第10章-网络攻防与入侵检测.ppt_第1页
第10章-网络攻防与入侵检测.ppt_第2页
第10章-网络攻防与入侵检测.ppt_第3页
第10章-网络攻防与入侵检测.ppt_第4页
第10章-网络攻防与入侵检测.ppt_第5页
已阅读5页,还剩60页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1,学习目标,了解黑客与网络攻击的基础知识;掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害;掌握入侵检测技术和入侵检测系统原理能够识别和防范各类攻击,能够使用入侵检测工具检测入侵行为。,2,10.1密钥管理,10.1.1关于黑客10.1.2黑客攻击的步骤10.1.3网络入侵的对象10.1.4主要的攻击方法10.1.5攻击的新趋势,3,10.1.1关于黑客,黑客(hacker)源于20世纪50年代麻省理工学院独立思考、奉公守法的计算机迷骇客(Cracker)怀不良企图,非法侵入他人系统进行偷窥、破坏活动的人,4,10.1.2黑客攻击的步骤,1收集信息Ping

2、程序:可以测试一个主机是否处于活动状态、到达主机的时间等。Tracert程序:可以用该程序来获取到达某一主机经过的网络及路由器的列表。Finger协议:可以用来取得某一主机上所有用户的详细信息。DNS服务器:该服务器提供了系统中可以访问的主机的IP地址和主机名列表。SNMP协议:可以查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其它内部细节。Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。,5,10.1.2黑客攻击的步骤,2探测系统安全弱点利用“补丁”找到突破口用户没有及时地使用“补丁”程序,这就给了攻击者可趁之机。利用扫描器发现安全漏洞扫描器可以对

3、整个网络或子网进行扫描,寻找安全漏洞。比较流行的扫描器:ISS(InternetSecurityScanner),SATAN(SecurityAdministratorToolForAnalyzingNetworks)等等。,6,10.1.2黑客攻击的步骤,3实施攻击(1)掩盖行迹,预留后门。攻击者潜入系统后,会尽量销毁可能留下的痕迹,并在受损害系统中找到新的漏洞或留下后门,以备下次光顾时使用。(2)安装探测程序。攻击者退出去以后,探测软件仍可以窥探所在系统的活动,收集攻击者感兴趣的信息,如:用户名、账号、口令等,并源源不断地把这些秘密传给幕后的攻击者。(3)取得特权,扩大攻击范围。如果攻击者

4、获得根用户或管理员的权限,7,10.1.3网络入侵的对象,3实施攻击(1)固有的安全漏洞协议的安全漏洞、弱口令、缓冲区溢出等(2)系统维护措施不完善的系统。系统进行了维护,对软件进行了更新或升级,路由器及防火墙的过滤规则。(3)缺乏良好安全体系的系统。建立有效的、多层次的防御体系,8,10.1.4主要的攻击方法,1.获取口令2放置特洛伊木马3WWW的欺骗技术4电子邮件攻击5网络监听6寻找系统漏洞,9,10.1.5攻击的新趋势,1.攻击过程的自动化与攻击工具的快速更新2攻击工具复杂化3漏洞发现得更快4渗透防火墙,10,10.2口令攻击,10.2.1获取口令的一些方法10.2.2设置安全的口令10

5、.2.3一次性口令,11,10.2.1获取口令的一些方法,(1)是通过网络监听非法得到用户口令(2)口令的穷举攻击(3)利用系统管理员的失误,12,10.2.2设置安全的口令,(1)口令的选择:字母数字及标点的组合,如:Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令,如:由Afoxjumpsoveralazydog!产生口令:AfJoAld!。(2)口令的保存:记住、放到安全的地方,加密最好。(3)口令的使用:输入口令不要让别人看到;不要在不同的系统上使用同一口令;定期改变口令。,13,(OTP,One-TimePassword)。一个口令仅使用一次,能有效地抵制重放攻击OTP的

6、主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生成的口令不相同。口令列表,每次登录使用完一个口令后就将它从列表明中删除;用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,14,10.3扫描器,10.3.1端口与服务,10.3.2端口扫描,10.3.3常用的扫描技术,15,10.3.1端口与服务,(1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。(2)注册端口(RegisteredPorts):

7、从1024到49151。它们松散地绑定于一些服务。(3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这些端口,16,10.3.2端口扫描,一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。扫描器是检测远程或本地系统安全脆弱性的软件。一般把扫描器分为三类:数据库安全扫描器、操作系统安全扫描器和网络安全扫描器,分别针对于网络服务、应用程序、网络设备、网络协议等。,17,10.3.3常用的扫描技术,(1)TCPconnect()扫描(2)TCPSYN扫描(3)TCPFIN扫

8、描(4)IP段扫描(5)TCP反向ident扫描(6)FTP返回攻击(7)UDPICMP端口不能到达扫描(8)ICMPecho扫描,18,10.4网络监听,10.4.1网络监听的原理,10.4.2网络监听工具及其作用,10.4.3如何发现和防范sniffer,19,10.4.1网络监听的原理,在正常情况下,网络接口读入数据帧,并检查数据帧帧头中的地址字段,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,不管数据帧的目的地址是什么,所有的数据帧都将被交给上层

9、协议软件处理。,20,10.4.2网络监听工具及其作用,NetXray、X-Scan、Sniffer、tcpdump、winpcap3.0等拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局网络监听对系统管理员是很重要的,系统管理员通过监听可以诊断出大量的不可见问题,21,10.4.3如何发现和防范sniffer,网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机,用正确的IP地址和错误的物理地址去PING,正常的机器不接受错误的物理地址,处于监听状态的机器能接受,这种方法依赖系统的IPSTACK,对有些系统

