第十章 网络攻防及入侵检测

1、第十章第十章 网络攻防和入侵检测网络攻防和入侵检测pIPIP只是发送数据并保证数据的完整性，不保持任何连接状只是发送数据并保证数据的完整性，不保持任何连接状态的信息，每个态的信息，每个IPIP数据报文被发送出去，不关心前后数据报数据报文被发送出去，不关心前后数据报文的情况，所以可以修改文的情况，所以可以修改IPIP堆栈，在源地址和目的地址中放堆栈，在源地址和目的地址中放入任何满足要求的入任何满足要求的IPIP地址，即提供虚假的地址，即提供虚假的IPIP地址。地址。p突破防火墙系统最常用的方法是就突破防火墙系统最常用的方法是就IPIP地址欺骗，它同时也地址欺骗，它同时也是其他一系列攻击方法的基础

2、。黑客或入侵者利用伪造的是其他一系列攻击方法的基础。黑客或入侵者利用伪造的IPIP发送地址产生虚假的数据分组，乔装成来自内部站的分组过发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。内，则它就把该分组按内部通信对待并让其通过。 假定入侵者知

3、道主机假定入侵者知道主机和和已经建立了信任关系，已经建立了信任关系，入侵者打算欺骗的是主机入侵者打算欺骗的是主机。 入侵者要对入侵者要对实施欺骗，他必须假扮实施欺骗，他必须假扮，所有，所有就必须让就必须让的主机无法响应任何请求。的主机无法响应任何请求。 进行一次进行一次IPIP欺骗需要经过以下步骤：欺骗需要经过以下步骤：确定攻击目标确

4、定攻击目标使得计划要冒充的主机无法响应目标主机的会话使得计划要冒充的主机无法响应目标主机的会话猜出来自目标主机的正确序列号猜出来自目标主机的正确序列号冒充连接到目标主机冒充连接到目标主机根据猜出的正确序列号向目标主机发送回应根据猜出的正确序列号向目标主机发送回应IPIP包包进行系列会话进行系列会话(1)(1)抛弃基于地址的信任策略抛弃基于地址的信任策略 (2)(2)进行包过滤进行包过滤 (3)(3)使用加密方法使用加密方法 (4)(4)使用随机化的初始序列号使用随机化的初始序列号泪滴泪滴(Teardrop)(Teardrop)攻击（攻击（IPIP碎片攻击）碎片攻击） 链路层具有链路层具有最大传

5、输单元最大传输单元MTUMTU这个特性，它限制了数据帧这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个的最大长度，不同的网络类型都有一个上限值上限值。以太网的。以太网的MTUMTU是是15001500。 如果如果IPIP层有数据包要传，而且数据包的长度超过了层有数据包要传，而且数据包的长度超过了MTUMTU，那么那么IPIP层就要对数据包进行层就要对数据包进行分片分片（fragmentationfragmentation）操作，）操作，使每一片的长度都小于或等于使每一片的长度都小于或等于MTUMTU。每一。每一IPIP分片都分片都各自路由各自路由，到达目的主机后在到达目的主机后在IP

6、IP层重组，首部中的数据能够正确完成分层重组，首部中的数据能够正确完成分片的重组。片的重组。 若在若在IPIP分组中指定一个分组中指定一个非法的片偏移值非法的片偏移值，将可能造成某，将可能造成某些协议软件出现些协议软件出现缓冲区覆盖缓冲区覆盖，导致系统崩溃。，导致系统崩溃。国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网国际互联网服务器服务器防火墙其它网络广域网电话网企业网内域网服务器服务器防火墙其它网络电话网广域网国际互联网络内域网企业网服务器服务器防火墙企业网其它网络电话网广域网国际互联网络内域网ICMPICMP洪水洪水(PING flooding)(PING floodin

7、g)攻击攻击 正常情况下，为了对网络进行诊断，一些诊断正常情况下，为了对网络进行诊断，一些诊断程序，比如程序，比如pingping等，会发出等，会发出icmpicmp响应请求报文响应请求报文(icmp echo)(icmp echo)，接收计算机接收到，接收计算机接收到icmp echoicmp echo后，会后，会回应一个回应一个icmp echo replyicmp echo reply报文。而这个过程是需报文。而这个过程是需要要cpucpu处理的，有的情况下还可能消耗掉大量的资处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标源，比如处理分片的时候。这样如

