1、第4章 黑客攻防与检测技术,清华大学出版社,网络安全实用技术,主编贾铁军 副主编常艳 俞小怡编著 侯丽波 宋少婷 熊鹏,高等院校计算机与信息类规划教材,目 录,目 录,本章要点 黑客基础知识及防范攻击的措施和方法 常见黑客攻防技术及应用 常用入侵检测技术及防御系统概念、功能与应用 Sniffer检测实验教学目标 掌握黑客基础知识、入侵检测概念 熟悉黑客常用的攻击方法及攻击步骤 掌握黑客攻防措施和方法 掌握入侵检测系统功能、工作原理、特点及应用 了解入侵检测与防范技术的发展趋势,重点,4.1 网络黑客概述,4.1.1 黑客概念及类型 1. 黑客及其演变,“黑客”是英文“Hacker”的译音,源于
2、Hack,本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的人的代言词。,“骇客”是英文“Cacker”的译音,意为“破译者和搞破坏的人”。是指那些在计算机技术上有一定特长,非法闯入远程计算机及其网络系统,获取和破坏重要数据,或为私利而制造麻烦的具有恶意行为特征的人。骇客的出现玷污了黑客,使人们把“黑客”和“骇客”混为一体。,2. 中国黑客的形成与发展,4.1 网络黑客概述,1994年4月20日,中国国家计算与网络设施工程(The National Computing and Net
3、working Facility of China ,NCFC)通过美国Sprint公司,连入Internet的64K国际专线并开通,实现了与Internet的全功能连接。中国成为直接接入Internet的国家,互联网终于面向中国人民开放了。从那时起,中国黑客开始了原始萌动。 时至今日,国内黑客中却是为了谋取暴利而散发木马等行为的“毒客”占主流。中国互联网形成了惊人完善的黑客病毒产业链,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,分工明确。从反传统反商业、带着理想主义和政治热情的红客占主流到近年非法牟利的毒客横行,这是一个无奈的变化。,3. 黑客的类型,4.1 网络黑客概述,把黑客
4、大分为“正”、“邪”两类,也就是我们经常听说的“黑客”和“红客”。,把黑客分红客、破坏者和间谍三种类型,红客是指“国家利益至高无上”的、正义的“网络大侠”;破坏者也称“骇客”;间谍是指“利益至上”的计算机情报“盗猎者”。,4.1 网络黑客概述,4.1.2 黑客概念及类型 1. 黑客攻击的主要原因 漏洞,漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可使攻击者能够在未授权的情况下访问或破坏系统。,造成漏洞的原因分析如下:1)计算机网络协议本身的缺陷。 2)系统开发的缺陷。3)系统配置不当。4)系统安全管理中的问题。,2. 黑客入侵通道 端口,4.1 网络黑客概述
5、,计算机通过端口实现与外部通信的连接,黑客攻击是将系统和网络设置中的各种端口作为入侵通道。这里所指的端口是逻辑意义上的端口,是指网络中面向连接服务和无连接服务的通信协议端口(Protocol port),是一种抽象的软件结构,包括一些数据结构和I/O(输入/输出)缓冲区。端口号:端口通过端口号标记(只有整数),范围: 065535(216-1) 目的端口号:用来通知传输层协议将数据送给哪个软件来处 理。源端口号:一般是由操作系统自己动态生成的一个从1024 65535的号码。,3. 端口分类,4.1 网络黑客概述,按端口号分布可分为三段:1)公认端口 ( 01023 ),又称常用端口,为已经公
6、认定义或 为将要公认定义的软件保留的。这些端口紧密绑定一些服务且明确表示了某种服务协议。如80端口表示HTTP协议。2)注册端口 ( 102449151 ),又称保留端口, 这些端口松散绑定一些服务。3)动态/私有端口(4915265535)。理论上不应为服务器分配这些端口。 按协议类型将端口划分为TCP和UDP端口:1)TCP端口是指传输控制协议端口,需要在客户端和服务器之间建立连接,提供可靠的数据传输。如Telnet服务的23端口。2)UDP端口是指用户数据包协议端口,不需要在客户端和服务器之间建立连接。常见的端口有DNS服务的53端口。,课堂讨论:1. 什么是安全漏洞?为什么网络存在着的
