安全防護(hù)與入侵檢測

1、整理ppt Sniffer ProSniffer Pro網(wǎng)絡(luò)管理與監(jiān)視網(wǎng)絡(luò)管理與監(jiān)視5.1入侵檢測系統(tǒng)入侵檢測系統(tǒng) 5.2 蜜罐系統(tǒng)蜜罐系統(tǒng) 5.3整理ppt本章學(xué)習(xí)要點本章學(xué)習(xí)要點掌握掌握Sniffer Pro的主要功能與基本組成的主要功能與基本組成掌握掌握Sniffer Pro的基本使用方法和數(shù)據(jù)的的基本使用方法和數(shù)據(jù)的捕獲捕獲整理ppt了解如何利用了解如何利用Sniffer Pro進(jìn)行網(wǎng)絡(luò)優(yōu)化與進(jìn)行網(wǎng)絡(luò)優(yōu)化與故障排除故障排除掌握入侵檢測系統(tǒng)的定義與分類以及選掌握入侵檢測系統(tǒng)的定義與分類以及選擇方法擇方法了解蜜罐的定義、分類和應(yīng)用了解蜜罐的定義、分類和應(yīng)用整理ppt5.1.1 Sniffe

2、r Pro的功能的功能它主要具有以下功能。它主要具有以下功能。實時監(jiān)測網(wǎng)絡(luò)活動。實時監(jiān)測網(wǎng)絡(luò)活動。數(shù)據(jù)包捕捉與發(fā)送。數(shù)據(jù)包捕捉與發(fā)送。網(wǎng)絡(luò)測試與性能分析。網(wǎng)絡(luò)測試與性能分析。利用專家分析系統(tǒng)進(jìn)行故障診斷。利用專家分析系統(tǒng)進(jìn)行故障診斷。網(wǎng)絡(luò)硬件設(shè)備測試與管理。網(wǎng)絡(luò)硬件設(shè)備測試與管理。整理ppt1Sniffer Pro的登錄的登錄圖圖5.1 選擇網(wǎng)絡(luò)適配器選擇網(wǎng)絡(luò)適配器 整理ppt圖圖5.2 Sniffer Pro的工作界面的工作界面 整理ppt（1）儀表盤）儀表盤（2）主機(jī)列表）主機(jī)列表（3）矩陣）矩陣（4）應(yīng)用程序響應(yīng)時間）應(yīng)用程序響應(yīng)時間（5）歷史抽樣）歷史抽樣整理ppt圖圖5.3 Snif

3、fer Pro的儀表盤的儀表盤 整理ppt圖圖5.4 Sniffer Pro主機(jī)列表詳細(xì)資料主機(jī)列表詳細(xì)資料 整理ppt圖圖5.5 Sniffer Pro矩陣地圖矩陣地圖 整理ppt 圖圖5.6 Sniffer Pro應(yīng)用程序響應(yīng)時間表單應(yīng)用程序響應(yīng)時間表單 整理ppt圖圖5.7 Sniffer Pro應(yīng)用程序響應(yīng)時間應(yīng)用程序響應(yīng)時間ART選項選項 整理ppt圖圖5.8 Sniffer Pro歷史抽樣歷史抽樣 整理ppt（6）協(xié)議分布）協(xié)議分布（7）全局統(tǒng)計）全局統(tǒng)計（8）警告日志）警告日志（9）捕獲面板）捕獲面板（10）地址本）地址本整理ppt圖圖5.10 Sniffer Pro協(xié)議分布協(xié)議

4、分布 整理ppt圖圖5.11 Sniffer Pro全局統(tǒng)計全局統(tǒng)計 整理ppt圖圖5.12 Sniffer Pro警告日志警告日志 整理ppt圖圖5.13 Sniffer Pro捕獲面板捕獲面板 整理ppt圖圖5.14 Sniffer Pro地址本地址本 整理ppt名稱名稱圖標(biāo)圖標(biāo)功能功能開始按鈕開始按鈕表示可以開始捕獲過程表示可以開始捕獲過程暫停按鈕暫停按鈕可以在任何時間停止捕獲過程，稍后再繼續(xù)可以在任何時間停止捕獲過程，稍后再繼續(xù)停止按鈕停止按鈕可以停止過程來查看信息，或?qū)⑿畔⒋鏋橐粋€文件可以停止過程來查看信息，或?qū)⑿畔⒋鏋橐粋€文件停止并顯示按鈕停止并顯示按鈕已停止捕獲并顯示捕獲的幀已停

5、止捕獲并顯示捕獲的幀顯示按鈕顯示按鈕顯示一個已經(jīng)停止捕獲過程的結(jié)果顯示一個已經(jīng)停止捕獲過程的結(jié)果定義過濾器按鈕定義過濾器按鈕定義用來捕獲幀的條件定義用來捕獲幀的條件選擇過濾器選擇過濾器從定義好的條件列表中選擇一個用于捕獲從定義好的條件列表中選擇一個用于捕獲表表5.1捕獲欄功能介紹捕獲欄功能介紹 整理ppt圖標(biāo)圖標(biāo)高級系統(tǒng)層次名稱高級系統(tǒng)層次名稱OSI模型的層次模型的層次服務(wù)層（服務(wù)層（Service）應(yīng)用層與表示層應(yīng)用層與表示層應(yīng)用程序?qū)樱☉?yīng)用程序?qū)樱ˋpplication）應(yīng)用層與表示層應(yīng)用層與表示層會話層（會話層（Session）會話層會話層數(shù)據(jù)鏈路層（數(shù)據(jù)鏈路層（Connection）數(shù)

