1、第第8章章 网络的攻击与防护网络的攻击与防护本章有四小节:本章有四小节:8.1 8.1 防火墙安全防火墙安全8.2 8.2 黑客的攻击与防范黑客的攻击与防范8.3 8.3 网络扫描与监听网络扫描与监听8.4 8.4 入侵检测与入侵防护系统入侵检测与入侵防护系统81 防火墙安全防火墙安全8.1.1 防火墙概述防火墙概述1.1.防火墙的基本概念防火墙的基本概念在网络安全领域,防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)之间的一组由软、硬件构成的安全设施,如图8.1所示。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,从而有效地控制内部网和外
2、部网之间的信息传输。图8.1 防火墙基本功能示意图2.2.防火墙的功能防火墙的功能(1)扫描信息,过滤攻击。(2)关闭不需要的端口。(3)禁止特定端口的流出通信。(4)禁止特殊站点的访问。(5)限制特定用户的通信。3.3.防火墙的不足防火墙的不足(1)网络瓶颈。(2)不能防范不经过防火墙的信息攻击。(3)不能防范病毒的传播。(4)不能防范内部人员的攻击。4 4防火墙的特征防火墙的特征(1)内部网和外部网之间的所有网络数据流都必须经过防火墙(2)只有符合安全策略的数据才能通过防火墙(3)自身具有非常强的抗攻击力8.1.2 防火墙技术防火墙技术1.1.防火墙的体系结构防火墙的体系结构(1)过滤路由
3、器结构过滤路由器结构l过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构,如图8.2所示。(2)双宿主机结构双宿主机结构l双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主(双网卡)主机,如图8.3所示。图8.3 双宿主机结构防火墙(3)屏蔽子网结构屏蔽子网结构l屏蔽子网结构是指在内外部网之间新增加一个子网DMZ(非军事区),如图8.4所示。图8.4 屏蔽子网结构防火墙2.2.防火墙的技术分类防火墙的技术分类(1)包过滤技术包过滤技术l包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包,使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。l包过滤技术防火墙工作在第
4、三层及三层以下。l静态包过滤技术是传统的包过滤技术,它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过,它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。l动态包过滤技术是静态包过滤技术的发展,它可以动态地根据实际应用请求自动生成和删除包过滤规则,从而解决静态包过滤制定规则难度大的问题。包过滤技术的优点:l实现简单,对设备要求较低。包过滤技术的缺点:l随着规则的增加,规则库变得越来越大。无法防范外部的IP欺骗。(2)应用级网关应用级网关l应用级网关也叫代理服务器,通过网关复制传输数据,防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。l应用级
5、网关防火墙建立在应用层。(3)电路级网关电路级网关l电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。l电路级网关又称为线路级网关,工作在会话层。(4)状态检测技术状态检测技术l状态检测防火墙,顾名思义就是要检查数据包的状态变化,它在每一层都会对数据包进行检查,集成了以上几种防火墙的特点,安全性得到了很大的提高。3.3.防火墙的实现分类防火墙的实现分类(1)基于网络主机的防火墙基于网络主机的防火墙l基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络(企业网)。(2)基于路由器的防火墙基于路由器的防火墙l基于路由器的防火墙是指利用路由器的过滤功能来实
