第8章网络攻击与防护.ppt

第第8 8章章 网络攻击与防护网络攻击与防护 黑客及攻击黑客及攻击8.1 IP IP欺骗欺骗8.2 拒绝服务攻击拒绝服务攻击8.3侦察与工具侦察与工具8.4 攻击与渗攻击与渗透透8.5 入侵监测系统入侵监测系统IDSIDS8.6审审 计计 结结 果果8.79/23/20241精选课件8.1 黑客及攻击1．黑客概述．黑客概述 在各种媒体上有许多关于在各种媒体上有许多关于Hacker这个名词的这个名词的定义，一般是指计算机技术的行家或热衷于解决定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人这可以追溯到几十年前第问题、克服限制的人这可以追溯到几十年前第一台微型计算机刚刚诞生的时代那时有一个由一台微型计算机刚刚诞生的时代那时有一个由程序设计专家和网络名人所组成的具有分享特质程序设计专家和网络名人所组成的具有分享特质的文化族群这一文化族群的成员创造了的文化族群。

这一文化族群的成员创造了Hacker这个名词他们建立了这个名词他们建立了Internet，创造出现在使，创造出现在使用的用的UNIX操作系统，并且让操作系统，并且让World Wide Web传传播开来，这就是最早的播开来，这就是最早的Hacker9/23/20242精选课件 也存在另外一个团体，其成员也称自也存在另外一个团体，其成员也称自己为己为Hacker这些人专门闯入计算机或入这些人专门闯入计算机或入侵系统，真正的侵系统，真正的Hacker称他们为入侵称他们为入侵者（者（Cracker），并且不愿意和他们在一起），并且不愿意和他们在一起做任何事做任何事Hacker们认为这些人懒惰，不们认为这些人懒惰，不负责任，并且不够光明正大他们认为，负责任，并且不够光明正大他们认为，能破解安全系统并不能使你成为一位能破解安全系统并不能使你成为一位Hacker基本上，基本上，Hacker和和Cracker之间之间最主要的不同是，最主要的不同是，Hacker创造新东西，创造新东西，Cracker破坏东西破坏东西现在，人们所说的黑客是指现在，人们所说的黑客是指Cracker9/23/20243精选课件2．黑客常用的攻击方法．黑客常用的攻击方法（（1）获取口令）获取口令Ø通过网络监听，非法得到用户口令通过网络监听，非法得到用户口令Ø知道用户的账号后利用一些专门软件强知道用户的账号后利用一些专门软件强行破解用户口令行破解用户口令Ø获得一个服务器上的用户口令文件后，获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令用暴力破解程序破解用户口令（（2）放置特洛伊木马程序）放置特洛伊木马程序9/23/20244精选课件（（3））WWW的欺骗技术的欺骗技术访问的网页被黑客篡改过，当用户浏览目标网页访问的网页被黑客篡改过，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

黑客就可以达到欺骗的目的了4）电子邮件攻击）电子邮件攻击 电子邮件轰炸和电子邮件电子邮件轰炸和电子邮件“滚雪球滚雪球”电子邮件欺骗电子邮件欺骗（（5）通过一个节点来攻击其他节点）通过一个节点来攻击其他节点黑客在突破一台主机后，以此主机作为根据地，黑客在突破一台主机后，以此主机作为根据地，攻击其他主机，从而隐藏其入侵路径攻击其他主机，从而隐藏其入侵路径9/23/20245精选课件（（6）网络监听）网络监听在网络监听这种模式下，主机可以接收到本网段在网络监听这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这在同一条物理通道上传输的所有信息，而不管这些信息的发送发和接收方是谁些信息的发送发和接收方是谁7）寻找系统漏洞）寻找系统漏洞（（8）利用账号进行攻击）利用账号进行攻击利用操作系统提供的缺省账户和密码进行攻击利用操作系统提供的缺省账户和密码进行攻击（（9）偷取特权）偷取特权黑客通过非法手段获得对用户机器的完全控制权，黑客通过非法手段获得对用户机器的完全控制权，甚至是整个网络的绝对控制权甚至是整个网络的绝对控制权9/23/20246精选课件8.2 IP欺骗 IP电电子子欺欺骗骗攻攻击击是是指指利利用用TCP/IP本本身身的的缺缺陷陷进进行行的的入入侵侵，，即即用用一一台台主主机机设设备备冒冒充充另另外外一一台台主主机机的的IP地地址址，，与与其其它它设设备备通通信信，，从从而而达达到到某某种种目目的的的的过过程程。

它它不不是是进进攻攻的的结结果果而而是是进进攻的手段攻的手段9/23/20247精选课件8.2.1 IP欺骗原理欺骗原理所谓所谓IP欺骗，就是伪造某台主机的欺骗，就是伪造某台主机的IP地址地址的技术其实质就是让一台机器来扮演另的技术其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的被伪一台机器，以达到蒙混过关的目的被伪造的主机往往具有某种特权或者被另外的造的主机往往具有某种特权或者被另外的主机所信任主机所信任9/23/20248精选课件在在IP欺骗的状态下，三次握手的情况如下：欺骗的状态下，三次握手的情况如下：第第一一步步：：黑黑客客假假冒冒A主主机机IP向向服服务务方方B主主机机发发送送SYN，，告告诉诉B主主机机是是他他所所信信任任的的A主主机机想想发发起起一一次次TCP连连接接，，序序列列号号为为数数值值X，，这这一一步步实实现现比比较较简简单单，，黑黑客客将将IP包包的的源源地地址伪造为址伪造为A主机主机IP地址即可地址即可 第第二二步步：：服服务务方方B产产生生SYN ACK响响应应，，并并向向请请求求方方A主主机机（（注注意意:是是A，，不不是是黑黑客客，，因因为为B收收到到的的IP包包的的源源地地址址是是A））发发送送ACK，，9/23/20249精选课件ACK的值为的值为X+1，表示数据成功接收到，且，表示数据成功接收到，且告知下一次希望接收到字节的告知下一次希望接收到字节的SEQ是是X+1。

同同时，时，B向请求方向请求方A发送自己的发送自己的SEQ，注意，这，注意，这个数值对黑客是不可见的个数值对黑客是不可见的 第三步：黑客再次向服务方发送第三步：黑客再次向服务方发送ACK，，表示接收到服务方的回应表示接收到服务方的回应——虽然实际上他虽然实际上他并没有收到服务方并没有收到服务方B的的SYN ACK响应这次响应这次它的它的SEQ值为值为X+1，同时它必须猜出，同时它必须猜出ACK的的值，并加值，并加1后回馈给后回馈给B主机9/23/202410精选课件IP欺骗技术有如下三个特征：欺骗技术有如下三个特征：（（1））只只有有少少数数平平台台能能够够被被这这种种技技术术攻攻击击，，也也就就是是说说很很多多平平台台都都不不具具有有这这方方面面缺陷2））这这种种技技术术出出现现的的可可能能性性比比较较小小，，因因为为这这种种技技术术不不好好理理解解，，也也不不好好操操作作，，只只有一些真正的网络高手才能做到这点有一些真正的网络高手才能做到这点3））很很容容易易防防备备这这种种攻攻击击方方法法，，如如使用防火墙等使用防火墙等9/23/202411精选课件IP欺骗的对象欺骗的对象 IP欺欺骗骗只只能能攻攻击击那那些些完完全全实实现现了了TCP/IP协议，包括所有的端口和服务。

