安全防护与入侵检测S

安全防护与入侵检测 Sniffer ProSniffer Pro网络管理与监网络管理与监视视5.1 入侵检测系入侵检测系统统5.2 蜜蜜 罐罐 系系 统统5.35.1 Sniffer Pro网络管理与监视5.1.1 5.1.1 SnifferSniffer Pro Pro的功能的功能 Sniffer Pro支持各种平台（支持各种平台（Windows XP/ 2000/NT/ME/9X/2003），性能优越，是可视化），性能优越，是可视化的网络分析软件，主要功能有以下几点的网络分析软件，主要功能有以下几点  实时监测网络活动实时监测网络活动  数据包捕捉与发送数据包捕捉与发送  网络测试与性能分析网络测试与性能分析  利用专家分析系统进行故障诊断利用专家分析系统进行故障诊断  网络硬件设备测试与管理网络硬件设备测试与管理5.1.2 Sniffer Pro的登录与界面的登录与界面1．Sniffer Pro的登录（单块网卡时）5.1.2 Sniffer Pro的登录与界面的登录与界面1．Sniffer Pro的登录（多块网卡时）5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面菜单栏菜单栏菜单栏菜单栏捕获栏捕获栏捕获栏捕获栏工具栏工具栏工具栏工具栏状态栏状态栏状态栏状态栏5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面仪表盘：仪表盘：仪表盘：仪表盘：提供实时信息，判断网络是否异常。

提供实时信息，判断网络是否异常提供实时信息，判断网络是否异常提供实时信息，判断网络是否异常仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面主机列表：主机列表：主机列表：主机列表：收集发出流量的节点，显示节点的流量统计信息收集发出流量的节点，显示节点的流量统计信息收集发出流量的节点，显示节点的流量统计信息收集发出流量的节点，显示节点的流量统计信息支持支持支持支持4 4种视图：大纲、详细资料、直方图、饼图种视图：大纲、详细资料、直方图、饼图种视图：大纲、详细资料、直方图、饼图种视图：大纲、详细资料、直方图、饼图5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面矩阵：矩阵：矩阵：矩阵：收集网络主机间收集网络主机间收集网络主机间收集网络主机间的会话内容并进的会话内容并进的会话内容并进的会话内容并进行流量统计，根行流量统计，根行流量统计，根行流量统计，根据据据据MACMAC、、、、IPIP地址地址地址地址查看矩阵内容。

查看矩阵内容查看矩阵内容查看矩阵内容支持支持支持支持5 5种查看方种查看方种查看方种查看方式：地图、大纲、式：地图、大纲、式：地图、大纲、式：地图、大纲、详细资料、直方详细资料、直方详细资料、直方详细资料、直方图、饼图图、饼图图、饼图图、饼图5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面应用程序响应时间：应用程序响应时间：应用程序响应时间：应用程序响应时间：主要用于对服务器的监控，了解网络应用的响应状主要用于对服务器的监控，了解网络应用的响应状主要用于对服务器的监控，了解网络应用的响应状主要用于对服务器的监控，了解网络应用的响应状况，及时发现服务存在的问题况，及时发现服务存在的问题况，及时发现服务存在的问题况，及时发现服务存在的问题5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面历史抽样：历史抽样：历史抽样：历史抽样：用于确定基准，即网络的正常运行情况用于确定基准，即网络的正常运行情况用于确定基准，即网络的正常运行情况用于确定基准，即网络的正常运行情况5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面协议分布：协议分布：协议分布：协议分布：收集网络上所有可见的协议，查看协议分布情况。

收集网络上所有可见的协议，查看协议分布情况收集网络上所有可见的协议，查看协议分布情况收集网络上所有可见的协议，查看协议分布情况5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面全局统计：全局统计：全局统计：全局统计：显示捕获过程的整体统计信息显示捕获过程的整体统计信息显示捕获过程的整体统计信息显示捕获过程的整体统计信息5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面警告日志：警告日志：警告日志：警告日志：显示警告信息显示警告信息显示警告信息显示警告信息5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面捕获面板：捕获面板：捕获面板：捕获面板：显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的使用情况使用情况使用情况使用情况5.1.2 Sniffer Pro的登录与界面的登录与界面2．Sniffer Pro的界面地址本：地址本：地址本：地址本：保存节点的地址信息，便于管理和分析网络状况。