6、现防火墙的功能。(3)基于单个主机的防火墙基于单个主机的防火墙l基于单个主机的防火墙是指安装在单一主机上的防火墙软件,它只适合保护单一主机的安全。(4)硬件防火墙硬件防火墙l硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中,防火墙厂家是将防火墙软件固化在硬件芯片里,用硬件方式实现防火墙的功能。8.1.3 防火墙应用实例防火墙应用实例1 1CiscoCisco公司的公司的PIXPIX防火墙防火墙lCisco公司成立于1984年,是全球互联网解决方案提供商。Cisco PIX(Private Internet eXchange)系列防火墙是业界领先的产品之一,具有很好的安全性和可靠性。(
7、1)Cisco PIX的主要特点的主要特点 嵌入式的操作系统。高安全性。高可靠性。强大的远程管理功能。(2)Cisco PIX的基本应用和配置的基本应用和配置 PIX PIX防火墙的配置连接防火墙的配置连接l使用CONSOLE线连接PIX 的CONSOLE接口与PC的串口后,通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口,如:COM1,再配置端口属性。在端口属性里,要选择“每秒位数”为“9600”,如图8.5所示。图8.5 超级终端端口属性配置 PIX PIX防火墙的配置模式防火墙的配置模式l非特权模式非特权模式。Cisco PIX防火墙开启以后进入的第一个工作模
8、式,默认表示为“PixfirewallPixfirewall”。在非特权模式下,用户只有很少的查看权限。l特权模式特权模式。特权模式是Cisco PIX防火墙的第二个工作模式,默认表示为“Pixfirewall#Pixfirewall#”。在特权模式下,用户可以进行很少的配置和查看。l配置模式配置模式。配置模式是Cisco PIX防火墙的主要工作模式,大多数的配置命令只有在此模式下才有效,其默认表示为“Pixfirewall(config)#Pixfirewall(config)#”。Cisco PIX Cisco PIX的一般配置步骤的一般配置步骤l连接好PIX 和PC,设置好PC的超级终端
9、,开启PIX。lPIX进入非特权模式,显示 PixfirewallPixfirewall。l输入命令enableenable,PIX进入特权模式,显示 Pixfirewall#Pixfirewall#。l输入命令configure terminalconfigure terminal进入配置模式,显示Pixfirewall(config)#Pixfirewall(config)#。l指定内外部网卡名称及安全级别。l配置以太接口数据传输状态(速率、通信方式)。l配置内外部网卡和DMZ区的接口IP地址。l指定DMZ区和外部地址范围。l指定要进行NAT转换的内部地址。l设置指向DMZ区和外部网的缺省
10、路由。l配置静态IP地址映射。l保存配置。2 2ISA SERVERISA SERVER防火墙防火墙lISA(Internet Security and Acceleration)SERVER 是微软公司所出品的企业级防火墙软件。此款防火墙产品不仅具有安全防护性能,而且还具有网络缓存功能。(1)ISA SERVER的主要特点的主要特点 安全性与网络性能兼顾。提供多项安全选项。实现服务器的安全发布。扩展容易。企业版的高级功能。(2)ISA SERVER 2004的安装的安装l第1步:将光盘放入光驱后,执行ISAAutorun.exe文件,在出现的初始界面中,点击“安装ISA SERVER 200
11、4”,出现如图8.6所示安装向导界面。图8.6 ISA SERVER 2004 安装类型界面l第2步:选择“安装类型”。建议不熟悉者选择默认选项,即“典型”。l第3步:按要求配置内部网、外部网及DMZ区所对应的网卡及地址范围,如图8.7、图8.8所示。接下来的步骤是向导自动安装的过程,不再赘述。图8.7 内部网络地址范围配置图8.8 网卡IP配置(3)ISA SERVER 2004的简单配置的简单配置l注意:ISA SERVER 2004的默认规则是拒绝任何通信;ISA SERVER 2004所配置的规则具有独立性和顺序性。l第1步:单击“程序”“Microsoft ISA SERVER”“I
