《计算机信息及网络安全实用教程 主编 蒋理 第10章 入侵检测系统》由会员分享,可在线阅读,更多相关《计算机信息及网络安全实用教程 主编 蒋理 第10章 入侵检测系统(73页珍藏版)》请在金锄头文库上搜索。
1、第10章 入侵检测系统 10.1 黑客攻击的常用方式,黑客是对英语hacker的翻译。黑客是指那些怀有不良企图,强行闯入他人系统或以某种恶意目的干扰他人网络的人。 黑客通过获取未授权的访问权限,破坏重要数据,拒绝合法用户服务来达到他们私人的目的。,黑客对网络的攻击方式是多种多样的,一般来讲,攻击总是利用系统配置的缺陷、操作系统的安全漏洞或通信协议的安全漏洞来进行的。 黑客对网络攻击主要采用的攻击方式有:拒绝服务攻击、协议欺骗攻击、口令猜测攻击、木马程序攻击、Web欺骗攻击、邮件炸弹、缓冲区溢出攻击、Windows系统漏洞攻击、SQL注入、UNIX系统攻击等多种方式。,10.1.1 拒绝服务攻击
2、 拒绝服务攻击(Denial of Service,DoS)是目前比较有效而又非常难于防御的一种网络攻击方式,它的目的就是占用过多的服务资源,使服务器不能够为正常访问的用户提供服务。所以,DoS对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。 1拒绝服务攻击的特点 拒绝服务攻击技术有多种,其中SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。,2拒绝服务攻击的防范 配置路由器、防火墙、入侵检测系统或入侵防御系统可抵御常见的DoS攻击。 要彻底杜绝拒绝
3、服务攻击,最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者可不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。惟一可行的方法是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。,3分布式拒绝服务攻击 单一的DoS攻击一般是采用一对一方式的。 分布式的拒绝服务攻击手段(Distributed Denial of Service,DDoS)的原理就很简单,如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是
4、利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。,10.1.2 协议欺骗攻击 协议欺骗有多种形式,常见的有IP欺骗、DNS欺骗、源路由欺骗及ARP欺骗等 。 1IP欺骗 (1)IP欺骗的特点 IP欺骗就是一台主机设备冒充另外一台主机的IP地址,与其他设备通信,从而达到某种目的。 IP欺骗首先选定目标主机,并找到了一个被目标主机信任的主机,为了伪装成它,往往使其丧失工作能力,然后,伪装成被信任的主机,建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。,(2)IP欺骗的防范 为防止IP欺骗,可采用如下方法。 抛弃基于地址的信
5、任策略 进行包过滤 如果用户的网络是通过路由器接入Internet的,那么可以利用用户的路由器来进行包过滤。用户的路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。 使用加密方法 阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时,可能加密方法最为适用。,2DNS欺骗 (1)DNS欺骗的特点 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。,(2)DNS欺骗的防范 为防范DNS欺骗,可采用
6、如下措施。 直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。但这需要用户记住要访问的IP地址。 加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是怎么容易的事情。,3源路由欺骗 (1)源路由欺骗的特点 通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作,这就是源路由攻击。,例如,主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为1.2.3.4)获得某些服务。 首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址1.2.3.4的数
7、据包以主机X所在的网络为目的地; 然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。,(2)源路由欺骗的防范 为防止源路由欺骗,可采用如下防范措施。 对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。 对对端路由器进行身份认证和路由信息的身份认证。 访问控制:对于路由器的访问控制,需要进行口令的分级保护;基于IP地址的访问控制;基于用户的访问控制。,信息隐藏:与对端通信时,不一定需要用真实身份进行通信。通过地址转换
8、,可以做到隐藏网内地址、只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。 在路由器上关闭源路由。如用命令no ip source-route。 在路由器上提供攻击检测,可以防止一部分的攻击。,4ARP欺骗 (1)ARP欺骗的特点 在局域网中,通信前必须通过ARP协议来完成将IP地址转换为第二层物理地址(即MAC地址)。而ARP欺骗就是通过伪造IP地址和MAC地址的对应关系,实现ARP欺骗的攻击。 ARP欺骗攻击有两种可能,一种是对路由器ARP表的欺骗;另一种是对内网计算机ARP表的欺骗,当然也可能两种攻击同时进行。但不管怎么样,欺骗发送后