保存节点的地址信息，便于管理和分析网络状况保存节点的地址信息，便于管理和分析网络状况保存节点的地址信息，便于管理和分析网络状况5.1.3 Sniffer Pro报文的捕获与解报文的捕获与解析析 Sniffer Pro是一款比较完备的网络管是一款比较完备的网络管理工具，可以用来捕获流量对于蠕虫病理工具，可以用来捕获流量对于蠕虫病毒、广播风暴或者网络攻击，识别它们最毒、广播风暴或者网络攻击，识别它们最好的方法是，分析问题并将之分类，这样好的方法是，分析问题并将之分类，这样就可以全面了解网络的现状，并针对不同就可以全面了解网络的现状，并针对不同的问题采取不同的解决方法首先了解一的问题采取不同的解决方法首先了解一下捕获栏的使用，如表下捕获栏的使用，如表5.1所示捕获栏捕获栏表表5.15.1捕获栏功能介绍捕获栏功能介绍表5.1捕获栏功能介绍名 称图 标功 能开始按钮表示可以开始捕获过程暂停按钮可以在任何时间停止捕获过程，稍后再继续停止按钮可以停止过程来查看信息，或将信息存为一个文件停止并显示按钮以停止捕获并显示捕获的帧显示按钮显示一个已经停止捕获过程的结果定义过滤器按钮定义用来捕获帧的条件选择过滤器以从定义好的条件列表中选择一个用于捕获定义过滤器定义过滤器捕获捕获ARPARP帧的结果帧的结果5.1.4 Sniffer Pro的高级应用的高级应用表5.2 Sniffer Pro高级系统层次与OSI对应关系图 标高级系统层次名称OSI模型的层次服务层（Service）应用层与表示层应用程序层（Application）应用层与表示层会话层（Session）会话层数据链路层（Connection）数据链路层工作站层（Station）网络层DLC数据链路层与物理层入侵检测系统5.2 入侵检测系统5.2.1 入侵检测的概念与原理入侵检测的概念与原理入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法是一种动态的网络安全技术，传统的操作系统加固技术等都是静态安全防御技术入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护5.2 入侵检测系统5.2.1 入侵检测的概念与原理入侵检测的概念与原理图5.26 通用入侵检测模型入侵检测利用不同的引擎实时或定期地对网络数据源进行分析，并对其中的威胁部分提取出来，触发响应机制将入侵检测的软件与硬件的组合称为入侵检测系统（IDS）5.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能入侵检测系统一般由入侵检测系统一般由4个部分的组成：事件发生器、个部分的组成：事件发生器、事件分析器、响应单元、事件数据库事件分析器、响应单元、事件数据库图5.27 入侵检测系统的组成提供事件记录流的信息源收集信息源的数据对基于分析引擎的数据结果产生反应存放各种中间和最终数据的地方的统称5.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能入侵检测系统的功能：入侵检测系统的功能：（（1）检测和分析用户与系统的活动）检测和分析用户与系统的活动（（2）审计系统配置和漏洞）审计系统配置和漏洞（（3）评估系统关键资源和数据文件的完整性）评估系统关键资源和数据文件的完整性（（4）识别已知攻击）识别已知攻击（（5）统计分析异常行为）统计分析异常行为（（6）操作系统的审计、跟踪、管理、并识别）操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动违反安全策略的用户活动5.2.3 入侵检测系统的分类入侵检测系统的分类1．按照检测类型划分．按照检测类型划分（（2）特征检测模型（）特征检测模型（Signature-based detection））（（1）异常检测模型（）异常检测模型（Anomaly detection））2．按照检测对象划分．按照检测对象划分（（1）基于主机的入侵检测产品（）基于主机的入侵检测产品（HIDS）） 安装在被检测的主机上，对该主机的安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行网络进行实时连接以及系统审计日志进行智能分析和判断。

