第5章(1)-黑客攻防與檢測防御

1、第5章 黑客攻防與檢測防御信息安全概論目 錄 5.2 黑客攻擊的目的及過程 2 5.3 常見黑客攻防技術(shù) 3 5.4 網(wǎng)絡(luò)攻擊的防范策略和措施 4 5.1 黑客的概念及入侵方式 1 5.5 入侵檢測與防御系統(tǒng)概述 5 * 5.6 Sniffer網(wǎng)絡(luò)檢測實(shí)驗(yàn) 6 5.7 本章小結(jié) 7教 學(xué) 目 標(biāo)教學(xué)目標(biāo) 了解黑客攻擊的目的及攻擊步驟 熟悉黑客常用的攻擊方法 理解防范黑客的措施 掌握黑客攻擊過程，并防御黑客攻擊 掌握入侵檢測與防御系統(tǒng)的概念、功能、特點(diǎn)和應(yīng)用方法重點(diǎn)重點(diǎn)5.1 黑客概述5.1.1 黑客概念危害及類型 1. 黑客的概念及類型 黑客（Hacker）一詞源于Hack，其起初本意為“干了

2、一件可以炫耀的事”，原指一群專業(yè)技能超群、聰明能干、精力旺盛對計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪問的人員。 “駭客”是英文“Cacker”的譯音,意為“破譯者和搞破壞的人”.把“黑客”和“駭客”混為一體.黑客分為紅客、破壞者和間諜三種類型,紅客是指“國家利益至高無上”的正義“網(wǎng)絡(luò)大俠”;破壞者也稱“駭客”;間諜是指“利益至上”情報(bào)“盜獵者”。 美軍網(wǎng)絡(luò)戰(zhàn)的分司令部多達(dá)541個(gè),未來4年將擴(kuò)編4000人. 為強(qiáng)化美國對網(wǎng)絡(luò)攻擊的防御能力,計(jì)劃將約900人規(guī)模的網(wǎng)絡(luò)戰(zhàn)司令部在今后4年擴(kuò)編4000人,為此將投入230億美元。案例5-12. 黑客的產(chǎn)生與發(fā)展 20 世紀(jì)60 年代，在美國麻省理工學(xué)院的人工智能

3、實(shí)驗(yàn)室里，有一群自稱為黑客的學(xué)生們以編制復(fù)雜的程序?yàn)闃啡ぃ?dāng)初并沒有功利性目的。此后不久，連接多所大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的美國國防部實(shí)驗(yàn)性網(wǎng)絡(luò)APARNET建成，黑客活動(dòng)便通過網(wǎng)絡(luò)傳播到更多的大學(xué)乃至社會(huì)。后來，有些人利用手中掌握的“絕技”，借鑒盜打免費(fèi)電話的手法，擅自闖入他人的計(jì)算機(jī)系統(tǒng)，干起隱蔽活動(dòng)。隨著其逐步發(fā)展成為因特網(wǎng)，黑客活動(dòng)天地越來越廣，形成魚目混珠的局面。案例5-25.1 黑客概述3.黑客的危害及現(xiàn)狀 黑客猖獗其產(chǎn)業(yè)鏈年獲利上百億.黑客利用木馬程序盜取銀行賬號,信用卡賬號,QQ,網(wǎng)絡(luò)游戲等個(gè)人機(jī)密信息,并從中牟取金錢利益的產(chǎn)業(yè)鏈每年可達(dá)上百億.黑客地下產(chǎn)業(yè)鏈極其龐大且分工明確,黑客產(chǎn)

4、業(yè)鏈大致分為老板,編程者,流量商,盜號者和販賣商等多個(gè)環(huán)節(jié),產(chǎn)業(yè)鏈如圖5-1所示.互聯(lián)網(wǎng)資源與服務(wù)濫用地下產(chǎn)業(yè)鏈,如圖5-2所示. 圖5-1 黑客產(chǎn)業(yè)鏈?zhǔn)疽鈭D 案例5-35.1 黑客概述5.1.2 黑客攻擊的入侵方式 1. 系統(tǒng)漏洞產(chǎn)生的原因 系統(tǒng)漏洞又稱缺陷。漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。產(chǎn)生漏洞的主要原因：1）計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議本身的缺陷。 2）系統(tǒng)開發(fā)的缺陷。3）系統(tǒng)配置不當(dāng)。4）系統(tǒng)安全管理中的問題。 其他:協(xié)議、系統(tǒng)、路由、傳輸、DB、技術(shù)、管理及法規(guī)等5.1 黑客概述2. 黑客攻擊入侵通道 端口 計(jì)算機(jī)通

5、過端口實(shí)現(xiàn)與外部通信的連接/數(shù)據(jù)交換,黑客攻擊是將系統(tǒng)和網(wǎng)絡(luò)設(shè)置中的各種(邏輯)端口作為 入侵通道.其端口是指網(wǎng)絡(luò)中面向連接/無連接服務(wù)的通信協(xié)議端口,是一種抽象的軟件結(jié)構(gòu),包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)。端口號：端口通過端口號標(biāo)記（只有整數(shù)）, 范圍： 065535（216-1） 目的端口號:用于通知傳輸層協(xié)議將數(shù)據(jù)送給具體處理軟件源端口號：一般是由操作系統(tǒng)動(dòng)態(tài)生成的號碼： 1024 65535 5.1 黑客概述 3. 端口分類 按端口號分布可分為三段：1）公認(rèn)端口 ( 01023 ),又稱常用端口,為已經(jīng)或?qū)⒁J(rèn)定義的軟件保留的.這些端口緊密綁定一些服務(wù)且明確表示了某種服務(wù)協(xié)議.如80端