协议，包括所有的端口和服务 IP欺骗的实施欺骗的实施 几几乎乎所所有有的的欺欺骗骗都都是是基基于于某某些些机机器器之之间间的相互信任的的相互信任的 黑黑客客可可以以通通过过很很多多命命令令或或端端口口扫扫描描技技术术、、监监听听技技术术确确定定机机器器之之间间的的信信任任关关系系，，例例如如一一台台提提供供服服务务的的机机器器很很容容易易被被端端口口扫扫描描出出来来，，使使用用端端口口扫扫描描技技术术同同样样可可以以非非常常方方便便地地确确定定一个局部网络内机器之间的相互关系一个局部网络内机器之间的相互关系 9/23/202412精选课件假假定定一一个个局局域域网网内内部部存存在在某某些些信信任任关关系系例例如如，，主主机机A信信任任主主机机B、、主主机机B信信任任主主机机C，，则则为为了了侵侵入入该该网网络络，，黑黑客客可可以以采采用用下下面面两两种种方式1）通过假冒机器）通过假冒机器B来欺骗机器来欺骗机器A和和C2）通过假冒机器）通过假冒机器A或或C来欺骗机器来欺骗机器B为为了了假假冒冒机机器器C去去欺欺骗骗机机器器B，，首首要要的的任任务务是是攻攻击击原原来来的的C，，使使得得C发发生生瘫瘫痪痪。

这这是是一一种拒绝服务的攻击方式种拒绝服务的攻击方式9/23/202413精选课件8.2.2 IP欺骗的防止欺骗的防止1．抛弃基于地址的信任策略．抛弃基于地址的信任策略2．进行包过滤．进行包过滤3．使用加密方法．使用加密方法4．使用随机化的初始序列号．使用随机化的初始序列号9/23/202414精选课件 对于来自网络外部的欺骗来说，阻止这对于来自网络外部的欺骗来说，阻止这种攻击的方法是很简单的，在局部网络的对种攻击的方法是很简单的，在局部网络的对外路由器上加一个限制条件，只要在路由器外路由器上加一个限制条件，只要在路由器里面设置不允许声称来自于内部网络的外来里面设置不允许声称来自于内部网络的外来包通过就行了如果网络存在外部的可信任包通过就行了如果网络存在外部的可信任主机，那么路由器就无法防止别人冒充这些主机，那么路由器就无法防止别人冒充这些主机而进行的主机而进行的IP欺骗当实施欺骗的主机在同一网络内时，攻当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范击往往容易得手，并且不容易防范 9/23/202415精选课件 应应该该注注意意与与外外部部网网络络相相连连的的路路由由器器，，看看它它是是否否支支持持内内部部接接口口。

如如果果路路由由器器有有支支持持内内部部网网络络子子网网的的两两个个接接口口，，则则须须警警惕惕，，因因为为很很容容易易受受到到IP欺欺骗骗这这也也是是为为什什么么说说将将Web服服务务器器放放在在防防火火墙墙外外面有时会更安全的原因面有时会更安全的原因 检测和保护站点免受检测和保护站点免受IP欺骗的最好办法就是欺骗的最好办法就是安装一个过滤路由器，来限制对外部接口的访问，安装一个过滤路由器，来限制对外部接口的访问，禁止带有内部网资源地址包通过当然也应禁止禁止带有内部网资源地址包通过当然也应禁止（过滤）带有不同内部资源地址的内部包通过路（过滤）带有不同内部资源地址的内部包通过路由器到别的网上去，这就防止内部的用户对别的由器到别的网上去，这就防止内部的用户对别的站点进行站点进行IP欺骗 9/23/202416精选课件8.3 拒绝服务攻击8.3.1 概述概述DoS--Denial of ServiceDoS--Denial of Service：现在一般指导：现在一般指导致服务器不能正常提供服务的攻击致服务器不能正常提供服务的攻击图8-1 拒绝服务攻击示意图9/23/202417精选课件 拒绝服务是一种简单的破坏性攻击，拒绝服务是一种简单的破坏性攻击，通常攻击者利用通常攻击者利用TCP/IP中的某个漏洞，或中的某个漏洞，或者系统存在的某些漏洞，对目标系统发起者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去工作能大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问，合法用户不能及力，使得系统不可访问，合法用户不能及时得到应得的服务或系统资源，它最本质时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等待时间。

的特征是延长正常的应用服务的等待时间9/23/202418精选课件DoS攻击的事件攻击的事件 ：： ◎2000 ◎2000年年2 2月份的月份的YahooYahoo、亚马逊、、亚马逊、CNNCNN被被DoSDoS攻击 ◎2002 ◎2002年年1010月全世界月全世界1313台台DNSDNS服务器同时服务器同时受到了受到了DDoSDDoS（分布式拒绝服务）攻击分布式拒绝服务）攻击 ◎2003 ◎2003年年1 1月月2525日的日的“2003“2003蠕虫王蠕虫王””病毒 ◎2004◎2004年年8 8月月，，共共同同社社报报道道：：日日本本近近期期共共有上百网站遭到黑客袭击有上百网站遭到黑客袭击9/23/202419精选课件8.3.2 拒绝服务攻击的原理拒绝服务攻击的原理1．拒绝服务的模式．拒绝服务的模式 按按照照入入侵侵方方式式，，拒拒绝绝服服务务可可以以分分为为资资源源消消耗耗型型，，配配置置修修改改型型，，物物理理破破坏坏型型以以及及服务利用型服务利用型9/23/202420精选课件（（1）资源消耗型：指入侵者试图消耗目标）资源消耗型：指入侵者试图消耗目标的合法资源，如网络带宽、内存和磁盘空的合法资源，如网络带宽、内存和磁盘空间等，从而达到拒绝服务的目的。