8、果攻击者向目标计算机发送大量的计算机发送大量的icmp echoicmp echo报文报文( (产生产生icmpicmp洪水洪水) )，则目标计算机会忙于处理这些则目标计算机会忙于处理这些echoecho报文，而无法继报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务续处理其它的网络数据报文，这也是一种拒绝服务攻击攻击(dos)(dos)。SmurfSmurf攻击攻击攻击者伪造来自目标网络的计算机数据包，IP目标地址广播地址广播域内的每台计算机给目标机发送错误消息，因此攻击效果同广播域内的机器数目成正比，结果形成拒绝服务攻击UDP FRAGGLEUDP FRAGGLE攻击攻击FRAGG

9、LEFRAGGLE攻击对攻击对smurfsmurf作了简单的修改，使用的是作了简单的修改，使用的是UDPUDP应答消息而非应答消息而非ICMPICMP。 1.1.阻塞阻塞SmurfSmurf攻击的源头攻击的源头 SmurfSmurf攻击依靠的是发送源地址假冒的攻击依靠的是发送源地址假冒的echoecho请求。用户可以使用路由器的访问控制请求。用户可以使用路由器的访问控制保证内部网络中发出的所有传输信息都具有保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。使欺骗性分组无法找到反弹站点。SmurfSmu

10、rf攻击的防止措施攻击的防止措施SmurfSmurf攻击的防止措施攻击的防止措施2.2.阻塞阻塞SmurfSmurf的反弹站点的反弹站点 用户可以有两种选择以阻塞用户可以有两种选择以阻塞SmurfSmurf攻击的反弹站点。第一种方攻击的反弹站点。第一种方法可以简单地阻塞所有入站法可以简单地阻塞所有入站echoecho请求，这样可以防止这些分组到请求，这样可以防止这些分组到达自己的网络。达自己的网络。 如果不能阻塞所有入站如果不能阻塞所有入站echoecho请求，用户就需要配置自己的路请求，用户就需要配置自己的路由器把网络广播地址映射成为由器把网络广播地址映射成为LANLAN广播地址。制止了这个

11、映射过程，广播地址。制止了这个映射过程，自己的系统就不会再收到这些自己的系统就不会再收到这些echoecho请求。请求。 如果使用如果使用CiscoCisco路由器，则制止网络广播映射成为路由器，则制止网络广播映射成为LANLAN广播的广播的方法是在方法是在LANLAN接口的配置模式中输入命令：接口的配置模式中输入命令： no ip directed-broadcastno ip directed-broadcast。路由欺骗路由欺骗InterfaceInterfaceRAMROMFlashNVRAMInterfaceCPUInterfaceconsole路由欺骗路由欺骗n只读存储器（ROM）

12、q只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。n闪存（Flash）q包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。nNVRAM（No-Voliate RAM）q存放路由器的配置文件，系统掉电时数据不会丢失。路由欺骗路由欺骗nRAMRAMq动态内存，系统掉电，内容丢失动态内存，系统掉电，内容丢失q操作系统运行的空间操作系统运行的空间命令命令解释器解释器操作系统操作系统进程进程活动配置文件活动配置文件路由表路由表缓冲区缓冲区路由欺骗路由欺骗PPP、CHAPMD5认证认证 利用了利用了RIPRIP协议基于无连接的协议基于无连接的UDP,RI

13、PvlUDP,RIPvl没有没有身份认证机制身份认证机制, ,而而RIPv2RIPv2的认证形式采用的认证形式采用1616宇节的宇节的明文密码明文密码. .攻击者很容易将分组发给攻击者很容易将分组发给RIPRIP路由器路由器, ,要要求它将分组发给未授权网络或系统而不是真正的求它将分组发给未授权网络或系统而不是真正的系统系统 。路由欺骗路由欺骗RAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 0