12、SA 服务器管理”,右击“防火墙策略”,选择“新建”“访问规则”,如图8.9所示。图8.9新建访问规则l第2步:在出现的图8.10所示的“访问规则”框中输入名称,如“允许内部网访问外部网”,单击“下一步”按钮。图8.10 为访问规则命名l第3步:为所见规则确定操作方式。在出现的图8.11所示界面中,选择“允许”,单击“下一步”按钮。图8.11 ISA SERVER规则操作l第4步:选择规则所采用的协议。如图8.12所示,在“此规则应用到”项选择“所有出站通讯”,再单击“下一步”按钮。图8.12 选择规则所使用的协议l第5步:选择规则源。在图8.13所示的“访问规则源”界面中点击“添加”按钮,在
13、出现的“添加网络实体”中选择“网络”“内部”,点击“下一步”按钮,即完成添加。图8.13 选择规则源l第6步:选择规则目标。在图8.14所示“访问规则目标”界面中点击“添加”按钮,在“添加网络实体”中选择“网络”“外部”,点击“下一步”按钮,即完成添加。图8.14 选择规则目标l第7步:选择规则所适用的用户。在图8.15用户集界面中点击“添加”按钮,选择“所有用户”,单击“下一步”按钮。图8.15 选择规则所适用的用户l第8步:在确认规则配置无误后,在出现的图8.16界面中点击“完成”按钮。至此,规则建立完成。图8.16 新建规则向导信息提示82 黑客的攻击与防范黑客的攻击与防范8.2.1 黑
14、客与网络攻击黑客与网络攻击1 1黑客攻击的手段和工具黑客攻击的手段和工具l黑客常用的攻击手段有获取用户口令、放置木马程序、电子邮件攻击、网络监听、利用账号进行攻击、获取超级用户权限等。l黑客攻击系统通常使用的工具有扫描器、嗅探器、木马和炸弹等。2 2黑客攻击的过程黑客攻击的过程(1)确定攻击目的。(2)收集信息。(3)系统安全弱点的探测。(4)建立模拟环境,进行模拟攻击。(5)实施网络攻击8.2.2 网络攻击的主要类型与防范网络攻击的主要类型与防范1 1网络攻击的类型网络攻击的类型(1)拒绝服务型攻击拒绝服务型攻击 l拒绝服务(DoS)攻击是攻击者利用系统漏洞通过各种手段来消耗网络带宽或服务器
15、的系统资源,最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。l具体的DoS攻击方式有SYN Flood(洪泛)攻击、IP碎片攻击、Smurf攻击、死亡之ping攻击、泪滴(teardrop)攻击、UDP Flood(UDP洪泛)攻击和Fraggle攻击等。(2)利用型攻击利用型攻击 猜测口令。猜测口令。安放木马。安放木马。缓冲区溢出。缓冲区溢出。(3)信息收集型攻击信息收集型攻击l信息收集型攻击被用来为进一步入侵系统提供有用的信息。这类攻击主要利用扫描技术和信息服务技术进行,其具体实现方式有地址扫描、端口扫描、反向映射、DNS域转换和Finger服务等。(4)虚假信息型攻击虚假
16、信息型攻击l虚假信息型攻击用于攻击目标配置不正确的消息。2 2拒绝服务攻击与防范拒绝服务攻击与防范lDoS攻击主要是攻击者利用TCP/IP协议本身的漏洞或网络中操作系统漏洞实现的。攻击者通过加载过多的服务将系统资源全部或部分占用,大量耗尽系统资源,使得服务器无法对正常请求进行响应,造成服务器瘫痪。l可采用防火墙、入侵检测系统(IDS)和入侵防护系统(IPS)等技术措施防范DoS攻击。具体措施包括:关掉可能产生无限序列的服务,防止洪泛攻击。对系统设定相应的内核参数,使系统强制对超时的SYN请求连接数据包复位,同时通过缩短超时常数和加长等候队列使系统能迅速处理无效的SYN请求数据包。在路由器上做些
17、诸如限制SYN半开数据包流量和个数配置的调整。在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段。3 3分布式拒绝服务攻击与防范分布式拒绝服务攻击与防范(1)DDoS攻击的过程攻击的过程lDDoS攻击是在传统的DoS攻击基础之上产生的一种攻击方式。它利用更多的被控制机发起进攻,以更大的规模进攻受害者。(2)DDoS攻击的防范攻击的防范l在主机上可使用扫描工具检测系统的脆弱性、采用网络入侵检测系统和嗅探器、及时更新系统补丁等措施防范DDoS攻击。l在防火墙上采取禁止对主机的非开放服务的访问、限制同时打开的SYN最大连接数、限制特定IP地址的访问、限制开放服务器
18、的对外访问等设置;在路由器上采取检查每一个经过路由器的数据包、设置SYN数据包流量速率、在边界路由器上部署策略、使用CAR(Control Access Rate)限制ICMP数据包流量速率等设置防范DDoS攻击。4 4缓冲区溢出攻击与防范缓冲区溢出攻击与防范(1)缓冲区溢出攻击缓冲区溢出攻击l缓冲区是用户为程序运行而在计算机中申请的一段连续的内存,它保存给定类型的数据。缓冲区溢出是指通过向缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令的攻击。(2)缓冲区溢出攻击的防范缓冲区溢出攻击的防范 编写正确的代码。非执行缓冲区保护。数组边界检查。程序指针完整性
