《6-2-入侵监测与服务协议端口管理》由会员分享,可在线阅读,更多相关《6-2-入侵监测与服务协议端口管理(19页珍藏版)》请在金锄头文库上搜索。
1、网络安全实训模块任务二入侵监测与服务协议 端口管理安全一、实训的目的 了解入侵监测与服务协议端口管理的原理与实现方式 二、实训内容 通过了解入侵监测与服务协议端口管理的原理与实现方式 入侵监测定义入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于监测计算机网络中违反安全策略行为的技术。 入侵监测系统模型三个功能部件1提供事件记录流的信息源 2发现入侵迹象的分析引擎 3基于分析引擎的分析结果产生反映的响应部件 入侵监测与防火墙的协同 防火墙与入侵监测可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是入侵监测可以通过了解防
2、火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态的方面是当入侵监测发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。 入侵监测与路由器、交换机的协同 由于交换机和路由器防火墙一样,一般串接在网络上。同时都有预定的策略,可以决定网络上的数据流,所以入侵监测与交换机、路由器的协同与入侵监测同防火墙的协同非常相似,都有动态和静态两个方面,过程也大致相同,这里不作详细的论述。 入侵监测与防病毒系统的协同 入侵监测与防病毒系统的协同在数据采集协同中已经进行过论述,但实际上对防病毒系统来讲,查和杀是不可或缺
3、的两个方面,在查的层面有数据采集协同,在杀的层面有响应协同。如果说入侵监测还可以通过发送大量RST报文阻断已经建立的连接,某种程度上代替防火墙的响应机制的话,在防止计算机遭受病毒袭击的方面简直是无能为力,目前由于网络病毒攻击占所有攻击的比例不断增加,入侵监测与防病毒系统的协同也变得越来越重要。 入侵监测与蜜罐和填充单元系统协同 蜜罐:是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息,但是这些信息实际上是捏造的,诚实的用户是访问不到它们的。因此,当监测到对蜜罐的访问时,很可能就有攻击者闯入。“蜜罐”上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息。
4、“蜜罐”的目的是将攻击者从关键系统引开,同时收集攻击者的活动信息,并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。 “填充单元”采取另一种不同的方法。“填充单元”不试图用引诱性的数据吸引攻击者,它等待传统的入侵监测来监测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情,但是攻击者会处于一个模拟环境中而不会造成任何伤害。与“蜜罐”相似,这种模拟环境会充满使人感兴趣的数据,从而会使攻击者相信攻击正按计划进行。“填充单元”为监测攻击者的行为提供了独特的机会。 端口管理安全端口管理安全端口扫描简介端口扫描简介 扫扫描描器器是是一一种种自自动动检检测测远远
5、程程或或本本地地主主机机安安全全性性弱弱点点的的程程序序,通通过过使使用用它它扫扫描描TCPTCP端端口口,并并记记录录反反馈馈信信息息,可可以以不不留留痕痕迹迹地地发发现现远远程程服服务务器器中中各各种种TCPTCP端端口口的的分分配配、提提供供的的服服务务和和它它们们的的软软件件版版本本。这这就就能能直观地或间接地了解到远程主机存在的安全问题。直观地或间接地了解到远程主机存在的安全问题。端口扫描的原理端口扫描的原理下面介绍入侵者们如何利用上述这些信息,下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描。来隐藏自己的端口扫描。1 1TCP connect( )TCP connect(
6、 )扫描扫描2 2TCP SYNTCP SYN扫描扫描3 3TCP FINTCP FIN扫描扫描4 4Fragmentation Fragmentation 扫描扫描5 5UDP recfrom( )UDP recfrom( )和和write( )write( )扫描扫描6 6ICMPICMP扫描扫描端口扫描的工具端口扫描的工具1 1NSSNSSNSSNSS,即网络安全扫描器,是一个非常隐蔽的扫描器。,即网络安全扫描器,是一个非常隐蔽的扫描器。2 2SATANSATANSATANSATAN的英文全称为的英文全称为Security Administrator Tool Security Admi