14、52 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network network RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 52 ip rip authentication key-chain kal ip

15、 rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 将将TCPTCP包的包的源地址源地址和和目的地址目的地址，源端口源端口和和目的端口目的端口都设置成相同即可。其中，地址都设置成相同即可。其中，地址字段都设置为字段都设置为目标机器的目标机器的IPIP地址地址。需要注意。需要注意的是，对应的端口所提供的服务必须是的是，对应的端口所提供的服务必须是激活激活的。的。LANDLAND攻击可以非常有效地使目标机器重攻击可以非常有效地使目标

16、机器重新启动或者死机。新启动或者死机。 解决方案：过滤源地址和目标地址相同解决方案：过滤源地址和目标地址相同的的IPIP数据包；给系统升级或打补丁。数据包；给系统升级或打补丁。LANDLAND攻击攻击SYN floodingSYN flooding攻击攻击 利用利用TCPTCP连接三次握手过程，打开大量的半连接三次握手过程，打开大量的半开开TCPTCP连接，使得目标机器不能进一步接受连接，使得目标机器不能进一步接受TCPTCP连连接。每个机器都需要为这种半开连接分配一定的接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，资源，并且，这种半开连接的数量是有限制的

17、，达到最大数量时，机器就不再接受进来的连接请达到最大数量时，机器就不再接受进来的连接请求，从而不能够提供相应的服务。求，从而不能够提供相应的服务。p连接请求是正常的，但是，源连接请求是正常的，但是，源IPIP地址往往是伪造的，地址往往是伪造的，并且是一台不可达的机器的并且是一台不可达的机器的IPIP地址，否则，被伪造地址地址，否则，被伪造地址的机器会重置这些半开连接。的机器会重置这些半开连接。p一般，半开连接超时之后，会自动被清除，所以，攻一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出击者的系统发出SYNSYN包的速度要比目标机器清除半开连包的速度要比目标机器清除半开连接的速度要

18、快。接的速度要快。p任何连接到任何连接到InternetInternet上并提供基于上并提供基于TCPTCP的网络服务，都的网络服务，都有可能成为攻击的目标。有可能成为攻击的目标。p这样的攻击很难跟踪，因为源地址往往不可信，而且这样的攻击很难跟踪，因为源地址往往不可信，而且不在线。不在线。SYN floodingSYN flooding攻击攻击SYN floodingSYN flooding攻击攻击SYN floodingSYN flooding攻击防止措施攻击防止措施p缩短缩短SYN Timeout(SYN Timeout(连接等待超时连接等待超时) )时间时间p根据源根据源IPIP记录记录

19、SYNSYN连接连接p负反馈策略负反馈策略p容忍策略容忍策略p利用利用DNSDNS进行负载均衡进行负载均衡p利用防火墙技术利用防火墙技术 在神话传说中，特洛伊木马表面上是在神话传说中，特洛伊木马表面上是“礼礼物物”，但实际却藏匿了大量袭击特洛伊城的希腊，但实际却藏匿了大量袭击特洛伊城的希腊士兵。现在，特洛伊木马是一些表面有用的软件士兵。现在，特洛伊木马是一些表面有用的软件程序，实际目的是危害计算机安全性并破坏计算程序，实际目的是危害计算机安全性并破坏计算机。黑客的特洛伊木马程序事先已经以某种方式机。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器，并在适当的时候激活，潜伏在后潜入你的机器，并

20、在适当的时候激活，潜伏在后台监视系统的运行，它同一般程序一样，能实现台监视系统的运行，它同一般程序一样，能实现任何软件的任何功能。任何软件的任何功能。1.修改图标修改图标 木马服务端所用的图标也是有讲究的，木木马服务端所用的图标也是有讲究的，木马经常故意伪装成了马经常故意伪装成了XT.HTMLXT.HTML等你可能认为对系等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你统没有多少危害的文件图标，这样很容易诱惑你把它打开。把它打开。 木马采用的伪装方法木马采用的伪装方法2.2.捆绑文件捆绑文件这种伪装手段是将木马捆绑到一个安装程序这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行