9、,计算机和路由器之间发送的数据可能就被送到错误的MAC地址上。,(2)ARP欺骗的防范 为防止ARP欺骗,可以采取如下防范措施。 在客户端使用arp命令绑定网关的真实MAC地址。 在交换机上做端口与MAC地址的静态绑定。 在路由器上做IP地址与MAC地址的静态绑定。,10.1.3 口令猜测攻击 1口令猜测攻击的特点 口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。如果口令攻击成功,黑客进入了目标网络系统,他就能够随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。 口令猜测攻击的主要方法如下。 (1)网络嗅探 (2)猜测攻击 (3)字典攻击 (
10、4)穷举法攻击 (5)直接破解系统口令文件,2口令猜测攻击的防范 为了防御口令猜测攻击,要选用难以猜测的口令,比如大、小写字母、标点符号和数字的组合,可以参照Windows 2000Server 2003系统的密码复杂性策略; 不要将口令记在纸上或存储于计算机文件中; 最好不要将用户口令告诉别人; 不要在不同的系统中使用相同的口令; 在输入口令时应确保无人在身边窥视; 在公共上网场所如网吧等处最好先确认系统是否安全; 定期更改口令,至少六个月更改一次,这会使遭受口令攻击的风险降到最低,但永远不要对自己的口令过于自信。,10.1.4 木马程序攻击 1木马程序攻击的特点 特洛伊木马是一个程序,它驻
11、留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的客户机/服务器程序。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机。,2木马程序攻击的防范 木马程序会想尽一切办法隐藏自己,但是还是可以通过一定的方法来预防。 (1)端口扫描 (2)查看连接 在本地机上通过netstat -a查看所有的TCP/UDP连接。 (3)检查注册表 (4)查找文件 查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就
12、已经不起作用了。,10.1.5 Web欺骗攻击 1Web欺骗攻击的特点 Web欺骗是一种电子信息欺骗,攻击者在其中创造了错误的Web网站。错误的Web网站看起来十分逼真,它与真实的站点拥有相同的网页和链接。 攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就好像是一个过滤器。攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;同样地,也控制着从Web服务器至受攻击者的返回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。,Web欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全
13、问题中称为“来自中间的攻击”。 为了建立起这样的中间Web服务器,黑客往往将对URL进行改写,即攻击者改写Web页中所有URL地址,这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是www.distinct.org,攻击者通过在所有链接前增加http:/ www.distinct.org来改写URL。,例如,http:/将变为http:/www.distinct.org/http:/。当用户点击改写过的http:/(可能它仍然显示的是http:/),将进入的是http:/www.distinct.org,然后由http:/www.distinct.org
14、向http:/发出请求并获得真正的文档,然后改写文档中的所有链接,最后经过http:/www.distinct.org返回给用户的浏览器。 很显然,修改过的文档中的所有URL都指向了www.distinct.org,当用户点击任何一个链接都会直接进入www.distinct.org,而不会直接进入真正的URL。如果用户由此依次进入其他网页,那么他们是永远不会摆脱掉受攻击的可能。,2Web欺骗攻击的防范 Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。我们可以采取一些短期和长期的方法来保护免受Web欺骗。 (1)短期的解决方案 为了取得短期的效果,最好从下面三方面来预防:
15、 禁止浏览器中的JavaScript功能,那么各类改写信息将原形毕露。 确保浏览器的连接状态是可见的,它将给你提供当前位置的各类信息。 时刻注意所点击的URL链接会在位置状态行中得到正确的显示。,(2)长期的解决方案 长期的解决方案可以在根本上来预防。 改变浏览器,使之具有反映真实URL信息的功能,而不会被蒙蔽; 对于通过安全连接建立的Web与浏览器的对话,浏览器还应该告诉用户谁在另一端,而不只是表明一种安全连接的状态。例如,在建立了安全连接后,给出一个提示信息“Netscape Inc.”等等。 这些解决方案,可以根据用户的安全要求和实际条件来加以选择。,10.1.6邮件炸弹 1邮件炸弹的特
16、点 邮件炸弹原本泛指一切破坏电子邮箱的办法。邮件炸弹指的是邮件发送者,利用特殊的电子邮件软件,在很短的时间内连续不断地将邮件邮寄给同一个收信人,这些数以千万计的电子邮件的总容量就会超过电子邮箱的总容量,以至造成邮箱超负荷而崩溃,而最终“爆炸身亡”。 这种攻击手段不仅会干扰用户的电子邮件系统的正常使用,还会大量消耗网络资源,常常导致网络阻塞,使大量的用户不能正常地工作,甚至它还能影响到邮件系统所在的服务器系统的安全,造成整个网络系统全部瘫痪。,2邮件炸弹的防范 为了防止邮件炸弹,可以采用以下几种防范方法。 (1)不要将自己的邮箱地址到处传播。去申请几个免费信箱对外使用。 (2)最好用POP3收信,可以用Outlook或Foxmail等POP收信工具收取E-mail,并设定对各种条件的E-mail的处理方式。 (3)在收信时,一旦看见邮件列表的数量超过平时正常邮件的数量的若