间等，从而达到拒绝服务的目的2）配置修改型：入侵者通过改变或者破）配置修改型：入侵者通过改变或者破坏系统的配置信息，来阻止其他合法用户坏系统的配置信息，来阻止其他合法用户使用计算机和网络提供的服务使用计算机和网络提供的服务9/23/202421精选课件（（3）物理破坏型：它主要针对物理设备的）物理破坏型：它主要针对物理设备的安全入侵者可以通过破坏或者改变网络安全入侵者可以通过破坏或者改变网络部件以实现拒绝服务部件以实现拒绝服务4）服务利用型：入侵者常用的是）服务利用型：入侵者常用的是TCP/IP以及目标系统自身应用软件中的一以及目标系统自身应用软件中的一些漏洞和弱点，来达到拒绝服务的目的些漏洞和弱点，来达到拒绝服务的目的9/23/202422精选课件2．拒绝服务常用方法以消耗目标主机的可用资源为目的（例如：以消耗目标主机的可用资源为目的（例如：死亡之死亡之ping、、SYN攻击、攻击、Land攻击、泪攻击、泪珠攻击珠攻击（（TeardropTeardrop）、）、SmurfSmurf攻击攻击等）等） 以消耗服务器链路的有效带宽为目的（例以消耗服务器链路的有效带宽为目的（例如：蠕虫）如：蠕虫） 9/23/202423精选课件攻击者 目标主机目标主机SYNSYN/ACKACK等待应答等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）9/23/202424精选课件....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待等待ACK应答应答.........不应答不应答不应答不应答重新发送重新发送SYN攻击的原理（2）9/23/202425精选课件1)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。

攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性攻击者攻击者各种客户主机各种客户主机目标系统目标系统2) )攻击者进入其已经发现的最弱的客户主机之内攻击者进入其已经发现的最弱的客户主机之内(“(“肉鸡肉鸡”)”)，并且秘密地，并且秘密地安置一个其可远程控制的代理程序安置一个其可远程控制的代理程序( (端口监督程序端口监督程序demon)demon)攻击准备：攻击准备：安置代理代理程序代理程序DDoS (分布式拒绝服务)攻击（1）9/23/202426精选课件 3)3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统求送至目标系统攻击者目标系统目标系统发起攻击：发起攻击：指令指令攻击的代理程序4)4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃导致它因通信淤塞而崩溃虚假的连接请求虚假的连接请求DDoS (分布式拒绝服务)攻击（2）9/23/202427精选课件8.4 侦察与工具8.4.1 安全扫描安全扫描 安全扫描以各种各样的方式进行。

可安全扫描以各种各样的方式进行可以利用以利用Ping和端口扫描程序来侦查网络，和端口扫描程序来侦查网络，也可以使用客户端也可以使用客户端/服务器程序，如服务器程序，如Telnet和和SNMP等来侦查网络泄漏的有用信息等来侦查网络泄漏的有用信息应当利用一些工具来了解网络有些工具应当利用一些工具来了解网络有些工具很简单，便于安装和使用有时，审计人很简单，便于安装和使用有时，审计人员和黑客会利用程序语言如员和黑客会利用程序语言如Perl, C,C++和和Java自己编制一些工具，因为他们找不到自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具现成的针对某种漏洞的工具9/23/202428精选课件 另外一些工具功能更全面，但是在使另外一些工具功能更全面，但是在使用前需要认真地配置有专门从事网络管用前需要认真地配置有专门从事网络管理和安全的公司出售这些工具好的网络理和安全的公司出售这些工具好的网络级和主机级扫描器会监听和隔离进出网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包在学习这些和主机的所有会话包在学习这些“Hacker-in-a-box”的解决方案前，应当先的解决方案前，应当先接触一些当前黑客常常使用的技巧。

接触一些当前黑客常常使用的技巧9/23/202429精选课件1．．Whois命令命令 Whois（类似于（类似于finger）是一种）是一种Internet的目的目录服务，录服务，whois提供了在提供了在Internet上一台主机或某上一台主机或某个域的所有者的信息，如管理员的姓名、通信地个域的所有者的信息，如管理员的姓名、通信地址、号码和址、号码和E-mail地址等信息，这些信息是地址等信息，这些信息是在官方网站在官方网站whois server上注册的，如保存在上注册的，如保存在InterNIC的数据库内的数据库内Whois命令通常是安全审命令通常是安全审计人员了解网络情况的开始一旦得到了计人员了解网络情况的开始一旦得到了Whois记录，从查询的结果还可得知记录，从查询的结果还可得知primary和和secondary域名服务器的信息域名服务器的信息 9/23/202430精选课件2．．nslookup 使用使用DNS的排错工具的排错工具nslookup，可以利用从，可以利用从whois查询到的信息侦查更多的网络情况例如，查询到的信息侦查更多的网络情况。

例如，使用使用nslookup命令把主机伪装成命令把主机伪装成secondary DNS服务器，如果成功便可以要求从主服务器，如果成功便可以要求从主DNS服务器进服务器进行区域传送要是传送成功的话，将获得大量有行区域传送要是传送成功的话，将获得大量有用信息，包括：用信息，包括：  使用此使用此DNS服务器做域名解析到所有主机名和服务器做域名解析到所有主机名和IP地址的映射情况；地址的映射情况；  公司使用的网络和子网情况；公司使用的网络和子网情况；  主机在网络中的用途，许多公司使用带有描述主机在网络中的用途，许多公司使用带有描述性的主机名性的主机名 9/23/202431精选课件 使用使用nslookup实现区域传送的过程有如下几实现区域传送的过程有如下几步 第第1步，使用步，使用whois命令查询目标网络，例如命令查询目标网络，例如在在Linux提示符下输入提示符下输入whois 第第2步，得到目标网络的步，得到目标网络的primary和和slave DNS服务器的信息例如，假设主服务器的信息例如，假设主DNS服务器的服务器的名字是名字是。

第第3步，使用交互查询方式，缺省情况下步，使用交互查询方式，缺省情况下nslookup会使用缺省的会使用缺省的DNS服务器作域名解析服务器作域名解析键入命令键入命令server 定位目标网定位目标网络的络的DNS服务器9/23/202432精选课件 第第4步，列出目标网络步，列出目标网络DNS服务器的内容，服务器的内容，如如ls 此时DNS服务器会把数服务器会把数据传送过来当然，管理员可以禁止据传送过来当然，管理员可以禁止DNS服务器服务器进行区域传送，目前很多公司将进行区域传送，目前很多公司将DNS服务器至于服务器至于防火墙的保护之下并严格设定了只能向某些主机防火墙的保护之下并严格设定了只能向某些主机进行区域传送进行区域传送 一旦从区域传送中获得了有用信息，便可以一旦从区域传送中获得了有用信息，便可以对每台主机实施端口扫描以确定它们提供了哪些对每台主机实施端口扫描以确定它们提供了哪些服务如果不能实现区域传送，用户还可以借助服务如果不能实现区域传送，用户还可以借助ping和端口扫描工具，当然还有和端口扫描工具，当然还有traceroute。

