《9安全防护与入侵检测Sniffer教学讲义》由会员分享,可在线阅读,更多相关《9安全防护与入侵检测Sniffer教学讲义(52页珍藏版)》请在金锄头文库上搜索。
1、 安全防护与入侵检测安全防护与入侵检测 Sniffer Pro网络管理与监视5.1 入侵检测系统5.2 蜜 罐 系 统5.35.1 Sniffer Pro网络管理与监视5.1.1 Sniffer Pro的功能 Sniffer Pro支持各种平台(Windows XP/ 2000/NT/ME/9X/2003),性能优越,是可视化的网络分析软件,主要功能有以下几点。 实时监测网络活动。 数据包捕捉与发送。 网络测试与性能分析。 利用专家分析系统进行故障诊断。 网络硬件设备测试与管理。5.1.2 Sniffer Pro的登录与界面1Sniffer Pro的登录(单块网卡时)5.1.2 Sniffer
2、 Pro的登录与界面2Sniffer Pro的界面菜单栏菜单栏捕获栏捕获栏工具栏工具栏状态栏状态栏5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面仪表盘:仪表盘:提供实时信息,判断网络是否异常。提供实时信息,判断网络是否异常。仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面主机列表:主机列表:收集发出流量的节点,显示节点的流量统计信息收集发出流量的节点,显示节点的流
3、量统计信息支持支持4 4种视图:大纲、详细资料、直方图、饼图种视图:大纲、详细资料、直方图、饼图5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面矩阵:矩阵:收集网络主机间收集网络主机间的会话内容并进的会话内容并进行流量统计,根行流量统计,根据据MACMAC、IPIP地址地址查看矩阵内容。查看矩阵内容。支持支持5 5种查看方种查看方式:地图、大纲式:地图、大纲、详细资料、直、详细资料、直方图、饼图。方图、饼图。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面应用程序响应时间:应用程序响应时间:主要用于对服务器的监控,了解网络应用的响应状主要
4、用于对服务器的监控,了解网络应用的响应状况,及时发现服务存在的问题。况,及时发现服务存在的问题。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面历史抽样:历史抽样:用于确定基准,即网络的正常运行情况。用于确定基准,即网络的正常运行情况。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面协议分布:协议分布:收集网络上所有可见的协议,查看协议分布情况。收集网络上所有可见的协议,查看协议分布情况。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面全局统计:全局统计:显示捕获过程的整体统计信息。显示捕获过程的整体统计信息。
5、5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面警告日志:警告日志:显示警告信息。显示警告信息。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面捕获面板:捕获面板:显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的使用情况。使用情况。5.1.2 Sniffer Pro的登录与界面2Sniffer Pro的界面地址本:地址本:保存节点的地址信息,便于管理和分析网络状况。保存节点的地址信息,便于管理和分析网络状况。5.1.3 Sniffer Pro报文的捕获与解析 Sniffer Pro是一款比较完备的网
6、络管理工具,可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击,识别它们最好的方法是,分析问题并将之分类,这样就可以全面了解网络的现状,并针对不同的问题采取不同的解决方法。首先了解一下捕获栏的使用,如表5.1所示。捕获栏表5.1捕获栏功能介绍表5.1捕获栏功能介绍名 称图 标功 能开始按钮表示可以开始捕获过程暂停按钮可以在任何时间停止捕获过程,稍后再继续停止按钮可以停止过程来查看信息,或将信息存为一个文件停止并显示按钮以停止捕获并显示捕获的帧显示按钮显示一个已经停止捕获过程的结果定义过滤 器按钮定义用来捕获帧的条件选择过滤 器以从定义好的条件列表中选择一个用于捕获定义过滤器捕获ARP帧的结果
7、5.1.4 Sniffer Pro的高级应用表5.2 Sniffer Pro高级系统层次与OSI对应关系图 标高级系统层次名称OSI模型的层次服务层(Service)应用层与表示层应用程序层(Application)应用层与表示层会话层(Session)会话层数据链路层(Connection)数据链路层工作站层(Station)网络层DLC数据链路层与物理层入侵检测系统入侵检测系统5.2 入侵检测系统5.2.1 入侵检测的概念与原理入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是用来发现内部攻击、外部攻击和误操作的一
8、种方法。是一种动态的网络安全技术,传统的操作系统加固技术等都是静态安全防御技术。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。5.2 入侵检测系统5.2.1 入侵检测的概念与原理图5.26 通用入侵检测模型入侵检测利用不同的引擎实时或定期地对网络数据源进行分析,并对其中的威胁部分提取出来,触发响应机制。将入侵检测的软件与硬件的组合称为入侵检测系统(IDS)5.2.2 入侵检测系统的构成与功能入侵检测系统一般由4个部分的组成:事件发生器、事件分析器、响应单元、事件数据库。图5.27 入侵检测系统的组成提供事件