7、安全漏洞?2. 计算机网络安全面临的黑客攻击方法有哪些?举例说明。3. 网络黑客通道 - 端口有哪些?特点是什么?,4.1 网络黑客概述,4.2.1 黑客攻击的目的,4.2 黑客攻击的目的及步骤,黑客行为:盗窃资料;攻击网站;进行恶作剧;告知漏洞;获取目标主机系统的非法访问权等。,黑客攻击目的:其一,为了得到物质利益。物质利益是指获取金钱和财物;其二,为了满足精神需求。精神需求是指满足个人心理欲望,4.2.2 黑客攻击的步骤 黑客攻击步骤变幻莫测,但其整个攻击过程有一定规律,一般可分为“攻击五部曲”。,4.2 黑客攻击的目的及步骤,隐藏IP,踩点扫描,黑客利用程序的漏洞进入系统后安装后门程序,
8、以便日后可以不被察觉地再次进入系统。,就是隐藏黑客的位置,以免被发现。,主要是通过各种途径对所要攻击的目标进行多方了解,确保信息准确,确定攻击时间和地点。,获得特权,种植后门,隐身退出,即获得管理权限。,黑客一旦确认自己是安全的,就开始侵袭网络,为了避免被发现,黑客在入侵完毕后会及时清除登录日志以 及其他相关日志,隐身退出。,课堂讨论:1. 黑客攻击的目的与步骤?2. 黑客找到攻击目标后,会继续那几步的攻击操作?3. 黑客的行为有哪些?,4.2 黑客攻击的目的及步骤,4.3.1 端口扫描攻防 端口扫描是管理员发现系统的安全漏洞,加强系统的安全管理,提高系统安全性能的有效方法。但是,端口扫描也成
9、为黑客发现获得主机信息的一种最佳手段。1.端口扫描及扫描器 (1)端口扫描。使用端口扫描工具(程序)检查目标主机在哪些端口可以建立TCP 连接,如果可以建立连接,则说明主机在那个端口被监听。(2)扫描器。扫描器也称扫描工具或扫描软件,是一种自动检测远程或本地主机安全性弱点的程序。,4.3 常用的黑客攻防技术,4.3.1 端口扫描攻防2. 端口扫描方式 端口扫描的方式有手工命令行方式和扫描器扫描方式。 手工扫描,需要熟悉各种命令,对命令执行后的输出进行分析。如,Ping命令、Tracert命令、rusers和finger命令(后两个是Unix命令)。 扫描器扫描,许多扫描软件都有分析数据的功能。
10、如,SuperScan、Angry IP Scanner、X-Scan、X-Scan、SAINT (Security Administrators Integrated Network Tool,安全管理员集成网络工具)、 Nmap、TCP connect 、TCP SYN 等,4.3 常用的黑客攻防技术,4.3.1 端口扫描攻防3端口扫描攻击 端口扫描攻击采用探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发
11、动各种攻击的端口。,4.3 常用的黑客攻防技术,4.3.1 端口扫描攻防4.端口扫描的防范对策 端口扫描的防范又称系统“加固”。网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻端口扫描攻击防范端口扫描的主要方法有两种: (1) 关闭闲置及有潜在危险端口 方式一:定向关闭指定服务的端口。计算机的一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了。,4.3 常用的黑客攻防技术,操作方法与步骤:1)打开“控制面板”窗口。 鼠标单击“状态栏”左边“开始”按钮,弹出开始菜单。在开始菜单上选择“设置” “控制面板”。2)打开“服务”窗口。 在“控制面板”窗
12、口上,双击“管理工具”。在“管理工具”窗口上,双击“服务”。在“服务”窗口上的右侧,选择DNS。3)关闭DNS服务 在“DNS Client 的属性”窗口。启动类型项:选择“自动”。服务状态项:选择 。选择。在服务选项中选择关闭掉计算机的一些没有使用的服务,如FTP服务、DNS服务、IIS Admin服务等,它们对应的端口也被停用了。,4.3 常用的黑客攻防技术,关闭DNS端口服务,4.3.1 端口扫描攻防 方式二:只开放允许端口。可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。 (2) 屏蔽出现扫描症状的端口 检查各端口,有端口扫描症状
13、时,立即屏蔽该端口。,4.3 常用的黑客攻防技术,4.3.2 网络监听攻防 网络监听的检测 在Linux 下对嗅探攻击检测方法:一般只要检查网卡是否处于混杂模式就可以了;而在Windows 平台中,可以执行“C:WindowsDrwatson.exe”程序检查一下是否有嗅探程序在运行即可。 另外,还有几种方法也可以帮助检测或预防网络监听。如对于怀疑运行监听程序的机器,可以使用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应;从逻辑或物理上对网络分段;运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵等。使用软件监听。如:Sniffer
