《9安全防护与入侵检测Sniffer讲义教材》由会员分享,可在线阅读,更多相关《9安全防护与入侵检测Sniffer讲义教材(52页珍藏版)》请在金锄头文库上搜索。
1、安全防护与入侵检测,5.1 Sniffer Pro网络管理与监视5.1.1 Sniffer Pro的功能,Sniffer Pro支持各种平台(Windows XP/ 2000/NT/ME/9X/2003),性能优越,是可视化的网络分析软件,主要功能有以下几点。 实时监测网络活动。 数据包捕捉与发送。 网络测试与性能分析。 利用专家分析系统进行故障诊断。 网络硬件设备测试与管理。,5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录(单块网卡时),5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,菜单栏,捕获栏,工具栏,状态栏,5.1.2
2、Sniffer Pro的登录与界面,2Sniffer Pro的界面,仪表盘:提供实时信息,判断网络是否异常。仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,主机列表:收集发出流量的节点,显示节点的流量统计信息支持4种视图:大纲、详细资料、直方图、饼图,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,矩阵:收集网络主机间的会话内容并进行流量统计,根据MAC、IP地址查看矩阵内容。支持5种查看方式:地图、大纲、详细资料、直方图、饼图。,5.1.2
3、 Sniffer Pro的登录与界面,2Sniffer Pro的界面,应用程序响应时间:主要用于对服务器的监控,了解网络应用的响应状况,及时发现服务存在的问题。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,历史抽样:用于确定基准,即网络的正常运行情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,协议分布:收集网络上所有可见的协议,查看协议分布情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,全局统计:显示捕获过程的整体统计信息。,5.1.2 Sniffer Pro的登录与界面,2Sn
4、iffer Pro的界面,警告日志:显示警告信息。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,捕获面板:显示捕获过程中所捕获数据包的数量和当前缓存的使用情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,地址本:保存节点的地址信息,便于管理和分析网络状况。,5.1.3 Sniffer Pro报文的捕获与解析,Sniffer Pro是一款比较完备的网络管理工具,可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击,识别它们最好的方法是,分析问题并将之分类,这样就可以全面了解网络的现状,并针对不同的问题采取不同的解决方法。首
5、先了解一下捕获栏的使用,如表5.1所示。捕获栏,表5.1捕获栏功能介绍,表5.1捕获栏功能介绍,定义过滤器,捕获ARP帧的结果,5.1.4 Sniffer Pro的高级应用,表5.2 Sniffer Pro高级系统层次与OSI对应关系,入侵检测系统,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。,入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。是一种动态的网络安全技术,传统的操作系统加固技术等都是静态安全防御技术。,入侵检测被认为是防火墙之后的第二道安全闸门,在
6、不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,图5.26 通用入侵检测模型,入侵检测利用不同的引擎实时或定期地对网络数据源进行分析,并对其中的威胁部分提取出来,触发响应机制。,将入侵检测的软件与硬件的组合称为入侵检测系统(IDS),5.2.2 入侵检测系统的构成与功能,入侵检测系统一般由4个部分的组成:事件发生器、事件分析器、响应单元、事件数据库。,图5.27 入侵检测系统的组成,提供事件记录流的信息源,收集信息源的数据,对基于分析引擎的数据结果产生反应,存放各种中间和最终数据的地方的统称,5.
