《第10章-网络攻防与入侵检测优秀PPT.ppt》由会员分享,可在线阅读,更多相关《第10章-网络攻防与入侵检测优秀PPT.ppt(65页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学习目标l了解黑客与网络攻击的基础学问;了解黑客与网络攻击的基础学问;l驾驭口令攻击、端口扫描、缓冲区溢驾驭口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方出、网络监听、特洛伊木马等攻击方式的原理、方法及危害;驾驭入侵检式的原理、方法及危害;驾驭入侵检测技术和入侵检测系统原理测技术和入侵检测系统原理l能够识别和防范各类攻击,能够运用能够识别和防范各类攻击,能够运用入侵检测工具检测入侵行为。入侵检测工具检测入侵行为。110.1 密钥管理l10.1.1 关于黑客l10.1.2 黑客攻击的步骤l10.1.3 网络入侵的对象l10.1.4 主要的攻击方法l10.1.5 攻击的新趋势 210
2、.1.1 关于黑客黑客(hacker)源于20世纪50年头麻省理工学院独立思索、奉公遵守法律的计算机迷骇客(Cracker)怀不良企图,非法侵入他人系统进行偷窥、破坏活动的人 310.1.2 黑客攻击的步骤1收集信息Ping程序:可以测试一个主机是否处于活动状态、到达主机的时间等。Tracert程序:可以用该程序来获得到达某一主机经过的网络及路由器的列表。Finger协议:可以用来取得某一主机上全部用户的具体信息。DNS服务器:该服务器供应了系统中可以访问的主机的IP地址和主机名列表。SNMP协议:可以查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其它内部细微环节。Whois
3、协议:该协议的服务信息能供应全部有关的DNS域和相关的管理参数。410.1.2 黑客攻击的步骤2探测系统平安弱点利用“补丁”找到突破口 用户没有刚好地运用“补丁”程序,这就给了攻击者可趁之机。利用扫描器发觉平安漏洞 扫描器可以对整个网络或子网进行扫描,找寻平安漏洞。比较流行的扫描器:ISS(Internet Security Scanner),SATAN(Security Administrator Tool For Analyzing Networks)等等。510.1.2 黑客攻击的步骤3实施攻击(1)掩盖行迹,预留后门。攻击者潜入系统后,会尽量销毁可能留下的痕迹,并在受损害系统中找到新的
4、漏洞或留下后门,以备下次光顾时运用。(2)安装探测程序。攻击者退出去以后,探测软件仍可以窥探所在系统的活动,收集攻击者感爱好的信息,如:用户名、账号、口令等,并源源不断地把这些隐私传给幕后的攻击者。(3)取得特权,扩大攻击范围。假如攻击者获得根用户或管理员的权限 610.1.3 网络入侵的对象3实施攻击(1)固有的平安漏洞 协议的平安漏洞、弱口令、缓冲区溢出等(2)系统维护措施不完善的系统。系统进行了维护,对软件进行了更新或升级,路由器及防火墙的过滤规则。(3)缺乏良好平安体系的系统。建立有效的、多层次的防卫体系 710.1.4 主要的攻击方法l1.获得口令获得口令l2放置特洛伊木马放置特洛伊
5、木马 l3WWW的欺瞒技术的欺瞒技术l4电子邮件攻击电子邮件攻击l5网络监听网络监听l6找寻系统漏洞找寻系统漏洞810.1.5 攻击的新趋势l1.攻击过程的自动化与攻击工具的快速更新 l2攻击工具困难化 l3漏洞发觉得更快 l4渗透防火墙 910.2 口令攻击l10.2.1 获得口令的一些方法l10.2.2 设置平安的口令l10.2.3 一次性口令1010.2.1 获得口令的一些方法l(1)是通过网络监听非法得到用户口令 l(2)口令的穷举攻击 l(3)利用系统管理员的失误 1110.2.2 设置平安的口令l(1)口口令令的的选选择择:字字母母数数字字及及标标点点的的组组合合,如如:Ha,Pp
6、y!和和w/(X,y)*;运运用用一一句句话话的的开开头头字字母母做做口口令令,如如:由由A fox jumps over a lazy dog!产产生生口口令令:AfJoAld!。l(2)口口令令的的保保存存:记记住住、放放到到平平安安的的地地方,加密最好。方,加密最好。l(3)口口令令的的运运用用:输输入入口口令令不不要要让让别别人人看看到到;不不要要在在不不同同的的系系统统上上运运用用同同一一口口令令;定期变更口令。定期变更口令。12(OTP,One-Time Password)。一个口令仅运用一次,能有效地抵制重放攻击OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生