21、时，木马在用户毫无察觉的上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件是可执行文件 ( (即即EXEEXE、COMCOM一类的文件一类的文件) )。 木马采用的伪装方法木马采用的伪装方法3.3.出错显示出错显示如果打开一个文件，没有任何反应，这很可如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马提供了一个叫做出错显能就是个木马程序。木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框出一个错误提示框 ( (这当然是假的这

22、当然是假的) )，错误内容，错误内容可自由定义，大多会定制成一些诸如可自由定义，大多会定制成一些诸如 文件已破文件已破坏，无法打开坏，无法打开!之类的信息，当服务端用户信以之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。为真时，木马却悄悄侵人了系统。 木马采用的伪装方法木马采用的伪装方法4.4.自我销毁自我销毁 木马的自我销毁功能是指安装完木马后，木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。下。就很难删除木马了。

23、 木马采用的伪装方法木马采用的伪装方法5.5.木马更名木马更名木马的命名也是千奇百怪，不过大多是改为木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字不够了解，那可就危险了。例如有的木马把名字改为改为window.exewindow.exe，如果不告诉你这是木马的话，如果不告诉你这是木马的话，该文件不会被你轻易删除，还有就是更改一些后该文件不会被你轻易删除，还有就是更改一些后缀名，比如把缀名，比如把dlldll改为改为dldl等，如果你不仔细看，等，如果你不仔细看，也很难发现。也很

24、难发现。木马采用的伪装方法木马采用的伪装方法6.6.在任务栏里隐藏在任务栏里隐藏如果在如果在windowswindows的任务栏里出现一个莫名其的任务栏里出现一个莫名其妙的图标，木马就很容易暴露了。因此木马程序妙的图标，木马就很容易暴露了。因此木马程序总是把自己在任务栏中隐藏起来。这在编程时是总是把自己在任务栏中隐藏起来。这在编程时是很容易实现的。以很容易实现的。以VBVB为例，只要把为例，只要把formform的的VisibleVisible属性设置为属性设置为False, ShowInTaskBarFalse, ShowInTaskBar设为设为FalseFalse程序就不会出现在任务栏里

25、了。程序就不会出现在任务栏里了。木马采用的伪装方法木马采用的伪装方法7.7.在任务管理器里隐藏在任务管理器里隐藏查看正在运行的进程最简单的方法就是按下查看正在运行的进程最简单的方法就是按下Ctrl+Alt+DelCtrl+Alt+Del时出现的任务管理器。木马会千时出现的任务管理器。木马会千方百计地伪装自己，使自己不出现在任务管理器方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为里。木马发现把自己设为 系统服务系统服务“就可以轻就可以轻松地骗过去。松地骗过去。木马采用的伪装方法木马采用的伪装方法8.8.隐藏通讯隐藏通讯任何木马运行后都要和攻击者进行通讯连接，任何木马运行后都要和

26、攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机人被植人木马的主机; ;或者通过间接通讯。现在或者通过间接通讯。现在大部分木马一般在占领主机后会在大部分木马一般在占领主机后会在10241024以上不易以上不易发现的高端口上驻留发现的高端口上驻留; ;有一些木马会选择一些常有一些木马会选择一些常用的端口，如用的端口，如8080、23,23,特别是有一种木马还可以特别是有一种木马还可以做到收到正常的做到收到正常的HTTPHTTP请求仍然把它交与请求仍然把它交与WebWeb服务服务器处理，收到特殊约定的数据包后，才调用木马器处

27、理，收到特殊约定的数据包后，才调用木马程序。程序。 木马采用的伪装方法木马采用的伪装方法9.9.隐藏隐加载方式隐藏隐加载方式通过修改虚拟设备驱动程序通过修改虚拟设备驱动程序(VXD)(VXD)或修改动或修改动态遵掇库态遵掇库 (DLL)(DLL)来加载木马。它采用替代系统功来加载木马。它采用替代系统功能的方法能的方法( (改写改写vxdvxd或或DLLDLL文件文件) )，木马会将修改，木马会将修改后的后的DLLDLL替换系统已知的替换系统已知的DLLDLL，并对所有的函数调，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的

