网络攻防与入侵检测

网络攻防与入侵检测第1页，课件共66页，创作于2023年2月学习目标了解黑客与网络攻击的基础知识；掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害；掌握入侵检测技术和入侵检测系统原理能够识别和防范各类攻击，能够使用入侵检测工具检测入侵行为。2第2页，课件共66页，创作于2023年2月10.1密钥管理10.1.1关于黑客10.1.2黑客攻击的步骤10.1.3网络入侵的对象10.1.4主要的攻击方法10.1.5攻击的新趋势

3第3页，课件共66页，创作于2023年2月10.1.1关于黑客黑客(hacker)源于20世纪50年代麻省理工学院独立思考、奉公守法的计算机迷骇客(Cracker)怀不良企图，非法侵入他人系统进行偷窥、破坏活动的人

4第4页，课件共66页，创作于2023年2月10.1.2黑客攻击的步骤1．收集信息Ping程序：可以测试一个主机是否处于活动状态、到达主机的时间等。Tracert程序：可以用该程序来获取到达某一主机经过的网络及路由器的列表。Finger协议：可以用来取得某一主机上所有用户的详细信息。DNS服务器：该服务器提供了系统中可以访问的主机的IP地址和主机名列表。SNMP协议：可以查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其它内部细节。Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。5第5页，课件共66页，创作于2023年2月10.1.2黑客攻击的步骤2．探测系统安全弱点利用“补丁”找到突破口

用户没有及时地使用“补丁”程序，这就给了攻击者可趁之机。利用扫描器发现安全漏洞

扫描器可以对整个网络或子网进行扫描，寻找安全漏洞。比较流行的扫描器:

ISS（InternetSecurityScanner），

SATAN（SecurityAdministratorToolForAnalyzingNetworks）等等。

6第6页，课件共66页，创作于2023年2月10.1.2黑客攻击的步骤3．实施攻击（1）掩盖行迹，预留后门。攻击者潜入系统后，会尽量销毁可能留下的痕迹，并在受损害系统中找到新的漏洞或留下后门，以备下次光顾时使用。（2）安装探测程序。

攻击者退出去以后，探测软件仍可以窥探所在系统的活动，收集攻击者感兴趣的信息，如：用户名、账号、口令等，并源源不断地把这些秘密传给幕后的攻击者。（3）取得特权，扩大攻击范围。

如果攻击者获得根用户或管理员的权限……

7第7页，课件共66页，创作于2023年2月10.1.3网络入侵的对象3．实施攻击（1）固有的安全漏洞

协议的安全漏洞、弱口令、缓冲区溢出等

（2）系统维护措施不完善的系统。系统进行了维护，对软件进行了更新或升级,路由器及防火墙的过滤规则。（3）缺乏良好安全体系的系统。建立有效的、多层次的防御体系

8第8页，课件共66页，创作于2023年2月10.1.4主要的攻击方法1.获取口令2．放置特洛伊木马

3．WWW的欺骗技术4．电子邮件攻击5．网络监听6．寻找系统漏洞9第9页，课件共66页，创作于2023年2月10.1.5攻击的新趋势1.攻击过程的自动化与攻击工具的快速更新

2．攻击工具复杂化

3．漏洞发现得更快

4．渗透防火墙

10第10页，课件共66页，创作于2023年2月10.2口令攻击10.2.1获取口令的一些方法10.2.2设置安全的口令10.2.3一次性口令11第11页，课件共66页，创作于2023年2月10.2.1获取口令的一些方法（1）是通过网络监听非法得到用户口令（2）口令的穷举攻击（3）利用系统管理员的失误12第12页，课件共66页，创作于2023年2月10.2.2设置安全的口令（1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由Afoxjumpsoveralazydog!产生口令：AfJoAld!。（2）口令的保存：记住、放到安全的地方，加密最好。（3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。13第13页，课件共66页，创作于2023年2月（OTP，One-TimePassword）。一个口令仅使用一次，能有效地抵制重放攻击OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。

14第14页，课件共66页，创作于2023年2月10.3扫描器10.3.1端口与服务10.3.2端口扫描10.3.3常用的扫描技术15第15页，课件共66页，创作于2023年2月10.3.1端口与服务（1）公认端口（WellKnownPorts）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。（2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：从49152到65535。理论上，不应为服务分配这些端口16第16页，课件共66页，创作于2023年2月10.3.2端口扫描一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。

扫描器是检测远程或本地系统安全脆弱性的软件。

一般把扫描器分为三类：数据库安全扫描器、操作系统安全扫描器和网络安全扫描器，分别针对于网络服务、应用程序、网络设备、网络协议等。17第17页，课件共66页，创作于2023年2月10.3.3常用的扫描技术（1）TCPconnect（）扫描（2）TCPSYN扫描（3）TCPFIN扫描（4）IP段扫描

(5）TCP反向ident扫描（6）FTP返回攻击（7）UDPICMP端口不能到达扫描

（8）ICMPecho扫描

18第18页，课件共66页，创作于2023年2月10.4网络监听10.4.1网络监听的原理10.4.2网络监听工具及其作用10.4.3如何发现和防范sniffer19第19页，课件共66页，创作于2023年2月10.4.1网络监听的原理在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。20第20页，课件共66页，创作于2023年2月10.4.2网络监听工具及其作用NetXray、X-Scan、Sniffer、tcpdump、winpcap3.0等拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题21第21页，课件共66页，创作于2023年2月10.4.3如何发现和防范sniffer网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断22第22页，课件共66页，创作于2023年2月10.4.3如何发现和防范sniffer2．对网络监听的防范措施（1）从逻辑或物理上对网络分段