19、检查。8.2.3 密码保护技巧密码保护技巧1 1密码的设置密码的设置l一般情况下,密码长度应不少于6位,密码中最好包含大小写字符、数字、标点符号、控制字符和空格等,且最好这些符号交叉混合排序。2 2密码的管理密码的管理l要有严格的密码管理观念,要定期更换密码,不要保存密码在本地等。3 3使用动态密码使用动态密码l动态密码(Dynamic Password)也称一次性密码,它是指用户的密码按照时间或使用次数不断地动态变化,每个密码只使用一次。4 4使用生物特征密码使用生物特征密码l生物特征识别技术是指利用人体所固有的生理特征或行为特征来进行个人身份鉴定的技术。l目前,在人体特征识别技术市场上,占
20、有率最高的是指纹机和手形机,这两种识别方式也是目前最成熟的技术。5 5使用软键盘输入密码使用软键盘输入密码l通过软键盘(也叫虚拟键盘)输入密码是比较容易操作的,是对付木马记录击键攻击的有效方法。83 网络扫描与监听网络扫描与监听8.3.1 网络扫描网络扫描1.1.网络扫描的概念网络扫描的概念l使用网络扫描技术,网络安全管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,评估网络风险,并可以根据扫描的结果及时修补系统漏洞、更正系统错误的安全配置,保护网络系统的安全。2.2.网络扫描的分类网络扫描的分类(1)基于主机的扫描:l基于主机的扫描也称为被动式扫描,是对系统中不合适的设置、口令
21、配置及其他安全配置进行扫描以确定系统是否存在安全漏洞。基于主机的扫描不会对系统造成破坏。(2)基于网络的扫描:l基于网络的扫描也称为主动式扫描,是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。基于网络的扫描有可能对系统造成破坏。3 3主机扫描主机扫描(1)Ping(2)Ping sweep(3)ICMP Broadcast4 4端口扫描端口扫描l由于计算机之间的通信是通过端口进行的,因此通过向目标主机的端口发送信息就可以检测出目标主机开放了哪些端口,进而可以连接目标主机的端口。而系统的某些端口默认是为一些固定的服务,攻击者可以利用相应端口检测系统服务的漏洞,
22、进而利用这些服务的漏洞入侵系统。(1)TCP connect()扫描(2)TCP SYN扫描(3)TCP FIN扫描8.3.2 网络监听网络监听1.1.网络监听的概念网络监听的概念l网络监听是指利用工具软件监视网络上数据的流动情况。l网络管理者可以通过监听发现网络中的异常情况,从而更好的管理网络和保护网络;而攻击者可以通过监听将网络中正在传播的信息截获或捕获,从而进行攻击。2.2.检测网络监听的方法检测网络监听的方法l(1)根据反应时间判断l(2)利用ping模式进行监测l(3)利用arp数据包进行监测3.3.避免避免网络监听的方法网络监听的方法l(1)使用交换式网络l(2)使用加密技术l(3
23、)使用 VLAN技术8.3.3 网络扫描应用实例网络扫描应用实例1 1扫描工具扫描工具SuperScanSuperScan的应用的应用SuperScan是一款功能强大的网络主机及端口扫描工具软件,具有如下主要功能:l通过Ping来检验IP是否在线。lIP地址与域名相互转换。l检验目标计算机提供的服务类别。l检验目标计算机是否在线及其端口情况。l自定义要检验的端口并可保存为端口列表的文件。l自带一个木马端口列表,该列表可检测目标计算机是否有木马,并可以自己定义修改该木马端口列表。图8.18 SuperScan主界面(1)域名与域名与IP地址转换地址转换l在“Hostname Lookup”的输入
24、框输入需要转换的域名或IP地址,按“LookUp”按钮就可得到对应的IP地址或域名。如果要得到本计算机的IP地址,可以点击“Me”按钮,如图8.19所示。图8.19 地址转换与检测在线主机(2)检测目标计算机是否在线检测目标计算机是否在线l在“IP”栏的“Start”框中填入起始IP地址,在“Stop”框中填入结束IP地址,在“Scan Type”栏选择“Ping only”,点击“Start”按钮就可以检测目标计算机是否在线了。如果起始IP地址与结束IP地址相同,则表示只扫描一台主机,如图8.19所示。(3)端口检测端口检测 扫描主机的所有端口扫描主机的所有端口l在“IP”栏输入起始IP地址