28、系统直接转发给被替换的系统DLLDLL。一旦发现控制端。一旦发现控制端的请求就会激活自身，绑在一个进程上进行正常的请求就会激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。的方法监测不到它。木马采用的伪装方法木马采用的伪装方法 1.1.在在Win.iniWin.ini中启动中启动在在Win.iniWin.ini的的windowswindows字段中有启动命字段中有启动命令令“loadload”和和“runrun”，在一般情况

29、下，在一般情况下 “”后面是空白的，如果有后跟程序，比方后面是空白的，如果有后跟程序，比方说是这个样子：说是这个样子：run=c:windowsfile.exe run=c:windowsfile.exe load=c:windowsfile.exeload=c:windowsfile.exe木马的启动木马的启动2.2.在在System.iniSystem.ini中启动中启动System.iniSystem.ini位于位于WindowsWindows的安装目录下，其的安装目录下，其bootboot字段的字段的shell=Explorer.exeshell=Explorer.exe是木马喜欢的隐

30、是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这藏加载之所，木马通常的做法是将该何变为这样样:shell=Explorer.exefile.exe:shell=Explorer.exefile.exe。注意这里的。注意这里的file.exefile.exe就是木马服务端程序就是木马服务端程序! !另外，在另外，在SystemSystem中的中的386Enh386Enh字段，要注意检字段，要注意检查在此段内的查在此段内的“driverdriver路径路径 程序名程序名”这里也有这里也有可能被木马所利用。再有，在可能被木马所利用。再有，在System.iniSystem.ini中的中的mic

31、mic、driversdrivers、drivers32drivers32这这3 3个字段也要注个字段也要注意。意。木马的启动木马的启动3.3.注册表注册表p HKEY_LOCAL_MACHINESoftwareMicrosoftHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWindowsCurrentVersion下的五个以下的五个以RunRun和和RunServicesRunServices主键主键, , 其中可能有启动木马的键值。其中可能有启动木马的键值。p HKEY_CLASSES_ROOTHKEY_CLASSES_RO

32、OT文件类型文件类型shellopen shellopen commandcommand主键主键, ,查看其键值。国产木马查看其键值。国产木马“冰河冰河”就是就是修改修改HKEY_CLASSES_ROOTtxtfileshell open HKEY_CLASSES_ROOTtxtfileshell open commandcommand下的键值下的键值, ,将将“C:WINDOWSNOTEPAD.EXE C:WINDOWSNOTEPAD.EXE %1”%1”改为改为“ “ C:WINDOWSSYSTEMSYXXXPLR.EXE C:WINDOWSSYSTEMSYXXXPLR.EXE %1” %

33、1” ，这时你双击一个，这时你双击一个TXTTXT文件后，原本应用文件后，原本应用NOTEPADNOTEPAD打开文件的，现在却变成启动木马程序了。打开文件的，现在却变成启动木马程序了。 木马的启动木马的启动4.4.在在Autoexec.batAutoexec.bat和和Config.sysConfig.sys中加载运行中加载运行在在C C盘根目录下的这两个文件也可以启动木盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这

34、两个文件才行，而且采文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在用这种方式不是很隐蔽。容易被发现，所以在Autoexec.batAutoexec.bat和和ConfingsConfings中加载木马程序的并中加载木马程序的并不多见，但也不能因此而掉以轻心。不多见，但也不能因此而掉以轻心。 木马的启动木马的启动p端口扫描端口扫描p检查注册表检查注册表p查找文件查找文件p杀病毒软件杀病毒软件木马的破解木马的破解拒绝服务攻击拒绝服务攻击 DoSDoS是是Denial of ServiceDenial of Service的简称，即拒绝服务。造的简称，即拒绝服务。