6、據(jù)鏈路層數(shù)據(jù)鏈路層工作站層（工作站層（Station）網(wǎng)絡(luò)層網(wǎng)絡(luò)層DLC數(shù)據(jù)鏈路層與物理層數(shù)據(jù)鏈路層與物理層表表5.2 Sniffer Pro高級系統(tǒng)層次與高級系統(tǒng)層次與OSI對應(yīng)關(guān)系對應(yīng)關(guān)系 整理ppt 高級系統(tǒng)可以監(jiān)控網(wǎng)絡(luò)的運行現(xiàn)狀或癥高級系統(tǒng)可以監(jiān)控網(wǎng)絡(luò)的運行現(xiàn)狀或癥狀（狀（Symptoms）和相應(yīng)對象（）和相應(yīng)對象（Objects），），并進(jìn)行診斷（并進(jìn)行診斷（Diagnoses），如圖所示。），如圖所示。整理ppt圖圖5.21 Sniffer Pro高級系統(tǒng)高級系統(tǒng) 整理ppt 診斷（診斷（Diagnoses）：顯示高級系統(tǒng)中）：顯示高級系統(tǒng)中所有層發(fā)生事件的情況的診斷結(jié)果，如所有層

7、發(fā)生事件的情況的診斷結(jié)果，如當(dāng)網(wǎng)絡(luò)中某一問題或故障多次重復(fù)出現(xiàn)當(dāng)網(wǎng)絡(luò)中某一問題或故障多次重復(fù)出現(xiàn)時，系統(tǒng)就會提供該信息。時，系統(tǒng)就會提供該信息。整理ppt 癥狀（癥狀（Symptoms）：顯示高級系統(tǒng)中）：顯示高級系統(tǒng)中所有層事件的癥狀數(shù)量。所有層事件的癥狀數(shù)量。 對象（對象（Objects）：顯示高級系統(tǒng)中所）：顯示高級系統(tǒng)中所有層發(fā)生事件的對象數(shù)，如路由器、網(wǎng)絡(luò)有層發(fā)生事件的對象數(shù)，如路由器、網(wǎng)絡(luò)工作站、工作站、IP地址或地址或MAC地址。地址。整理ppt 當(dāng)使用高級系統(tǒng)進(jìn)行故障診斷時，它當(dāng)使用高級系統(tǒng)進(jìn)行故障診斷時，它的層模型可以提供很好的幫助，實際上它的層模型可以提供很好的幫助，實際上

8、它將故障的每一個環(huán)節(jié)分離出來，解決故障將故障的每一個環(huán)節(jié)分離出來，解決故障就需要對每一層的功能加以了解。就需要對每一層的功能加以了解。整理ppt 服務(wù)層（服務(wù)層（Service）：顯示匯總使用）：顯示匯總使用HTTP和和FTP等協(xié)議的對象，通過單擊對象按鈕等協(xié)議的對象，通過單擊對象按鈕 深入了解每次連接的詳細(xì)情況，如圖所示。深入了解每次連接的詳細(xì)情況，如圖所示。整理ppt圖圖5.22 Sniffer Pro高級系統(tǒng)服務(wù)層對象高級系統(tǒng)服務(wù)層對象 整理ppt應(yīng)用程序?qū)樱☉?yīng)用程序?qū)樱ˋpplication）：實際上可）：實際上可以顯示以顯示TCP/IP的應(yīng)用層各種服務(wù)的工作的應(yīng)用層各種服務(wù)的工作狀況

9、。狀況。整理ppt會話層（會話層（Session）：檢查與注冊和安全相）：檢查與注冊和安全相關(guān)的問題，如黑客攻擊口令破解。關(guān)的問題，如黑客攻擊口令破解。數(shù)據(jù)鏈路層（數(shù)據(jù)鏈路層（Connection）：會檢查與端）：會檢查與端到端通信的效率和錯誤率有關(guān)的問題，如到端通信的效率和錯誤率有關(guān)的問題，如在滑動窗口凍結(jié)、多次重傳等現(xiàn)象。在滑動窗口凍結(jié)、多次重傳等現(xiàn)象。整理ppt工作站層（工作站層（Station）：檢查網(wǎng)絡(luò)尋址和）：檢查網(wǎng)絡(luò)尋址和路由選擇問題，如路由翻滾、路由重定路由選擇問題，如路由翻滾、路由重定向以及有沒有路由更新等問題。向以及有沒有路由更新等問題。DLC層：顯示物理層和數(shù)據(jù)鏈路層的工

10、層：顯示物理層和數(shù)據(jù)鏈路層的工作狀況，如網(wǎng)絡(luò)電壓和電流狀況、作狀況，如網(wǎng)絡(luò)電壓和電流狀況、CRC錯誤、是否存在幀過短或過長等問題。錯誤、是否存在幀過短或過長等問題。整理ppt 高級系統(tǒng)的層次模型除上述高級系統(tǒng)的層次模型除上述6層以外層以外還有還有3層，它們的功能如表所示。層，它們的功能如表所示。整理ppt圖標(biāo)圖標(biāo)名稱名稱功能功能全局層（全局層（Global）顯示與系統(tǒng)和區(qū)段整體相關(guān)的問題，包括捕獲幀的總顯示與系統(tǒng)和區(qū)段整體相關(guān)的問題，包括捕獲幀的總數(shù)、整體統(tǒng)計信息廣播或組播的數(shù)量以及發(fā)生時間數(shù)、整體統(tǒng)計信息廣播或組播的數(shù)量以及發(fā)生時間路由層（路由層（Route）顯示網(wǎng)絡(luò)上的路由問題，如路徑更換