9/23/202433精选课件3．．host Host命令是命令是UNIX提供的有关提供的有关Internet域名查域名查询的命令，可实现主机名到询的命令，可实现主机名到IP地址的映射，反之地址的映射，反之亦然用host命令可实现以下功能：命令可实现以下功能：   实现区域传送；实现区域传送；  获得名称解析信息；获得名称解析信息；  得知域中邮件服务器的信息得知域中邮件服务器的信息参数参数-v可显示更多的信息，参数可显示更多的信息，参数-l实现区域传送，实现区域传送，参数参数-t允许查询特定的允许查询特定的DNS记录9/23/202434精选课件 例如，要查询例如，要查询域的邮件服务器的记录，域的邮件服务器的记录，需要键入命令：需要键入命令： host －－t mx （你可以参考（你可以参考UNIX命令帮助命令帮助获得更多信息）获得更多信息）Traceroute（（tracert）） Traceroute 用于路由追踪，如判断从主机到目标主机经过用于路由追踪，如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等大多数操作系统哪些路由器、跳计数、响应时间如何等。

大多数操作系统（包括（包括UNIX、、Novell和和Windows NT）若配置了）若配置了TCP/IP协协议的话，都会有自己版本的议的话，都会有自己版本的traceroute程序当然也可以使程序当然也可以使用其他一些第三方的路由追踪软件，在后面我们会接触到用其他一些第三方的路由追踪软件，在后面我们会接触到这些工具这些工具 使用使用traceroute，你可以推测出网络的物理布局，包括，你可以推测出网络的物理布局，包括该网络连接该网络连接Internet所使用的路由器所使用的路由器traceroute还可以判还可以判断出响应较慢的节点和数据包在路由过程中的跳计数断出响应较慢的节点和数据包在路由过程中的跳计数 9/23/202435精选课件4．．Ping扫描作用及工具扫描作用及工具 Ping一个公司的一个公司的Web服务器可帮助获得该公服务器可帮助获得该公司所使用的司所使用的IP地址范围一旦得知了地址范围一旦得知了HTTP服务服务器的器的IP地址，就可以使用地址，就可以使用Ping扫描工具扫描工具Ping该子该子网的所有网的所有IP地址，这可以帮助得到该网络的地址地址，这可以帮助得到该网络的地址图。

图 Ping扫描程序将自动扫描所指定的扫描程序将自动扫描所指定的IP地址范地址范围，围，WS_Ping ProPack工具包中集成有工具包中集成有Ping扫描扫描程序单独的程序单独的Ping工具有许多，工具有许多，Rhino9 Pinger是是比较流行的程序比较流行的程序 9/23/202436精选课件8.4.2 8.4.2 端口扫描与其他端口扫描与其他1．端口扫描．端口扫描 端口扫描与端口扫描与ping扫描相似，不同的是端口扫扫描相似，不同的是端口扫描不仅可以返回描不仅可以返回IP地址，还可以发现目标系统上地址，还可以发现目标系统上活动的活动的UDP和和TCP端口 例如，地址例如，地址192.168.1.10正在运行正在运行SMTP和和Telnet服务，地址服务，地址192.168.1.12正在运行正在运行FTP服务，服务，主机主机192.168.1.14未运行任何可辨别的服务，而主未运行任何可辨别的服务，而主机机192.168.1.16运行着运行着SMTP服务最后一台主机服务最后一台主机属于属于Microsoft网络，因为该网络使用网络，因为该网络使用UDP137和和TCP138、、139端口。

端口 9/23/202437精选课件（（1）端口扫描软件）端口扫描软件 端口扫描器是黑客最常使用的工具端口扫描器是黑客最常使用的工具一些单独使用的端口扫描工具像一些单独使用的端口扫描工具像Port Scanner1.1，定义好，定义好IP地址范围和端口后地址范围和端口后便可开始实施扫描还有许多单独使用的便可开始实施扫描还有许多单独使用的端口扫描器，如端口扫描器，如UltraScan等如同Ping扫扫描器，许多工具也集成了端口扫描器描器，许多工具也集成了端口扫描器NetScan、、Ping Pro和其他一些程序包集成和其他一些程序包集成了尽可能多的相关程序许多企业级的网了尽可能多的相关程序许多企业级的网络产品也将络产品也将ping和端口扫描集成起来和端口扫描集成起来9/23/202438精选课件（（2）网络侦查和服务器侦查程序）网络侦查和服务器侦查程序 使用简单的程序如使用简单的程序如Ping Pro，可以侦查出，可以侦查出Microsoft的的网络上开启的端口网络上开启的端口Ping Pro的工作是通过监测远程过程的工作是通过监测远程过程调用服务所使用的调用服务所使用的TCP、、UDP135端口，和端口，和Microsoft 网网络会话所使用的络会话所使用的UDP137，，138，和，和139端口来实现的。

其端口来实现的其他的网络扫描工具允许你监测他的网络扫描工具允许你监测UNIX、、Novell、、AppleTalk的网络虽然的网络虽然Ping Pro只能工作在其安装的特定子网，但只能工作在其安装的特定子网，但还有更多更复杂的工具，这些工具的设计者把它们设计还有更多更复杂的工具，这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序成为可以识别更多的网络和服务类型的程序 例如，例如，NMAP是是UNIX下的扫描工具，它可以识别不同操下的扫描工具，它可以识别不同操作系统在处理作系统在处理TCP/IP协议上细微的差别其他类似的程协议上细微的差别其他类似的程序还包括序还包括checkos,queso和和SATAN9/23/202439精选课件2．堆栈指纹．堆栈指纹 许多程序都利用堆栈指纹技术，这种许多程序都利用堆栈指纹技术，这种技术允许利用技术允许利用TCP/IP来识别不同的操作系来识别不同的操作系统和服务因为大多数的系统管理员注意统和服务因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志，所以到信息的泄露而且屏蔽了系统标志，所以应用堆栈指纹的技术十分必要但是，各应用堆栈指纹的技术十分必要。

但是，各个厂商和系统处理个厂商和系统处理TCP/IP的特征是管理员的特征是管理员所难以更改的许多审计人员和黑客记录所难以更改的许多审计人员和黑客记录下这些下这些TCP/IP应用的细微差别，并针对各应用的细微差别，并针对各种系统构建了堆栈指纹表种系统构建了堆栈指纹表 9/23/202440精选课件 要想了解操作系统间处理要想了解操作系统间处理TCP/IP的差异，需的差异，需要向这些系统的要向这些系统的IP和端口发送各种特殊的包根和端口发送各种特殊的包根据这些系统对包的回应的差别，可以推断出操作据这些系统对包的回应的差别，可以推断出操作系统的种类例如，可以向主机发送系统的种类例如，可以向主机发送FIN包（或包（或任何不含有任何不含有ACK或或SYN标志的包），从下列操作标志的包），从下列操作系统将获得回应：系统将获得回应：   Microsoft Windows NT,98,95,和和3.11   FreeBSD   CISCO   HP/UX 9/23/202441精选课件 大多数其他系统不会回应虽然只不大多数其他系统不会回应虽然只不过缩小了一点范围，但这至少开始了对目过缩小了一点范围，但这至少开始了对目标系统的了解。