10、可能行不通。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmpechodelay等方法)加以判断,22,10.4.3如何发现和防范sniffer,2对网络监听的防范措施(1)从逻辑或物理上对网络分段其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。(2)以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。(3)使用加密技术数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。(4)划分VLAN运用VLAN(虚拟局域网)技术,将以太网通信变为点到点

11、通信,可以防止大部分基于网络监听的入侵。,23,10.5IP欺骗,10.5.1IP欺骗的工作原理,10.5.2IP欺骗的防止,24,10.5.1IP欺骗的工作原理,(1)使被信任主机丧失工作能力TCPSYN-Flood:t1:Z(X)SYNBZ(X)SYNBZ(X)SYNBt2:XSYN/ACK-BXSYN/ACK-Bt3:XRSTB,25,10.5.1IP欺骗的工作原理,序列号猜测方法攻击者先与被攻击主机的一个端口建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的ISN(初始序列号)存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间(往返时间),这个RTT时间

12、是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000,每次连接增加64000。现在就不难估计出ISN的大小了,它是128000乘以RTT的一半,如果此时目标主机刚刚建立过一个连接,那么再加上一个64000。,26,10.5.1IP欺骗的工作原理,实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下:t1:Z(B)SYNAt2:BSYN/ACKAt3:Z(B)ACKAt4:Z(B)PSHA,27,10.5.2IP欺骗的防止,(1)抛弃基于地址的信任策略(2)进行包过滤(3)使用加密方法(4)使用随机化的初始序列号,28,10.6拒绝服务,10.6.1什

13、么是拒绝服务,10.6.2分布式拒绝服务,29,10.6.1什么是拒绝服务,DoS是DenialofService的简称,即拒绝服务。拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性,这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。最常见的DoS攻击有:带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。,3

14、0,10.6.1什么是拒绝服务,DoS攻击的基本过程,31,10.6.2分布式拒绝服务,DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,一个比较完善的DDoS攻击体系分成三层,32,(1)攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。(2)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。(3)代理端:代理

15、端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,由它向受害者主机实际发起攻击。,10.6.2分布式拒绝服务,33,10.7特洛伊木,10.7.1特洛伊木马简介,10.7.2木马的工作原理,10.7.3木马的一般清除方法,34,10.7.1特洛伊木马简介,木马是一种基于远程控制的黑客工具,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制被植入木马的机器。服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,要做的第一件事就是把木马的服务器端程序通过某种方式植入到用户的电脑里面。木马具有隐蔽性和非授权性

16、的特点,35,10.7.2木马的工作原理,1配置木马2传播木马3运行木马4信息泄露5建立连接6远程控制,36,10.7.3木马的一般清除方法,如果发现有木马存在,首先就是马上将计算机与网络断开,防止黑客通过网络进行攻击。然后编辑win.ini文件,将WINDOWS下面,“run=木马程序”或“load=木马程序”更改为“run=”和“load=”;编辑system.ini文件,将BOOT下面的“shell=木马文件”,更改为:“shell=explorer.exe”;在注册表中,先在“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionR

17、un”下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序,有时候还需注意的是:有的木马程序并不是直接将“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的木马键值删除就行了,因为有的木马如:BladeRunner木马,如果你删除它,木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MSDOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。,37,10.8入侵检测概述,10.8.1概念,10.8.2IDS的任务和作用,10.8.3入侵检测过程,38,10.8.1概念,

18、入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器,,39,10.8.2.IDS的任务和作用,u监视、分析用户及系统活动;u对系统构造和弱点的审计;u识别和反应已知进攻的活动模式并向相关人士报警;u异常行为模式

19、的统计分析;u评估重要系统和数据文件的完整性;u操作系统的审计跟踪管理,识别用户违反安全策略的行为。,40,10.8.3入侵检测过程,信息收集(1)系统和网络日志文件(2)目录和文件中的不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵信息2.信号分析(1)模式匹配:(2)统计分析(3)完整性分析,41,10.8.3入侵检测过程,(1)模式匹配的方法:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。这种分析方法也称为误用检测。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,

20、检测准确率和效率都相当高。该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。,42,10.8.3入侵检测过程,(2)统计分析的方法:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。这种分析方法也称为异常检测。例如,统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录,系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为

21、复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法有:基于专家系统的、基于模型推理的和基于神经网络的分析方法。,43,10.8.3入侵检测过程,(3)完整性分析的方法:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查,44,10.9入侵检测系统,10.9.1入侵检测系统的分类,10.9.2基于主

22、机的入侵检测系统,10.9.3基于网络的入侵检测系统,10.9.4混合入侵检测,45,10.9.1入侵检测系统的分类,1.按照入侵检测系统的数据来源划分(1)基于主机的入侵检测系统(2)基于网络的入侵检测系统(3)采用上述两种数据来源的分布式的入侵检测系统2按照入侵检测系统采用的检测方法来分类(1)基于行为的入侵检测系统:(2)基于模型推理的入侵检测系统:(3)采用两者混合检测的入侵检测系统:3按照入侵检测的时间的分类(1)实时入侵检测系统:(2)事后入侵检测系统:,46,10.9.2基于主机的入侵检测系统,47,10.9.2基于主机的入侵检测系统,这种类型的系统依赖于审计数据或系统日志的准确

23、性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。,48,10.9.3基于网络的入侵检测系统,49,10.9.3基于网络的入侵检测系统,基于网络的IDS的优点是:(1)服务器平台独立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。(2)配置简单:基于网络的IDS环境只需要一个普通的网络访问接口。(3)检测多种攻击:基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击,长于识别与网络低层操作有关的攻击。,50,10.9.4分布式入侵检测技术,典型的入侵检测系统是一个统一集中的代码块,它位于系统内核或内核之上,监控传送到内核的所有请求。但是

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论