11、過于頻繁顯示網(wǎng)絡(luò)上的路由問題，如路徑更換過于頻繁子網(wǎng)層（子網(wǎng)層（Subnet）在對象欄中會將所有的子網(wǎng)顯示出來在對象欄中會將所有的子網(wǎng)顯示出來表表5.3 Sniffer Pro高級系統(tǒng)層次高級系統(tǒng)層次 整理ppt 下面通過利用下面通過利用Sniffer Pro檢測檢測Code Red 這一實例來了解捕獲的完整功能。這一實例來了解捕獲的完整功能。 Code Red II病毒可以利用病毒可以利用IIS的緩沖區(qū)的緩沖區(qū)溢出漏洞，通過溢出漏洞，通過TCP的的80端口傳播，并且該端口傳播，并且該病毒變種在感染系統(tǒng)后會釋放出黑客程序。病毒變種在感染系統(tǒng)后會釋放出黑客程序。整理ppt 它攻擊的目標(biāo)系統(tǒng)為安裝

12、它攻擊的目標(biāo)系統(tǒng)為安裝Indexing services 和和IIS 4.0 或的或的Windows 2000 系統(tǒng)、安裝和系統(tǒng)、安裝和IIS 4.0 或或IIS 的系統(tǒng)，可以的系統(tǒng)，可以 在在WINNTSYSTEM32LOGFILESW3SVC1 目錄下的日志文件中查看是否含有以下內(nèi)容：目錄下的日志文件中查看是否含有以下內(nèi)容：整理pptGET，/default.ida,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

13、XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,整理ppt 如果發(fā)現(xiàn)這些內(nèi)容，那么該系統(tǒng)已如果發(fā)現(xiàn)這些內(nèi)容，那么該系統(tǒng)已經(jīng)遭受經(jīng)遭受“紅色代碼紅色代

14、碼”的攻擊。的攻擊。 可以通過可以通過Sniffer Pro檢測網(wǎng)絡(luò)中的數(shù)檢測網(wǎng)絡(luò)中的數(shù)據(jù)包是否含有據(jù)包是否含有Code Red 的特征碼，斷的特征碼，斷定網(wǎng)絡(luò)上是否有中毒的主機(jī)。定網(wǎng)絡(luò)上是否有中毒的主機(jī)。整理ppt步驟步驟1：單擊定義過濾器按鈕，單擊：單擊定義過濾器按鈕，單擊“高級高級”選項卡，單擊選項卡，單擊“配置文件配置文件”（Profile）按鈕，）按鈕，在彈出的捕獲配置文件對話框中單擊在彈出的捕獲配置文件對話框中單擊“新建新建”按鈕。按鈕。整理ppt步驟步驟2：輸入名稱，如：輸入名稱，如codered，如圖所示。，如圖所示。步驟步驟3：單擊：單擊“OK”按鈕，接著單擊按鈕，接著單擊“

15、完成完成” （Done）按鈕，退回到高級選項（）按鈕，退回到高級選項（Advanced） 視圖。視圖。整理ppt 圖圖5.23 Sniffer Pro過濾器配置過濾器配置 整理ppt步驟步驟4：選中：選中TCP下面的下面的HTTP復(fù)選框，復(fù)選框，如圖所示。如圖所示。整理ppt圖圖5.24 Sniffer Pro過濾器過濾器Advanced配置配置 整理ppt步驟步驟5：單擊數(shù)據(jù)模式（：單擊數(shù)據(jù)模式（Data Pattern）選）選項卡，單擊項卡，單擊“增加模式增加模式”（Add Pattern）按鈕，如圖所示。按鈕，如圖所示。整理ppt圖圖5.25 Sniffer Pro過濾器配置數(shù)據(jù)模式過濾

16、器配置數(shù)據(jù)模式 整理ppt步驟步驟6：將補(bǔ)償值（：將補(bǔ)償值（Offset）設(shè)為）設(shè)為36，格式，格式（Format）設(shè)為）設(shè)為ASCII，將，將Code Red的特的特征碼輸入域征碼輸入域1和域和域2：“GET/default.ida? XXXXXXXXXXXXXXX” 。 將名稱（將名稱（Name）設(shè)為）設(shè)為codered類型，類型，單擊單擊“OK”按鈕，如圖所示。按鈕，如圖所示。整理ppt圖圖5.26 Sniffer Pro過濾器配置數(shù)據(jù)模式過濾器配置數(shù)據(jù)模式 整理ppt步驟步驟7：進(jìn)行監(jiān)聽，如果網(wǎng)絡(luò)上有被感染：進(jìn)行監(jiān)聽，如果網(wǎng)絡(luò)上有被感染的主機(jī)，可以在高級系統(tǒng)的服務(wù)層、應(yīng)用的主機(jī)，可以在

17、高級系統(tǒng)的服務(wù)層、應(yīng)用層找到詳細(xì)信息，而且可以通過會話層了層找到詳細(xì)信息，而且可以通過會話層了解該主機(jī)是否對其他設(shè)備進(jìn)行攻擊。解該主機(jī)是否對其他設(shè)備進(jìn)行攻擊。整理ppt5.2.1 入侵檢測的概念與原理入侵檢測的概念與原理圖圖5.27 通用入侵檢測模型通用入侵檢測模型 整理ppt圖圖5.28 入侵檢測系統(tǒng)的組成入侵檢測系統(tǒng)的組成 整理ppt 入侵檢測系統(tǒng)的基本功能有以下幾點。入侵檢測系統(tǒng)的基本功能有以下幾點。檢測和分析用戶與系統(tǒng)的活動。檢測和分析用戶與系統(tǒng)的活動。審計系統(tǒng)配置和漏洞。審計系統(tǒng)配置和漏洞。評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。整理ppt識別已知攻擊