如果向目标系统发送的报标系统的了解如果向目标系统发送的报文头有未定义标志的文头有未定义标志的TCP包的话，包的话，2.0.35版版本以前的本以前的LINUX系统会在回应中加入这个系统会在回应中加入这个未定义的标志这种特定的行为可以判断未定义的标志这种特定的行为可以判断出目标主机上是否运行该种出目标主机上是否运行该种LINUX操作系操作系统 9/23/202442精选课件 下面是堆栈指纹程序利用的部分特征，许多下面是堆栈指纹程序利用的部分特征，许多操作系统对它们的处理方式不同：操作系统对它们的处理方式不同：   ICMP错误信息抑制错误信息抑制   服务类型值服务类型值(TOS)   TCP/IP选项选项   对对SYN FLOOD的抵抗力的抵抗力   TCP初始窗口初始窗口 只要只要TCP开始进行三次握手，总是先发出一开始进行三次握手，总是先发出一个个SYN包像NMAP这样的程序会发出一个这样的程序会发出一个SYN包欺骗操作系统作回应堆栈指纹程序可以从回包欺骗操作系统作回应堆栈指纹程序可以从回应报文的格式，推论出目标操作系统的一些情况。

应报文的格式，推论出目标操作系统的一些情况9/23/202443精选课件 NMAP由于功能强大、不断升级和免由于功能强大、不断升级和免费的原因，使之十分流行它对网络的侦费的原因，使之十分流行它对网络的侦查十分有效是基于两个原因首先，它具查十分有效是基于两个原因首先，它具有非常灵活的有非常灵活的TCP/IP堆栈指纹引擎堆栈指纹引擎NMAP的制作人的制作人FYODOR不断升级该引擎，不断升级该引擎，使它能够尽可能多的进行猜测使它能够尽可能多的进行猜测NMAP可可以准确地扫描服务器操作系统（包括以准确地扫描服务器操作系统（包括Novell、、UNIX、、Linux、、NT），路由器），路由器（包括（包括CISCO、、3COM和和HP），还有一些），还有一些拨号设备其次，它可以穿透网络边缘的拨号设备其次，它可以穿透网络边缘的安全设备，例如防火墙安全设备，例如防火墙 9/23/202444精选课件 NMAP穿透防火墙的一种方法是利用碎片扫穿透防火墙的一种方法是利用碎片扫描技术（描技术（fragment scans），可以发送隐秘的），可以发送隐秘的FIN包（包（-sF）、）、Xmas tree包（包（-sX）或）或NULL包（包（-sN）。

这些选项允许将）这些选项允许将TCP查询分割成片断，从查询分割成片断，从而绕过防火墙规则这种策略对很多流行的防火而绕过防火墙规则这种策略对很多流行的防火墙产品都很有效墙产品都很有效 当前当前NMAP只能运行在只能运行在Linux操作系统上，操作系统上，包括包括Free BSD 2.2.6-30、、HP/UX和和Solaris等等Linux的所有版本在的所有版本在Linux的的X-Windows上还提供图上还提供图形界面最好的掌握形界面最好的掌握NMAP的方法是学习使用它的方法是学习使用它使用使用nmap－－h命令可以显示帮助信息，当然，也命令可以显示帮助信息，当然，也可以用可以用man nmap命令查看它的使用手册命令查看它的使用手册 9/23/202445精选课件3．共享扫描．共享扫描 共享扫描指可以扫描网络中绝大多数共享扫描指可以扫描网络中绝大多数的内容，包括正在使用的共享这种扫描的内容，包括正在使用的共享这种扫描过程提供了重要的侦查和利用各种资源和过程提供了重要的侦查和利用各种资源和文件的方法文件的方法9/23/202446精选课件（（1 1）共享扫描软件）共享扫描软件 Ping Pro提供了允许审计人员扫描提供了允许审计人员扫描Windows网络共享的功能。

它能侦查出共享名称，但不会网络共享的功能它能侦查出共享名称，但不会入侵共享例如，入侵共享例如，Microsoft网络利用网络利用TCP139端端口建立共享更具侵略性的侦查软件有知名的口建立共享更具侵略性的侦查软件有知名的RedButton，许多，许多Internet站点都免费提供下载站点都免费提供下载 RedButton是一个很古老的程序，大多数的系统是一个很古老的程序，大多数的系统管理员和安全管理员都找到了防范它的方法这管理员和安全管理员都找到了防范它的方法这个程序不仅可以侦查出共享名称还可以发现相应个程序不仅可以侦查出共享名称还可以发现相应的密码它还可以获得管理员的账号名称它还可以获得管理员的账号名称 9/23/202447精选课件（（2 2）缺省配置和补丁级扫描）缺省配置和补丁级扫描 黑客和审计人员对系统的缺省配置很黑客和审计人员对系统的缺省配置很了解，可以编制工具查找这些弱点实际了解，可以编制工具查找这些弱点实际上，许多企业级的侦查工具都是针对这些上，许多企业级的侦查工具都是针对这些弱点进行工作的安全专家还知道操作系弱点进行工作的安全专家还知道操作系统工作的细节，根据服务补丁和统工作的细节，根据服务补丁和hot fix的的数量进行升级。

数量进行升级 9/23/202448精选课件（（3）使用）使用Telnet Telnet是远程登录系统进行管理的程序，缺省情况下是远程登录系统进行管理的程序，缺省情况下telnet使用使用23端口当然，也可以利用端口当然，也可以利用Telnet客户端程序客户端程序连接到其他端口连接到其他端口 例如，可以远程连接至例如，可以远程连接至HTTP端口在连接一段时间端口在连接一段时间内若没有任何动作，服务器会因为无法识别这次连接而内若没有任何动作，服务器会因为无法识别这次连接而自动切断但是通常可以从自动切断但是通常可以从HTTP服务器上得到一些信息服务器上得到一些信息例如，可以得知服务厂商的信息、版本（如例如，可以得知服务厂商的信息、版本（如Apache Web Server 1.36或或IIS 4.0）等 虽然信息不是很多，但至少能从报错信息中推断出虽然信息不是很多，但至少能从报错信息中推断出服务器类型，在服务器类型，在Web服务器报错信息中可以看出服务器报错信息中可以看出HTTP服服务器版本，还可以用务器版本，还可以用Telnet连接上系统再使用连接上系统再使用SYST命令，命令，许多许多TCP/IP堆栈会泄漏一些重要的信息堆栈会泄漏一些重要的信息9/23/202449精选课件4．扫描等级．扫描等级 大多数的企业级扫描器允许选择安全扫描的等级。

