第5章 网络安全教程---系统攻击及入侵检测.ppt

《第5章 网络安全教程---系统攻击及入侵检测.ppt》由会员分享，可在线阅读，更多相关《第5章 网络安全教程---系统攻击及入侵检测.ppt（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第5章章 系统攻击及入侵检测系统攻击及入侵检测本章学习目标本章学习目标本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，读者应该掌握以下内容：l系统入侵的概念l几种系统攻击方法的原理l入侵检测的原理l入侵检测系统的组成及结构5.1 系统攻击概述系统攻击概述系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。5.1.1 黑客与入侵者黑客与入侵者5.1.2系统攻击的三个阶段系统攻击的三个阶段（1）收集信息）收集信息（2）探测系统安全弱点）探测系统安全弱点（3）实施攻击）

2、实施攻击 5.1.3网络入侵的对象网络入侵的对象1.固有的安全漏洞固有的安全漏洞 2.系统维护措施不完善的系统系统维护措施不完善的系统 3缺乏良好安全体系的系统缺乏良好安全体系的系统5.2 系统攻击方法系统攻击方法5.2.1 口令攻击口令攻击1获取口令的一些方法获取口令的一些方法（1）是通过网络监听非法得到用户口令（2）口令的穷举攻击（3）利用系统管理员的失误2设置安全的口令设置安全的口令（1）口口令令的的选选择择：字字母母数数字字及及标标点点的的组组合合，如如：Ha,Ppy!和和w/(X,y)*;使使用用一一句句话话的的开开头头字字母母做做口口令令，如如：由由A fox jumps over

3、 a lazy dog!产生口令：产生口令：AfJoAld!。（2）口令的保存：记住、放到安全的地方，加密最好。口令的保存：记住、放到安全的地方，加密最好。（3）口口令令的的使使用用：输输入入口口令令不不要要让让别别人人看看到到；不不要要在在不不同同的系统上使用同一口令；定期改变口令。的系统上使用同一口令；定期改变口令。3一次性口令一次性口令（OTP，One-TimePassword）。所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中

4、的生成的口令不相同。使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。5.2.2 IP欺骗欺骗1IP欺骗的工作原理欺骗的工作原理（1）使被信任主机丧失工作能力）使被信任主机丧失工作能力 TCPSYN-Flood：t1:Z（X）SYNBZ（X）SYNBZ（X）SYNBt2:XSYN/ACK-BXSYN/ACK-Bt3:XRSTB（2）序列号猜测序序列列号号的的猜猜测测方方法法如如下下：攻攻击击者者先先与与被被攻攻击击主主机机的的一一

5、个个端端口口（SMTP是是一一个个很很好好的的选选择择）建建立立起起正正常常的的连连接接。通通常常，这这个个过过程程被被重重复复若若干干次次，并并将将目目标标主主机机最最后后所所发发送送的的ISN（初初始始序序列列号号）存存储储起起来来。攻攻击击者者还还需需要要估估计计他他的的主主机机与与被被信信任任主主机机之之间间的的RTT时时间间（往往返返时时间间），这这个个RTT时时间间是是通通过过多多次次统统计计平平均均求求出出的的。RTT对对于于估估计计下下一一个个ISN是是非非常常重重要要的的。一一般般每每秒秒钟钟ISN增增加加128000，每每次次连连接接增增加加64000。现现在在就就不不难难

6、估估计计出出ISN的的大大小小了了，它它是是128000乘乘以以RTT的的一一半半，如如果果此此时时目目标标主主机机刚刚刚刚建建立立过过一一个个连连接接，那那么么再再加加上上一一个个64000。(3）实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下：t1:Z（B）SYNAt2:BSYN/ACKAt3:Z（B）ACKAt4:Z（B）PSHA2.IP欺骗的防止欺骗的防止（1）抛弃基于地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号5.2.3 端口扫描端口扫描1端口与服务端口与服务许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，

7、当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如WWW、FTP、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为065535。守护进程在一个端口上监听，等待客户请求。2端口扫描端口扫描端口扫描是获取主机信息的一种常用方法。利用端口扫描程序可以了解远程服务器提供的各种服务及其TCP端口分配，了解服务器的操作系统及目标网络结构等信息。作为系统管理员使用扫描工具，可以及时检查和发现自己系统存在的安全弱点和安全漏洞，是非很常用的网络管理工具，许多安全软件都提供扫描功能。端口扫描也广泛被入侵者用来寻找攻击线

8、索和攻击入口。通过这种方法，还可以搜集到很多关于目标主机的各种有用的信息，比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用TELNET等等。端口扫描程序在网上很容易找到，因而许多人认为扫描工具是入侵工具中最危险的一类。5.2.4 网络监听网络监听网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关

9、或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。1网络监听的原理网络监听的原理 以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。2网络监听工具及其作用网络监听工具及其作用嗅

10、探器（sniffer）就是一种网络监听工具。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局,Sniffer实施的是一种消极的安全攻击，它们极其安静地躲在某个主机上偷听别人的通信，具有极好隐蔽性。网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题，这些问题有些涉及两台或多台计算机之间的异常通讯，有些牵涉到各种协议的漏洞和缺陷。3如何发现如何发现sniffer通过下面的方法可以分析出网络上是否存在sniffer进行分析。网络通讯掉包率反常的高。网络带宽将出现异常