14、软件等,4.3 常用的黑客攻防技术,4.3.3 密码破解攻防 1. 密码破解攻击的方法 (1)通过网络监听非法得到用户口令 (2)利用Web页面欺骗 (3)强行破解用户口令 (4)密码分析的攻击 (5) 放置木马程序,4.3 常用的黑客攻防技术,4.3.3 密码破解攻防2. 密码破解防范对策 通常保持密码安全应注意如下要点: 1) 不要将密码写下来,以免遗失; 2) 不要将密码保存在电脑文件中; 3) 不要选取显而易见的信息做密码; 4) 不要让他人知道; 5) 不要在不同系统中使用同一密码; 6) 在输入密码时应确认身边无人或其他人在1米线外看不到 输入密码的地方; 7) 定期改变密码,至少
15、25 个月改变一次。,4.3 常用的黑客攻防技术,4.3.4 特洛伊木马攻防1特洛伊木马 特洛伊木马(Trojan horse),简称“木马”。黑客借用古希腊神话木马屠城记其名,将隐藏在正常程序中的一段恶意代码称作特洛伊木马。 木马系统组成:由硬件部分、软件部分和具体连接部分组成。一般的木马程序都包括客户端和服务端两个程序,客户端用于远程控制植入木马,服务器端即是木马程序。 木马特点:伪装成一个实用工具、可爱的游戏,诱使用户将其安装在PC或者服务器上;侵入用户电脑并进行破坏;没有复制能力;一般木马执行文件非常小,如果把木马捆绑到其他正常文件上,你很难发现;木马可以和最新病毒、漏洞利用工具一起使
16、用,几乎可以躲过各大杀毒软件。,4.3 常用的黑客攻防技术,4.3.4 特洛伊木马攻防2特洛伊木马攻击过程 木马攻击的基本过程分为6个步骤:,4.3 常用的黑客攻防技术,配置木马,传播木马,运行木马,泄露信息,建立连接,远程控制,4.3.4 特洛伊木马攻防3. 特洛伊木马程序的防范对策 提高防范意识,在打开或下载文件之前,一定要确认文件的来源是否可靠;阅读readme.txt,并注意readme.exe;使用杀毒软件;发现有不正常现象出现立即挂断;监测系统文件和注册表的变化;备份文件和注册表。 特别需要注意不要轻易运行来历不明软件或从网上下载的软件(即使通过了一般反病毒软件的检查);不要轻易相
17、信熟人发来的E-Mail不会有黑客程序;不要在聊天室内公开自己的E-Mail 地址,对来历不明的E-Mail 应立即清除;不要随便下载软件,特别是不可靠的FTP 站点;不要将重要密码和资料存放在上网的计算机中,以免被破坏或窃取。,4.3 常用的黑客攻防技术,4.3.5 缓冲区溢出攻防网络监听攻防1. 缓冲区溢出 缓冲区溢出是指当计算机向缓冲区内填充数据时,超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。 缓冲区溢出的原理。简单地说,缓冲区溢出的原因是由于字符串处理函数(gets,strcpy等)没有对数组的越界加以监视和限制,结果覆盖了老的堆栈数据。2. 缓冲区溢出攻击 3缓冲区溢出攻击的
18、防范方法 1) 编写程序中应该时刻注意的问题。 2) 改进编译器。 3) 利用人工智能的方法检查输入字段。 4) 程序指针完整性检查。,4.3 常用的黑客攻防技术,4.3.6 拒绝服务攻防1. 拒绝服务攻击 拒绝服务是指通过反复向某个Web站点的设备发送过多的信息请求,堵塞该站点上的系统,导致无法完成应有的网络服务。 拒绝服务按入侵方式可分:资源消耗型、配置修改型、物理破坏型以及服务利用型。 拒绝服务攻击(Denial of Service,简称DoS),是指黑客利用合理的服务请求来占用过多的服务资源,使合法用户无法得到服务的响应,直至瘫痪而停止提供正常的网络服务的攻击方式。,4.3 常用的黑
19、客攻防技术,4.3.6 拒绝服务攻防 分布式拒绝服务攻击(Distributed Denial of Service,DDoS),是在传统的DoS攻击基础之上产生的一类攻击方式,是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击。 DDoS攻击的类型。带宽型攻击和应用型攻击。 DDoS攻击的方式。通过使网络过载来干扰甚至阻断正常的网络通讯;通过向服务器提交大量请求,使服务器超负荷;阻断某一用户访问服务器;阻断某服务与特定系统或个人的通讯,4.3 常用的黑客攻防技术,4.3.6 拒绝服务攻防2. 常见的拒绝服务攻击 1)Flooding攻击。 2) SY
