WIN2000的入侵检测系统实例分析

1、WIN 2000 的入侵检测系统实例分析王伟( 湖北省公众气象服务中心, 武汉 430074)摘 要: 入侵检测系统能发觉入侵行为并且采取相应的措施。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。该文通过对 WIN 2000 下的 入侵检测的一个实例进行分析, 总结了几点应对入侵的具体措施, 旨在为网络管理员提供借鉴。关键词: 入侵检测系统; 网络安全; 端口; 网络通信量中图分类号: TP393.08文献标识码: B文章编号: 1004- 9045( 2006) 03- 0035- 03入侵检测系统( IDS

2、) 处于防火墙之后对网络活动进行实时检测。许多情况下, 由于可以记录和禁止网络 活动, 所以入侵检测系统是防火墙的延续, 可以同防火 墙和路由器配合工作。IDS 扫描当前网络的活动, 监视 和记录网络的流量, 根据定义好的规则来过滤从主机 网卡到网线上的流量, 提供实时报警1。这与系统扫描条件。( 2) 目录和文件中的不期望的改变。目录和文件中 的不期望的改变, 包括修改、创建和删除等行为。( 3) 程序执行中的不期望行为。网络系统上, 有很 多程序在执行, 一般有操作系统, 网络服务和特定目的 的应用。在执行中出现了不期望的行为可能表明黑客 正在入侵你的系统。黑客可能会将程序或服务的运行 分

3、解, 从而导致它失败, 或者是以非用户或管理员意图 的方式操作。( 4) 物理形式的入侵信息。这包括两方面的内容, 一是未授权的对网络硬件连接; 二是对物理资源的未 授权访问。黑客会想方设法去突破网络的周边防卫, 如 果其能在物理上访问内部网, 就能安装他们自己的设 备和软件。依此, 黑客就可以知道网上的由用户加上去 的不安全( 未授权) 设备, 然后利用这些设备访问网络。 入侵检测的第二步是信号分析。对上述四类收集到的 有关系统、网络、数据及用户活动的状态和行为等信 息, 一般通过模式匹配、统计分析和完整性分析三种技 术手段进行分析。其中前两种方法用于实时的入侵检测, 而完整性 分析则用于事

4、后分析。入侵检测作为一种积极主动的 安全防护技术, 提供了对内部攻击、外部攻击和误操作 的实时保护, 在网络系统受到危害之前拦截和响应入 侵。器 system scanner 不同,系统扫描器是根据攻击特征数据库来扫描系统漏洞的, 它更关注配置上的漏洞而不是当前进出计算机的流量。在遭受攻击的主机上, 即 使正在运行着扫描程序, 也无法识别这种攻击。系统扫描器检测主机上先前设置的漏洞,而 IDS 监视和记录网络流量, 根据定义好的规则过滤、切断网络攻击。1 入侵检测的步骤入侵检测系统被认为是防火墙之后的第二道安全 闸门, 在不影响网络性能的情况下能对网络进行监测, 及时做出响应, 包括切断网络连

5、接、记录事件和报警 等。从而提供对内部攻击、外部攻击和误操作的实时保 护。入侵检测的规模应根据网络威胁、系统构造和安全 需求的改变而改变。入侵检测的第一步是信息收集, 包括系统、网络、 数据及用户活动的状态和行为等各种信息。这除了尽 可能扩大检测范围的因素外, 还有一个重要的因素就 是从一个来源信息有可能看不出疑点, 但几个来源信 息的不一致性却是可疑行为或入侵的最好标识。入侵 检测利用的信息一般来自以下四个方面2。( 1) 系统和网络日志文件。系统和网络日志文件信 息中经常会留下黑客的踪迹, 它们是检测入侵的必要2基于 WIN2000 的入侵检测系统实例分析入侵检测系统是一个比较复杂的安全管

