUNIX文件系统安全Webserver学生资料库internet/sundae_mengUNIX启动过程UNIX启动（Redhat6.0Linux2.2.19forAlpha/AXP）BootloaderKernel引导入口核心数据结构初始化--内核引导第一部分外设初始化--内核引导第二部分init进程和inittab引导指令rc启动脚本getty和loginbash/sundae_mengUNIX服务配置基本原则尽量关闭不必要的服务服务越多，被攻入的可能性越大服务裁剪参考UNIX的启动过程减弱inetd的能力消弱cron中定时启动的服务/sundae_meng服务裁剪－－linux把/etc/inetd.conf中的大部分服务都注释掉，仅仅保留所需要的部分服务。

在该配置文件中没有不可以注释的部分。在一般情况下可以保留telnet、FTP，以及其它该服务器所提供的特殊服务，如DNS服务器的named等等

注释方法为：在不使用的服务前加‘#’/sundae_meng服务裁剪－－linux（cont.）需要注意：Linux自身携带的FTPd在许多版本中有安全漏洞。

reboot系统

Linux各版本内核注释方法基本相同。

/sundae_meng服务裁剪－－linux（cont.）超级用户(root)直接使用命令：

linuxconf选择Control(ControlPanel)

Controlserviceactivity仅保留以下服务：inet,keytable,kudzu,linuxconf(即该配置界面)，network,syslog。

此外，部分Linux也可以在控制台上使用setup命令进行配置。如果可以使用setup则linuxconf服务建议关闭。

/sundae_meng服务裁剪－－Solaris为了系统安全，尽量减少系统对外提供的服务，使系统服务最小化。编辑/etc/inetd.conf文件，注释调所有不需要的服务(在注释行开始加入’#’)。其中可以被注释的一些比较有代表性的服务有：shell,login,exec,talk,combat,uucp,tftp,finger,netstat,ruserd,sprayd,walld,rstatd,cmsd,ttdbserverd等等，可以仅保留需要使用的telnet、FTP、DNS(d)等等。需要特别注意Solaris系统自身携带的DNS(d)、FTP、POP、IMAP等主要服务均有问题。/sundae_meng服务裁剪－－Solaris(续)