20、N flood攻击。 3)LAND attack攻击。 4) ICMP floods 是通过向设置不当的路由器发送广播信息占 用系统资源的做法。 5)Application level floods 主要是针对应用软件层的。,4.3 常用的黑客攻防技术,4.3.6 拒绝服务攻防3. 拒绝服务攻击检测与防范 检测方法:根据异常情况分析和使用DDoS检测工具 防范策略: 1)尽早发现系统存在的攻击漏洞,及时安装系统补丁程序; 2)在网络管理方面,要经常检查系统的设置环境,禁止那些不必 要的网络服务; 3)利用网络安全设备(如防火墙)等来加固网络的安全性; 4)比较好的防御措施就是与网络服务提供商协
21、调工作,帮助用户 实现路由的访问控制和对带宽总量的限制; 5)当发现主机正在遭受DDoS攻击时,应当启动应付策略,尽快追 踪攻击包,并及时联系ISP和有关应急组织,分析受影响的系统, 确定涉及的其他节点,从而阻挡已知攻击节点的流量; 6)对于潜在的DDoS攻击,应当及时清除,以免留下后患。,4.3 常用的黑客攻防技术,4.3.7 其他攻防技术1. WWW的欺骗技术 WWW的欺骗是指黑客篡改访问站点页面内容或将用户要浏览的网页URL改写为指向黑客自己的服务器。 “网络钓鱼”(Phishing)是指利用欺骗性很强、伪造的Web站点来进行诈骗活动,目的在于钓取用户的账户资料,假冒受害者进行欺诈性金融
22、交易,从而获得经济利益。可以被用作网络钓鱼的攻击技术有:URL编码结合钓鱼技术,Web漏洞结合钓鱼技术,伪造Email地址结合钓鱼技术,浏览器漏洞结合钓鱼技术。 防范攻击可以分为两个方面:其一,对钓鱼攻击利用的资源进行限制。如Web漏洞是Web 服务提供商可以直接修补的;邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件.;其二,及时修补漏洞。如浏览器漏洞,大家就必须打上补丁,防御攻击者直接使用客户端软件漏洞发起钓鱼攻击。各安全软件厂商也可以提供修补客户端软件漏洞的功能。,4.3 常用的黑客攻防技术,4.3.7 其他攻防技术2. 电子邮件攻击 电子邮件欺骗是攻击方式之一,攻击
23、者佯称自己为系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。 防范电子邮件攻击的方法: 1) 解除电子邮件炸弹。 2) 拒收某用户信件方法。3通过一个节点来攻击其他节点 4利用缺省帐号进行攻击,4.3 常用的黑客攻防技术,4.4.1 防范攻击的策略 在主观上重视,客观上积极采取措施。制定规章制度和管理制度,普及网络安全教育,使用户需要掌握网络安全知识和有关的安全策略。在管理上应当明确安全对象,设置强有力的安全保障体系,按照安全等级保护条例对网络实施保护与监督。认真制定有针对性的防攻措施,采用科学的方法和行之有效
24、的技术手段,有的放矢,在网络中层层设防,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。在技术上要注重研发新方法,同时还必须做到未雨稠缪,预防为主,将重要的数据备份(如主机系统日志)、关闭不用的主机服务端口、终止可疑进程和避免使用危险进程、查询防火墙日志详细记录、修改防火墙安全策略等等。,4.4 防范攻击的策略和措施,4.4.2 防范攻击的措施1)提高安全防范意识。2)及时下载、安装系统补丁程序。3)尽量避免从Internet下载不知名的软件、游戏程序。4)不要随意打开来历不明的电子邮件及文件,不要随便运行不熟悉的人给用户的程序。5)不随便运行黑客程序,不少这类程序运行时会发出用户的个
25、人信息。6)在支持HTML的BBS上,如发现提交警告,先看源代码,可能是骗取密码的陷阱7)设置安全密码。使用字母数字混排,常用的密码设置不同,重要密码最好经常更换。8)使用防病毒、防黑客等防火墙软件,以阻档外部网络的侵入。 9)隐藏自已的IP地址。 10) 切实做好端口防范。安装端口监视程序,另一方面将不用的一些端口关闭。11) 加强IE浏览器对网页的安全防护。12) 上网前备份注册表。13)加强管理。,4.4 防范攻击的策略和措施,4.4 防范攻击的策略和措施,个人用户应通过对IE属性的设置来提高IE访问网页的安全性方法如下: 提高IE安全级别。操作方法:打开IE“工具”“Internet选
26、项”“安全”“Internet区域”,将安全级别设置为“高”。 禁止ActiveX控件和JavaApplets的运行。操作方法:打开IE “工具”“Intemet选项” “安全”“自定义级别”,在“安全设置”对话框中找到ActiveX控件相关的设置,将其设为“禁用”或“提示”即可。 禁止Cookie。由于许多网站利用Cookie记录网上客户的浏览行为及电子邮件地址等信息,为确保个人隐私信息的安全,可将其禁用。操作方法:在任一网站上选择 “工具” “Internet选项” “安全” “自定义级别”,在“安全设置”对话框中找到Cookie相关的设置,将其设为“禁用”或“提示”即可。 将黑客网站列入
