《第10章-网络攻防与入侵检测.ppt》由会员分享,可在线阅读,更多相关《第10章-网络攻防与入侵检测.ppt(65页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学习目标l了解黑客与网络攻击的基础知识;了解黑客与网络攻击的基础知识;l掌握口令攻击、端口扫描、缓冲区溢出、网络监掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害;听、特洛伊木马等攻击方式的原理、方法及危害;掌握入侵检测技术和入侵检测系统原理掌握入侵检测技术和入侵检测系统原理l能够识别和防范各类攻击,能够使用入侵检测工能够识别和防范各类攻击,能够使用入侵检测工具检测入侵行为。具检测入侵行为。110.1密钥管理l10.1.1关于黑客l10.1.2黑客攻击的步骤l10.1.3网络入侵的对象l10.1.4主要的攻击方法l10.1.5攻击的新趋势210.1.1关于黑
2、客黑客(hacker)l源于20世纪50年代麻省理工学院l独立思考、奉公守法的计算机迷骇客(Cracker)l怀不良企图,l非法侵入他人系统进行偷窥、破坏活动的人310.1.2黑客攻击的步骤1收集信息lPing程序:可以测试一个主机是否处于活动状态、到达主机的时间等。lTracert程序:可以用该程序来获取到达某一主机经过的网络及路由器的列表。lFinger协议:可以用来取得某一主机上所有用户的详细信息。lDNS服务器:该服务器提供了系统中可以访问的主机的IP地址和主机名列表。lSNMP协议:可以查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其它内部细节。lWhois协议:该
3、协议的服务信息能提供所有有关的DNS域和相关的管理参数。410.1.2黑客攻击的步骤2探测系统安全弱点l利用“补丁”找到突破口用户没有及时地使用“补丁”程序,这就给了攻击者可趁之机。l利用扫描器发现安全漏洞扫描器可以对整个网络或子网进行扫描,寻找安全漏洞。l比较流行的扫描器:ISS(InternetSecurityScanner),SATAN(SecurityAdministratorToolForAnalyzingNetworks)等等。510.1.2黑客攻击的步骤3实施攻击(1)掩盖行迹,预留后门。攻击者潜入系统后,会尽量销毁可能留下的痕迹,并在受损害系统中找到新的漏洞或留下后门,以备下次
4、光顾时使用。(2)安装探测程序。攻击者退出去以后,探测软件仍可以窥探所在系统的活动,收集攻击者感兴趣的信息,如:用户名、账号、口令等,并源源不断地把这些秘密传给幕后的攻击者。(3)取得特权,扩大攻击范围。如果攻击者获得根用户或管理员的权限610.1.3网络入侵的对象3实施攻击(1)固有的安全漏洞协议的安全漏洞、弱口令、缓冲区溢出等(2)系统维护措施不完善的系统。系统进行了维护,对软件进行了更新或升级,路由器及防火墙的过滤规则。(3)缺乏良好安全体系的系统。建立有效的、多层次的防御体系710.1.4主要的攻击方法l1.获取口令获取口令l2放置特洛伊木马 l3WWW的欺骗技术l4电子邮件攻击l5网
5、络监听l6寻找系统漏洞810.1.5攻击的新趋势l1.攻击过程的自动化与攻击工具的快速更新l2攻击工具复杂化l3漏洞发现得更快l4渗透防火墙910.2口令攻击l10.2.1获取口令的一些方法l10.2.2设置安全的口令l10.2.3一次性口令1010.2.1获取口令的一些方法l(1)是通过网络监听非法得到用户口令l(2)口令的穷举攻击l(3)利用系统管理员的失误1110.2.2设置安全的口令l(1)口口令令的的选选择择:字字母母数数字字及及标标点点的的组组合合,如如:Ha,Ppy!和和w/(X,y)*;使使用用一一句句话话的的开开头头字字母母做做口口令令,如如:由由A fox jumps ov
6、er a lazy dog!产产生生口口令令:AfJoAld!。l(2)口口令令的的保保存存:记记住住、放放到到安安全全的的地地方方,加加密最好密最好。l(3)口口令令的的使使用用:输输入入口口令令不不要要让让别别人人看看到到;不要在不同的系统上使用同一口令;定期改变口令。不要在不同的系统上使用同一口令;定期改变口令。12(OTP,One-TimePassword)。l一个口令仅使用一次,能有效地抵制重放攻击lOTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生成的口令不相同。l口令列表,每次登录使用完一个口令后就将它从列表明中删除;l用户也可以使用IC卡或其他的硬件卡来存储用
7、户的秘密信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。1310.3扫描器10.3.1端口与服务10.3.2 端口扫描10.3.3 常用的扫描技术1410.3.1端口与服务l(1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。l(2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。l(3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这
8、些端口1510.3.2端口扫描l一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。l扫描器是检测远程或本地系统安全脆弱性的软件。l一般把扫描器分为三类:数据库安全扫描器、操作系统安全扫描器和网络安全扫描器,分别针对于网络服务、应用程序、网络设备、网络协议等。1610.3.3常用的扫描技术l(1)TCPconnect()扫描l(2)TCPSYN扫描l(3)TCPFIN扫描l(4)IP段扫描l(5)TCP反向ident扫描l(6)FTP返回攻击l(7)UDPICMP端口不能到达扫描l(8)ICMPecho扫描1710.4网络监听10.4.1网络监听