注释掉服务后重新启动inetdPs–ef|grepinetd获得inetd的进程号Kill–9processid杀死inetd进程/usr/sbin/inetd-s重新启动inetdSunOS5.7与上面类似上述服务中，只保留必须的服务，并且务必保证运行服务的版本的及时更新。/sundae_meng服务裁剪－－Solaris(续)通过注释掉不必要的RC程序，可以使某些服务不启动。对于Solaris系统而言，可以在非MAIL服务器上注释掉sendmail服务；可以在不需要使用NFS的环境下注释掉statd服务和automountd服务；/sundae_meng服务裁剪－－Solaris(续)注释的方法为：进入/etc目录，在rc0.d到rc6.d的各个目录中，利用grep命令搜索自己关心的服务发现启动的文件后，把该文件移走即可。为了防止将来需要使用该文件建议使用如下方法：在/etc目录下建立rcbackuprc目录，对文件做备份具体资料见附件/sundae_mengUNIX主机的安全管理日常管理原则系统审计常用管理工具介绍/sundae_meng日常管理原则管理员必须对主机全权管理必须是管理员管理管理员必须管理管理员必须定期审计主机系统软件的安装必须进行授权超级用户的控制原则上只有管理员和备份管理员有超级用户口令超户的扩散必须有足够的理由/sundae_meng系统审计日常审计系统进程检查系统服务端口检查系统日志检查针对性审计怀疑发生攻击后，对系统进行针对性审计针对具体怀疑情况，具体操作。/sundae_meng日常审计系统进程检查ps–ef|more(solaris)ps–ax|more(linux)系统管理员应该清楚系统应该启动哪些进程/sundae_meng日常审计－－系统进程/sundae_meng服务器端口检查netstat–a列出所有活动端口管理员应该熟知所管理系统应该活动的端口发现异常端口活动，那么这个系统的可靠性值得怀疑/sundae_meng日志检查系统日志位置/var/adm/messages.*(solaris)/var/log/messages.*(linux)日志的生成syslogdminilogd/sundae_meng日志检查记录重要的系统事件是系统安全的一个重要因素使用wtmp/utmp文件的连接时间日志使用acct和pacct文件的进程统计经过syslogd实施的错误日志日志为两个重要功能提供数据：审计和监测/sundae_meng日志检查日志使用户对自己的行为负责日志能够帮助检测日志最重要的功能使制止日志文件本身易被攻击/sundae_meng日志检查日志是否缺失？日志是否异常缺失是否有段错误登录失败记录其他异常情况/sundae_meng一个例子/sundae_meng第二个例子/sundae_meng日志检查应用程序日志mail－maillog(或syslog)ftp－xferlog存放在Linux在相同的目录下Apacheaccess_log和error_log帐号相关日志lastlog－last命令sulog(solaris)/sundae_meng一种日常系统审计的方法见附件－系统检查流程/sundae_meng针对性审计针对流行蠕虫的审计参考当前流行蠕虫的行为和表现，对系统进行检查。例如：Cinikworm。/announce/show.php?handle=42/sundae_meng针对性审计缓冲区攻击漏洞检查系统中是否有core文件如果有，检查core文件是由哪个可执行码生成的。（filecore)上网查询怀疑被缓冲区溢出的服务是否存在漏洞，并且将特征进行比对。安全专家还可以对core文件进行观察和调试/sundae_meng针对性审计后门和木马的检测对系统命令做MD5校验，与干净系统的MD5校验和进行比对login文件in.telnetd文件ls,du,dk,find等常用命令/sundae_meng针对性审计后门和木马的检测（续上）观察系统配置和系统服务是否正常inetd.conf是否被修改过？cron的配置文件是否被修改过？rc.d系列有没有被修改过inetd.conf中启动的服务可执行码是否被修改过/sundae_mengUNIX常用工具介绍日志工具综述Chklastlog:该工具通过检查/var/adm/lastlog和/var/adm/wtmp之间的不一致性来删除信息。程序找出记录在wtmp中，而在lastlog中没有的用户登录ID。下载参见：/pub/tools/unix/chklastlog通过搜索引擎搜索，关键字chklastlog/sundae_mengUNIX常用工具介绍日志检查工具Logcheck检查日志文件中违反安全或不正常的活动，并用电子邮件发送警告的信息。可以通过设定关键字来报告需要查找的事件可以通过设定关键字来报告它所忽略的事件下载参见：/abacus/logcheck通过搜索引擎检索/sundae_mengUNIX常用工具介绍日志检查工具Swatch能够方便的处理种类繁多的日志事件有效的减轻管理员的负担支持用户自定义的检索模式很有效，被使用过的日志检查工具通过搜索引擎检测能够获得下载地址/sundae_mengUNIX常用工具介绍弱点发现工具基于主机的弱点发现工具系统配置错误不安全的权限设置所有用户可写的文件SUID/SGID文件crontab条目Sendmail和ftp的设置脆弱的口令和空口令系统的文件改动/sundae_mengUNIX常用工具介绍常见工具cops,tiger,tara不论使用什么工具，用户都应该定期（对重要的主机，每天）进行弱点测试下列情况下需要测试：安全一个新系统怀疑收到了入侵确定收到了入侵应该不定期测试，以防止攻击者发现了时间安排而进行工具/sundae_mengUNIX常用工具Cops/pub/tools/unix/cops/1.04/Tara通过搜索引擎检索下载/sundae_mengUNIX常用工具介绍基于网络的弱点发现工具扫描器漏洞扫描：检测系统服务的漏洞网络扫描：检测网络的可用性，主机的可达性网络监测设备/sundae_mengUNIX常用工具介绍漏洞扫描器SATANSAINTNESSUSInternetSecurityScanner(ISS)端口扫描工具NMAP/sundae_mengUNIX常用工具介绍端系统扫描（以saint为例）一个综合的网络安全检查工具