27、黑名单,将其拒之门外。操作方法:在任一网站上选择“工具”“Internet选项” “内容”“分级审查”“启用”,在“分级审查”对话框的“许可站点”下输入黑客网站地址,并设为“从不”即可。及时安装补丁程序,以强壮IE。应及时利用微软网站提供的补丁程序来消除这些漏洞,提高IE自身的防侵入能力。,4.4 防范攻击的策略和措施,课堂讨论1. 为什么要防范黑客攻击?如何防范黑客攻击?2. 简述网络安全防范攻击的基本措施有哪些?3. 说出几种通过对IE属性的设置来提高IE访问网页的安全性 的具体措施?,4.5.1 入侵检测的概念1. 入侵 “入侵”是一个广义上的概念,所谓入侵是指任何威胁和破坏系统资源的行
28、为。实施入侵行为的“人”称为入侵者。攻击是入侵者进行入侵所采取的技术手段和方法。 入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击,有时也把入侵者称为攻击者。2.入侵检测 入侵检测(Intrusion Detection,ID)是指“通过对行为、安全日志或审计数据或其它网络上可获得的信息进行操作,检测到对系统的闯入或闯入的企图”(国标GB/T18336)。,4.5 入侵检测概述,4.5.1 入侵检测的概念3.入侵检测系统 入侵检测系统(Intrusion Detection System,IDS),是对入侵自动进行检测、监控和分析过程的软件与硬件的组合系统,是一种自动监测信息系统内、外入
29、侵的安全设备。IDS通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。,4.5 入侵检测概述,4.5.2 入侵检测系统的功能及分类1. IDS基本结构 IDS主要由事件产生器、事件分析器、事件数据库、响应单元等构成。2. IDS的功能 1) 对网络流量的跟踪与分析功能。 2)对已知攻击特征的识别功能。 3)对异常行为的分析、统计与响应功能。 4)特征库的在线升级功能。 5)数据文件的完整性检验功能。 6)自定义特征的响应功能。 7)系统漏洞的预报警功能。,4.5 入侵检测概述,4.5.2 入侵检测系统
30、的功能及分类3. IDS分类 1)按照体系结构分为:集中式和分布式。 2)按照工作方式分为:离线检测和在线检测。 3)按照所用技术分为:特征检测和异常检测 4)按照检测对象(数据来源)分为:基于主机、基于网 络和分布式(混合型)。,4.5 入侵检测概述,4.5.3 常见入侵检测的方法1. 特征检测 特征检测,对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。2. 异常检测 异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。 常用的入侵检测5种统计模型: 1)操作模型。2)方差。3)多元模型。4)
31、马尔柯夫过程模型。5)时间序列分析。,4.5 入侵检测概述,4.5.4 入侵检测及防御系统1.入侵检测系统 (1) 基于主机的入侵检测系统(HIDS) HIDS是以系统日志、应用程序日志等作为数据源,也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。HIDS一般是保护所在的系统,HIDS经常运行在被监测的系统之上,监测系统上正在运行的进程是否合法。优点:对分析“可能的攻击行为”非常有用。HIDS与NIDS相比通常能够提供更详尽的相关信息,误报率要低,系统的复杂性也少得多。 弱点:HIDS安装在我们需要保护的设备上,这会降低应用系统的效率,也会带来一些额外的安全问题。HIDS的另
32、一个问题是它依赖于服务器固有的日志与监视能力,如果服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。,4.5 入侵检测概述,4.5 入侵检测概述,(2) 基于网络的入侵检测系统(NIDS) NIDS又称嗅探器,通过在共享网段上对通信数据的侦听采集数据,分析可疑现象(将NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包。NIDS的输入数据来源于网络的信息流)。该类系统一般被动地在网络上监听整个网络上的信息流,通过捕获网络数据包,进行分析,检测该网段上发生的网络入侵,如图4-8示。,4.5 入侵检测概述,(3)分布式入侵检测系统 DIDS是将基于主机