18、。識別已知攻擊。統(tǒng)計分析異常行為。統(tǒng)計分析異常行為。操作系統(tǒng)的審計、跟蹤、管理，并識別操作系統(tǒng)的審計、跟蹤、管理，并識別違反安全策略的用戶活動。違反安全策略的用戶活動。整理ppt1按照檢測類型劃分按照檢測類型劃分（1）異常檢測模型）異常檢測模型（2）特征檢測模型）特征檢測模型整理ppt 基于主機(jī)的入侵檢測產(chǎn)品（基于主機(jī)的入侵檢測產(chǎn)品（HIDS）通常安裝在被重點檢測的主機(jī)之上，主通常安裝在被重點檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)進(jìn)行實時連接以及要是對該主機(jī)的網(wǎng)絡(luò)進(jìn)行實時連接以及對系統(tǒng)審計日志進(jìn)行智能分析和判斷。對系統(tǒng)審計日志進(jìn)行智能分析和判斷。整理ppt 基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（基于網(wǎng)絡(luò)的入侵

19、檢測產(chǎn)品（NIDS）放）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析?？梢傻臄?shù)據(jù)包進(jìn)行特征分析。 整理ppt圖圖5.29 入侵檢測系統(tǒng)一般部署圖入侵檢測系統(tǒng)一般部署圖整理ppt 在此基礎(chǔ)上，可以參照表選擇適合在此基礎(chǔ)上，可以參照表選擇適合于自身網(wǎng)絡(luò)的入侵檢測系統(tǒng)。于自身網(wǎng)絡(luò)的入侵檢測系統(tǒng)。整理ppt產(chǎn)品是否可擴(kuò)展產(chǎn)品是否可擴(kuò)展系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理之間通信帶寬和對

20、審計日志溢出的處理該產(chǎn)品是否進(jìn)行過攻擊測試該產(chǎn)品是否進(jìn)行過攻擊測試了解產(chǎn)品提供商提供的產(chǎn)品是否進(jìn)行過攻擊測試，明確測試了解產(chǎn)品提供商提供的產(chǎn)品是否進(jìn)行過攻擊測試，明確測試步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力產(chǎn)品支持的入侵特征數(shù)產(chǎn)品支持的入侵特征數(shù)不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)特征庫升級與維護(hù)的周期、方式特征庫升級與維護(hù)的周期、方式、費用、費用入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法

21、法最大可處理流量最大可處理流量一般有百兆、千兆、萬兆之分一般有百兆、千兆、萬兆之分表表5.5入侵檢測系統(tǒng)選擇標(biāo)準(zhǔn)入侵檢測系統(tǒng)選擇標(biāo)準(zhǔn) 整理ppt是否通過了國家權(quán)威機(jī)構(gòu)的測評是否通過了國家權(quán)威機(jī)構(gòu)的測評主要的權(quán)威測評機(jī)構(gòu)有國家信息安全測評認(rèn)證中心、公安主要的權(quán)威測評機(jī)構(gòu)有國家信息安全測評認(rèn)證中心、公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心是否有成功案例是否有成功案例需要了解產(chǎn)品的成功應(yīng)用案例，有必要進(jìn)行實地考察和測需要了解產(chǎn)品的成功應(yīng)用案例，有必要進(jìn)行實地考察和測試使用試使用系統(tǒng)的價格系統(tǒng)的價格性能價格比，以要保護(hù)系統(tǒng)的價值為主要的因素性能價格比，以要保

22、護(hù)系統(tǒng)的價值為主要的因素續(xù)表續(xù)表 整理ppt 入侵防護(hù)系統(tǒng)（入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）是一種主動的、積極的入）是一種主動的、積極的入侵防范及阻止系統(tǒng)。侵防范及阻止系統(tǒng)。 它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。掉或采取措施將攻擊源阻斷。整理ppt IPS的檢測功能類似于的檢測功能類似于IDS，但，但I(xiàn)PS檢測到攻擊后會采取行動阻止攻擊，可檢測到攻擊后會采取行動阻止攻擊，可以說以說IPS是建立在是建立在IDS發(fā)展的基礎(chǔ)上的新發(fā)展的基

23、礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。生網(wǎng)絡(luò)安全產(chǎn)品。整理ppt5.3.1 蜜罐概述蜜罐概述 蜜罐及蜜網(wǎng)技術(shù)是一種捕獲和分析蜜罐及蜜網(wǎng)技術(shù)是一種捕獲和分析惡意代碼及黑客攻擊活動，從而達(dá)到了惡意代碼及黑客攻擊活動，從而達(dá)到了解對手目的的技術(shù)。解對手目的的技術(shù)。 蜜罐是一種安全資源，其價值在于蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。被掃描、攻擊和攻陷。整理ppt 它表明蜜罐并無其他的實際作用，因它表明蜜罐并無其他的實際作用，因此所有流入此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷，而蜜罐的核心價示了掃描、攻擊和攻陷，而蜜罐的核心價值在于對這些攻擊活動進(jìn)行監(jiān)視、檢

24、測和值在于對這些攻擊活動進(jìn)行監(jiān)視、檢測和分析。分析。 DTK（欺騙工具包）和（欺騙工具包）和Honeyd 是最是最為著名的兩個蜜罐工具。為著名的兩個蜜罐工具。整理ppt 蜜罐和沒有任何防范措施的計算機(jī)的區(qū)蜜罐和沒有任何防范措施的計算機(jī)的區(qū)別在于，雖然兩者都有可能被入侵破壞，但別在于，雖然兩者都有可能被入侵破壞，但是本質(zhì)卻完全不同，蜜罐是網(wǎng)絡(luò)管理員經(jīng)過是本質(zhì)卻完全不同，蜜罐是網(wǎng)絡(luò)管理員經(jīng)過周密布置而設(shè)下的周密布置而設(shè)下的“黑匣子黑匣子”，看似漏洞百，看似漏洞百出，卻盡在掌握之中，它收集的入侵?jǐn)?shù)據(jù)十出，卻盡在掌握之中，它收集的入侵?jǐn)?shù)據(jù)十分有價值；而后者根本就是送給入侵者的禮分有價值；而后者根本就是