25、和结束IP地址,在“Scan Type”栏选择最后一项“All Ports From”并填入起始和结束端口号(如1-65535),点击“Start”按钮开始检测,如图8.20所示。图8.20 检测主机开放端口 对主机的特定端口进行扫描对主机的特定端口进行扫描l点击图8.20右上角“Port list setup”按钮,出现如图8.2121所示的端口设置界面。在“Select ports”中点击“Clear All”按钮以清除程序原设置的端口,再选择下表中需要扫描的端口(在端口前面会有一个“”标志)。选择的时候,可阅览左侧的“Change/Add/Delete port info”栏和“Help
26、er apps in right-click menu”栏,这里显示了此端口的详细说明和所使用的程序。如选择21、23和80三个端口,点击“save”按钮保存选择的端口为端口列表,再单击“OK”按钮回到主界面,如图8.22所示。图8.21 设置扫描端口界面图8.22 端口扫描设置主界面l在“Scan Type”栏选择“All selected port in list”,点击“Start”按钮开始检测。检测完成后,单击结果窗口中被检查的IP地址,该地址旁会出现一个“+”号,再单击展开,将显示该被检测主机所要求检测端口的状态,如图8.23所示。图8.23 扫描端口结果(4)检测木马检测木马l在如
27、图8.24所示主界面中选择“Port list setup”,出现端口设置界面,点击“Port list files”的下拉框选择“trojans.lst”端口列表文件。该文件是软件自带的,提供了常见的木马端口,用户可以使用这个端口列表来检测目标计算机是否被植入木马。图8.24 检测木马界面2 2扫描工具扫描工具GetNTUserGetNTUser的应用的应用lGetNTUser是一款扫描网络主机用户名及用户密码的工具软件,它具有如下主要功能:l扫描Windows系统的用户名。l自动扫描空密码及与用户名相同的密码。l使用字典扫描用户密码。图8.25 GetNTUser程序主界面(1)检测主机用
28、户检测主机用户l点击“文件”菜单,选择“添加主机”或单击主机图标,出现“Add Host”对话框,如图8.2626所示。在对话框中输入欲扫描主机的IP地址,单击“OK”按钮,在出现的窗口中单击人像图标,即可扫描主机的用户,如图8.2727所示。图8.26 添加扫描主机图8.27 扫描主机用户列表(2)根据字典扫描用户密码根据字典扫描用户密码l单击“工具”菜单,选择“设置”项,出现如图8.28所示的设置页面。在“字典文件”框中通过“设置”找到所保存字典文件的位置,再点击“工具”菜单,选择“字典测试”项,GetNTUser软件就会将字典中的数据用以扫描用户的密码。图8.28 设置字典文件3 3扫描
29、工具扫描工具PortScanPortScan的应用的应用lPortScan是专用于扫描网络主机开放端口的工具软件。PortScan软件的主界面如图8.29所示。图8.29 PortScan主界面l在图中“Scan”框中输入欲扫描主机的IP地址,在“Stop Port”框中输入扫描端口的终止端口号,再单击“START”按钮,其扫描结果如图8.30所示,其下半部分是扫描到的端口列表。图8.30 PortScan扫描结果4 4扫描工具扫描工具X-ScanX-Scan的应用的应用lX-Scan V3.3是可运行于Windows系列系统的漏洞扫描工具软件。该工具软件采用多线程方式对指定IP地址段(或单机
30、)进行安全漏洞检测,支持插件功能。扫描内容包括远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞和拒绝服务漏洞等。X-Scan V3.3程序主界面如图8.31所示。图8.31 X-Scan V3.3主界面(1)X-Scan V3.3的基本使用的基本使用l点击X-Scan V3.3 菜单栏上的“设置”,选择“扫描参数”项,在“指定IP范围”中输入欲扫描单机的IP地址或主机的IP地址范围,再单击“确定”按钮,如图8.32所示。图8.32 确定扫描范围l回到主界面,点击“文件”菜单,选择“开始扫描”,或单击工具栏的执行图标,X-Scan V3.3程序即开始对指定主机进