智能分析和判断 （（2）基于网络的入侵检测产品（）基于网络的入侵检测产品（NIDS）） 放置在比较重要的网段内，不停地监放置在比较重要的网段内，不停地监视网段中的各种数据包视网段中的各种数据包 5.2.3 入侵检测系统的分类入侵检测系统的分类5.2.4 入侵检测系统的部署入侵检测系统的部署一般入侵检测产品都由传感器和控制台两个部分组成一般入侵检测产品都由传感器和控制台两个部分组成传感器负责采集、分析数据并生成安全事件控制台主传感器负责采集、分析数据并生成安全事件控制台主要起到中央管理的作用基于网络的入侵检测系统需要要起到中央管理的作用基于网络的入侵检测系统需要有传感器才能工作入侵检测系统的位置主要是传感器有传感器才能工作入侵检测系统的位置主要是传感器的部署位置如果传感器放的位置不正确，入侵检测系的部署位置如果传感器放的位置不正确，入侵检测系统也无法工作在最佳状态，一般可以采取以下统也无法工作在最佳状态，一般可以采取以下4个选择：个选择：  放在边界防火墙之内放在边界防火墙之内放在边界防火墙之内放在边界防火墙之内，传感器可以发现所有来自，传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是的攻击，然而如果攻击类型是TCP攻击，而防火攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。

能就检测不到这种攻击的发生  放在边界防火墙之外放在边界防火墙之外放在边界防火墙之外放在边界防火墙之外，可以检测所有对保护网络的攻击，可以检测所有对保护网络的攻击事件，包括数目和类型但是这样部署会使传感器彻底事件，包括数目和类型但是这样部署会使传感器彻底地暴露在黑客之下地暴露在黑客之下5.2.4 入侵检测系统的部署入侵检测系统的部署  放在主要的网络中枢中放在主要的网络中枢中放在主要的网络中枢中放在主要的网络中枢中，传感器可以监控大量的网络，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为的权利周界来发现未授权用户的行为  放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中，对非常重要的系，对非常重要的系统和资源的入侵检测，比如一个公司的财务部门，这个统和资源的入侵检测，比如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。

置一个检测器系统5.2.5 入侵检测系统的选型入侵检测系统的选型表5.5入侵检测系统选择标准产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理该产品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试，明确测试步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准特征库升级与维护的周期、方式、费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方法最大可处理流量一般有百兆、千兆、万兆之分是否通过了国家权威机构的测评主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例，有必要进行实地考察和测试使用系统的价格性能价格比，以要保护系统的价值为主要的因素5.2.5 入侵检测系统的选型入侵检测系统的选型　　　　Axent Technologies公司网址公司网址: 　　　　Cisco Systems公司网址公司网址: 　　　　Internet Security Systems公司网址公司网址: 　　　　Intrusion Detection公司网址公司网址: 　　　　Network Associates公司网址公司网址: 　　　　　　Computer Associates公司网址公司网址: 　　　　Trusted Information Systems公司网址公司网址: 　　　　Network Security Wizards公司网址公司网址: 　　　　Network Ice公司网址公司网址: 　　　　NFR公司网址公司网址: 　　　　CyberSafe公司网址公司网址:　　中科网威公司网址　　中科网威公司网址: 　　启明星辰公司网址　　启明星辰公司网址: IDS软件厂商的网址软件厂商的网址入侵检测系统软件介绍入侵检测系统软件介绍n BlackICE Server Protection 软件软件n 萨客嘶入侵检测系统萨客嘶入侵检测系统入侵检测系统入侵检测系统————BlackICEBlackICE BlackICE Server Protection 软件（以下简称软件（以下简称BlackICE））是由是由ISS安全公司出品的一款著名的入侵检测系统。