25、送給入侵者的禮物，即使被入侵也不一定查得到痕跡。物，即使被入侵也不一定查得到痕跡。整理ppt 設(shè)計蜜罐的初衷是讓黑客入侵，借設(shè)計蜜罐的初衷是讓黑客入侵，借此收集證據(jù)，同時隱藏真實的服務(wù)器地此收集證據(jù)，同時隱藏真實的服務(wù)器地址，因此要求一臺合格的蜜罐擁有發(fā)現(xiàn)址，因此要求一臺合格的蜜罐擁有發(fā)現(xiàn)攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺騙和協(xié)助調(diào)查的功能。騙和協(xié)助調(diào)查的功能。 另外一個功能由管理員去完成，那另外一個功能由管理員去完成，那就是在必要的時候根據(jù)蜜罐收集的證據(jù)就是在必要的時候根據(jù)蜜罐收集的證據(jù)來起訴入侵者。來起訴入侵者。整理ppt 按照部署，蜜罐可以分為以下兩種。

26、按照部署，蜜罐可以分為以下兩種。 產(chǎn)品型：用于保護(hù)單位網(wǎng)絡(luò)，實現(xiàn)防御、產(chǎn)品型：用于保護(hù)單位網(wǎng)絡(luò)，實現(xiàn)防御、檢測和幫助對攻擊的響應(yīng)，主要產(chǎn)品有檢測和幫助對攻擊的響應(yīng)，主要產(chǎn)品有KFSensor、Specter、ManTrap等。等。整理ppt 研究型：用于對黑客攻擊進(jìn)行捕獲和分研究型：用于對黑客攻擊進(jìn)行捕獲和分析，了解攻擊的過程、方法和工具，如析，了解攻擊的過程、方法和工具，如Gen 蜜網(wǎng)、蜜網(wǎng)、Honeyd等。等。整理ppt 按照攻擊者在蜜罐中活動的交互性級別，按照攻擊者在蜜罐中活動的交互性級別，蜜罐可以分為以下兩種。蜜罐可以分為以下兩種。低交互型：又稱偽系統(tǒng)蜜罐。用于模擬服務(wù)低交互型：又稱偽

27、系統(tǒng)蜜罐。用于模擬服務(wù)和操作系統(tǒng)，利用一些工具程序強(qiáng)大的模仿和操作系統(tǒng)，利用一些工具程序強(qiáng)大的模仿能力，偽造出不屬于自己平臺的能力，偽造出不屬于自己平臺的“漏洞漏洞”。它容易部署、減少風(fēng)險，但只能捕獲少量信它容易部署、減少風(fēng)險，但只能捕獲少量信息，其主要產(chǎn)品有息，其主要產(chǎn)品有Specter、KFSensor、Honeyd等。等。整理ppt高交互型：又稱實系統(tǒng)蜜罐。它是最真實的高交互型：又稱實系統(tǒng)蜜罐。它是最真實的蜜罐，運行著真實的系統(tǒng)，并且?guī)в姓鎸嵖擅酃?，運行著真實的系統(tǒng)，并且?guī)в姓鎸嵖扇肭值穆┒?，屬于最危險的漏洞，但是它記入侵的漏洞，屬于最危險的漏洞，但是它記錄下的入侵信息往往是最真實的，可

28、以捕獲錄下的入侵信息往往是最真實的，可以捕獲更豐富的信息，但部署復(fù)雜、等風(fēng)險較大，更豐富的信息，但部署復(fù)雜、等風(fēng)險較大，其主要產(chǎn)品有其主要產(chǎn)品有ManTrap、Gen蜜網(wǎng)等。蜜網(wǎng)等。整理ppt 為了使蜜罐系統(tǒng)更加高效，很多政為了使蜜罐系統(tǒng)更加高效，很多政府組織和技術(shù)性公司的人員都在著手開府組織和技術(shù)性公司的人員都在著手開發(fā)成型的蜜罐產(chǎn)品。發(fā)成型的蜜罐產(chǎn)品。 整理ppt【實訓(xùn)目的實訓(xùn)目的】掌握掌握Sniffer Pro的安裝與基本界面的使用。的安裝與基本界面的使用。利用工具欄進(jìn)行網(wǎng)絡(luò)監(jiān)控。利用工具欄進(jìn)行網(wǎng)絡(luò)監(jiān)控。使用使用Sniffer Pro進(jìn)行數(shù)據(jù)的捕獲。進(jìn)行數(shù)據(jù)的捕獲。了解報文發(fā)送功能。了解

29、報文發(fā)送功能。整理ppt【實訓(xùn)設(shè)備實訓(xùn)設(shè)備】集線器或采用端口鏡像的交換機(jī)、路由集線器或采用端口鏡像的交換機(jī)、路由器。器。服務(wù)器、計算機(jī)兩臺或多臺。服務(wù)器、計算機(jī)兩臺或多臺。網(wǎng)線。網(wǎng)線。整理ppt【實訓(xùn)步驟實訓(xùn)步驟】1Sniffer Pro安裝安裝 Sniffer Pro的安裝與其他任何的安裝與其他任何Microsoft Windows上的應(yīng)用程序一樣簡單，對于計算上的應(yīng)用程序一樣簡單，對于計算 機(jī)系統(tǒng)的要求極低，采用標(biāo)準(zhǔn)的機(jī)系統(tǒng)的要求極低，采用標(biāo)準(zhǔn)的InstallShield Wizard來指導(dǎo)安裝。來指導(dǎo)安裝。整理ppt 雙擊啟動安裝，會看到雙擊啟動安裝，會看到InstallShield W