7、成的口令不相同。口令列表,每次登录运用完一个口令后就将它从列表明中删除;用户也可以运用IC卡或其他的硬件卡来存储用户的隐私信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。1310.3 扫描器10.3.1 端口与服务10.3.2 端口扫描10.3.3 常用的扫描技术1410.3.1 端口与服务l(1)公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明白某种服务的协议。例如:80端口事实上总是HTTP通讯。l(2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。l(3
8、)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务安排这些端口1510.3.2 端口扫描l一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到很多有用的信息。l扫描器是检测远程或本地系统平安脆弱性的软件。l一般把扫描器分为三类:数据库平安扫描器、操作系统平安扫描器和网络平安扫描器,分别针对于网络服务、应用程序、网络设备、网络协议等。1610.3.3 常用的扫描技术l(1)TCP connect()扫描 l(2)TCP SYN扫描 l(3)TCP FIN扫描 l(4)IP段扫描 l (5)
9、TCP反向ident扫描l(6)FTP返回攻击l(7)UDP ICMP端口不能到达扫描 l(8)ICMP echo扫描 1710.4 网络监听10.4.1 网络监听的原理10.4.2 网络监听工具及其作用10.4.3 如何发觉和防范sniffer1810.4.1 网络监听的原理l在正常状况下,网络接口读入数据帧,并检查数据帧帧头中的地址字段,假如数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,否则就将这个帧丢弃。l对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,不管数据帧的目的地址是什么,全部的数据帧都将被交给上层协议软件处理
10、。1910.4.2 网络监听工具及其作用lNetXray、X-Scan、Sniffer、tcpdump、winpcap 3.0等 l拦截全部的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局 l网络监听对系统管理员是很重要的,系统管理员通过监听可以诊断出大量的不行见问题 2010.4.3 如何发觉和防范snifferl网络通讯掉包率反常的高。l网络带宽将出现异样。l对于怀疑运行监听程序的主机,用正确的IP地址和错误的物理地址去PING,正常的机器不接受错误的物理地址,处于监听状态的机器能接受,这种方法依靠系统的IPSTACK,对有些系统
11、可能行不通。l 往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmp echo delay等方法)加以推断2110.4.3 如何发觉和防范sniffer2对网络监听的防范措施(1)从逻辑或物理上对网络分段 其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。(2)以交换式集线器代替共享式集线器 以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。(3)运用加密技术 数据经过加密后,通过监听仍旧可以得到传送的信息,但显示的是乱码。(4)划分VLAN 运用VLAN(虚拟局域网)技术,将以太网通
12、信变为点到点通信,可以防止大部分基于网络监听的入侵。2210.5 IP欺瞒l10.5.1 IP欺瞒的工作原理10.5.2 IP欺瞒的防止2310.5.1 IP欺瞒的工作原理(1)使被信任主机丢失工作实力)使被信任主机丢失工作实力 TCP SYN-Flood:t1:Z(X)SYN B Z(X)SYN B Z(X)SYN B t2:X SYN/ACK-B X SYN/ACK-B t3:X RST B2410.5.1 IP欺瞒的工作原理序列号揣测方法攻击者先与被攻击主机的一个端口建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最终所发送的ISN(初始序列号)存储起来。攻击者还须要估计他的主