该软安全公司出品的一款著名的入侵检测系统该软件在九九年曾获得了件在九九年曾获得了PC Magazine的技术卓越大奖专家的技术卓越大奖专家对它的评语是：对它的评语是：“对于没有防火墙的家庭用户来说，对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施又增加了一层保护措施——它并不是要取代防火墙，而是它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者阻止企图穿过防火墙的入侵者BlackICE集成有非常强集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测以及系统的呵护而且该软件还具有灵敏全面的网络检测以及系统的呵护而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点度及准确率高，稳定性出色，系统资源占用率极少的特点软件版本：软件版本：3.6、软件大小：、软件大小：6.11 M、软件语言：英文、软、软件语言：英文、软件类别：国外软件件类别：国外软件 / 注册版注册版 / 网络安全、运行环境：网络安全、运行环境：Win9x/NT/2000/XP/2003/、下载地址：、下载地址： 入侵检测系统入侵检测系统————BlackICEBlackICEBlackICE安装后以后台服务的方式运行，安装后以后台服务的方式运行，前端有一个控制台可以进行各种报警和修前端有一个控制台可以进行各种报警和修改程序的配置，界面很简洁。

改程序的配置，界面很简洁BlackICE软软件最具特色的地方是内置了应用层的入侵件最具特色的地方是内置了应用层的入侵检测功能，并且能够与自身的防火墙进行检测功能，并且能够与自身的防火墙进行联动，可以自动阻断各种已知的网络攻击联动，可以自动阻断各种已知的网络攻击行为 入侵检测系统入侵检测系统————BlackICEBlackICEBlackICE具有强大的网络攻击检测具有强大的网络攻击检测能力，可以说大部分的非法入侵都能力，可以说大部分的非法入侵都会被它发现，并采取会被它发现，并采取Critical、、Serious、、Suspicious和和Information这这4种级别报警（分别用红、橙黄、种级别报警（分别用红、橙黄、黄和绿黄和绿4种颜色标识，危险程度依次种颜色标识，危险程度依次降低）同样，降低）同样，BlackICE对外来访对外来访问也设有问也设有4个安全级别，分别是个安全级别，分别是Trusting、、Cautious、、Nervous和和ParanoidParanoid是阻断所有的未受权信息，是阻断所有的未受权信息，Nervous是阻断大部分的未受权信息，是阻断大部分的未受权信息，Cautious是阻断部分的未受权的信息，是阻断部分的未受权的信息，而软件缺省设置的是而软件缺省设置的是Trusting级别，级别，即接受所有的信息。

修改以上安全即接受所有的信息修改以上安全级别，可以通过级别，可以通过“Tools”菜单中的菜单中的“Edit BlackICE Settings”，选择，选择“Firewall”来进行 入侵检测系统入侵检测系统————BlackICEBlackICEBlackICE提供了一个简单的防火墙设置界面，通提供了一个简单的防火墙设置界面，通过选择过选择“Tools”菜单中的菜单中的“Advanced Firewall Settings”，就可以对，就可以对TCP/UDP端口或端口或IP地址进行地址进行禁止或允许等访问规则的配置禁止或允许等访问规则的配置 入侵检测系统入侵检测系统————BlackICEBlackICE另外，针对上述功能另外，针对上述功能BlackICE软件还提供了软件还提供了详细的检测日志详细的检测日志Intruders”中列出中列出了了BlackICE发现的全部发现的全部可疑可疑IP地址，逐一点击地址，逐一点击可以查看每个可以查看每个IP的详细的详细信息，包括信息，包括IP地址、地址、Node节点名、节点名、Group组、组、NetBIOS名称、名称、MAC地地址和址和DNS解析地址等。

解析地址等入侵检测系统入侵检测系统————BlackICEBlackICE“History”给出了在给出了在过去的时间段里（过去的时间段里（Min、、Hour、、Day）发生的事）发生的事件和网络流量的曲线趋件和网络流量的曲线趋势图表（当曲线出现波势图表（当曲线出现波动时，表示存在不正常动时，表示存在不正常的网络行为，点击某个的网络行为，点击某个波形就可以查看相对应波形就可以查看相对应的事件信息）的事件信息）Events”显示显示BlackICE所发现的全所发现的全部入侵或访问事件部入侵或访问事件萨客嘶入侵检测系统萨客嘶入侵检测系统 萨客嘶入侵检测系统是一种积极主动的网络安全防护工萨客嘶入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部和外部攻击的实时保护，它通过对网具，提供了对内部和外部攻击的实时保护，它通过对网络中所有传输的数据进行智能分析和检测，从中发现网络中所有传输的数据进行智能分析和检测，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，络或系统中是否有违反安全策略的行为和被攻击的迹象， 在网络系统受到危害之前拦截和阻止入侵在网络系统受到危害之前拦截和阻止入侵。