33、和基于网络的检测方法集成到一起,即混合型入侵检测系统。系统一般由多个部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整个网络上的主机入侵。,4.5.4 入侵检测及防御系统2. 入侵防御系统(Intrusion Prevent System,IPS) IPS是能够监视网络或网络设备的网络资料传输行为,及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS也像IDS一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数
34、据流,丢弃有害数据包,并进行记载,以便事后分析。,4.5 入侵检测概述,4.5.5 入侵检测及防御技术的发展趋势1.入侵检测及防御技术发展趋势 三个方向发展: 1)分布式入侵检测:第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的 关键技术为检测信息的 协同处理与入侵攻击的全局信息的提取。 2)智能化入侵检测:使用智能化的方法与手段来进行入侵检测。 3)全面的安全防御方案:,4.5 入侵检测概述,4.5.5 入侵检测及防御技术的发展趋势2. 统一威胁管理 统一威胁管理 (Unified Threat Management,UTM),2004年9月
35、,全球著名市场咨询顾问机构IDC(国际数据公司),首度提出此概念,将防病毒、入侵检测和防火墙安全设备划归统一威胁管理。 目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,主要提供安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。,4.5 入侵检测概述,4.5.5 入侵检测及防御技术的发展趋势 (1)UTM重要特点 1)建一个更高,更强,更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝 服务,黑客攻击等这样的一些外部的威胁起到综合检测网络全协议层防御;
36、2)有高检测技术来降低误报; 3)有高可靠,高性能的硬件平台支撑。 UTM优点:整合所带来的成本降低、降低信息安全工作强度、降低技术复杂度。,4.5 入侵检测概述,4.5.5 入侵检测及防御技术的发展趋势(2)UTM的技术架构 1)完全性内容保护(Complete Content Protection,CCP),对OSI模型中描述的所有层次的内容进行处理;2)紧凑型模式识别语言(Compact Pattern Recognition Language,CPRL),是为了快速执行完全内容检测而设计的。3)动态威胁防护系统(Dynamic Threat Prevention System),是在传
37、统的模式检测技术上结合了未知威胁处理的防御体系。动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间共享使用,以达到检测准确率和有效性的提升。这种技术是业界领先的一种处理技术,也是对传统安全威胁检测技术的一种颠覆。,4.5 入侵检测概述,4.5.5 入侵检测及防御技术的发展趋势 UTM产品中就将集成进更多的功能要素,不仅仅是防病毒、防火墙和入侵检测,访问控制、安全策略等更高层次的管理技术将被集成进UTM体系从而使组织的安全设施更加具有整体性。UTM安全设备的大量涌现还将加速催生各种技术标准、安全协议的产生。未来的信息安全产品不仅仅需要自身具有整合性,更需要不同种类不同厂商产品的整合
38、,以最终形成在全球范围内进行协同的 安全防御体系。在未来不但会制订出更加完善的互操作标准,还会推出很多得到业内广泛支持的协议和语言标准,以使不同的产品尽可能拥有同样的“交谈”标准。最终安全功能经过不断的整合将发展得象网络协议一样“基础”,成为一种内嵌在所有系统当中的对用户透明的功能。,4.5 入侵检测概述,4.5 入侵检测概述,课堂讨论:1. 入侵检测系统的功能是什么?2. 计算机网络安全面临的主要威胁类型有哪些?3. 入侵检测技术发展的趋势。,4.6 Sniffer检测实验,4.6.1 实验目的 利用Sniffer软件捕获网络信息数据包,然后通过解码进行分析。4.6.2 实验要求及方法1.