13、机与被信任主机之间的RTT时间(来回时间),这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是特别重要的。一般每秒钟ISN增加128000,每次连接增加64000。现在就不难估计出ISN的大小了,它是128000乘以RTT的一半,假如此时目标主机刚刚建立过一个连接,那么再加上一个64000。2510.5.1 IP欺瞒的工作原理实施欺瞒Z伪装成A信任的主机B攻击目标A的过程如下:t1:Z(B)SYN At2:B SYN/ACK At3:Z(B)ACK At4:Z(B)PSH A2610.5.2 IP欺瞒的防止l(1)抛弃基于地址的信任策略 l(2)进行包过滤 l(3)运用加密方
14、法 l(4)运用随机化的初始序列号2710.6 拒绝服务拒绝服务l10.6.1 什么是拒绝服务10.6.2 分布式拒绝服务2810.6.1 10.6.1 什么是拒绝服务什么是拒绝服务lDoS是Denial of Service的简称,即拒绝服务。l拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其它用户供应服务的一种攻击方式。l拒绝服务攻击的结果可以降低系统资源的可用性,这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。l最常见的DoS攻击有:l 带宽攻击指以极大的通信量冲击网络,使得全部可用网络资源都被消耗殆尽,最终导致合法的用户恳求就无法通过
15、。l 连通性攻击指用大量的连接恳求冲击计算机,使得全部可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的恳求。l 2910.6.1 10.6.1 什么是拒绝服务什么是拒绝服务DoS攻击的基本过程3010.6.2 分布式拒绝服务lDDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,l一个比较完善的DDoS攻击体系分成三层31(1)攻击者:攻击者所用的计算机是攻击主控台,可以)攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个
16、攻击过程,它向主控端发送攻击吩咐。攻击者操纵整个攻击过程,它向主控端发送攻击吩咐。(2)主控端:主控端是攻击者非法侵入并限制的一些主)主控端:主控端是攻击者非法侵入并限制的一些主机,这些主机还分别限制大量的代理主机。主控端主机的机,这些主机还分别限制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些吩咐发送到代理主机上。特殊指令,并且可以把这些吩咐发送到代理主机上。(3)代理端:代理端同样也是攻击者侵入并限制的一批)代理端:代理端同样也是攻击者侵入并限制的一批主机,它们上面运行攻击器程序,接受
17、和运行主控端发来主机,它们上面运行攻击器程序,接受和运行主控端发来的吩咐。代理端主机是攻击的执行者,由它向受害者主机的吩咐。代理端主机是攻击的执行者,由它向受害者主机实际发起攻击。实际发起攻击。10.6.2 分布式拒绝服务3210.7 特洛伊木l10.7.1 特洛伊木马简介10.7.2 木马的工作原理10.7.3 木马的一般清除方法 3310.7.1 特洛伊木马简介l木马是一种基于远程限制的黑客工具,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程限制被植入木马的机器。服务器端程序即是木马程序。l攻击者要通过木马攻击你的系统,要做的第一件事就是把木马的服务器端程序通过某种
18、方式植入到用户的电脑里面。l木马具有隐藏性和非授权性的特点3410.7.2 木马的工作原理l1配置木马配置木马l2传播木马传播木马l3运行木马运行木马 l 4信息泄露信息泄露l 5建立连接建立连接 l 6远程限制远程限制 3510.7.3 木马的一般清除方法 l假如发觉有木马存在,首先就是立刻将计算机与网络断开,防止黑客通过网络进行攻击。l然后编辑win.ini文件,将WINDOWS下面,“run=木马程序”或“load=木马程序”更改为“run=”和“load=”;l编辑system.ini文件,将BOOT下面的“shell=木马文件”,更改为:“shell=explorer.exe”;l在