30、izard屏屏幕，如圖所示，單擊幕，如圖所示，單擊“Next”按鈕繼續(xù)。按鈕繼續(xù)。 安裝程序會找出安裝所需文件，出現(xiàn)歡迎屏幕安裝程序會找出安裝所需文件，出現(xiàn)歡迎屏幕，如圖所示，單擊，如圖所示，單擊“Next”按鈕繼續(xù)下一步。按鈕繼續(xù)下一步。整理ppt圖圖5.30 Sniffer Pro安裝向?qū)О惭b向?qū)?整理ppt圖圖5.31 Sniffer Pro歡迎界面歡迎界面 整理ppt 仔細(xì)閱讀軟件安裝協(xié)議，如果同意，仔細(xì)閱讀軟件安裝協(xié)議，如果同意，單擊單擊“Yes”按鈕繼續(xù)，然后輸入用戶信按鈕繼續(xù)，然后輸入用戶信息，如圖所示。息，如圖所示。 指定安裝位置，如圖所示，單擊指定安裝位置，如圖所示，單擊“N

31、ext”按鈕繼續(xù)。按鈕繼續(xù)。 整理ppt 圖圖5.32 Sniffer Pro安裝協(xié)議安裝協(xié)議 整理ppt圖圖5.33 Sniffer Pro安裝路徑安裝路徑 整理ppt 安裝程序開始復(fù)制文件，結(jié)束后安裝程序開始復(fù)制文件，結(jié)束后Sniffer Pro會要求用戶注冊，包括用戶姓名（會要求用戶注冊，包括用戶姓名（Name）、）、單位（單位（Business）、用戶類型（）、用戶類型（Customer Type）和電子郵件（）和電子郵件（E-mail），如圖所示，輸入），如圖所示，輸入完畢后單擊完畢后單擊“下一步下一步”按鈕繼續(xù)。按鈕繼續(xù)。整理ppt 圖圖5.34 Sniffer Pro安裝用戶注冊

32、（一）安裝用戶注冊（一） 整理ppt 接著輸入地址（接著輸入地址（Address）、所在城市）、所在城市 （City）、州）、州/?。ㄊ。⊿tate）、國家（）、國家（Country）、）、郵政編碼（郵政編碼（Postal Code）和電話號碼（）和電話號碼（Phone）以及傳真（以及傳真（Fax），如圖所示，輸入完），如圖所示，輸入完 畢后單擊畢后單擊“下一步下一步”按鈕繼續(xù)。按鈕繼續(xù)。整理ppt 圖圖5.35 Sniffer Pro安裝用戶注冊（二）安裝用戶注冊（二） 整理ppt 輸入序列號，如圖所示，然后單擊輸入序列號，如圖所示，然后單擊“下一步下一步”按鈕繼續(xù)。按鈕繼續(xù)。整理ppt圖圖

33、5.36 Sniffer Pro安裝填入序列號安裝填入序列號 整理ppt 接著需要通過接著需要通過Internet與與NAI聯(lián)系進(jìn)行注冊，聯(lián)系進(jìn)行注冊，有有3種方式：選擇與種方式：選擇與Internet直連，直接進(jìn)行直連，直接進(jìn)行注冊；通過代理與注冊；通過代理與Internet連接，此時需要設(shè)連接，此時需要設(shè)置代理參數(shù)；沒有與置代理參數(shù)；沒有與Internet連接，需要通過連接，需要通過傳真注冊。一般情況可選中第傳真注冊。一般情況可選中第1個單選項，如圖個單選項，如圖所示。所示。整理ppt 圖圖5.37 Sniffer Pro安裝聯(lián)網(wǎng)注冊安裝聯(lián)網(wǎng)注冊 整理ppt 軟件一旦與軟件一旦與NAI服務(wù)

34、器連接上，就會服務(wù)器連接上，就會注冊，并提供一個客戶號，單擊注冊，并提供一個客戶號，單擊“下一下一步步”按鈕就會出現(xiàn)注冊成功的信息，如按鈕就會出現(xiàn)注冊成功的信息，如圖所示。圖所示。整理ppt圖圖5.38 Sniffer Pro安裝完成安裝完成 整理ppt 單擊單擊“Finish”按鈕完成。安裝軟件會按鈕完成。安裝軟件會通知如果運行通知如果運行Sniffer Pro必須有微軟公司必須有微軟公司的的IE5或更高版本，并且安裝微軟公司的或更高版本，并且安裝微軟公司的Java虛擬機(jī)。虛擬機(jī)。整理ppt2工具欄的使用工具欄的使用 具體操作參見節(jié)內(nèi)容。具體操作參見節(jié)內(nèi)容。3捕獲欄的使用捕獲欄的使用 下面介

35、紹如何使用下面介紹如何使用Sniffer Pro捕獲捕獲ICMP流量。流量。整理ppt 單擊定義過濾器按鈕，在出現(xiàn)的對話框單擊定義過濾器按鈕，在出現(xiàn)的對話框中單擊中單擊“配置文件配置文件”（Profiles）按鈕，新）按鈕，新建（建（New）一個配置文件，取名為）一個配置文件，取名為ICMP，如圖所示。如圖所示。整理ppt 圖圖5.39 Sniffer Pro過濾器定義過濾器定義 整理ppt 單擊單擊“完成完成”（Done）按鈕后，在屏幕右）按鈕后，在屏幕右側(cè)選擇側(cè)選擇ICMP，然后單擊高級（，然后單擊高級（Advanced）標(biāo)）標(biāo)簽，進(jìn)入高級選項卡，因為只需要監(jiān)聽簽，進(jìn)入高級選項卡，因為只需