萨客嘶入侵检测系统基于协议分析，采用了快速的多模萨客嘶入侵检测系统基于协议分析，采用了快速的多模式匹配算法，能对当前复杂高速的网络进行快速精确分式匹配算法，能对当前复杂高速的网络进行快速精确分析，在网络安全和网络性能方面提供全面和深入的数据析，在网络安全和网络性能方面提供全面和深入的数据依据，是企业、政府、学校等网络安全立体纵深、多层依据，是企业、政府、学校等网络安全立体纵深、多层次防御的重要产品次防御的重要产品 主要功能主要功能入侵检测及防御功能入侵检测及防御功能入侵检测及防御功能入侵检测及防御功能检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，木马，ARP欺骗、拒绝服务攻击等各种威胁同时可以根据策略配欺骗、拒绝服务攻击等各种威胁同时可以根据策略配置主动切断危险行为，对目标网络进行保护置主动切断危险行为，对目标网络进行保护行为审计功能行为审计功能行为审计功能行为审计功能对网络中用户的行为进行审计记录，包括用户范围对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发网站，收发邮件，使用邮件，使用FTP传输文件，使用传输文件，使用MSN、、等即时通讯软件等行为，等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。

同时对网络中的敏感行为进行审帮助管理员发现潜在的网络威胁同时对网络中的敏感行为进行审计流量统计功能流量统计功能流量统计功能流量统计功能对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用 主要功能主要功能入侵检测及防御功能入侵检测及防御功能入侵检测及防御功能入侵检测及防御功能检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，检测用户网络中存在的黑客入侵，网络资源滥用，蠕虫攻击，后门木马，ARP欺骗、拒绝服务攻击等各种威胁同时可以根据策略配置主动切断危险欺骗、拒绝服务攻击等各种威胁同时可以根据策略配置主动切断危险行为，对目标网络进行保护行为，对目标网络进行保护行为审计功能行为审计功能行为审计功能行为审计功能对网络中用户的行为进行审计记录，包括用户范围对网络中用户的行为进行审计记录，包括用户范围WEB网站，收发邮件，网站，收发邮件，使用使用FTP传输文件，使用传输文件，使用MSN、、等即时通讯软件等行为，帮助管理员发等即时通讯软件等行为，帮助管理员发现潜在的网络威胁。

同时对网络中的敏感行为进行审计现潜在的网络威胁同时对网络中的敏感行为进行审计流量统计功能流量统计功能流量统计功能流量统计功能对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、对网络流量进行实时显示和统计分析，帮助用户有效的发现网络资源滥用、蠕虫、拒绝服务攻击，确保用户网络正常使用蠕虫、拒绝服务攻击，确保用户网络正常使用策略自定义功能策略自定义功能策略自定义功能策略自定义功能高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络高级用户可以根据自身网络情况，对检测规则进行定义，制定针对用户网络的高效策略，加强入侵检测系统的检测准确性的高效策略，加强入侵检测系统的检测准确性 主要功能主要功能警报响应功能警报响应功能警报响应功能警报响应功能对警报事件进行及时响应，包括实时切断会话连接、记录日志对警报事件进行及时响应，包括实时切断会话连接、记录日志IPIP碎片重组碎片重组碎片重组碎片重组 利用碎片穿透技术突破防火墙和欺骗利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段，萨客已经成为黑客们常用的手段，萨客嘶入侵检测系统能够进行完全的嘶入侵检测系统能够进行完全的IP碎片重组，发现所有的基于碎片重组，发现所有的基于IP碎片的攻击。