9、的原理10.4.2 网络监听工具及其作用10.4.3 如何发现和防范sniffer1810.4.1网络监听的原理l在正常情况下,网络接口读入数据帧,并检查数据帧帧头中的地址字段,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,否则就将这个帧丢弃。l对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,不管数据帧的目的地址是什么,所有的数据帧都将被交给上层协议软件处理。1910.4.2网络监听工具及其作用lNetXray、X-Scan、Sniffer、tcpdump、winpcap3.0等l拦截所有的正在网络上传送的数据,并且通过
10、相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局l网络监听对系统管理员是很重要的,系统管理员通过监听可以诊断出大量的不可见问题2010.4.3如何发现和防范snifferl网络通讯掉包率反常的高。l网络带宽将出现异常。l对于怀疑运行监听程序的主机,用正确的IP地址和错误的物理地址去PING,正常的机器不接受错误的物理地址,处于监听状态的机器能接受,这种方法依赖系统的IPSTACK,对有些系统可能行不通。l往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmpechodelay等方法)加以判断2110.4.3
11、如何发现和防范sniffer2对网络监听的防范措施l(1)从逻辑或物理上对网络分段其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。l(2)以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。l(3)使用加密技术数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。l(4)划分VLAN运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。2210.5IP欺骗l10.5.1IP欺骗的工作原理10.5.2 IP欺骗的防止2310.5.1IP欺骗的工作原理(1)使被信任主机丧
12、失工作能力)使被信任主机丧失工作能力 TCPSYN-Flood:lt1:Z(X)SYNBlZ(X)SYNBlZ(X)SYNBllt2:XSYN/ACK-BlXSYN/ACK-Bllt3:XRSTB2410.5.1IP欺骗的工作原理序列号猜测方法方法攻击者先与被攻击主机的一个端口建立起正常的连接。攻击者先与被攻击主机的一个端口建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发通常,这个过程被重复若干次,并将目标主机最后所发送的送的ISN(初始序列号)存储起来。攻击者还需要估计他(初始序列号)存储起来。攻击者还需要估计他的主机与被信任主机之间的的主机与被信任主机之间的RTT时间(往
13、返时间),这时间(往返时间),这个个RTT时间是通过多次统计平均求出的。时间是通过多次统计平均求出的。RTT对于估计对于估计下一个下一个ISN是非常重要的。一般每秒钟是非常重要的。一般每秒钟ISN增加增加128000,每次连接增加每次连接增加64000。现在就不难估计出。现在就不难估计出ISN的大小了,的大小了,它是它是128000乘以乘以RTT的一半,如果此时目标主机刚刚建的一半,如果此时目标主机刚刚建立过一个连接,那么再加上一个立过一个连接,那么再加上一个64000。2510.5.1IP欺骗的工作原理实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下:lt1:Z(B)SYNAlt2:BSY
14、N/ACKAlt3:Z(B)ACKAlt4:Z(B)PSHA2610.5.2IP欺骗的防止l(1)抛弃基于地址的信任策略l(2)进行包过滤l(3)使用加密方法l(4)使用随机化的初始序列号2710.6 拒绝服务拒绝服务l10.6.1什么是拒绝服务10.6.2 分布式拒绝服务2810.6.1 10.6.1 什么是拒绝服务什么是拒绝服务lDoS是DenialofService的简称,即拒绝服务。l拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其它用户提供服务的一种攻击方式。l拒绝服务攻击的结果可以降低系统资源的可用性,这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至
15、是系统管理员的时间。l最常见的DoS攻击有:带宽攻击带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。l2910.6.1 10.6.1 什么是拒绝服务什么是拒绝服务DoS攻击的基本过程3010.6.2 分布式拒绝服务lDDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,l一个比较完善的DDoS攻击体系分成三层31(1)攻击者)攻击者:攻击者所用的计算机是攻击主控台,可以
16、是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。(2)主控端:)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。(3)代理端)代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,由它向受害者主机实际发起攻击。10.6.2 分布式拒绝服务3210.7特洛伊木l10.7.1特洛伊木马简介10.7.2 木马的工作原理10.7.3 木马