11、。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断。5.2.5 拒绝服务（拒绝服务（DoS）1什么是拒绝服务什么是拒绝服务拒绝服务攻击（DenialofService）是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，2拒绝服务攻击

12、的方式拒绝服务攻击的方式信息数据包流量式：SYN-Flooding攻击:过载攻击:服务过载、进程过载攻击、系统过载攻击、磁盘过载攻击3分布式拒绝服务（分布式拒绝服务（DDoS）DDoS就是利用通过组织和操纵更多的机器来发起进攻，来实现拒绝服务攻击。分布式拒绝服务攻击程序由两部分组成：在主控主机上的客户端和在代理主机上的守护进程。主控端向其代理端发送要攻击的目标主机的列表，代理端据此列表对目标进行拒绝服务攻击。由一个主控端控制的多个代理端能够在攻击过程中相互协同，保证攻击的连续性。5.2.6 缓冲区溢出缓冲区溢出缓冲区溢出是目前最为常见的安全漏洞，也是黑客利用最多的攻击漏洞。1缓冲区溢出的原理缓

13、冲区溢出的原理在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会发生缓冲区溢出。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。危害危害：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统根用户的权限。例如下面一段简单的C程序：voidfuction(char*str)charbuf10;gets(buf);strcat(str,buf);main()charstr20;scanf(“%s”,str);printf(“%s”,fuction(str);3缓冲区溢出的

14、保护缓冲区溢出的保护目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：一是强制编写正确的代码的方法。二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。三是利用编译器的边界检查来实现缓冲区的保护。四是一种间接的方法，该方法在程序指针失效前进行完整性检查。5.3 入侵检测入侵检测5.3.1 入侵检测概述入侵检测概述5.3.2.入侵检测的主要任务和作用入侵检测的主要任务和作用5.3.3入侵检测系统的工作原理入侵检测系统的工作原理1.信息收集信息收集 2.(1)系统和网络日志文件系统和网络日志文件 3.(2)目录和文件中的不期望的改变目录和文件中的不期望的改变 4.(3)程序执行

15、中的不期望行为程序执行中的不期望行为 5.(4)物理形式的入侵信息物理形式的入侵信息 6.2.信号分析信号分析 7.(1)模式匹配：模式匹配：8.(2)统计分析统计分析 9.(3)完整性分析完整性分析 5.3.4入侵检测系统的分类入侵检测系统的分类1.按照入侵检测系统的数据来源划分按照入侵检测系统的数据来源划分2.（1）基于主机的入侵检测系统3.（2）基于网络的入侵检测系统4.（3）采用上述两种数据来源的分布式的入侵检测系统5.2按按照照入入侵侵检检测测系系统统采采用用的的检检测测方方法法来来分分类类6.（1）基于行为的入侵检测系统：）基于行为的入侵检测系统：7.（2）基于模型推理的入侵检测系

16、统：）基于模型推理的入侵检测系统：8.（3）采用两者混合检测的入侵检测系统：）采用两者混合检测的入侵检测系统：3按照入侵检测的时间的分类按照入侵检测的时间的分类（1）实时入侵检测系统：（2）事后入侵检测系统：5.3.5 入侵检测系统的入侵检测系统的CIDF模型模型通用入侵检测框架（CIDF）是由美国加州大学Davis分校的安全实验室提出的框架。CIDF从逻辑上把IDS分成面向任务的一个组件集合，这些组件一起定义了入侵检测系统的结构。这些组件包括：事件发生器（E-boxes）、分析引擎(A-boxes)、存贮机制（D-boxes）以及对抗措施（C-boxes）。图5-1CIDF组件关系5.4 入

17、侵检测系统的结构入侵检测系统的结构入侵检测系统的结构大体上可分为三种模式：基于主机系统的结构、基于网络系统的结构、基于分布式系统的结构5.4.1基于主机的入侵检测系统基于主机的入侵检测系统这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面：一一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二二是不能通过分析主机审计记录来检测网络攻击。

18、三三是IDS的运行或多或少影响服务器性能。四四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。5.4.2 基于网络的入侵检测系统基于网络的入侵检测系统基于网络的基于网络的IDS的优点是：的优点是：（1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。（2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。（3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。5.4.3 基基于于分分布布式式系系统统的的入入侵侵检测技术检测技术典型

19、的入侵检测系统是一个统一集中的典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统产生了基于分布式的入侵检测系统。基基于于分分布布式式系系统统的的IDS结结构构5.5 入侵检测产品简介入侵检测产品简介5.5.1 Cisco公司的公司的NetRangerNetRanger是基本网络的入侵检测系统，可在Internet/Intranet两种环境中运行。系统包括两部分：检测网络包和发出报警的检测器，接收并分析报警和启动对策的控制器。5.5.2 ISS公司的公司的RealSecure RealSecure2.0forWindowsNT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bitRSA进行认证和加密。