35、造成成DoSDoS的攻击行为被称为的攻击行为被称为DoSDoS攻击攻击。 拒绝服务攻击是指一个用户占据了目标主机拒绝服务攻击是指一个用户占据了目标主机大量的大量的共享资源共享资源，使目标主机没有，使目标主机没有剩余的资源剩余的资源给其它用户提供给其它用户提供服务的一种攻击方式。服务的一种攻击方式。 拒绝服务攻击的结果可以拒绝服务攻击的结果可以降低系统资源的可用性降低系统资源的可用性，这些资源可以是网络带宽、这些资源可以是网络带宽、CPUCPU时间、磁盘空间、打印机、时间、磁盘空间、打印机、甚至是系统管理员的时间。甚至是系统管理员的时间。 拒绝服务攻击究其原因是因为这是由于拒绝服务攻击究其原因是

36、因为这是由于网络协议本网络协议本身的安全缺陷身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击造成的，从而拒绝服务攻击也成为了攻击者的终极手法。者的终极手法。 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。 连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。遭受遭受DoSDoS攻击时的现象攻击时的现象 ： 1.1.被攻击主机上有大量等待的被攻击主机上有大量等待的TCPTCP连接连接 2.2.网络中充斥着大量的无用的数据包，

37、源地网络中充斥着大量的无用的数据包，源地址为假址为假 3.3.制造高流量无用数据，造成网络拥塞，使制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯受害主机无法正常和外界通讯 4.4.利用受害主机提供的利用受害主机提供的服务服务或或传输协议传输协议上的上的缺陷，反复高速的发出特定的服务请求，使受害缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求主机无法及时处理所有正常请求 5.5.严重时会造成系统死机严重时会造成系统死机 netstat -an | grep SYN 83.9 9.1801 0 0 24656 0 SYN

38、_RCVD 83.13 9.1801 0 0 24656 0 SYN_RCVD 83.19 9.1801 0 0 24656 0 SYN_RCVD 83.21 9.1801 0 0 24656 0 SYN_RCVD 83.22 9.1801 0 0 24656 0 SYN_RCVD 83.23 9.1801 0 0 24656 0 SYN_RCVD 83.25 127.0.0

39、.79.1801 0 0 24656 0 SYN_RCVD 83.37 9.1801 0 0 24656 0 SYN_RCVD 83.53 9.1801 0 0 24656 0 SYN_RCVD # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an | grep SYN | wc -l 5267 共有五千多个共有五千多个SynSyn的半连接存储在内存中。这的半连接存储在内存中。这时候被攻击机

40、已经不能响应新的服务请求了，系统时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法运行非常慢，也无法pingping通。通。 这是在攻击发起后仅仅这是在攻击发起后仅仅7070秒钟左右时的情况。秒钟左右时的情况。. .防火墙防火墙 p禁止对主机的非开放服务的访问禁止对主机的非开放服务的访问 p限制同时打开的限制同时打开的SYNSYN最大连接数最大连接数 p限制特定限制特定IPIP地址的访问地址的访问 p启用防火墙的防启用防火墙的防DDoSDDoS的属性的属性 p严格限制对外开放的服务器的向外访问严格限制对外开放的服务器的向外访问 . .路由器路由器 以以CiscoCisco路由器为例

41、路由器为例 pCisco Express ForwardingCisco Express Forwarding（CEFCEF） p使用使用 unicast reverse-path unicast reverse-path p访问控制列表（访问控制列表（ACLACL）过滤）过滤 p设置设置SYNSYN数据包流量速率数据包流量速率 p升级版本过低的升级版本过低的ISO ISO p为路由器建立为路由器建立log serverlog server 3.3.主机上的设置主机上的设置 p关闭不必要的服务关闭不必要的服务 p限制同时打开的限制同时打开的SynSyn半连接数目半连接数目 p缩短缩短SynSy

42、n半连接的半连接的time outtime out时间时间 p及时更新系统补丁及时更新系统补丁 p优化路由和网络结构，调整路由表以将拒绝服务优化路由和网络结构，调整路由表以将拒绝服务攻击的影响减到最小；攻击的影响减到最小；p应用路由器的带宽分配技术；应用路由器的带宽分配技术；p优化可能成为攻击目标的主机，禁止所有不必要优化可能成为攻击目标的主机，禁止所有不必要的服务；的服务；p定期使用漏洞扫描软件全面检查网络中的现有的定期使用漏洞扫描软件全面检查网络中的现有的和潜在的漏洞，及时安装补丁程序，并注意定期升和潜在的漏洞，及时安装补丁程序，并注意定期升级系统软件，有效提高系统安全性；级系统软件，有效