7、nistrator Tool for Analyzing Networksfor Analyzing Networks,即安全管理员的网络分,即安全管理员的网络分析工具。析工具。SATANSATAN是一个分析网络的安全管理、测试与是一个分析网络的安全管理、测试与报告工具。报告工具。3 3StrobeStrobeStrobeStrobe是一个超级优化是一个超级优化TCPTCP端口检测程序,能快速地端口检测程序,能快速地识别指定机器上正运行什么服务,用于扫描网络漏识别指定机器上正运行什么服务,用于扫描网络漏洞。它可以记录指定机器的所有开放端口。洞。它可以记录指定机器的所有开放端口。网网 络络 监监
8、 听听网络监听的原理网络监听的原理 当信息以明文的形式在网络上传播时,黑客就当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式,便可以源源不断地将网上传输的设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接,因为不是同一个网段一个网段是指物理上的连接,因为不是同一个网段的数据包,在网关就被滤掉了,传不到该网段来。的数据包,在网关就被滤掉了,传不到该网段来。 网络监听的最大用处是获得用户口令。网络监听
9、的最大用处是获得用户口令。网网 络络 监监 听听网络监听的原理网络监听的原理 当信息以明文的形式在网络上传播时,黑客就当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式,便可以源源不断地将网上传输的设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接,因为不是同一个网段一个网段是指物理上的连接,因为不是同一个网段的数据包,在网关就被滤掉了,传不到该网段来。的数据包,在网关就被滤掉了,传不到该网段来。
10、网络监听的最大用处是获得用户口令。网络监听的最大用处是获得用户口令。监听的可能性监听的可能性 网络监听是黑客们常用的一种方法。网络监听是黑客们常用的一种方法。 下面表格描述了在通常的一些传输介质上,下面表格描述了在通常的一些传输介质上,信息被监听的可能性。信息被监听的可能性。数 据 链 路监听的可能性说 明Ethernet高Ethernet网是一个广播型的网络,Internet的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果,这台计算机和其他计算机,一个网关或者路由器形成一个以太网FDDIToken_ring高尽管令牌网内在的并不是一个广播网络,但实际上,带有令牌的那些包在传输过
11、程中,平均也要经过网络上一半的计算机,高的数据传输率可以使监听变得困难电话线中等电话线可以被一些与电话公司协作的人或者些有机会在物理上访问到线路的人搭线窃听,在微波线路上的信息也会被截获;在实际中,高速的调制解调器将比低速的调制解调器搭线窃听困难一些,因为高速调制解调器中引入了许多频率IP通过有线电视高许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器,RF调制解调器使用个TV通道用于上行;一个用于下行;在这些线路上传输的信息没有加密,因此,可以被一些能在物理上访问到TV电缆的人截听微波和无线电高无线电本来就是一个广播型的传输媒介,任何有一个无线电接收机的人都可以截获
12、那些传输的信息以太网中可以监听的原因以太网中可以监听的原因 当当主主机机工工作作在在监监听听模模式式下下,那那么么,无无论论数数据据包包中的目标物理地址是什么,主机都将接收。中的目标物理地址是什么,主机都将接收。 如果一台主机处于监听模式下,它还能接收到如果一台主机处于监听模式下,它还能接收到发向与自己不在同发向与自己不在同子网(使用了不同的掩码、子网(使用了不同的掩码、IP地址和网关)的主机的那些信息包。地址和网关)的主机的那些信息包。 6.2.2 网络监听的检测网络监听的检测1 1简单的检测方法简单的检测方法(1)方法一)方法一 对于怀疑运行监听程序的机器,用正确的对于怀疑运行监听程序的机器,用正确的IP地址地址和错误的物理地址去和错误的物理地址去ping,运行监听程序的机器会有,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。处于监听状态的机器能接收。(2 2)方法二)方法二 往网上发大量不存在的物理地址的包,由于监听往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后程序将处理这些包,会导致性能下降。通过比较前后该机器性能(该机器性能(icmp echo delayicmp echo delay等方法)加以判断。等方法)加以判断。