最简单工作模式

高级模式

命令行工作模式基于Web工作模式（client/server模式）扫描器使用的访问控制/sundae_mengSAINT的使用－－启动/sundae_mengSAINT的使用－－运行/sundae_mengSAINT的使用－－/sundae_mengUNIX常用工具扫描器使用警告不要在一个远程系统或那些在管理范围外且没有权限的系统上运行网络扫描工具未授权的网络和主机扫描会花费精力、资源和职业声誉在进行系统搜索前，务必获得许可/sundae_mengUNIX常用工具介绍漏洞扫描器的获得一般通过搜索引擎可以获得Saint:/saint/Satan:/satan/Nessus:/ISS://sundae_mengUNIX常用工具介绍报文监听工具Tcpdump(linux)Snoop(solaris)报文监听工具的使用见实例通常可以通过man页来查看使用方法/sundae_mengUNIX常用工具报文监听工具一般可以支持指定网络设备监听指定源、宿地址监听（包括IP和网络号）指定源宿端口监听指定网络协议监听……/sundae_meng网络监测/sundae_meng网络安全监测基于网络的安全漏洞扫描基于网络的安全事件监察基于主机的安全漏洞检查基于主机的安全状态检查基于主机的安全监察基于主机的安全事件记录陷井/sundae_meng入侵检测系统(IDS)入侵检测的定义:对于任何试图穿越被保护的安全边界的识别。系统可以通告不同的机制检测入侵企图。