大多数的企业级扫描器允许选择安全扫描的等级一次轻级别的扫描通常会扫描众所周知的端口（从一次轻级别的扫描通常会扫描众所周知的端口（从0到到1023）和常见的安全漏洞，包括弱口令，低的补丁等级）和常见的安全漏洞，包括弱口令，低的补丁等级和额外的服务如果扫描一个小型的子网大概需要花费和额外的服务如果扫描一个小型的子网大概需要花费30分钟中级和严格级别的扫描根据网络的速度和运行分钟中级和严格级别的扫描根据网络的速度和运行扫描程序的主机扫描程序的主机CPU的时钟速度快慢等因素，通常会花的时钟速度快慢等因素，通常会花费几天的时间费几天的时间 定义严格级别的扫描策略会让扫描器对目标网络发定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击如果设置了规则让扫描器扫描所有的起连续的攻击如果设置了规则让扫描器扫描所有的65,535个端口，还要检测口令强度以及细致地分析从管理个端口，还要检测口令强度以及细致地分析从管理账户到账户到UNIX子系统的每项服务的话，工作量是相当大的子系统的每项服务的话，工作量是相当大的这种扫描不仅费时，而且会极大地加重网络的负担个这种扫描不仅费时，而且会极大地加重网络的负担。

个别主机将无法承受这种扫描别主机将无法承受这种扫描 9/23/202450精选课件5．配置文件和策略．配置文件和策略 在使用任何扫描器前，必须首先定义在使用任何扫描器前，必须首先定义配置文件，然后再实施策略绝大多数的配置文件，然后再实施策略绝大多数的扫描程序事先都定义了一些配置和策略，扫描程序事先都定义了一些配置和策略，但可以根据实际需要对它们进行编辑和增但可以根据实际需要对它们进行编辑和增加需要注意的是要将策略和配置文件结加需要注意的是要将策略和配置文件结合起来 9/23/202451精选课件（（1）报告功能）报告功能 企业级的扫描程序具有细致的报告功能可企业级的扫描程序具有细致的报告功能可以用很多种格式输出信息，包括：以用很多种格式输出信息，包括：   简单的简单的ASCII文本文本   HTML字处理文本格式，如字处理文本格式，如RTF，或一些专利，或一些专利格式，例如格式，例如Microsoft Word（（DOC）或）或Corel Word Perfect（（WPD））  电子表格形式，例如电子表格形式，例如Microsoft Excel   图形格式，包括幻灯片，例如图形格式，包括幻灯片，例如Microsoft PowerPoint 9/23/202452精选课件（（2）报告风险等级）报告风险等级 大多数的网络扫描器将风险分成低、大多数的网络扫描器将风险分成低、中、高三个等级。

应该了解各种扫描器是中、高三个等级应该了解各种扫描器是如何汇报它们扫描结果的即使得出网络如何汇报它们扫描结果的即使得出网络只有低的安全问题，也不应该沾沾自喜只有低的安全问题，也不应该沾沾自喜一名优秀的黑客可以从很小的缺陷入手就一名优秀的黑客可以从很小的缺陷入手就会给系统带来致命的破坏会给系统带来致命的破坏 9/23/202453精选课件（（3））Axcet NetRecon NetRecon是最先为是最先为Windows NT网络设计的网络设计的网络扫描产品之一网络扫描产品之一NetRecon象其他扫描器一样象其他扫描器一样可以发现网络中的各种元素，包括密码检查可以发现网络中的各种元素，包括密码检查 NetRecon可以比较准确地模拟各种攻击可以比较准确地模拟各种攻击NetRecon的界面由三个窗格组成，对象窗口允许的界面由三个窗格组成，对象窗口允许查看每个扫描对象，通过单击可以展开目录结构；查看每个扫描对象，通过单击可以展开目录结构；通过扫描网络，图形窗口显示低、中、高的风险通过扫描网络，图形窗口显示低、中、高的风险等级；状态栏显示扫描的进程可以对网络进行等级；状态栏显示扫描的进程。

可以对网络进行深度扫描，当然这种扫描会耗费大量的时间例深度扫描，当然这种扫描会耗费大量的时间例如，广泛的扫描会花费两天的时间如，广泛的扫描会花费两天的时间 9/23/202454精选课件8.4.3 8.4.3 扫描产品扫描产品1．．NetRecon 在在NetRecon中以一些漏洞列表作为侦查数据中以一些漏洞列表作为侦查数据库，可以将这个列表理解为攻击指纹，但是这个库，可以将这个列表理解为攻击指纹，但是这个名词通常被用于入侵检测系统程序中如果你持名词通常被用于入侵检测系统程序中如果你持有有NetRecon的授权，便可以从的授权，便可以从Axent的的Web站点站点升级这个漏洞列表通过升级这个漏洞列表通过Reprots|view Vulnerability Descriptions菜单，可以查看相关漏菜单，可以查看相关漏洞的描述洞的描述 9/23/202455精选课件下面列出下面列出NetRecon可以扫描出的系统漏洞：可以扫描出的系统漏洞：   Finger服务漏洞服务漏洞   GameOver（远程管理访问攻击）（远程管理访问攻击）   未授权注销禁止未授权注销禁止   服务漏洞，包括服务漏洞，包括SMTP、、DNS、、FTP、、HTTP、、SOCKS代理和低的代理和低的sendmail补丁等级补丁等级大多数网络扫描器，如大多数网络扫描器，如NetRecon，包含了事先定，包含了事先定义好的对象列表。

通过选择义好的对象列表通过选择“Reprots”→“View Objective Descriptions”，可以查看在，可以查看在NetRecon中中已经配置好的当前对象列表已经配置好的当前对象列表 9/23/202456精选课件2．．Network Associates CyberCop Scanner CyberCop Scanner是是Network Associates的的产品，该公司的产品还包括产品，该公司的产品还包括Sniffer Basic（前身（前身是是NetXRay）和其他网络管理软件象）和其他网络管理软件象NetRecon一样，一样，CyberCop Scanner是一个主机级别的审计是一个主机级别的审计程序与Axent的产品一样，的产品一样，CyberCop把各种漏把各种漏洞分类为低、中、高三个等级洞分类为低、中、高三个等级 技术提示：技术提示：CyberCop Monitor不是网络扫描器，不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客你将在本教视，提供报警功能，还能惩罚黑客。

你将在本教程中学习一些入侵检测系统程序程中学习一些入侵检测系统程序 9/23/202457精选课件3．．WebTrends Security Analyzer 该软件以前叫该软件以前叫Asmodeus Security Scanner，，WebTrends的产品在的产品在UNIX和和NT系统下都经过很系统下都经过很好的测试好的测试Security Analyzer的优点之一是与的优点之一是与UNIX搭配使用多年，操作界面简单易用搭配使用多年，操作界面简单易用 在主界面上选择在主界面上选择“Policy”，然后，然后“edit”，这时，这时“Security Analyzer”的选项窗口将出现你可以的选项窗口将出现你可以选择扫描的强度，或编辑已有的策略、建立新的选择扫描的强度，或编辑已有的策略、建立新的策略如果你单击策略如果你单击Host Selection标签，便可以选标签，便可以选择子网内主机的范围择子网内主机的范围9/23/202458精选课件4．．Internet Security Systems的扫描产的扫描产品品 Internet Security Systems是最早生产扫描程是最早生产扫描程序的公司，提供跨操作平台的安全工具包。