9、记录流的信息源收集信息源的数据对基于分析引擎的数据结果产生反应存放各种中间和最终数据的地方的统称5.2.2 入侵检测系统的构成与功能入侵检测系统的功能:(1)检测和分析用户与系统的活动(2)审计系统配置和漏洞(3)评估系统关键资源和数据文件的完整性(4)识别已知攻击(5)统计分析异常行为(6)操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动5.2.3 入侵检测系统的分类1按照检测类型划分(2)特征检测模型(Signature-based detection)(1)异常检测模型(Anomaly detection)2按照检测对象划分(1)基于主机的入侵检测产品(HIDS) 安装在被检测的
10、主机上,对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。 (2)基于网络的入侵检测产品(NIDS) 放置在比较重要的网段内,不停地监视网段中的各种数据包。 5.2.3 入侵检测系统的分类5.2.4 入侵检测系统的部署一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确,入侵检测系统也无法工作在最佳状态,一般可以采取以下4个选择: 放在边界防火墙之内放在边界防火墙之内,传感器可以发现所有来自Internet
11、的攻击,然而如果攻击类型是TCP攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系统可能就检测不到这种攻击的发生。 放在边界防火墙之外放在边界防火墙之外,可以检测所有对保护网络的攻击事件,包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。5.2.4 入侵检测系统的部署 放在主要的网络中枢中放在主要的网络中枢中,传感器可以监控大量的网络数据,可提高检测黑客攻击的可能性,可通过授权用户的权利周界来发现未授权用户的行为。 放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中,对非常重要的系统和资源的入侵检测,比如一个公司的财务部门,这个网段安全级别需求非常高,因此可以对财务部
12、门单独放置一个检测器系统。5.2.5 入侵检测系统的选型表5.5入侵检测系统选择标准产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽 和对审计 日志溢出的处理该产 品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试 ,明确测试 步骤和内容,主要关注本产品抵抗拒绝服务攻击的能力产品支持的入侵特征数不同厂商对检测 特征库大小的计算方法都不一样,尽量参考国际标 准特征库升级与维护 的周期、方式、费用入侵检测 的特征库需要不断更新才能检测 出新出现的攻击方法最大可处理流量一般有百兆、千兆、万兆之分是否通过了国家权威机构的测评主要的权威测评 机构有:国家信息安全
13、测评认证 中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例,有必要进行实地考察和测试 使用系统的价格性能价格比,以要保护系统的价值为 主要的因素5.2.5 入侵检测系统的选型Axent Technologies公司网址: http:/Cisco Systems公司网址: http:/Internet Security Systems公司网址: http:/Intrusion Detection公司网址: http:/Network Associates公司网址: http:/http:/Computer Associates公司网址: http:/ I
14、nformation Systems公司网址: http:/Network Security Wizards公司网址: http:/Network Ice公司网址: http:/NFR公司网址: http:/ http:/ http:/IDS软件厂商的网址入侵检测系统软件介绍n BlackICE Server Protection 软件n 萨客嘶入侵检测系统入侵检测系统BlackICE BlackICE Server Protection 软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是
15、:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。软件版本:3.6、软件大小:6.11 M、软件语言:英文、软件类别:国外软件 / 注册版 / 网络安全、运行环境:Win9x/NT/2000/XP/2003/、下载地址:http:/ 入侵检测系统BlackICEBlackICE安装后以后台服务的方式运行,
16、前端有一个控制台可以进行各种报警和修改程序的配置,界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能,并且能够与自身的防火墙进行联动,可以自动阻断各种已知的网络攻击行为。 入侵检测系统BlackICEBlackICE具有强大的网络攻击检测能力,可以说大部分的非法入侵都会被它发现,并采取Critical、Serious、Suspicious和Information这4种级别报警(分别用红、橙黄、黄和绿4种颜色标识,危险程度依次降低)。同样,BlackICE对外来访问也设有4个安全级别,分别是Trusting、Cautious、Nervous和Paranoid。Paranoid是阻断所有的未受权信息,Nervous是阻断大部分的未受权信息,Cautious是阻断部分的未受权的信息,而软件缺省设置的是Trusting级别,即接受所有的信息。修改以上安全级别,可以通过“Tools”菜单中的“Edit BlackICE Settings”,选择“Firewall”来进行。 入侵检测系统BlackICEBlackICE提供了一个简单的防火墙设置界面,通过选择“Tools”菜