31、行漏洞扫描,执行过程如图8.33所示。扫描完成后,X-Scan会自动给出对所扫描主机的报告文件,如图8.34所示。图8.33 X-Scan V3.3扫描过程图8.34 X-Scan V3.3扫描结果(2)X-Scan扫描指定漏洞扫描指定漏洞 在“扫描参数”窗口单击“检测范围”项,输入扫描主机的IP地址。展开“全局设置”,选择“扫描模块”项,在中间的窗口中勾选想要扫描的漏洞,最后点击“确定”按钮,如图8.35所示。图8.35 设置对指定漏洞的扫描 待回到主界面后,单击“文件”菜单,选择“开始扫描”,X-Scan程序即开始进行指定漏洞的扫描。扫描完成后,再展开左面窗口中的各项扫描指标,可得到有关所
32、扫描漏洞的详细信息。如图8.36所示。图8.36 漏洞详细信息8.3.4 网络监听应用实例网络监听应用实例1.1.监听工具监听工具Win SnifferWin Sniffer的应用的应用lWin Sniffer是在局域网内使用的监听工具,它能够捕获局域网中传输的FTP、POP3、HTTP、ICQ、SMTP、Telnet和NNTP等密码。(1)Win Sniffer的安装的安装lWin Sniffer软件的安装过程很简单,在执行安装程序后出现安装向导,如图8.37所示。随后根据安装向导的提示逐步执行即可。图8.37 Win Sniffer安装向导(2)Win Sniffer的使用的使用图8.38
33、 Win Sniffer主界面 设置监听的网卡。单击工具栏上的“Adapter”按钮,出现如图8.39所示选择网络适配器(网卡)窗口,在其中选取欲嗅探数据的网卡,再单击“OK”按钮。图8.39 设置监听网卡 单击工具栏上的“Start”按钮,使Win Sniffer进入监听状态。在本机(192.168.100.3)上用FTP方式建立与监听主机的联系,如图8.40所示。图8.40 网络通信过程l通过以上设置后,再次打开Win Sniffer界面,即可看到被监听到的相关信息,如图8.41所示。图8.41 Win Sniffer监听结果2.2.密码监听器密码监听器pswmonitorpswmonit
34、or的应用的应用l密码监听器pswmonitor可以监听到局域网内任意一台主机所登录的网页邮箱、使用POP3收取的信件以及其它登录账号及密码(包括部分网络游戏),并可将密码显示、保存或发送到黑客指定的邮箱。Pswmonitor软件的主界面如图8.42所示。图8.42 pswmonitor主界面l在开始使用pswmonitor时,监听器会自动运行监听。用户也可自行设置监听的网卡、使用ARP欺骗、设置发送和接收的参数、密码保护功能和邮箱地址等,如图8.43所示。图8.43 设置监听信息发送邮箱3.3.嗅探器嗅探器SnifferSniffer的应用的应用(1)Sniffer的安装的安装l下载Snif
35、fer程序后,打开安装程序,出现如图8.44所示安装向导。点击“Next”按钮后,系统会自动进行解压和安装工作。图8.44 Sniffer安装向导(2)Sniffer的应用的应用lSniffer安装后,执行“程序”“Sniffer Pro”“Sniffer”,出现如图8.45所示的程序主界面。图8.45 Sniffer主界面 配置安装Sniffer嗅探器主机和被嗅探主机的IP地址。l点击“Capture”菜单,选择“Define Filter”,在出现的“Define Filter”界面中选取“Address”选项卡,如图8.46所示。在“Address”下拉菜单中选择“IP”,在“Stati
36、on1”中输入嗅探器主机的IP地址,在“Station2”中输入被嗅探主机的IP地址,点击“确定”按钮后,设置完成。图8.46 设置Sniffer参数 设置嗅探数据的类型(以Ping命令为例)l点击“Advanced”选项卡,拉动滚动条,找到并勾选“ICMP”项,如图8.47所示。点击“确定”按钮后,完成类型设置。图8.47 设置嗅探数据类型 执行嗅探。l点击图8.45中“Capture”菜单,选择“Start”项。在嗅探主机中执行对被嗅探主机的Ping指令,如图8.48所示。图8.48 网络通信过程lPing 指令执行完毕,点击“Capture”菜单,选择“Stop and Display”
