系统攻击与入侵检测课件.ppt

《系统攻击与入侵检测课件.ppt》由会员分享，可在线阅读，更多相关《系统攻击与入侵检测课件.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、系统攻击与入侵检测第1页，此课件共48页哦本章学习目标：系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。本章应该掌握以下内容：入侵的概念几种系统攻击方法的原理入侵检测的原理入侵检测系统的组成及结构第2页，此课件共48页哦5.1 系统攻击概述系统攻击概述系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。5.1.1 黑客与入侵者黑客与入侵者HackerCracker,Intruder5.1.2系统攻击的三个阶段系统攻击的三个阶段（1）收集信息）收集信息（2）探测系统安全弱点）探测系统安全弱点（

2、3）实施攻击）实施攻击 第3页，此课件共48页哦5.1.3网络入侵的对象网络入侵的对象1.固有的安全漏洞固有的安全漏洞 2.系统维护措施不完善的系统系统维护措施不完善的系统 3缺乏良好安全体系的系统缺乏良好安全体系的系统第4页，此课件共48页哦5.2 系统攻击方法系统攻击方法5.2.1 口令攻击口令攻击1获取口令的一些方法获取口令的一些方法（1）是通过网络监听非法得到用户口令（2）口令的穷举攻击（3）利用系统管理员的失误第5页，此课件共48页哦5.2.1 口令攻击口令攻击2设置安全的口令设置安全的口令（1）口口令令的的选选择择：字字母母数数字字及及标标点点的的组组合合，如如：Ha,Ppy!和和

3、w/(X,y)*;使使用用一一句句话话的的开开头头字字母母做做口口令令，如如：由由A fox jumps over a lazy dog!产生口令：产生口令：AfJoAld!。（2）口令的保存：记住、放到安全的地方，加密最好。）口令的保存：记住、放到安全的地方，加密最好。（3）口口令令的的使使用用：输输入入口口令令不不要要让让别别人人看看到到；不不要要在在不不同同的的系系统统上上使使用同一口令；定期改变口令。用同一口令；定期改变口令。第6页，此课件共48页哦3一次性口令一次性口令（OTP，One-TimePassword）。所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取

4、系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。第7页，此课件共48页哦5.2.2 IP欺骗欺骗伪造某主机的伪造某主机的IP地址并实现与该目标主机的处于同一地址并实现与该目标主机的处于同一信用域内的其他主机之间的连接的技术。信用域内的其他主机之间的连接的技术。3个步骤：个

5、步骤：（1）使目标主机丧失工作能力。）使目标主机丧失工作能力。（2）采样目标主机发出的）采样目标主机发出的TCP序列号，猜测出它的后序列号，猜测出它的后续序列号续序列号（3）伪装成被信用主机，与目标主机建立起基于）伪装成被信用主机，与目标主机建立起基于IP地地址验证的应用连接。址验证的应用连接。第8页，此课件共48页哦建立TCP连接的3次握手客户机客户机服务器服务器SYN请求请求SYN/ACKACK第9页，此课件共48页哦SYN Flooding攻击攻击对对Windows NT攻击很有效攻击很有效使使用用一一个个伪伪装装的的地地址址向向目目标标计计算算机机发发送送连连接接请请求求叫叫做做IP欺

6、欺骗骗技技术术。当当目目标标计计算算机机收收到到这这样样的的请请求求后后，就就会会使使用用一一些些资资源源来来为为新新的的连连接接提提供供服服务务，接接着着回回复复请请求求一一个个肯肯定定答答复复（叫叫做做SYNACK）。由由于于SYNACK是是返返回回到到一一个个伪伪装装的的地地址址，没没有有任任何何响响应应。于于是是目目标标计计算算机机将将继继续续设设法法发发送送SYNACK。一一些些系系统统都都有有缺缺省省的的回回复复次次数数和和超超时时时时间间，只只有有回回复复一一定定的的次次量量、或或者者超超时时时时，占占用用的的资资源源才才会会释释放放。NT设设罢罢为为可回复可回复5次，每次等待时

7、间加倍：则：次，每次等待时间加倍：则：3+6+12+24+48+96=189S第10页，此课件共48页哦SYN-Flooding攻击示意图第11页，此课件共48页哦1IP欺骗的工作原理欺骗的工作原理（1）使被信任主机丧失工作能力）使被信任主机丧失工作能力 TCPSYN-Flood：t1:Z（X）SYNBZ（X）SYNBZ（X）SYNBt2:XSYN/ACK-BXSYN/ACK-Bt3:XRSTB第12页，此课件共48页哦（2）序列号猜测）序列号猜测方方法法如如下下：攻攻击击者者先先与与被被攻攻击击主主机机的的一一个个端端口口（SMTP是是一一个个很很好好的的选选择择）建建立立起起正正常常的的连