19、注册表中,先在“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到木马程序的文件名,再在整个注册表中搜寻并替换掉木马程序,l有时候还需留意的是:有的木马程序并不是干脆将“HKEYLOCALMACHINESoftwareMicrosoftWindows CurrentVersionRun”下的木马键值删除就行了,因为有的木马如:BladeRunner木马,假如你删除它,木马会马上自动加上,你须要的是登记木马的名字与书目,然后退回到MSDOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将全部木马文件的键值删除。
20、3610.8 入侵检测概述l10.8.1 概念10.8.2 IDS的任务和作用10.8.3入侵检测过程37 概念概念l入侵检测(Intrusion Detection),顾名思义,即是对入侵行为的发觉。l它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发觉网络或系统中是否有违反平安策略的行为和被攻击的迹象。l进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。l早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器,l 3810.8.2.IDS
21、的任务和作用 u 监视、分析用户及系统活动;u 对系统构造和弱点的审计;u识别和反应已知进攻的活动模式并向相关人士报警;u 异样行为模式的统计分析;u 评估重要系统和数据文件的完整性;u操作系统的审计跟踪管理,识别用户违反平安策略的行为。39入侵检测过程入侵检测过程1.信息收集信息收集 2.(1)系统和网络日志文件系统和网络日志文件 3.(2)书目和文件中的不期望的变更书目和文件中的不期望的变更 4.(3)程序执行中的不期望行为程序执行中的不期望行为 5.(4)物理形式的入侵信息物理形式的入侵信息 6.2.信号分析信号分析 7.(1)模式匹配:模式匹配:8.(2)统计分析统计分析 9.(3)完
22、整性分析完整性分析 40入侵检测过程入侵检测过程(1)模式匹配的方法:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发觉违反平安策略的行为。这种分析方法也称为误用检测。该方法的一大优点是只需收集相关的数据集合,显著削减系统负担,且技术已相当成熟。它与病毒防火墙接受的方法一样,检测精确率和效率都相当高。该方法存在的弱点是须要不断的升级模式库以应付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。41入侵检测过程入侵检测过程(2)统计分析的方法:统计分析方法首先给系统对象(如用户、文件、书目和设备等)创建一个统计描述,统计正常运用时的一些测量属性(如访问次数
23、、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何视察值在正常值范围之外时,就认为有入侵发生。这种分析方法也称为异样检测。例如,统计分析时发觉一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录,系统认为该行为是异样行为。统计分析的优点是可检测到未知的入侵和更为困难的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然变更。具体的统计分析方法有:基于专家系统的、基于模型推理的和基于神经网络的分析方法。42入侵检测过程入侵检测过程(3)完整性分析的方法:完整性分析主要关注某个文件或对象是否被更改,这常常包括文件和书目的内容及属性的变更。其优点是不管模式匹配
24、方法和统计分析方法能否发觉入侵,只要是成功的攻击导致了文件或其它对象的任何变更,它都能够发觉。缺点是一般以批处理方式实现,不用于实时响应。可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查4310.9 入侵检测系统l10.9.1 入侵检测系统的分类10.9.2基于主机的入侵检测系统 10.9.3 基于网络的入侵检测系统 10.9.4 混合入侵检测4410.9.1入侵检测系统的分类1.依据入侵检测系统的数据来源划分依据入侵检测系统的数据来源划分(1)基于主机的入侵检测系统)基于主机的入侵检测系统(2)基于网络的入侵检测系统)基于网络的入侵检测系统(3)接受上述两种数据来