碎片的攻击TCPTCP状态跟踪及流重组状态跟踪及流重组状态跟踪及流重组状态跟踪及流重组 通过对通过对TCP协议状态的跟踪，能够完全避免因单包匹配造成的误报协议状态的跟踪，能够完全避免因单包匹配造成的误报Stick、、Snot等黑客工具通过发送没有经过三次握手的等黑客工具通过发送没有经过三次握手的TCP攻击报文触发大量的攻击报文触发大量的 IDS报警，但这些报警，但这些TCP报文并不会真正对目标机器产生实际的效果通常是被报文并不会真正对目标机器产生实际的效果通常是被丢弃）此时丢弃）此时IDS产生大量的警告就属于误报处理不当可能造成产生大量的警告就属于误报处理不当可能造成IDS系统瘫系统瘫痪萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地痪萨客嘶入侵检测系统完全模仿受保护的机器丢弃这些残缺报文，极大地减小了误报率减小了误报率采用类似于采用类似于Telnet方式将攻击报文拆成一个个的小报文进行发送，可以逃避方式将攻击报文拆成一个个的小报文进行发送，可以逃避基于单包的基于单包的IDS的检测萨客嘶入侵检测系统采用流汇重组式检测该类攻击的检测萨客嘶入侵检测系统采用流汇重组式检测该类攻击手段。

手段 5.2.6 入侵防护技术入侵防护技术IPS入侵防护技术（入侵防护技术（IPS）是一种主动的、积极的入侵防范及）是一种主动的、积极的入侵防范及阻止系统，是建立在入侵检测系统（阻止系统，是建立在入侵检测系统（IDS）基础上的新生）基础上的新生网络安全产品网络安全产品目前，从保护对象上可将目前，从保护对象上可将IPS分为分为3类  基于主机的入侵防护（基于主机的入侵防护（HIPS），用于保护服务器和主），用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏机系统不受不法分子的攻击和误操作的破坏  基于网络的入侵防护（基于网络的入侵防护（NIPS），通过检测流经的网络），通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出有入侵流量，提供对网络体系的安全保护，一旦辨识出有入侵行为，行为，NIPS就阻断该网络会话就阻断该网络会话  应用入侵防护（应用入侵防护（AIP），是将基于主机的入侵防护扩展），是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备成为位于应用服务器之前的网络信息安全设备 蜜 罐 系 统5.3 蜜 罐 系 统5.3.1 蜜罐概述蜜罐概述 蜜罐及蜜网技术是一种捕获和分析恶蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而达到了解对意代码及黑客攻击活动，从而达到了解对手目的的技术。

蜜罐是一种安全资源，其手目的的技术蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷，从而实现价值在于被扫描、攻击和攻陷，从而实现对攻击活动的监视、检测和分析对攻击活动的监视、检测和分析 设计蜜罐就是让黑客入侵，欺骗对方，设计蜜罐就是让黑客入侵，欺骗对方，借此保护服务器和收集证据借此保护服务器和收集证据 5.3.2 蜜罐的分类蜜罐的分类 根据网络应用的不同，蜜罐的系统和漏洞设根据网络应用的不同，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，因此，置要求也不尽相同，蜜罐是有针对性的，因此，就产生了多种多样的蜜罐就产生了多种多样的蜜罐1）按照部署分为以下两种按照部署分为以下两种  产品型产品型——用于保护单位网络，实现防御、检用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有测和帮助对攻击的响应，主要产品有KFSensor、、Specter、、ManTrap  研究型研究型——用于对黑客攻击进行捕获和分析，用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，例如了解攻击的过程、方法和工具，例如Gen Ⅱ蜜网、蜜网、Honeyd。

（（2）按照攻击者在蜜罐中活动的交互性）按照攻击者在蜜罐中活动的交互性级别分为以下两种级别分为以下两种  低交互型蜜罐低交互型蜜罐——用于模拟服务和操作系统，用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属利用一些工具程序强大的模仿能力，伪造出不属于自己平台的于自己平台的“漏洞漏洞”，容易部署、减少风险，，容易部署、减少风险，但只能捕获少量信息，主要有但只能捕获少量信息，主要有Specter、、KFSensor、、Honeyd  高交互型蜜罐高交互型蜜罐——最真实的蜜罐，它运行着真最真实的蜜罐，它运行着真实的系统，并且带有真实可入侵的漏洞，属于最实的系统，并且带有真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂，真实的，可以捕获更丰富的信息，但部署复杂，但风险较大，主要有但风险较大，主要有ManTrap, GenⅡ蜜网5.3.3 蜜罐的应用实例蜜罐的应用实例安全配置安全配置安全配置安全配置IISIIS蜜罐抵御黑客攻击蜜罐抵御黑客攻击蜜罐抵御黑客攻击蜜罐抵御黑客攻击 一般地，黑客们会使用端口扫描器来查找那些开放一般地，黑客们会使用端口扫描器来查找那些开放着着80号端口的号端口的IP地址，并对这些端口实施其攻击和侵入地址，并对这些端口实施其攻击和侵入的企图。