36、要監(jiān)聽ICMP報文，所以選中報文，所以選中IP下的下的ICMP，如圖所示。，如圖所示。整理ppt 圖圖5.40 Sniffer Pro過濾器協(xié)議定義過濾器協(xié)議定義 整理ppt 單擊單擊“確定確定”按鈕，完成定義過濾器。選擇按鈕，完成定義過濾器。選擇ICMP過濾器，進(jìn)行監(jiān)聽，單擊過濾器，進(jìn)行監(jiān)聽，單擊“開始開始”按鈕，按鈕，如圖所示。如圖所示。整理ppt圖圖5.41 Sniffer Pro捕獲高級系統(tǒng)捕獲高級系統(tǒng) 整理ppt 在本地主機(jī)（在本地主機(jī)（IP：）利用：）利用ping命令測試與相命令測試與相鄰主機(jī)（鄰主機(jī)（IP：）的連通性。當(dāng)捕獲到：）的連通性。當(dāng)捕獲到ICMP報報文時，單擊停止并顯示

37、按鈕，并單擊視圖下方文時，單擊停止并顯示按鈕，并單擊視圖下方的解碼（的解碼（Decode）選項，如圖所示。）選項，如圖所示。整理ppt圖圖5.42 Sniffer Pro解碼解碼整理ppt 可以發(fā)現(xiàn)監(jiān)聽到的可以發(fā)現(xiàn)監(jiān)聽到的ICMP Echo Request回送請求，源地址（回送請求，源地址（Source Address）：）：，目的地址（，目的地址（Destination Address）：。）：。整理ppt 在解碼卷標(biāo)的在解碼卷標(biāo)的“總結(jié)總結(jié)”選項中選中捕選項中選中捕獲的獲的ICMP報文，選中報文，選中“HEX”部分，單部分，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇擊鼠標(biāo)右鍵，在彈出的快捷菜單中

38、選擇“編輯編輯”（Edit），修改源地址（），修改源地址（Source Address）為，如圖所示。）為，如圖所示。整理ppt圖圖5.43 Sniffer Pro十六進(jìn)制代碼編輯十六進(jìn)制代碼編輯 整理ppt 單擊單擊“重新插入重新插入”（Re-interpret）按）按 鈕，此時在鈕，此時在“HEX”部分的源地址（部分的源地址（Source Address）發(fā)生了變化。然后單擊鼠標(biāo)右）發(fā)生了變化。然后單擊鼠標(biāo)右 鍵，在彈出的快捷菜單中選擇發(fā)送當(dāng)前報鍵，在彈出的快捷菜單中選擇發(fā)送當(dāng)前報 文（文（Send Current Frame），如圖所示。），如圖所示。整理ppt圖圖5.44 Sniffe

39、r Pro編碼發(fā)送編碼發(fā)送 整理ppt 發(fā)送次數(shù)（發(fā)送次數(shù)（Times）為）為100次，延遲（次，延遲（Delay）為為1ms，單擊，單擊“確定確定”按鈕，如圖所示。如果選按鈕，如圖所示。如果選中連續(xù)（中連續(xù)（Continuously）單選項，這就是一種簡）單選項，這就是一種簡單的單的Smurf攻擊。攻擊。整理ppt圖圖5.45 Sniffer Pro當(dāng)前幀發(fā)送當(dāng)前幀發(fā)送 整理ppt 選擇工具菜單欄選擇工具菜單欄Tools下的報文發(fā)送器下的報文發(fā)送器（Packet Generator），可以及時了解報），可以及時了解報文發(fā)送的實時數(shù)據(jù)，如圖所示。文發(fā)送的實時數(shù)據(jù)，如圖所示。整理ppt圖圖5.4

40、6 Sniffer Pro報文發(fā)送器報文發(fā)送器 整理ppt 可以單擊可以單擊“停止停止”按鈕或按鈕或“開始開始”按按鈕來控制報文的發(fā)送。單擊鈕來控制報文的發(fā)送。單擊“屬性屬性”按按鈕鈕 可以修改報文的內(nèi)容?？梢孕薷膱笪牡膬?nèi)容。整理ppt【實訓(xùn)目的實訓(xùn)目的】掌握掌握Session Wall 3的安裝。的安裝。掌握掌握Session Wall 3基本界面的使用?；窘缑娴氖褂谩＠美肧ession Wall了解網(wǎng)絡(luò)的行為。了解網(wǎng)絡(luò)的行為。利用利用Session Wall定義服務(wù)來監(jiān)控網(wǎng)絡(luò)。定義服務(wù)來監(jiān)控網(wǎng)絡(luò)。整理ppt【實訓(xùn)設(shè)備實訓(xùn)設(shè)備】交換機(jī)、三層網(wǎng)絡(luò)設(shè)備。交換機(jī)、三層網(wǎng)絡(luò)設(shè)備。服務(wù)器、計算機(jī)