序的公司，提供跨操作平台的安全工具包1））ISS Internet Scanner 这款扫描器工作于这款扫描器工作于UNIX和和NT平台，像平台，像Axent NetRecon、、WebTrends Security Analyzer和其他和其他扫描器一样，可以扫描远程主机扫描器一样，可以扫描远程主机Ineternet Scanner有三个模块：有三个模块：intranet、、firewall和和Web服务器，程序的策略是希望将网络服务器，程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案，活动分类，并针对每种活动提供一种扫描方案，也可以在三个模块中定义自己的扫描参数也可以在三个模块中定义自己的扫描参数 9/23/202459精选课件下面是下面是Internet Scanner中的部分扫描项目：中的部分扫描项目：   PHP3缓冲区溢出缓冲区溢出  Teardrop和和Teardrop2攻击攻击   跨网络的协议分析仪（包括跨网络的协议分析仪（包括tcpdump和和Sniffer Basic））   搜索一些搜索一些FTP服务类型，包括服务类型，包括War FTP   SNMP和和RMON检测检测   Whois检测检测   SAMBA溢出溢出   增强的增强的SMS支持支持   增强的增强的NT功能，使它与功能，使它与UNIX一样有效一样有效 9/23/202460精选课件（（2））ISS Security Scanner Security Scanner是基于主机的扫描程是基于主机的扫描程序，它可以深入挖掘系统的情况。

由于是序，它可以深入挖掘系统的情况由于是基于主机的，所以能更深入地扫描系统内基于主机的，所以能更深入地扫描系统内部，在检查像数据库、部，在检查像数据库、FTP和和Web服务等服务等特定的系统时显得十分有用这种程序应特定的系统时显得十分有用这种程序应该运行在考虑到有黑客活动的高风险的系该运行在考虑到有黑客活动的高风险的系统上 9/23/202461精选课件5．其他扫描程序厂商．其他扫描程序厂商其他提供扫描和检测漏洞的产品有：其他提供扫描和检测漏洞的产品有：  Security Dynamics Kane Security Analyst  Netect HackerShield9/23/202462精选课件8.5 攻击与渗透8.5.1 常见攻击类型和特征常见攻击类型和特征 一一旦旦黑黑客客定定位位了了要要攻攻击击的的网网络络，，就就会会选选定定一一个个目目标标进进行行渗渗透透通通常常这这个个目目标标是是安安全全漏漏洞洞最最多多，，或或是是其其拥拥有有最最多多攻攻击击工工具具的主机9/23/202463精选课件1．常见的攻击渗透网络和主机的．常见的攻击渗透网络和主机的方法方法（（1）字典攻击：黑客利用一些自动执行的）字典攻击：黑客利用一些自动执行的程序来猜测用户使用的口令和密码。

程序来猜测用户使用的口令和密码2））Man-in-the-middle攻击：黑客从合法攻击：黑客从合法的传输过程中嗅探密码和信息的传输过程中嗅探密码和信息3）劫持攻击：在双方进行会话时被黑客）劫持攻击：在双方进行会话时被黑客入侵，黑客黑掉其中一方，并冒充他继续入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话与另一方进行会话9/23/202464精选课件（（4）病毒攻击：利用病毒来消耗系统资源病毒攻击：利用病毒来消耗系统资源5）非法服务：是任何未经同意便运行在）非法服务：是任何未经同意便运行在操作系统上的进程或服务操作系统上的进程或服务6）拒绝服务攻击：利用各种程序使系统）拒绝服务攻击：利用各种程序使系统崩溃或消耗带宽崩溃或消耗带宽9/23/202465精选课件2．容易遭受攻击的目标．容易遭受攻击的目标（（1）路由器）路由器 （（2）数据库）数据库 （（3）服务器安全）服务器安全（（4））Web页面涂改页面涂改 （（5）邮件服务）邮件服务 （（6）名称服务）名称服务 9/23/202466精选课件8.5.2 审计系统漏洞审计系统漏洞安全审计系统的主要作用：安全审计系统的主要作用：Ø对潜在的攻击者起到震慑或警告作用。

对潜在的攻击者起到震慑或警告作用Ø对于已经发生的系统破坏行为提供有效的追纠对于已经发生的系统破坏行为提供有效的追纠证据Ø为系统安全管理员提供有何时何地的系统使用为系统安全管理员提供有何时何地的系统使用日志，从而帮助系统安全管理员及时发现系统入日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞侵行为或潜在的系统漏洞Ø为系统安全管理员提供系统运行的统计日志，为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或使系统安全管理员能够发现系统性能上的不足或需要改进的地方需要改进的地方9/23/202467精选课件审计系统漏洞：审计系统漏洞：1．审计．审计Trap Door和和Root Kit 2．审计和后门程序．审计和后门程序 3．审计拒绝服务攻击．审计拒绝服务攻击4．缓冲区溢出．缓冲区溢出 5．．Telnet的拒绝服务攻击的拒绝服务攻击 6．．Windows NT的的TCP port 3389存在漏洞存在漏洞 7．特洛伊木马．特洛伊木马 8．蠕虫．蠕虫 9/23/202468精选课件8.5.3 结合所有攻击定制审计策略结合所有攻击定制审计策略 1．设备和服务．设备和服务 2．物理接触．物理接触 3．操作系统策略．操作系统策略 4．较弱的密码策略．较弱的密码策略 5．较弱的系统策略．较弱的系统策略 6．审计文件系统漏洞．审计文件系统漏洞 7．．IP欺骗和劫持欺骗和劫持9/23/202469精选课件8.6 入侵监测系统IDS8.6.1 入侵监测的功能入侵监测的功能1．什么是入侵监测．什么是入侵监测 入侵监测系统处于防火墙之后对网络入侵监测系统处于防火墙之后对网络活动进行实时检测。

许多情况下，由于可活动进行实时检测许多情况下，由于可以记录和禁止网络活动，所以入侵监测系以记录和禁止网络活动，所以入侵监测系统是防火墙的延续，它们可以与防火墙和统是防火墙的延续，它们可以与防火墙和路由器配合工作路由器配合工作9/23/202470精选课件 入侵监测就是通过从计算机网络或计入侵监测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的违反安全策略的行为和遭到袭击的迹象的一种安全技术一种安全技术入侵监测系统（入侵监测系统（IDS）被认为是防火）被认为是防火墙之后的第二道安全闸门墙之后的第二道安全闸门IDS扫描当前网扫描当前网络的活动，监视和记录网络的流量，根据络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警的流量，提供实时报警9/23/202471精选课件2．入侵监测的功能．入侵监测的功能 （（1）网络流量管理）网络流量管理 （（2）系统扫描）系统扫描（（3）追踪）追踪 ：：IDS所能做到的不仅仅是记录所能做到的不仅仅是记录事件，它还可以确定事件发生的位置。