39、实验环境 1)硬件:三台PC计算机。单机基本配置参见教材表4-1。 2)软件:操作系统Windows 2003 Server SP4以上; Sniffer 软件。2注意事项 本实验是在虚拟实验环境下完成,如要在真实的环境下完成,则网络设备应该选择集线器或交换机。如果是交换机,则在C机上要做端口镜像。,4.6 Sniffer检测实验,3.实验方法 三台PC机的IP地址及任务分配见下表。,4.6 Sniffer检测实验,4.6.3 实验内容及步骤1. 实验内容 三台PC机,其中用户Zhao利用已建好的账号在A机上登录到B机已经搭建好的FTP服务器,用户Tom在此机利用Sniffer软件捕获 Zha
40、o的账号和密码。2. 实验步骤(1)在C机上安装Sniffer软件。启动Sniffer进入主窗口,见下图4-9所示。,4.6 Sniffer检测实验,4.6.3 实验内容及步骤2. 实验步骤(2)在进行流量捕捉之前,首先选择网络适配器,确定从计算机的哪个适配器上接收数据,并把网卡设成混杂模式。网卡混杂模式,就是把所有数据包接收下来放入内存进行分析。设置方法:单击“File” “Select Settings”命令,在弹出的对话框中设置,见图4-10所示。,4.6 Sniffer检测实验,4.6.3 实验内容及步骤2. 实验步骤 (3)新建一个过滤器。设置方法为: 1)单击“Capture”“D
41、efine Filter” 命令进入Define Filter Capture窗 口。 2)单击命令,打开Capture Profiles对话框; 单击按钮。在New Profiles Name 文本框中输入ftp_test; 单击按钮。在Capture Profiles对话框中单击按钮,见图4-11所示。,图4-11 新建过滤器窗口之一,4.6 Sniffer检测实验,4.6.3 实验内容及步骤2. 实验步骤(4)在“Define Filter”对话框的Address选项卡中,设置地址的类型为IP,并在Station1和Station2中分别制定要捕获的地址对,见图4-12所示。,图4-12
42、 设置地址类型为IP,4.6 Sniffer检测实验,4.6.3 实验内容及步骤2. 实验步骤(5) 在“Define Filter”对话框的Advanced选项卡中,指定要捕获的协议为FTP。(6)主窗口中,选择过滤器为ftp_test,然后单击“Capture”“Start”,开始进行捕获。(7)用户Zhao在A机上登录到FTP服务器。(8)当用户用名字Zhao及密码登录成功时,Sniffer的工具栏会显示捕获成功的标志。(9)利用专家分析系统进行解码分析,可以得到基本信息,如用户名、客户端IP等。,4.7 本章小结,本章概述了黑客的概念、形成与发展,简单介绍黑客产生的原因、攻击的方法、步骤;重点介绍常见的黑客攻防技术,包括网络端口扫描攻防、网络监听攻防、密码破解攻防、特洛伊木马攻防、缓冲区溢出攻防、拒绝服务攻击和其他攻防技术;同时讨论了防范攻击的具体措施和步骤;最后,概述了入侵检测系统的概念、功能、特点、分类、检测过程、常用检测技术和方法、实用入侵检测系统、统一威胁管理和入侵检测技术发展趋势等。,诚挚谢意!,