另外，网站的终端用户会使用域名来访问站点另外，网站的终端用户会使用域名来访问站点 因此可以在在因此可以在在IIS中配置蜜罐通过启用网站上的主中配置蜜罐通过启用网站上的主机头名并将机头名并将IP企图重新转向，就可以跟踪和记录黑客来企图重新转向，就可以跟踪和记录黑客来自何方，同时又保持了对终端用户的可用性自何方，同时又保持了对终端用户的可用性 在在IIS中配置蜜罐并不是一件件很复杂的事情，但它中配置蜜罐并不是一件件很复杂的事情，但它却可有助于极大地减少对却可有助于极大地减少对IIS服务器的攻击服务器的攻击5.3.3 蜜罐的应用实例蜜罐的应用实例首先，就是要在首先，就是要在Web服务器上建立一个空的目录其名称与位置没有服务器上建立一个空的目录其名称与位置没有什么关系，对于本例而言，我们创建了一个称为什么关系，对于本例而言，我们创建了一个称为Honeypot的目录，的目录，它位于它位于C:\Inetpub\wwwroot的目录下启动的目录下启动IIS 管理程序，并为所有管理程序，并为所有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有的站点分配一个主机头名，这样每一台虚拟服务器都有一个带有IP地地址的主机头名。

如下图：址的主机头名如下图： 5.3.3 蜜罐的应用实例蜜罐的应用实例然后，再创建一个新的网站指向刚才创建的目录这个蜜罐网站应当指定所然后，再创建一个新的网站指向刚才创建的目录这个蜜罐网站应当指定所有未分配的有未分配的IP地址，并且不能配置主机的头信息（虽然这个站点的名称叫地址，并且不能配置主机的头信息（虽然这个站点的名称叫“honeypot”，但这并不影响黑客对它的访问进入这个新网站的属性，但这并不影响黑客对它的访问进入这个新网站的属性设置界面，选择设置界面，选择“目录安全目录安全”选项卡，并选中选项卡，并选中“集成集成windows身份验证身份验证”，，取消选择其它的认证方法，然后单击取消选择其它的认证方法，然后单击“确定确定”如下图：如下图： 5.3.3 蜜罐的应用实例蜜罐的应用实例 接着，选择网站选项卡，并单接着，选择网站选项卡，并单击击“高级高级”，单击，单击“多网站配置多网站配置”下的下的”添加添加”按钮，并添加所有的按钮，并添加所有的IP地址如果你收到了一个关于地址如果你收到了一个关于IP地址冲突的错误消息，不要紧，地址冲突的错误消息，不要紧，这表明你没有为此网站设置主机头这表明你没有为此网站设置主机头名。

你需要做的是将名你需要做的是将IP地址从列表地址从列表中清除，或为此网站配置一个主机中清除，或为此网站配置一个主机头名如图所示：头名如图所示： 最后，保存所有的更改，然最后，保存所有的更改，然后退出后退出Internet信息服信息服务 5.3.3 蜜罐的应用实例蜜罐的应用实例这样设置完后，当一个恶意用户通过这样设置完后，当一个恶意用户通过IP地地址来访问网站时，他就会被发送至空目录，址来访问网站时，他就会被发送至空目录，并得到一个并得到一个403错误而通过而通过DNS域名来访问网站的用户由于有域名来访问网站的用户由于有了主机的头信息，就能够访问网站的内容了主机的头信息，就能够访问网站的内容。