8、连接接。通通常常，这这个个过过程程被被重重复复若若干干次次，并并将将目目标标主主机机最最后后所所发发送送的的ISN（初初始始序序列列号号）存存储储起起来来。攻攻击击者者还还需需要要估估计计他他的的主主机机与与被被信信任任主主机机之之间间的的RTT时间（往返时间），这个时间（往返时间），这个RTT时间是通过多次统计平均求出的。时间是通过多次统计平均求出的。第13页，此课件共48页哦(3）实施欺骗Z伪装成A所信任的主机B攻击目标A的过程如下：t1:Z（B）SYNAt2:BSYN/ACKAt3:Z（B）ACKAt4:Z（B）PSHA第14页，此课件共48页哦2.IP欺骗的防止欺骗的防止（1）抛弃基于

9、地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号第15页，此课件共48页哦5.2.3 端口扫描端口扫描1端口与服务端口与服务许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如WWW、FTP、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为065535。守护进程在一个端口上监听，等待客户请求。第16页，此课件共48页哦2端口扫描端口扫描端口扫描是获取主机信息的一种常用方法。利用端口扫描

10、程序可以了解远程服务器提供的各种服务及其TCP端口分配，了解服务器的操作系统及目标网络结构等信息。作为系统管理员使用扫描工具，可以及时检查和发现自己系统存在的安全弱点和安全漏洞，是非很常用的网络管理工具，许多安全软件都提供扫描功能。端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。通过这种方法，还可以搜集到很多关于目标主机的各种有用的信息，比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用TELNET等等。端口扫描程序在网上很容易找到，因而许多人认为扫描工具是入侵工具中最危险的一类。第17页，此课件共48页哦5.2.4 网络监听网络监听网络监听可以监视网络的状态、数据流动情况以及网络上传

11、输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。第18页，此课件共48页哦1网络监听的原理网络监听的原理 以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据

12、帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。第19页，此课件共48页哦2网络监听工具及其作用网络监听工具及其作用嗅探器（sniffer）就是一种网络监听工具。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局,Sniffer实施的是一种消极的安全攻击，它们极其

13、安静地躲在某个主机上偷听别人的通信，具有极好隐蔽性。网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题，这些问题有些涉及两台或多台计算机之间的异常通讯，有些牵涉到各种协议的漏洞和缺陷。第20页，此课件共48页哦3如何发现如何发现sniffer通过下面的方法可以分析出网络上是否存在sniffer进行分析。网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包,

14、由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断。第21页，此课件共48页哦5.2.5 拒绝服务（拒绝服务（DoS）1什么是拒绝服务什么是拒绝服务拒绝服务攻击（DenialofService）是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，2拒绝服务攻击的方式拒绝服务攻击的方式（1）：信息数据包流量式：（2）：SYN-Flooding攻击:（3）：过载攻击:服务过载、进程过载攻击、系统过载攻击、磁盘过载攻击第22页，此课件共48页哦DoS攻击的基本过程

15、 第23页，此课件共48页哦3分布式拒绝服务（分布式拒绝服务（DDoS）DDoS（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，一个比较完善的DDoS攻击体系分成三层，如后图。（1）攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。第24页，此课件共48页哦（2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。（3）

16、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。第25页，此课件共48页哦DDoS攻击体系第26页，此课件共48页哦DDoS的主要攻击方式及防范策略 死亡之死亡之ping（ping of death）由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存

17、分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。第27页，此课件共48页哦5.2.6 缓冲区溢出缓冲区溢出缓冲区溢出是目前最为常见的安全漏洞，也是黑客利用最多的攻击漏洞。1缓冲区溢出的原理缓冲区溢出的原理在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会发生缓冲区溢出。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。危害危害：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统根用户的权限。第28页，此课件共48页哦例如下面一段简单的C程序：#include st

18、dio.h#include string.hvoid fuction(char*str)char buf10;gets(buf);strcat(str,buf);void main()char str20,str2;scanf(%s,str);scanf(%c,&str2);fuction(str);printf(%s,str);第29页，此课件共48页哦3缓冲区溢出的保护缓冲区溢出的保护目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：一是强制编写正确的代码的方法。二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。三是利用编译器的边界检查来实现缓冲区的保护。四是一种间接

19、的方法，该方法在程序指针失效前进行完整性检查。第30页，此课件共48页哦5.3 入侵检测入侵检测5.3.1 入侵检测概述入侵检测概述 入入侵侵检检测测（Intrusion Detection），顾顾名名思思义义，即即是是 对对入入侵侵行行为为的的发发觉觉。它它在在计计算算机机网网络络或或计计算算机机系系统统中中的的若若干干关关键键点点收收集集信信息息，通通过过对对这这些些信信息息的的分分析析来来发发现现网网络络或或系系统统中中是是否否有有违违反反安安全全策策略略的的行行为为和和被被攻攻击击的的迹迹象象。进进行行入入侵侵检检测测的的软软件件与与硬硬件件的的组组合合便便是是入入侵侵检检测测系系统统