17、的一般清除方法 3310.7.1特洛伊木马简介l木马是一种基于远程控制的黑客工具,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制被植入木马的机器。服务器端程序即是木马程序。l攻击者要通过木马攻击你的系统,要做的第一件事就是把木马的服务器端程序通过某种方式植入到用户的电脑里面。l木马具有隐蔽性和非授权性的特点3410.7.2木马的工作原理l1配置木马配置木马l2传播木马传播木马l3运行木马运行木马 l 4信息泄露信息泄露l 5建立连接建立连接 l 6远程控制远程控制 3510.7.3木马的一般清除方法l如果发现有木马存在,首先就是马上将计算机与网络断开,防止黑客通过网
18、络进行攻击。l然后编辑win.ini文件,将WINDOWS下面,“run=木马程序”或“load=木马程序”更改为“run=”和“load=”;l编辑system.ini文件,将BOOT下面的“shell=木马文件”,更改为:“shell=explorer.exe”;l在注册表中,先在“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序,l有时候还需注意的是:有的木马程序并不是直接将“HKEYLOCALMACHINESoftwareMicrosoftWindows Cu
19、rrentVersionRun”下的木马键值删除就行了,因为有的木马如:BladeRunner木马,如果你删除它,木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MSDOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。3610.8入侵检测概述l10.8.1概念10.8.2 IDS的任务和作用10.8.3入侵检测过程3710.8.1 概念概念l入侵检测(Intrusion Detection),顾名思义,即是对入侵行为的发觉。l它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被
20、攻击的迹象。l进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。l早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器,3810.8.2.IDS的任务和作用u监视、分析用户及系统活动;u对系统构造和弱点的审计;u识别和反应已知进攻的活动模式并向相关人士报警;u异常行为模式的统计分析;u评估重要系统和数据文件的完整性;u操作系统的审计跟踪管理,识别用户违反安全策略的行为。3910.8.310.8.3入侵检测过程入侵检测过程1.信息收集信息收集 (1)系统和网络日志文
21、件系统和网络日志文件 (2)目录和文件中的不期望的改变目录和文件中的不期望的改变 (3)程序执行中的不期望行为程序执行中的不期望行为 (4)物理形式的入侵信息物理形式的入侵信息 2.信号分析信号分析 (1)模式匹配:模式匹配:(2)统计分析统计分析 (3)完整性分析完整性分析 4010.8.310.8.3入侵检测过程入侵检测过程(1)模式匹配的方法:l模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。l这种分析方法也称为误用检测。l该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准
22、确率和效率都相当高。l该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。4110.8.310.8.3入侵检测过程入侵检测过程(2)统计分析的方法:l统统计计分分析析方方法法首首先先给给系系统统对对象象(如如用用户户、文文件件、目目录录和和设设备备等等)创创建建一一个个统统计计描描述述,统统计计正正常常使使用用时时的的一一些些测测量量属属性性(如如访访问问次次数数、操作失败次数和延时等)。操作失败次数和延时等)。l测测量量属属性性的的平平均均值值将将被被用用来来与与网网络络、系系统统的的行行为为进进行行比比较较,任任何何观观察值在正常值范围之
23、外时,就认为有入侵发生。察值在正常值范围之外时,就认为有入侵发生。l这这种种分分析析方方法法也也称称为为异异常常检检测测。例例如如,统统计计分分析析时时发发现现一一个个在在晚晚八八点点至至早早六六点点从从不不登登录录的的账账户户却却在在凌凌晨晨两两点点突突然然试试图图登登录录,系系统统认认为为该行为是异常行为。该行为是异常行为。l统统计计分分析析的的优优点点是是可可检检测测到到未未知知的的入入侵侵和和更更为为复复杂杂的的入入侵侵,缺缺点点是是误报、漏报率高,且不适应用户正常行为的突然改变。误报、漏报率高,且不适应用户正常行为的突然改变。l具具体体的的统统计计分分析析方方法法有有:基基于于专专家
24、家系系统统的的、基基于于模模型型推推理理的的和和基基于于神经网络的分析方法。神经网络的分析方法。4210.8.310.8.3入侵检测过程入侵检测过程(3)完整性分析的方法:l完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性的变化。l其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。l缺点是一般以批处理方式实现,不用于实时响应。l可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查4310.9入侵检测系统l10.9.1入侵检测系统的分类10.9.2基于主机的入侵检测系统 10.9.