6、理系统,也就是发现网络上的入侵行为然后采取相关的保护措施, 包括硬件和软件两个方面。在这里用一个具体的实 例来说明入侵检测系统的工作原理和模式, 下面列举收稿日期: 2006- 04- 28图 1 网络通信量指标之一( TCP- Segments /Sec) 的设定图 2 网络通信量指标之二( N etwork Interface- Packets /Sec) 的设定2006,(3)湖北气象36的两个入侵行为, 实际上发生的过程是连贯的, 都存在于一次的网络入侵行为当中, 在这个过程中首先要扫 描网络中存在的漏洞( 即开放的端口信息, 这是入侵的 前提) , 然后从存在漏洞的机器上进行登陆的试

7、探, 如 果成功, 便实现了网络的入侵, 其所入侵的系统的安全 性将会受到威胁。如何才能判断计算机的安全是否受到了威胁? 在 这里通过使用 Windows 2000 的内置程序来执行入侵 检测。下面给出具体的说明。2.1 假设入侵行为 1 及应对措施要侵入一个网络, 首先要尽可能地收集那个网络 信 息 , 这 可 以 通 过 一 系 列 程 序 完 成 , 如 whois、dig、 nslookup、tracert, 还可以使用一些在 Internet 上公开的 信息。假设通过这些操作, 发现网络中有一小部分没有 被防火墙所保护, 然后, 通过执行端口扫描, 就会发现 有 许 多 计 算 机

8、的 135、139、389 和 445 端 口 都 是 开 放 的。445 端口是 Win2000 的一个重要信息端口。要实 现文件和打印共享服务, 有两种实现的途径, 一种是通 过 NetBIOS over TCP /IP, 它使用 137、138、139 端口, 另一种是直接通过 445 端口实现。由于有的机器上不 允许 NetBIOS over TCP /IP, 所以只有通过后一种方式 进行网络互联。一般来说 445 是必须开放的, 否则根本 就不能连接网络了。如发生了端口扫描, 则在扫描的过程中, 网络的通 信量会有一个突然的增加。端口扫描通常表现为持续 数分钟的稳定的通信量增加, 时

9、间的长短取决于扫描 端口的多少。如何发现网络通信量的突然增加呢? 有许 多程序都可以完成这个功能, 以下是 3 种 Win2000 内 置方法。方法一:Win2000 中, 可以启动“性能”程序, 创建 一个预设定流量限制的性能警报信息。例如 , 比 较 好 的网络通信量指标包括 TCP- Seg- ments /Sec( 图 1) 和 Network Interface- Packets /Sec( 图 2) 。面板”, 点击“网络和拨号连接”, 右键点击“本地连接”,选择“属性”, 选中“连接后在任务栏中显示图标”复选 框: 这样, 随着所有信息进出网络, 将会有一个图标点 亮在任务栏中一

10、闪一闪。方法三:如果系统管理员怀疑自己受到扫描, 还可 以使用一个内置的命令行工具 netstat。键入以下命令:Netstat - p tcp - n如果目前正在被扫描, 根据扫描所使用的工具, 就 会得到以下结果:Active ConnectionsProto Local Address Foreign Address StateTCPTIME_WAIT TCPTIME_WAIT TCPSYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP

11、SYN_SENT127.13.18.201:2572127.199.34.42:135127.13.18.201:2984127.199.34.42:1027127.13.18.201:3106127.199.34.42:1444127.13.18.201:3107127.199.34.42:1445127.13.18.201:3108127.199.34.42:1446127.13.18.201:3109127.199.34.42:1447127.13.18.201:3110127.199.34.42:1448127.13.18.201:3111127.199.34.42:1449127.1