43、提高系统安全性；p当检测到拒绝服务攻击时，若发现攻击数据包来当检测到拒绝服务攻击时，若发现攻击数据包来自某些自某些ISPISP时应尽快和他们取得联系；可以使用负载时应尽快和他们取得联系；可以使用负载均衡技术和蜜罐技术抵御此类攻击。均衡技术和蜜罐技术抵御此类攻击。 u对系统的运行状态进行监视，发现各种攻击企对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。的机密性、完整性和可用性。u进行入侵检测的软件与硬件的组合便是入侵检进行入侵检测的软件与硬件的组合便是入侵检测系统。测系统。uIDS : Intru

44、sion Detection SystemIDS : Intrusion Detection System 入侵检测的定义入侵检测的定义动态安全模型动态安全模型P2DRP2DR入侵检测的起源入侵检测的起源u19801980年年4 4月，月，James P. Anderson :James P. Anderson :Computer Computer Security Threat Monitoring and SurveillanceSecurity Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第一次（计算机安全威胁监控与监视）的

45、技术报告，第一次详细阐述了入侵检测的概念。详细阐述了入侵检测的概念。u他提出了一种对计算机系统风险和威胁的分类方法，他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种。并将威胁分为外部渗透、内部渗透和不法行为三种。u还提出了利用审计跟踪数据监视入侵活动的思想。这还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。份报告被公认为是入侵检测的开山之作。入侵检测的起源入侵检测的起源 从从19841984年到年到19861986年，乔治敦大学的年，乔治敦大学的Dorothy DenningDorothy Denning和和SRI/C

46、SLSRI/CSL的的Peter NeumannPeter Neumann研究出了一个实时入侵检测系统研究出了一个实时入侵检测系统模型，取名为模型，取名为IDESIDES（入侵检测专家系统）。（入侵检测专家系统）。入侵检测的起源入侵检测的起源u19901990，加州大学戴维斯分校的，加州大学戴维斯分校的L. T. HeberleinL. T. Heberlein等人等人开发出了开发出了NSMNSM（Network Security MonitorNetwork Security Monitor）。）。u该系统第一次直接将网络流作为审计数据来源，因该系统第一次直接将网络流作为审计数据来源，因而可

47、以在不将审计数据转换成统一格式的情况下监而可以在不将审计数据转换成统一格式的情况下监控异种主机。控异种主机。u入侵检测系统发展史翻开了新的一页，两大阵营正入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的式形成：基于网络的IDSIDS和基于主机的和基于主机的IDSIDS。 入侵检测组成入侵检测组成 输出：反应或事件 输出：高级中断事件 输出：事件的存储信息 输出：原始或低级事件 输入：原始事件源 事件产生器 响应单元 事件数据库 事件分析器 入侵检测功能入侵检测功能u监控、分析用户的和系统的活动监控、分析用户的和系统的活动u发现入侵企图或异常现象发现入侵企图或异常现象u记录、报警和

48、响应记录、报警和响应入侵检测的分类依据数据来源分类入侵检测的分类依据数据来源分类u基于主机：系统获取数据的依据是系统运行所基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主在的主机，保护的目标也是系统运行所在的主机。机。u基于网络：系统获取的数据是网络传输的数据基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。包，保护的是网络的运行。u混合型混合型入侵检测的分类依据检测原理分类入侵检测的分类依据检测原理分类u异常检测模型（异常检测模型（Anomaly Detection ):Anomaly Detection ):首先首先总结正常操作应该具有的特征（

49、用户轮廓），总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为当用户活动与正常行为有重大偏离时即被认为是入侵。是入侵。 u误用检测模型（误用检测模型（Misuse Detection)Misuse Detection)：收集：收集非正常操作的行为特征，建立相关的特征库，非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。时，系统就认为这种行为是入侵。入侵检测异常检测入侵检测异常检测1.1.前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2.用户轮廓用户轮廓(