25、3 基于网络的入侵检测系统 10.9.4 混合入侵检测4410.9.1入侵检测系统的分类1.按照入侵检测系统的数据来源划分按照入侵检测系统的数据来源划分(1)基于主机的入侵检测系统(2)基于网络的入侵检测系统(3)采用上述两种数据来源的分布式的入侵检测系统 2按照入侵检测系统采用的检测方法来分类按照入侵检测系统采用的检测方法来分类(1)基于行为的入侵检测系统:(2)基于模型推理的入侵检测系统:(3)采用两者混合检测的入侵检测系统:3按照入侵检测的时间的分类按照入侵检测的时间的分类(1)实时入侵检测系统:(2)事后入侵检测系统:4510.9.2 基于主机的入侵检测系统基于主机的入侵检测系统461
26、0.9.2 基于主机的入侵检测系统基于主机的入侵检测系统l这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。l若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。l特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面:一一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二二是不能通过分析主机审计记录来检测网络攻击。三三是IDS的运行或多或少影响服务器性能。四四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检
27、测到的攻击类型受到限制。4710.9.3 10.9.3 基于网络的入侵检测系统基于网络的入侵检测系统4810.9.3 10.9.3 基于网络的入侵检测系统基于网络的入侵检测系统基于网络的基于网络的IDS的优点是:的优点是:(1)服务器平台独立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。(2)配置简单:基于网络的IDS环境只需要一个普通的网络访问接口。(3)检测多种攻击:基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击,长于识别与网络低层操作有关的攻击。4910.9.410.9.4分布式入侵检测技术分布式入侵检测技术典型的入侵检测系统是一个统一集典型的入
28、侵检测系统是一个统一集中的代码块,它位于系统内核或中的代码块,它位于系统内核或内核之上,监控传送到内核的所内核之上,监控传送到内核的所有请求。但是,随着网络系统结有请求。但是,随着网络系统结构复杂化和大型化,系统的弱点构复杂化和大型化,系统的弱点或漏洞将趋于分布化。另外,入或漏洞将趋于分布化。另外,入侵行为不再是单一的行为,而是侵行为不再是单一的行为,而是表现出相互协作的入侵特点,在表现出相互协作的入侵特点,在这种背景下,产生了基于分布式这种背景下,产生了基于分布式的入侵检测系统的入侵检测系统。50 基基于于分分布布式式系系统统的的IDS结结构构 10.9.4 分布式入侵检测技术分布式入侵检测
29、技术5110.10.1 ISS BlackICElBlackICEServerProtection软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。l该软件在九九年曾获得了PCMagazine的技术卓越大奖。lBlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的保护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。5210.10.1 ISS BlackICEBlackICE主界面5310.10.1 ISS BlackICEl事件信息5410.10.1 ISS BlackICEl事件
30、和流量历史5510.10.1 ISS BlackICElBlaceICE设置窗口5610.10.1 ISS BlackICEl设置对应用程序的控制5710.10.1 ISS BlackICEl未知应用程序启动时的提示5810.10.1 ISS BlackICE设置防火墙规则5910.10.1 ISS BlackICEl应用程序保护高级设置6010.10.2ISSRealSecurelRealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案,它提供了分布式的安全体系结构。l多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。61启动管理端程序62启动网络探测头63菜单的VIEW下面的GloblResponse选项64应用规则检测文件65