7、2.2 入侵检测系统的构成与功能,入侵检测系统的功能: (1)检测和分析用户与系统的活动 (2)审计系统配置和漏洞 (3)评估系统关键资源和数据文件的完整性 (4)识别已知攻击 (5)统计分析异常行为 (6)操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动,5.2.3 入侵检测系统的分类,1按照检测类型划分,(2)特征检测模型(Signature-based detection),(1)异常检测模型(Anomaly detection),2按照检测对象划分,(1)基于主机的入侵检测产品(HIDS) 安装在被检测的主机上,对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。 (
8、2)基于网络的入侵检测产品(NIDS) 放置在比较重要的网段内,不停地监视网段中的各种数据包。,5.2.3 入侵检测系统的分类,5.2.4 入侵检测系统的部署,一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确,入侵检测系统也无法工作在最佳状态,一般可以采取以下4个选择: 放在边界防火墙之内,传感器可以发现所有来自Internet 的攻击,然而如果攻击类型是TCP攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系
9、统可能就检测不到这种攻击的发生。 放在边界防火墙之外,可以检测所有对保护网络的攻击事件,包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。,5.2.4 入侵检测系统的部署, 放在主要的网络中枢中,传感器可以监控大量的网络数据,可提高检测黑客攻击的可能性,可通过授权用户的权利周界来发现未授权用户的行为。 放在一些安全级别需求高的子网中,对非常重要的系统和资源的入侵检测,比如一个公司的财务部门,这个网段安全级别需求非常高,因此可以对财务部门单独放置一个检测器系统。,5.2.5 入侵检测系统的选型,表5.5入侵检测系统选择标准,5.2.5 入侵检测系统的选型,Axent Technolog
10、ies公司网址: Cisco Systems公司网址: Internet Security Systems公司网址: Intrusion Detection公司网址: Network Associates公司网址: Computer Associates公司网址: Trusted Information Systems公司网址: Network Security Wizards公司网址: Network Ice公司网址: NFR公司网址: CyberSafe公司网址: 中科网威公司网址: 启明星辰公司网址: ,IDS软件厂商的网址,入侵检测系统软件介绍,BlackICE Server Prot
11、ection 软件 萨客嘶入侵检测系统,入侵检测系统BlackICE,BlackICE Server Protection 软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高,稳定性出色,系
12、统资源占用率极少的特点。 软件版本:3.6、软件大小:6.11 M、软件语言:英文、软件类别:国外软件 / 注册版 / 网络安全、运行环境:Win9x/NT/2000/XP/2003/、下载地址:,入侵检测系统BlackICE,BlackICE安装后以后台服务的方式运行,前端有一个控制台可以进行各种报警和修改程序的配置,界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能,并且能够与自身的防火墙进行联动,可以自动阻断各种已知的网络攻击行为。,入侵检测系统BlackICE,BlackICE具有强大的网络攻击检测能力,可以说大部分的非法入侵都会被它发现,并采取Critical
13、、Serious、Suspicious和Information这4种级别报警(分别用红、橙黄、黄和绿4种颜色标识,危险程度依次降低)。同样,BlackICE对外来访问也设有4个安全级别,分别是Trusting、Cautious、Nervous和Paranoid。 Paranoid是阻断所有的未受权信息,Nervous是阻断大部分的未受权信息,Cautious是阻断部分的未受权的信息,而软件缺省设置的是Trusting级别,即接受所有的信息。修改以上安全级别,可以通过“Tools”菜单中的“Edit BlackICE Settings”,选择“Firewall”来进行。,入侵检测系统BlackI
14、CE,BlackICE提供了一个简单的防火墙设置界面,通过选择“Tools”菜单中的“Advanced Firewall Settings”,就可以对TCP/UDP端口或IP地址进行禁止或允许等访问规则的配置。,入侵检测系统BlackICE,另外,针对上述功能BlackICE软件还提供了详细的检测日志。“Intruders”中列出了BlackICE发现的全部可疑IP地址,逐一点击可以查看每个IP的详细信息,包括IP地址、Node节点名、Group组、NetBIOS名称、MAC地址和DNS解析地址等。,入侵检测系统BlackICE,“History”给出了在过去的时间段里(Min、Hour、Da
15、y)发生的事件和网络流量的曲线趋势图表(当曲线出现波动时,表示存在不正常的网络行为,点击某个波形就可以查看相对应的事件信息)。“Events”显示BlackICE所发现的全部入侵或访问事件。,萨客嘶入侵检测系统,萨客嘶入侵检测系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 在网络系统受到危害之前拦截和阻止入侵。萨客嘶入侵检测系统基于协议分析,采用了快速的多模式匹配算法,能对当前复杂高速的网络进行快速精确分析,在网络安全和网络性能方面提供全面和深入的数据依据,是企
16、业、政府、学校等网络安全立体纵深、多层次防御的重要产品。,主要功能,入侵检测及防御功能检测用户网络中存在的黑客入侵,网络资源滥用,蠕虫攻击,后门木马,ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为,对目标网络进行保护。行为审计功能对网络中用户的行为进行审计记录,包括用户范围WEB网站,收发邮件,使用FTP传输文件,使用MSN、QQ等即时通讯软件等行为,帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。流量统计功能对网络流量进行实时显示和统计分析,帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击,确保用户网络正常使用。,主要功能,入侵检测及防御功能检测用户网络中存在的黑客入侵,网络资源滥用,蠕虫攻击,后门木马,ARP欺骗、拒绝服务攻击等各种威胁。同时可以根据策略配置主动切断危险行为,对目标网络进行保护。行为审计功能对网络中用户的行为进行审计记录,包括用户范围WEB网站,收发邮件,使用FTP传输文件,使用MSN、QQ等即时通讯软件等行为,帮助管理员发现潜在的网络威胁。同时对网络中的敏感行为进行审计。流量统计