嗅包器、照相机、热感应器。/sundae_meng入侵检测系统的类型实时日志监测器记录日志条目中的特殊事件近似于实时响应实时网络传输监测器记录网络传输中的特殊事件实时响应事后的日志分析器检查事先建立的日志信息不能够实时响应/sundae_meng入侵检测系统的使用攻击识别事件响应政策检验政策加强/sundae_meng入侵检测系统的响应被动响应:不直接的针对入侵者采取行动。主动响应:直接保护被入侵的目标采取行动。/sundae_meng被动响应忽略记录日志额外日志通知/sundae_meng主动响应切断(连接、会话、进程)网络重配置还击欺骗/sundae_meng不同响应方式的优点被动响应方式不会影响合法的传输记录日志方式可以收集合法过程的证据主动响应可以及时保护目标系统主动响应方式可以减少管理员的工作强度/sundae_meng不同响应方式的缺点被动响应方式可能会允许入侵者进一步获取系统的访问权限通知方式可能导致管理员工作量过大切断方式可能影响合法用户的使用还击可能影响无辜的系统，从而导致该系统采取针对你的合法行为欺骗是困难的/sundae_meng入侵检测系统的政策定义入侵检测系统的目标确定监视的内容和位置选择响应设置坎值实现政策/sundae_meng漏报和误报误报(falsepositive)漏报(falsenegative)/sundae_meng设置坎值用户经验网络速率预期的网络连接管理员的安全工作强度感应器的敏感度安全程序的效率存在的漏洞系统信息的敏感程度误报的后果漏报的后果/sundae_meng入侵检测系统举例监视Internet入口服务器保护事件响应/sundae_meng监视Internet入口系统目标：系统用户可以访问色情站点以外的所有站点；系统外部用户只能够访问内部分WWW、SMTP服务器。监视器的位置：防火墙内外各一个实时网络传输监视器；Proxy一个日志分析器。监视内容：网络传输监视器忽略向外的主要服务和向内的WWW、SMTP流量，捕捉企图流量；日志分析器捕捉非法站点。响应：记录日志。网络传输的监视器还可以切断连接或重配防火墙；日志分析器也可以通知用户。/sundae_meng监视Internet入口Internet路由器网络监视器防火墙WWW、SMTPProxy日志分析器内部用户/sundae_meng服务器保护系统目标：保护内部网络的服务器，防止内部攻击。仅允许HTTP访问。监视器的位置：在服务器网段设置一个实时网络传输监视器。监视内容：记录所有网络流量，在HTTP流量中分析攻击特征；其它流量均记录。响应：记录所有非HTTP流量的日志。切断HTTP攻击的连接，也可以重新进行网络路由等配置。/sundae_meng服务器保护Internet路由器网络监视器防火墙各种服务器/sundae_meng事件响应系统目标：对入侵自动响应，尽量获取攻击的信息，系统中有一个陷井。监视器的位置：在网络的入口设置一个实时网络传输监视器，在陷井中设置一个实时日志监视器。监视内容：网络传输监视器记录所有网络流量，分析攻击特征；日志记录器记录陷井中的日志。响应：记录攻击模式的流量，把攻击引向陷井，并且通知管理员。/sundae_meng事件响应Internet路由器网络监视器防火墙陷井服务器陷井的日志监视器/sundae_meng总结网络安全监测是网络安全的体系之一。入侵检测系统是网络安全监测中的部分功能。包括入侵检测在内的各种技术手段的采用都是由安全需求和安全政策所决定。其它相关领域(如：安全信息表示、分布协同、事件处理等等)/sundae_meng事故处理/sundae_meng事故处理的过程A.在着手处理事故之前B.夺回控制权C.分析入侵D.与相关的CSIRT和其他站点联系E.从入侵中恢复F.提高你系统和网络的安全性G.重新连上因特网H.更新你的安全策略/sundae_meng着手处理事故之前对照你的安全策略如果你还没有安全策略请教管理层请教律师联系法律强制代理(FBI)通知机构里的其他人记录下恢复过程中采取的所有步骤记录下恢复过程中采取的所有步骤有助于防止草率的决定,这些记录在未来还有参考价值.这对法律调查来说也是很有用的./sundae_meng夺回控制权将遭受入侵的系统从网络上断开为了夺回控制权,可能需要从网络上(包括拨号连接)断开所有的遭受入侵的机器.之后可以在UNIX的单用户模式下或NT的本地管理员状态下操作,确保拥有对机器的完全控制权;然而,通过重启动或切换到单用户/本地管理员模式,可能会丢失一些有用的信息./sundae_meng夺回控制权（续上）复制遭受入侵系统的镜象在分析入侵之前,我们推荐建立一个系统的当前备份.这可以提供入侵被发现时刻文件系统的快照.将来这个备份或许用的上.例如UNIX的dd命令/sundae_meng夺回控制权？Lock-invs.Lock-outLock-in：使攻击者保持活动Lock-out：夺回控制权取证原则在有的情况下也要求Lock-in的处理方式因此，夺回控制权不适用于全部情况/sundae_meng分析入侵查看系统软件和配置文件的更改查看数据的更改查看入侵者留下的工具和数据检查日志文件/sundae_meng分析入侵查看是否有sniffer检查网络中的其他系统检查与遭受入侵系统有关或受到影响的远程主机/sundae_meng查看系统软件和配置文件的更改校验所有的系统二进制和配置文件操作系统的内核本身也可能被更改.因此,建议从一个可信内核启动并且使用一个干净工具来分析入侵活动需要检查的内容：木马程序配置文件/sundae_meng查看数据的更改查看数据的更改Web页面ftp文挡用户主目录中的文件系统上的其他数据文件/sundae_meng入侵者留下的工具和数据查看入侵者留下的工具和数据NetworkSniffersTrojanHorseProgramsBackdoorsVulnerabilityExploitsOtherIntruderTools探测系统漏洞的工具发起大范围探测其他站点的工具发起拒绝服务攻击的工具使用计算机和网络资源的工具/sundae_meng检查日志文件NTIIS的日志文件c:\winnt\system32\logfilesUNIX的日志文件messagesxferlogutmpwtmpsecure/sundae_meng查看是否有网络sniffer入侵者可以在UNIX系统上暗地里安装一个网络监视程序,通常称为sniffer(orpacketsniffer),用于捕获用户账号和密码信息.对于NT系统,为达到相同目的,通常更多地使用远程管理程序在UNIX上网卡会进入promisc状态或debug状态，可以使用的命令有：ifconfigifstatuscpm/sundae_meng检查网络中的其他系统在要检查的系统中应该包括与被入侵系统有网络服务(NFS或NIS)联系的系统或者通过某种信任方式(hosts.equiv.rhosts,或者Kerberos服务器)联系的系统以及有其它较密切联