（教学课件）入侵检测系统

1、,基于网络的入侵检测技术,6.1 分层协议模型与TCP/IP协议簇,OSI参考模型: 模型本身很通用,但与OSI模型相关的协议已经很少用了. TCP/IP协议模型:模型本身不很有用,但协议却广泛使用 TCP/IP网络是采用包交换的网络,分4层:应用层,传输层, 网络层, 链路层,TCP/IP参考模型,在TCP/IP参考模型中，去掉了OSI参考模型中的会话层和表示层（这两层的功能被合并到应用层实现）。同时将OSI参考模型中的数据链路层和物理层合并为主机到网络层。,TCP/IP各层功能,网络接口层：实际上TCP/IP参考模型没有真正描述这一层的实现，只是要求能够提供给其上层-网络互连层一个访问接口

2、，以便在其上传递IP分组。 网络互连层：是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机，网络互连层定义了分组格式和协议，即IP协议 传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种协议：传输控制协议TCP和用户数据报协议UDP 应用层面向不同的网络应用引入了不同的应用层协议,TCP报文格式,数据报文的分层封装 以太网IEEE802.3的帧格式,TCP,IP,ETH,TCP/IP报文格式,ARP/RARP报文格式,TCP/IP报文格式,IP数据报头格式,TCP/IP报文格式,ICMP报文格式,TCP/IP报文格式,ICMP回送请求/响应报文格式

3、,TCP/IP报文格式,UDP报文格式,TCP/IP报文格式,TCP报文格式,6.2 网络数据包的捕获,网络数据包捕获机制是网络入侵检测系统的基础 网络数据包捕获的要求: 1. 保证采用的捕获机制能捕获到所有网络上的数据包 2. 数据捕获机制的捕获数据包效率直接影响整个网络入侵检测系统的运行速度 Sniffer是一种常用的数据捕获方法,局域网和网络设备的工作原理,Hub工作原理: 共享Hub是基于总线方式,物理上是广播网络;交换式Hub只将数据发送到相应端口 网卡工作原理: 先接收数据头的目的MAC地址,如果该接收则产生中断信号通知CPU,如果不该接收则丢弃不管 局域网工作过程: 帧通过网络驱

4、动程序进行封装, 通过网卡发送到网线上,到达目的机器,再执行相反的过程. 接收端机器的以太网卡捕获到帧并通知操作系统, 然后进行存储,每个网络接口都有一个硬件物理地址和一个广播地址 一个合法的网络接口应该只响应以下两种数据帧: 1. 帧目标域含有和本地网络接口相匹配的硬件地址 2. 帧的目标域含有”广播地址” 如果某台机器的网络接口处于混杂模式,则可以捕获网络上所有的报文和帧,成为一个Sniffer,Sniffer介绍,Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具 Sniffer工作原理: 通知网卡接收其收到的所有包, 在交换HUB下接收别人的数据包,可通过欺

5、骗交换HUB的方法完成 大多数嗅探器至少能分析下面的协议: 标准以太网, TCP/IP, IPX和DECNet,Sniffer的应用,正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题. 由于Sniffer可以捕获网络上的报文数据,所以也常被黑客作为网络监听工具 Sniffer的危害: 1. 嗅探器能够捕获口令,可以记录明文传送的userid和password 2. 能够捕获专用的或者机密的信息 3. 窥探低级的协议信息,用来获取更高级别的访问权限,共享和交换网络环境下的数据捕获,Libpcap和Winpcap 使用交换Hub或交换机连接的网络环境中采用以下方法: 1. 将数据包捕

6、获程序放在网关或代理服务器上,可以捕获整个局域网的数据包 2. 对交换机实行端口映射,将所有端口的数据包全映射到某连接监控机器的端口上 3. 在交换机和路由器之间连接一个Hub, 以广播的方式发送 4. 实行ARP欺骗, 即在负责数据包捕获的机器上实现整个网络的数据包的转发,但会降低整个局域网的效率,6.3 包捕获机制与BPF模型,包捕获机制的3个主要部分: 1. 最底层是针对特定操作系统的包捕获机制, 其原理是在数据链路层增加一个旁路处理, 对发送和接收到的数据包做过滤/缓冲等相关处理, 最后传递到应用程序 2. 包过滤机制, 便于用户程序通过简单设置的一系列过滤条件, 以获得满足条件的数据