25、源的分布式的入侵检测系统)接受上述两种数据来源的分布式的入侵检测系统 2依据入侵检测系统接受的检测方法来分类依据入侵检测系统接受的检测方法来分类(1)基于行为的入侵检测系统:)基于行为的入侵检测系统:(2)基于模型推理的入侵检测系统:)基于模型推理的入侵检测系统:(3)接受两者混合检测的入侵检测系统:)接受两者混合检测的入侵检测系统:3依据入侵检测的时间的分类依据入侵检测的时间的分类(1)实时入侵检测系统:)实时入侵检测系统:(2)事后入侵检测系统:)事后入侵检测系统:4510.9.2 基于主机的入侵检测系统基于主机的入侵检测系统4610.9.2 基于主机的入侵检测系统基于主机的入侵检测系统l
26、这种类型的系统依靠于审计数据或系统日志的精确性、完整性以及平安事务的定义。l若入侵者设法躲避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。l特殊是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络平安的需求。l 这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过运用某些系统特权或调用比审计本身更低级的操作来躲避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。4710.9.3 10.9.3 基于网
27、络的入侵检测系统基于网络的入侵检测系统4810.9.3 10.9.3 基于网络的入侵检测系统基于网络的入侵检测系统基于网络的基于网络的IDS的优点是:的优点是:(1)服服务务器器平平台台独独立立:基基于于网网络络的的IDS监监视视通通信信流流量量而而不不影响服务器平台的变更和更新。影响服务器平台的变更和更新。(2)配配置置简简洁洁:基基于于网网络络的的IDS环环境境只只须须要要一一个个一一般般的的网网络访问接口。络访问接口。(3)检检测测多多种种攻攻击击:基基于于网网络络的的IDS探探测测器器可可以以监监视视多多种种多多样样的的攻攻击击包包括括协协议议攻攻击击和和特特定定环环境境的的攻攻击击,
28、长长于于识识别别与网络低层操作有关的攻击。与网络低层操作有关的攻击。49分布式入侵检测技术分布式入侵检测技术典型的入侵检测系统是一个统一集典型的入侵检测系统是一个统一集中的代码块,它位于系统内核或中的代码块,它位于系统内核或内核之上,监控传送到内核的全内核之上,监控传送到内核的全部恳求。但是,随着网络系统结部恳求。但是,随着网络系统结构困难化和大型化,系统的弱点构困难化和大型化,系统的弱点或漏洞将趋于分布化。另外,入或漏洞将趋于分布化。另外,入侵行为不再是单一的行为,而是侵行为不再是单一的行为,而是表现出相互协作的入侵特点,在表现出相互协作的入侵特点,在这种背景下,产生了基于分布式这种背景下,
29、产生了基于分布式的入侵检测系统。的入侵检测系统。50 基基于于分分布布式式系系统统的的IDS结结构构 10.9.4 分布式入侵检测技术分布式入侵检测技术5110.10.1 ISS BlackICElBlackICE Server Protection 软件(以下简称BlackICE)是由ISS平安公司出品的一款著名的基于主机的入侵检测系统。l该软件在九九年曾获得了PC Magazine的技术卓越大奖。lBlackICE集成有特别强大的检测和分析引擎,可以识别多种入侵技巧,赐予用户全面的网络检测以及系统的爱护。而且该软件还具有灵敏度及精确率高,稳定性精彩,系统资源占用率极少的特点。5210.10
30、.1 ISS BlackICEBlackICE主界面5310.10.1 ISS BlackICEl 事务信息 5410.10.1 ISS BlackICEl事务和流量历史5510.10.1 ISS BlackICElBlaceICE设置窗口 5610.10.1 ISS BlackICEl设置对应用程序的限制 5710.10.1 ISS BlackICEl未知应用程序启动时的提示 5810.10.1 ISS BlackICE设置防火墙规则5910.10.1 ISS BlackICEl应用程序爱护高级设置 6010.10.2 ISS RealSecurelRealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案,它供应了分布式的平安体系结构。l多个检测引擎可以监控不同的网络并向中心管理限制台报告。限制台与引擎之间的通信可以通过128bit RSA进行认证和加密。61启动管理端程序 62启动网络探测头 63菜单的VIEW下面的Globl Response选项 64应用规则检测文件 65