41、兩臺或多臺。服務(wù)器、計算機(jī)兩臺或多臺。網(wǎng)線。網(wǎng)線。整理ppt【實訓(xùn)步驟實訓(xùn)步驟】 1安裝安裝Computer Associates 的的 Session Wall 3 按照提示進(jìn)行安裝。按照提示進(jìn)行安裝。整理ppt 安裝過程中，系統(tǒng)會詢問是否要作為一安裝過程中，系統(tǒng)會詢問是否要作為一個服務(wù)啟動這個程序。除非設(shè)定該程序在個服務(wù)啟動這個程序。除非設(shè)定該程序在每次啟動系統(tǒng)時自動啟動，否則選擇每次啟動系統(tǒng)時自動啟動，否則選擇No。一般選擇一般選擇No，將，將Session Wall作為一個應(yīng)用作為一個應(yīng)用程序來使用。繼續(xù)安裝程序來使用。繼續(xù)安裝Session Wall。整理ppt 當(dāng)安裝完成后，單擊當(dāng)

42、安裝完成后，單擊“Yes”按鈕重新按鈕重新啟動計算機(jī)。啟動計算機(jī)。整理ppt 2Session Wall-3的使用的使用 打開應(yīng)用程序打開應(yīng)用程序Session Wall-3。 將會看到將會看到Logo Session Wall-3的登錄對的登錄對話框，如圖所示，單擊話框，如圖所示，單擊“OK”按鈕。按鈕。 屏幕出現(xiàn)主界面，如圖所示。屏幕出現(xiàn)主界面，如圖所示。整理ppt 圖圖5.47 Session Wall登錄登錄 整理ppt 圖圖5.48 Session Wall主界面主界面 整理ppt報警消息報警消息 （Alter messages）：當(dāng)某個）：當(dāng)某個會話匹配該規(guī)則中的條件時就顯示警告消

43、會話匹配該規(guī)則中的條件時就顯示警告消息。當(dāng)規(guī)則匹配時，工具欄上的息。當(dāng)規(guī)則匹配時，工具欄上的“報警消報警消息息”按鈕將閃爍。按鈕將閃爍。整理ppt 安全沖突安全沖突 （Detected security violations）：）：顯示安全沖突。入侵檢測包括了許多預(yù)定義的顯示安全沖突。入侵檢測包括了許多預(yù)定義的安全沖突。當(dāng)入侵檢測探測到這些沖突時，工安全沖突。當(dāng)入侵檢測探測到這些沖突時，工具欄中的具欄中的“安全沖突安全沖突”按鈕將閃爍。單擊該按按鈕將閃爍。單擊該按鈕可以顯示包括沖突細(xì)節(jié)的窗口。鈕可以顯示包括沖突細(xì)節(jié)的窗口。整理ppt暫停檢測暫停檢測 ：暫時停止檢測過程。：暫時停止檢測過程。開始

44、檢測開始檢測 ：啟動檢測。：啟動檢測。重新探測重新探測 ：開始重新探測。：開始重新探測。整理ppt 單擊單擊ViewAlter Messages命令查看命令查看一些現(xiàn)有的報警，或者單擊報警消息一些現(xiàn)有的報警，或者單擊報警消息 按鈕，如圖所示。按鈕，如圖所示。整理ppt圖圖5.49 Session Wall報警設(shè)置報警設(shè)置 整理ppt 通過單擊通過單擊“Clear”按鈕清除所有的報警。按鈕清除所有的報警。完成操作以后，退出完成操作以后，退出Alter Messages對話框。對話框。整理ppt 當(dāng)完成對所有報警（它們可能都是誤當(dāng)完成對所有報警（它們可能都是誤判斷）的清除后，關(guān)閉所有的報警對話判斷

45、）的清除后，關(guān)閉所有的報警對話窗并最小化窗并最小化Session Wall。 利用利用X-Scan掃描一臺沒有作為掃描一臺沒有作為IDS的的遠(yuǎn)程系統(tǒng)。遠(yuǎn)程系統(tǒng)。整理ppt 檢查檢查Session Wall，它將記錄和追蹤這，它將記錄和追蹤這個掃描攻擊并發(fā)出警告。注意此時安全個掃描攻擊并發(fā)出警告。注意此時安全沖突沖突 按鈕會發(fā)生閃爍，同時在其下按鈕會發(fā)生閃爍，同時在其下面的框中將增加客戶端數(shù)量。面的框中將增加客戶端數(shù)量。整理ppt 打開打開Alter Messages和和Detected security violations對話框，分別如圖、圖所示。對話框，分別如圖、圖所示。 通過報警信息會發(fā)

46、現(xiàn)這個掃描攻擊的過通過報警信息會發(fā)現(xiàn)這個掃描攻擊的過程。程。整理ppt圖圖5.50 Session Wall報警信息報警信息 整理ppt 圖圖5.51 Session Wall安全沖突信息安全沖突信息 整理ppt 3利用利用Session Wall分析網(wǎng)絡(luò)的行為分析網(wǎng)絡(luò)的行為 使用使用Session Wall生成并記錄信息傳輸，生成并記錄信息傳輸，然后觀察靜態(tài)格式然后觀察靜態(tài)格式/動態(tài)格式的信息。動態(tài)格式的信息。整理ppt 生成額外的網(wǎng)絡(luò)信息傳輸，如生成額外的網(wǎng)絡(luò)信息傳輸，如HTTP和和FTP連接或者連接或者Telnet連接某臺主機(jī)。連接某臺主機(jī)。 選擇界面最左面的選擇界面最左面的Services圖標(biāo)，查圖標(biāo)，查看主界面最左面的窗口?？粗鹘缑孀钭竺娴拇翱凇Ｕ韕pt 單擊單擊HTTP左邊的加號（左邊的加號（+），并單擊），并單擊代表網(wǎng)絡(luò)上的一個遠(yuǎn)程主機(jī)的圖標(biāo)，此代表網(wǎng)絡(luò)上的一個遠(yuǎn)程主機(jī)的圖標(biāo)