20、（Intrusion Detection System，简简称称IDS）。与与其其他他安安全全产产品品不不同同的的是是，入入侵侵检检测测系系统统需需要要更更多多的的智智能能，它它必必须须能能将将得得到到的的数据进行分析，并得出有用的结果。数据进行分析，并得出有用的结果。早早期期的的IDS模模型型设设计计用用来来监监控控单单一一服服务务器器，是是基基于于主主机机的的入入侵侵检检测测系统；近期的更多模型则集中用于监控通过网络互连的多个服务器。系统；近期的更多模型则集中用于监控通过网络互连的多个服务器。第31页，此课件共48页哦5.3.2.入侵检测的主要任务和作用入侵检测的主要任务和作用 监视、分析

21、用户及系统活动；监视、分析用户及系统活动；对系统构造和弱点的审计；对系统构造和弱点的审计；识别和反应已知进攻的活动模式并向相关识别和反应已知进攻的活动模式并向相关人士报警；人士报警；异常行为模式的统计分析；异常行为模式的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，识别用户违反操作系统的审计跟踪管理，识别用户违反安全策略的行为。安全策略的行为。第32页，此课件共48页哦5.3.3入侵检测系统的工作原理入侵检测系统的工作原理1.信息收集信息收集 (1)系统和网络日志文件系统和网络日志文件 (2)目录和文件中的不期望的改变目录和文件中的不期望的改

22、变 (3)程序执行中的不期望行为程序执行中的不期望行为 (4)物理形式的入侵信息物理形式的入侵信息 2.信号分析信号分析 (1)模式匹配：模式匹配：(2)统计分析统计分析 (3)完整性分析完整性分析第33页，此课件共48页哦(1)模式匹配的方法(也称为误用检测)：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。优点只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。弱点需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。第34页，此课件共48页哦

23、(2)统计分析的方法(也称为异常检测)：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。这种分析方法。优点可检测到未知的入侵和更为复杂的入侵缺点误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。第35页，此课件共48页哦(3)完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。完整

24、性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（如：消息摘要函数），能识别哪怕是微小的变化。优点不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点一般以批处理方式实现，不用于实时响应。第36页，此课件共48页哦5.3.4入侵检测系统的分类入侵检测系统的分类1.按照入侵检测系统的数据来源划分按照入侵检测系统的数据来源划分（1）基于主机的入侵检测系统（2）基于网络的入侵检测系统（3）采用上述两种数据来源的分布式的入侵检测系统2按照入侵检测系统采用的检测方法来分类按照入侵检测系统采用的检测方法来分类（

25、1）基于行为的入侵检测系统：）基于行为的入侵检测系统：（2）基于模型推理的入侵检测系统：）基于模型推理的入侵检测系统：（3）采用两者混合检测的入侵检测系统：）采用两者混合检测的入侵检测系统：第37页，此课件共48页哦3按照入侵检测的时间的分类按照入侵检测的时间的分类（1）实时入侵检测系统：（2）事后入侵检测系统：第38页，此课件共48页哦5.3.5 入侵检测系统的入侵检测系统的CIDF模型模型通用入侵检测框架（CIDF）是由美国加州大学Davis分校的安全实验室提出的框架。CIDF从逻辑上把IDS分成面向任务的一个组件集合，这些组件一起定义了入侵检测系统的结构。事件发生器（E-boxes）分析

26、引擎(A-boxes)存贮机制（D-boxes）对抗措施（C-boxes）。第39页，此课件共48页哦图5-1CIDF组件关系第40页，此课件共48页哦5.4 入侵检测系统的结构入侵检测系统的结构入侵检测系统的结构大体上可分为三种模式：基于主机系统的结构、基于网络系统的结构、基于分布式系统的结构第41页，此课件共48页哦5.4.1基于主机的入侵检测系统基于主机的入侵检测系统第42页，此课件共48页哦这种类型系统的关键在于依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。表现在以下四个方面：一一是主机的审计信息

27、弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二二是不能通过分析主机审计记录来检测网络攻击。三三是IDS的运行或多或少影响服务器性能。四四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。第43页，此课件共48页哦5.4.2 基于网络的入侵检测系统基于网络的入侵检测系统第44页，此课件共48页哦基于网络的基于网络的IDS的优点是：的优点是：（1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。（2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。（3）检测多种攻

28、击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。第45页，此课件共48页哦5.4.3 5.4.3 基于分布式系统的入侵检测技术基于分布式系统的入侵检测技术典型的入侵检测系统是一个统一集中的代码块，它位典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而

29、是表现出相互协作的入侵特点，在这种背的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统景下，产生了基于分布式的入侵检测系统。第46页，此课件共48页哦基基于于分分布布式式系系统统的的IDS结结构构第47页，此课件共48页哦5.5 入侵检测产品简介入侵检测产品简介5.5.1 Cisco公司的公司的NetRangerNetRanger是基本网络的入侵检测系统，可在Internet/Intranet两种环境中运行。系统包括两部分：检测网络包和发出报警的检测器，接收并分析报警和启动对策的控制器。5.5.2 ISS公司的公司的RealSecure RealSecure2.0forWindowsNT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bitRSA进行认证和加密。第48页，此课件共48页哦