7、包. 包过滤机制实际上是布尔值操作函数,如果返回true, 则通过过滤, 反之则丢弃 3. 最高层是针对用户程序的接口,BPF模型,组成: 网络分接头和数据包过滤器,6.4 基于Libpcap库的数据捕获技术,Libpcap是unix/linux平台下的网络数据包捕获函数库 Libpcap最主要的优点是平台无关性,被广泛应用在各种网络监控软件中 Libpcap头文件: 数据流存储文件头(pcap_file_header)和数据信息包(pcap_pkthdr) Libpcap库主要函数 Libpcap应用框架,Windows平台下的Winpcap库,WinPcap是在Windows操作平台上来实

8、现对底层包的截取过滤 Winpcap不能阻塞、过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报 Winpcap提供的四大功能: 1. 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报； 2. 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉； 3. 在网络上发送原始的数据报； 4.收集网络通信过程中的统计信息,Winpcap结构示意图,Winpcap的组成,NPF(NetgroupPacketFilter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块 packet.dll为win3

9、2平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数,Winpcap的基本使用步骤,枚举本机网卡信息: pcap_findalldevs函数,主要功能是枚举系统所有网络设备的信息 打开相应网卡并设置为混杂模式: pcap_open_live函数, 主要功能是根据网卡名字打开网卡设置为混杂模式 截获数据包并保存为文件: 1. pcap_dumper_t* pcap_dump_open函数,功能是建立或者打开存储数据包内容的文件 2. int pcap_ne

10、xt_ex函数,功能是从网卡或者数据包文件中读取数据内容 3. void pcap_dump函数,功能是将数据包内容依次写入pcap_dump_open()指定的文件中 捕获数据包的完整代码,6.5 检测引擎的设计,检测引擎的主要分析技术: 1. 模式匹配技术: 使用基于攻击特征的网络数据包分析技术,分析速度快,误报率小,缺点是计算量大,只能检测特定类型的攻击,影响检测准确性 2. 协议分析技术: 辨别数据包的协议类型,以便使用相应的数据分析程序来检测数据包,6.6 网络入侵特征实例分析,特征的基本概念: 1. 来自保留IP地址的连接企图 2. 带非法TCP标志组合的数据包 3. 含有特殊病毒

11、信息的E-mail 4. 查询负载中的DNS缓冲区溢出企图 5. 通过对POP3服务器发出上千次同一命令而导致的DOS攻击 6. 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击,典型特征-报头值,经典的例子:明显违背RFC793中规定的TCP标准、设置了SYN和FIN标记的TCP数据包 许多包含报头值的漏洞利用都会故意违反RFC的标准定义 许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据 并非所有的操作系统和应用程序都能全面拥护RFC定义，至少会存在一个方面与RFC不协调 执行新功能的协议可能不被包含于现有RFC中,候选特征,Synscan是一个流行的用于扫描和探测系

12、统的工具，执行行为很具典型性，它发出的信息包具有多种可分辨的特性 特征数据的候选对象: 1.只具有SYN和FIN标志集的数据包，这是公认的恶意行为迹象 2.没有设置ACK标志，但却具有不同确认号码数值的数据包，而正常情况应该是0 3.来源端口和目标端口都被设置为21的数据包，经常与FTP服务器关联,最佳特征,选择一项数据作为特征有很大的局限性,选择以上4项数据联合作为特征显得有些太特殊 创建一个特征: 1. 只设置了SYN和FIN标志 2. IP鉴定号码为39426 3. TCP窗口尺寸为1028,通用特征,Synscan变脸: 1. 只设置了SYN标志，这纯属正常的TCP数据包“长相”。 2. TCP窗口尺寸总是40而不是1028 3. “反身”端口数值为53而不是2