6-2-入侵监测与服务协议端口管理

网络安全实训模块

任务二入侵监测与服务协议端口管理安全一、实训的目的

了解入侵监测与服务协议端口管理的原理与实现方式

二、实训内容通过了解入侵监测与服务协议端口管理的原理与实现方式

入侵监测定义入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术。入侵监测系统模型三个功能部件1．提供事件记录流的信息源

2．发现入侵迹象的分析引擎

3．基于分析引擎的分析结果产生反映的响应部件

入侵监测与防火墙的协同

防火墙与入侵监测可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是入侵监测可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当入侵监测发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。入侵监测与路由器、交换机的协同由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以入侵监测与交换机、路由器的协同与入侵监测同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。

入侵监测与防病毒系统的协同入侵监测与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说入侵监测还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，入侵监测与防病毒系统的协同也变得越来越重要。

入侵监测与蜜罐和填充单元系统协同蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当监测到对"蜜罐"的访问时，很可能就有攻击者闯入。“蜜罐”上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息。“蜜罐”的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。“填充单元”采取另一种不同的方法。“填充单元”不试图用引诱性的数据吸引攻击者，它等待传统的入侵监测来监测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与“蜜罐”相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。“填充单元”为监测攻击者的行为提供了独特的机会。端口管理安全端口扫描简介扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。端口扫描的原理 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。1．TCPconnect()扫描2．TCPSYN扫描3．TCPFIN扫描4．Fragmentation扫描5．UDPrecfrom()和write()扫描6．ICMP扫描端口扫描的工具1．NSS

NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。2．SATAN SATAN的英文全称为SecurityAdministratorToolforAnalyzingNetworks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。3．Strobe

Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。网络监听网络监听的原理当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。网络监听的最大用处是获得用户口令。网络监听网络监听的原理当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。网络监听的最大用处是获得用户口令。监听的可能性

网络监听是黑客们常用的一种方法。

下面表格描述了在通常的一些传输介质上，信息被监听的可能性。数据链路监听的可能性说明Ethernet高Ethernet网是一个广播型的网络，Internet的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果，这台计算机和其他计算机，一个网关或者路由器形成一个以太网FDDIToken_ring高尽管令牌网内在的并不是一个广播网络，但实际上，带有令牌的那些包在传输过程中，平均也要经过网络上一半的计算机，高的数据传输率可以使监听变得困难电话线中等电话线可以被一些与电话公司协作的人或者—些有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也会被截获；在实际中，高速的调制解调器将比低速的调制解调器搭线窃听困难一些，因为高速调制解调器中引入了许多频率IP通过有线电视高许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器，RF调制解调器使用—个TV通道用于上行；一个用于下行；在这些线路上传输的信息没有加密，因此，可以被一些能在物理上访问到TV电缆的人截听微波和无线电高无线电本来就是一个广播型的传输媒介，任何有一个无线电接收机的人都可以截获那些传输的信息以太网中可以监听的原因当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。如果一台主机处于监听模式下，它还能接收到发向与自己不在同—子网（使用了不同的掩码、IP地址和网关）的主机的那些信息包。

6.2.2网络监听的检测1．简单的检测方法（1）方法一对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。（2）方法二往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmpechodelay等方法）加以判断。内容总结网络安全实训模块

任务二入侵监测与服务协议端口管理安全。入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术。3．基于分析引擎的分析结果产生反映的响应部件。静态的方面是入侵监测可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。“