其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。（2）以交换式集线器代替共享式集线器

以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。（3）使用加密技术

数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。（4）划分VLAN

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

23第23页，课件共66页，创作于2023年2月10.5IP欺骗10.5.1IP欺骗的工作原理10.5.2IP欺骗的防止24第24页，课件共66页，创作于2023年2月10.5.1IP欺骗的工作原理（1）使被信任主机丧失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B……………t3:X＜－－－RST－－－B25第25页，课件共66页，创作于2023年2月10.5.1IP欺骗的工作原理序列号猜测方法攻击者先与被攻击主机的一个端口建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。

26第26页，课件共66页，创作于2023年2月10.5.1IP欺骗的工作原理实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A27第27页，课件共66页，创作于2023年2月10.5.2IP欺骗的防止（1）抛弃基于地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号28第28页，课件共66页，创作于2023年2月10.6

拒绝服务10.6.1什么是拒绝服务10.6.2分布式拒绝服务29第29页，课件共66页，创作于2023年2月10.6.1什么是拒绝服务DoS是DenialofService的简称，即拒绝服务。拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。最常见的DoS攻击有:

带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。

连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

30第30页，课件共66页，创作于2023年2月10.6.1什么是拒绝服务DoS攻击的基本过程31第31页，课件共66页，创作于2023年2月10.6.2分布式拒绝服务DDoS（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，一个比较完善的DDoS攻击体系分成三层32第32页，课件共66页，创作于2023年2月（1）攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。（2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。（3）代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。10.6.2分布式拒绝服务33第33页，课件共66页，创作于2023年2月10.7特洛伊木10.7.1特洛伊木马简介10.7.2木马的工作原理10.7.3木马的一般清除方法34第34页，课件共66页，创作于2023年2月10.7.1特洛伊木马简介木马是一种基于远程控制的黑客工具，一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制被植入木马的机器。服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，要做的第一件事就是把木马的服务器端程序通过某种方式植入到用户的电脑里面。木马具有隐蔽性和非授权性的特点35第35页，课件共66页，创作于2023年2月10.7.2木马的工作原理1．配置木马2．传播木马3．运行木马

4．信息泄露

5．建立连接

6．远程控制36第36页，课件共66页，创作于2023年2月10.7.3木马的一般清除方法

如果发现有木马存在，首先就是马上将计算机与网络断开，防止黑客通过网络进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=木马程序”或“load=木马程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=木马文件”，更改为：“shell=explorer.exe”；在注册表中，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到木马程序的文件名，再在整个注册表中搜索并替换掉木马程序，有时候还需注意的是：有的木马程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木马键值删除就行了，因为有的木马如：BladeRunner木马，如果你删除它，木马会立即自动加上，你需要的是记下木马的名字与目录，然后退回到MS－DOS下，找到此木马文件并删除掉。重新启动计算机，然后再到注册表中将所有木马文件的键值删除。

37第37页，课件共66页，创作于2023年2月10.8入侵检测概述10.8.1概念10.8.2IDS的任务和作用10.8.3入侵检测过程38第38页，课件共66页，创作于2023年2月10.8.1概念入侵检测（IntrusionDetection），顾名思义，即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。。早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互连的多个服务器，

39第39页，课件共66页，创作于2023年2月10.8.2.IDS的任务和作用

u

监视、分析用户及系统活动；u

对系统构造和弱点的审计；u

识别和反应已知进攻的活动模式并向相关人士报警；u

异常行为模式的统计分析；u

评估重要系统和数据文件的完整性；u

操作系统的审计跟踪管理，识别用户违反安全策略的行为。40第40页，课件共66页，创作于2023年2月10.8.3入侵检测过程信息收集

(1)系统和网络日志文件

(2)目录和文件中的不期望的改变

(3)程序执行中的不期望行为

(4)物理形式的入侵信息

2.信号分析

(1)模式匹配：

(2)统计分析

(3)完整性分析

41第41页，课件共66页，创作于2023年2月10.8.3入侵检测过程(1)模式匹配的方法：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。这种分析方法也称为误用检测。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。42第42页，课件共66页，创作于2023年2月10.8.3入侵检测过程(2)

统计分析的方法：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。这种分析方法也称为异常检测。例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。43第43页，课件共66页，创作于2023年2月10.8.3入侵检测过程(3)完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查44第44页，课件共66页，创作于2023年2月10.9入侵检测系统10.9.1入侵检测系统的分类10.9.2基于主机的入侵检测系统10.9.3基于网络的入侵检测系统10.9.4混合入侵检测45第45页，课件共66页，创作于2023年2月10.9.1入侵检测系统的分类1.按照入侵检测系统的数据来源划分（1）基于主机的入侵检测系统（2）基于网络的入侵检测系统（3）采用上述两种数据来源的分布式的入侵检测系统

2．按照入侵检测系统采用的检测方法来分类（1）基于行为的入侵检测系统：（2）基于模型推理的入侵检测系统：（3）采用两者混合检测的入侵检测系统：3．按照入侵检测的时间的分类（1）实时入侵检测系统：（2）事后入侵检测系统：

46第46页，课件共66页，创作于2023年2月10.9.2基于主机的入侵检测系统47第47页，课件共66页，创作于2023年2月10.9.2基于主机的入侵检测系统这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。

这主要表现在以下四个方面：一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。48第48页，课件共66页，创作于2023年2月10.9.3基于网络的入侵检测系统49第49页，课件共66页，创作于2023年2月10.9.3基于网络的入侵检测系统基于网络的IDS的优点是：（1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。（2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。（3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。50第50页，课件共66页，创作于2023年2月10.9.4分布式入侵检测技术典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统。51第51页，课件共66页，创作于2023年2月

基于分布式系统的IDS结构

10.9.4分布式入侵检测技术52