事件，它还可以确定事件发生的位置9/23/202472精选课件8.6.2 入侵监测系统的构架入侵监测系统的构架·网络级网络级IDS：网络级：网络级IDS程序同时充当管程序同时充当管理者和代理的身份，安装理者和代理的身份，安装IDS的主机完成所的主机完成所有的工作，网络只是接受被动的查询有的工作，网络只是接受被动的查询 这种入侵监测系统的优点是很容易安这种入侵监测系统的优点是很容易安装和实施，通常只需要将程序在主机上安装和实施，通常只需要将程序在主机上安装一次它尤其适合阻止扫描和拒绝服务装一次它尤其适合阻止扫描和拒绝服务攻击 9/23/202473精选课件·主机级主机级IDS ：主机级：主机级IDS 结构使用一个管结构使用一个管理者和数个代理，管理者向代理发送查询理者和数个代理，管理者向代理发送查询请求，代理向管理者回报网络中主机传输请求，代理向管理者回报网络中主机传输信息的情况代理和管理者之间直接通信，信息的情况代理和管理者之间直接通信，解决了复杂网络中的许多问题解决了复杂网络中的许多问题9/23/202474精选课件按照监测的对象分：按照监测的对象分：●基于主机的入侵监测系统基于主机的入侵监测系统●基于网络的入侵监测系统基于网络的入侵监测系统●混合型入侵监测系统混合型入侵监测系统按照工作方式分：按照工作方式分：●离线监测系统离线监测系统●监测系统监测系统9/23/202475精选课件入侵检测的过程入侵检测的过程●信息收集。

内容包括系统、网络、数据及信息收集内容包括系统、网络、数据及用户活动的状态和行为用户活动的状态和行为 ●信息分析收集到的信息，被送到检测引信息分析收集到的信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性术手段进行分析：模式匹配、统计分析和完整性分析当检测到某种误用模式时，产生一个告警分析当检测到某种误用模式时，产生一个告警并发送给控制台并发送给控制台 ●结果处理控制台按照告警产生预先定义结果处理控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警也可以只是简单的告警9/23/202476精选课件入侵检测系统的结构入侵检测系统的结构由于入侵监测环境和系统安全策略的由于入侵监测环境和系统安全策略的不同，不同，IDS在具体实现上也存在差异在具体实现上也存在差异从系统构成上看，从系统构成上看，IDS包括事件提取、包括事件提取、入侵分析、入侵响应和远程管理入侵分析、入侵响应和远程管理4部分。

部分另外，还可能结合安全知识库、数据另外，还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检存储等功能模块，提供更为完善的安全检测和数据分析功能测和数据分析功能9/23/202477精选课件入侵检测系统的结构9/23/202478精选课件8.6.3 入侵检测方法入侵检测方法1．混合入侵检测．混合入侵检测 （（1）规则）规则 （（2）网络异常的监测）网络异常的监测 （（3）网络误用监测）网络误用监测 9/23/202479精选课件2 常用入侵检测技术常用入侵检测技术●特征检测特征检测 对已知的攻击或入侵的方式作出确定性的描述，对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式形成相应的事件模式 ●统计检测统计检测 统计模型用于异常检测，常用的参数包括：审统计模型用于异常检测，常用的参数包括：审计事件的数量、间隔时间、资源消耗情况等计事件的数量、间隔时间、资源消耗情况等●专家系统专家系统 关键技术是对入侵的特征抽取与表达关键技术是对入侵的特征抽取与表达●文件完整性检查文件完整性检查 检查计算机自上次检查后文件的变化情况。

检查计算机自上次检查后文件的变化情况9/23/202480精选课件2．入侵检测产品选择要点．入侵检测产品选择要点 当选择入侵监测系统时，要考虑的有如下几当选择入侵监测系统时，要考虑的有如下几个要点 （（1）系统的价格）系统的价格 价格是必须考虑的要点不过，性能价格比、价格是必须考虑的要点不过，性能价格比、以及要保护的系统价值应该是更重要的因素以及要保护的系统价值应该是更重要的因素 （（2）特征库升级与维护的费用）特征库升级与维护的费用 象反病毒软件一样，入侵检测的特征库需要象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法不断更新才能检测出新出现的攻击方法 9/23/202481精选课件（（3 3）对于网络入侵检测系统，最大可处理）对于网络入侵检测系统，最大可处理流量流量( (包包/ /秒，秒，PPS) PPS) 首先，要分析网络入侵检测系统所布首先，要分析网络入侵检测系统所布署的网络环境，如果在署的网络环境，如果在512K或或2M专线上专线上布署网络入侵检测系统，则不需要高速的布署网络入侵检测系统，则不需要高速的入侵检测引擎；在负荷较高的环境中，性入侵检测引擎；在负荷较高的环境中，性能是一个非常重要的指标。

能是一个非常重要的指标 9/23/202482精选课件（（4 4）该产品易被躲避性）该产品易被躲避性 有些常用的躲开入侵检测的方法，如分片、有些常用的躲开入侵检测的方法，如分片、TTL欺骗、异常欺骗、异常TCP分段、慢扫描、协同攻击等，分段、慢扫描、协同攻击等，该产品是否都有识别这些入侵的手段该产品是否都有识别这些入侵的手段 （（5）产品的可伸缩性）产品的可伸缩性 产品的可伸缩性是指系统支持的传感器数目、产品的可伸缩性是指系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理和对审计日志溢出的处理 9/23/202483精选课件（（6）运行与维护系统的开销）运行与维护系统的开销 产品报表结构、处理误报的方便程度、事件产品报表结构、处理误报的方便程度、事件与日志查询的方便程度以及使用该系统所需的技与日志查询的方便程度以及使用该系统所需的技术人员数量，这些都属于产品维护时的开销术人员数量，这些都属于产品维护时的开销 （（7）产品支持的入侵特征数）产品支持的入侵特征数 不同厂商对检测特征库大小的计算方法都不不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

一样，所以不能偏听一面之辞9/23/202484精选课件（（8）产品有哪些响应方法）产品有哪些响应方法 要从本地、远程等多个角度考察产品要从本地、远程等多个角度考察产品例如，自动更改防火墙配置是一个听上去例如，自动更改防火墙配置是一个听上去很很“酷酷”的功能，但是，自动配置防火墙可的功能，但是，自动配置防火墙可是一个极为危险的举动是一个极为危险的举动 （（9）是否通过了国家权威机构的评测）是否通过了国家权威机构的评测 主要的权威测评机构有：国家信息安主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心安全产品质量监督检验中心9/23/202485精选课件8.7 审 计 结 果1．建立审计报告．建立审计报告2．安全审计和安全标准．安全审计和安全标准 9/23/202486精选课件。