37、项或工具栏上的相应图标,在出现的窗口中选择“Decode”项,就会显示两条计算机之间数据的传输过程,如图8.49所示。至此,Sniffer已成功嗅探到数据。图8.49 嗅探结果8.4.1 入侵检测系统入侵检测系统l入侵检测系统(Intrusion Detection System,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或采取主动反应措施的网络安全系统。84 入侵检测与入侵防护系统入侵检测与入侵防护系统1 1IDSIDS的功能的功能lIDS已成为网络安全体系中的一个重要环节。它不仅能监测外来干涉的入侵者,也能监测内部的入侵行为,弥补了防火墙的不足。lIDS在不影响网络性能
38、的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,从而极大地减少各种可能攻击的损害。l监视网络系统的运行状况,查找非法用户的访问和合法用户的越权操作。l对系统的构造和弱点进行审计。l识别分析著名攻击的行为特征并报警。l评估重要系统和数据文件的完整性。l对操作系统进行跟踪审计,并识别用户违反安全策略的行为。l容错功能。2 2IDSIDS的分类的分类(1)基于主机的基于主机的IDSl基于主机的IDS(HIDS)通常被安装在被重点检测的主机上,往往以系统日志、应用程序日志等作为数据源,也可以通过其他手段对所在的主机收集信息进行分析。lHIDS主要是对该主机的网络实时连接以及系统审
39、计日志进行智能分析和判断。(2)基于网络的基于网络的IDSl基于网络的IDS(NIDS)通常设置在比较重要的网段内,其数据源是网络上的数据包。lNIDS往往将一台主机的网卡设于混杂模式,不停地监视本网段的各种数据包,对每一个数据包进行特征分析和判断。如果数据包与系统内置的某些规则吻合,NIDS就会发出警报甚至直接切断网络连接。(3)混合式混合式IDSl综合了基于网络和基于主机两种结构特点的混合式IDS,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。3 3入侵检测的过程入侵检测的过程(1)信息收集信息收集l信息收集的内容包括网络系统、数据及用户活动的状态和行为。(2)信息分析信息分析
40、模式匹配。统计分析。完整性分析。8.4.2 入侵防护系统入侵防护系统1 1入侵防护系统功能入侵防护系统功能l入侵防护系统(Intrusion Prevention System,IPS)能为网络系统提供主动性的防护。lIPS是一种主动的、积极的入侵防范和阻止系统,是对防火墙和IDS的补充。它部署在网络的进出口处,当它检测到攻击企图后,就会自动地将攻击包丢掉或采取措施将攻击源阻断。2 2入侵防护系统类型入侵防护系统类型(1)基于主机的基于主机的IPS(HIPS)lHIPS通过在主机/服务器上安装代理程序,防止攻击者入侵操作系统和应用程序。(2)基于网络的基于网络的IPS(NIPS)lNIPS通过
41、检测网络数据流量,提供对网络系统的安全保护。8.4.3 IDS应用实例应用实例1 1应用环境应用环境lwaRcher是一个在linux下运行的基于标识检测的IDS。l从实现结构上看,waRcher包括数据收集及分析程序(agent)、告警信息收集程序(listener)和告警信息显示程序(console)三个应用程序。lwaRcher采用了分布式结构,建议采用两台PC机运行waRcher,一台运行agent,另一台运行listener和console。图8.50 入侵检测系统关系示意图2 2各部分的实现流程各部分的实现流程(1)数据采集部分数据采集部分lagent采用了linux2.2内核中提供的PF_PACKET类型的socket,直接从链路层获取数据帧。(2)数据分析数据分析l在得到数据帧后,agent模拟操作系统的TCP/IP堆栈对数据进行处理并与已知攻击行为的特征进行比较,从中发现异常行为,并向控制台告警。(3)控制台控制台l控制台部分包括listener和console两个程序。listener绑定6543端口,接收从分析程序发出的分析结果和其他信息,并根据其类型转化到不同文件存储。lconsole为一个窗口程序,给用户一个更方便友好的界面来浏览告警信息,如图8.51所示。图8.51 WaRcher入侵检测的SCAN日志