12、3.18.201:3112127.199.34.42:1450127.13.18.201:3113127.199.34.42:1451127.13.18.201:3114127.199.34.42:1452方法二: 在一个不是很忙碌的计算机上还有一个简单的网络通信量指示器, 那就是为网络适配器建立 一个任务栏图标。创建步骤是: 选择“开始 / 设置 / 控制以上信息中, 系统管理员要重点注意在本地和外部地址上的连续端口以及大量的 SYN_SENT 信息。有 些 扫 描 工 具 还 会 显 示 ESTABLISHED 或 TIME_WAIT图 3 网络通信量变化指示器Web Service- C

13、onnection Attempts /sec 的设定图 4 网络通信量变化指示器Web Service- N ot Found Errors /sec 的设定湖北气象2006,(3)37信息。总之, 信息的关键在于连续的端口序列和来自同一主机的大量连接。2.2 假设入侵行为 2 及应对措施 入侵者若发现了一些计算机没有被防火墙保护以及扫描到一些开放端口后, 便可以寻找网络中的弱点。 Windows 网络口令用于使用 Web 服务器上的 Web 服 务, 这些网络登录信息对攻击者来说是最有用的。他可 能首先从一台机器上下载帐号名列表, 从中选出一个 很少使用的, 例如 guest 帐号。如果攻

14、击者用这个账号 尝试多次登录直到它被锁住, 这样就能推测设置的是 什么账号锁住策略了。然后编写一个脚本程序对每个 账号都尝试多次登录, 但不触发锁住条件( 当然, 管理 员账号一般是不会被锁住的) 。随后启动脚本程序, 并 运行 Whisker 扫描器程序, 之后使用攻击者为 IIS 服务 器编写的一个脚本程序, 来试探公共代理服务器信息, 然后等待结果。在上述探测过程中, 另一端应该从一些关键入侵 检测记数器指标中接收到许多警报信息。第一个应该 是 Web Service- Connection Attempts /sec ( 图 3) , 这 个 指标能显示出 Web 信息量的突然增加。与

15、此同时, 网络上也会有穷举法攻击( brute- forceattack) 。在这种情况下, 有帮助的两个性能记数器分别 是 Server- Logon /sec 和 Server- Errors Logon。对每秒两 个以上的登录和五个以上的登录错误设置警报, 这样 就能知道是否有穷举攻击正在发生。同时, 对安全事件 日志进行检查, 就能验证出大量的失败登录是否来自 同一台计算机。以上两种入侵行为都是现实中可能发生的, 并且 比较简单, 但是它展示了一个基于网络的攻击的许多 要素, 以及如何检测出这样的攻击。理论上而言, 只要 坚持跟踪以下信息, 那么几乎所有基于网络的攻击都 能被检测出来3

16、。( 1) 网络上拥挤程度和网络连接。( 2) Web 拥 挤 程 度 和“pages not found”错 误 的 发 生次数。( 3) 成功及失败的登录尝试。( 4) 对文件系统所做的改变。( 5) 当前运行的应用程序和服务。( 6) 定时运行的应用程序或在启动时运行的应用 程序。通过对这些内容进行跟踪, 不需要任何外来的入 侵检测软件就能阻止许多破坏企图。当然, 其它应用 程序也会很有帮助, 但管理员必须时刻牢记以上六 条。3 小结在日常的工作中, 每天都可能发生许多次攻击。有 些只是简单的端口扫描, 而有些则会对网络构成全面 威胁。不管是哪种攻击, 都应采取相应的应对措施。系 统管理员可以通过 Email 或者页面的方式发送警报信 息, 也可以使用定时服务来定时将当前运行的所有程 序或网络连接写入日志文件。就是说, 编写一些脚本程 序, 并借助定时服务以及少量的免费软件工具, 系统管 理员就可以建立一个实用的入侵检测系统, 其性能可 能比市场上的许多入侵检测软件都要好得多。发现入 侵者的关键不在于有多少强有力的软件, 最重要的是 要了解入侵者是如何行动的, 并且比他们抢先一步, 及 时做出响应。另 一 个 非 常 重 要 的 记 数 器 是 WebFound Errors /sec (图 4) 。Service - Not参考文