50、Profile): (Profile): 通常定义为各种行为参数及其阀通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围值的集合，用于描述正常行为范围3.3.过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4.指标指标: :漏报漏报( (false positivefalse positive) ), ,错报错报( (false negativefalse negative) )入侵检测异常检测入侵检测异常检测u如果系统错误地将异常活动定义为入侵，称为如果系统错误地将异常活动定义为入侵，称为误误报报(false positive)(false positive) ；如果系

51、统未能检测出真正；如果系统未能检测出真正的入侵行为则称为的入侵行为则称为漏报漏报(false negative)(false negative)。 u特点：异常检测系统的效率取决于用户轮廓的完特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。多的系统资源。

52、activity measuresprobable intrusion入侵检测异常检测入侵检测异常检测入侵检测误用检测入侵检测误用检测1.1.前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时，系统就认为这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标 错报低错报低 漏报高漏报高 入侵检测误用检测入侵检测误用检测u如果入侵特征与正常的用户行能匹配，则系统会如果入侵特征与

53、正常的用户行能匹配，则系统会发生发生误报误报；如果没有特征能与某种新的攻击行；如果没有特征能与某种新的攻击行为匹配，则系统会发生为匹配，则系统会发生漏报漏报。u特点：特点：采用特征匹配，滥用模式能明显降低错采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力。化，会使得滥用检测无能为力。入侵检测误用检测入侵检测误用检测Intrusion Patternsactivitiespattern matchingintrusionExample: if (src_ip = dst_ip) then “land at

54、tack”Cant detect new attacks入侵检测的分类依据体系结构分类入侵检测的分类依据体系结构分类u集中式：系统的各个模块包括数据的收集集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分析集中在一台主机上运行。u分布式：系统的各个模块分布在不同的计分布式：系统的各个模块分布在不同的计算机和设备上。算机和设备上。入侵检测集中式入侵检测集中式u优点：优点：q不会降低目标机的性能不会降低目标机的性能q统计行为信息统计行为信息q多主机标志、用于支持起诉的原始数据多主机标志、用于支持起诉的原始数据u缺点：缺点：q不能进行实时检测不能进行实时检测q不能实时响应不能实时响应q

55、影响网络通信量影响网络通信量入侵检测分布式入侵检测分布式u优点：优点：q实时告警实时告警q实时响应实时响应u缺点：缺点：q降低目标机的性能降低目标机的性能q没有统计行为信息没有统计行为信息q没有多主机标志没有多主机标志q没有用于支持起诉的原始数据没有用于支持起诉的原始数据q降低了数据的辨析能力降低了数据的辨析能力q系统离线时不能分析数据系统离线时不能分析数据入侵检测的分类依据工作方式分类入侵检测的分类依据工作方式分类u脱机分析：行为发生后，对产生的数据进脱机分析：行为发生后，对产生的数据进行分析行分析u联机分析：在数据产生的同时或者发生改联机分析：在数据产生的同时或者发生改变时进行分析变时进行

56、分析相关术语相关术语 Alert（警报）（警报） u当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，IDSIDS系统将发系统将发布一个布一个alertalert信息通知系统管理员信息通知系统管理员u如果控制台与如果控制台与IDSIDS系统同在一台机器，系统同在一台机器，alertalert信息将信息将显示在监视器上，也可能伴随着声音提示显示在监视器上，也可能伴随着声音提示u如果是远程控制台，那么如果是远程控制台，那么alertalert将通过将通过IDSIDS系统内置系统内置方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（简单网络管理协议，（简单网络管理协议，通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上几（短信息）或者以上几种方法的混合方式传递给管理员种方法的混合方式传递给管理员相关术语相关术语 Anomaly（异常）（异常） u当有某个事件与一个已知攻击的信号相匹配时，当有某个事件与一个已知攻击的信号相匹配时，多数多数IDSIDS都会告警都会告警u一个基于一个基于anomalyanomaly（异常）的（异常）的IDSIDS会构造一个当时会构造一个当时活动的主机