6、口表示HTTP協(xié)議(Web服務(wù)).2）注冊端口 ( 102449151 ),又稱保留端口, 這些端口松散綁定一些服務(wù)。3）動(dòng)態(tài)/私有端口(4915265535).理論上不為服務(wù)器分配. 按協(xié)議類型將端口劃分為TCP和UDP端口：1）TCP端口需要在客戶端和服務(wù)器之間建立連接,提供可靠的數(shù)據(jù)傳輸.如Telnet服務(wù)的23端口,SMTP默認(rèn)25。2）UDP端口不需要在客戶端和服務(wù)器之間建立連接.常見的端口有DNS服務(wù)的53端口。討論思考：（1）什么是安全漏洞和隱患？為什么網(wǎng)絡(luò)存在著的安全漏洞和隱患？（2）舉例說明，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的黑客攻擊問題。 （3）黑客通道端口主要有哪些？特點(diǎn)是什么？FTP

7、服務(wù)通過TCP傳輸,默認(rèn)端口20數(shù)據(jù)傳輸,21命令傳輸5.1 黑客概述5.2.1 黑客攻擊的目的及種類5.2 黑客攻擊的目的及過程 最大網(wǎng)絡(luò)攻擊案件幕后黑手被捕.2013年荷蘭男子SK因涉嫌有史以來最大的網(wǎng)絡(luò)攻擊案件而被捕.SK對國際反垃圾郵件組織Spamhaus等網(wǎng)站,進(jìn)行了前所未有的一系列的大規(guī)模分布式拒絕服務(wù)攻擊,在高峰期攻擊達(dá)到每秒300G比特率,導(dǎo)致歐洲的某些局部地區(qū)互聯(lián)網(wǎng)緩慢,同時(shí)致使成千上萬相關(guān)網(wǎng)站無法正常運(yùn)行服務(wù)。 黑客攻擊其目的：一是為了得到物質(zhì)利益；是指獲取金錢財(cái)物；二是為了滿足精神需求。是指滿足個(gè)人心理欲望.黑客行為：盜竊資料；攻擊網(wǎng)站；進(jìn)行惡作劇；告知漏洞；獲取目標(biāo)主機(jī)

8、系統(tǒng)的非法訪問權(quán)等。從攻擊方式上可以將黑客攻擊大致分為主動(dòng)攻擊和被動(dòng)攻擊兩大類。常見的黑客攻擊方法，主要包括以下6類：網(wǎng)絡(luò)監(jiān)聽。計(jì)算機(jī)病毒及密碼攻擊。網(wǎng)絡(luò)欺騙攻擊。拒絕服務(wù)攻擊。應(yīng)用層攻擊。緩沖區(qū)溢出。 案例5-45.2.2 黑客攻擊的過程 黑客攻擊過程不盡一致,但其整個(gè)攻擊過程有一定規(guī)律,一般可分為“攻擊五部曲”。隱藏IP踩點(diǎn)掃描黑客利用程序的漏洞進(jìn)入系統(tǒng)后安裝后門程序，以便日后可以不被察覺地再次進(jìn)入系統(tǒng)。就是隱藏黑客的位置，以免被發(fā)現(xiàn)。通過各種途徑對所要攻擊目標(biāo)進(jìn)行多方了解,確保信息準(zhǔn)確,確定攻擊時(shí)間和地點(diǎn).篡權(quán)攻擊種植后門隱身退出即獲得管理/訪問權(quán)限,進(jìn)行攻擊。 為避免被發(fā)現(xiàn),在入侵完后

9、及時(shí)清除登錄日志和其他相關(guān)日志,隱身退出.5.2 黑客攻擊的目的及過程 黑客對企業(yè)局域網(wǎng)實(shí)施網(wǎng)絡(luò)攻擊的具體過程，如圖5-4所示。 討論思考：（1）黑客攻擊的目的與種類有哪些？（2）黑客確定攻擊目標(biāo)后,將采用哪些攻擊過程？（3）建立說明黑客攻擊的具體步驟？ 用Ping查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的IP 用PortScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT 用WWW hack入侵局域網(wǎng)絡(luò)E-mail 用Legion掃描局域網(wǎng) 植入特洛伊木馬 破解Internet賬號與口令（或密碼） 用IP Network Browser 掃描企業(yè)內(nèi)部局域網(wǎng)IP圖 5-4 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意框圖5.2 黑客攻擊的目

10、的及過程案例5-55.3.1 端口掃描攻防 端口掃描是管理員發(fā)現(xiàn)系統(tǒng)的安全漏洞，加強(qiáng)系統(tǒng)的安全管理，提高系統(tǒng)安全性能的有效方法。端口掃描成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳手段。1.端口掃描及掃描器 （1）端口掃描.是使用端口掃描工 具檢查目標(biāo)主機(jī)在哪些端口可建 立TCP連接,若可連接，則表明 主機(jī)在那個(gè)端口被監(jiān)聽。 （2）掃描器。掃描器也稱掃描工具或掃描軟件,是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。5.3 常用黑客攻防技術(shù)5.3.1 端口掃描攻防2. 端口掃描方式及工具 端口掃描的方式有手工命令行方式和掃描器掃描方式。 手工掃描,需要熟悉各種命令,對命令執(zhí)行后的輸出進(jìn)行分析.如命令:Pi

11、ng,Tracert,rusers和finger(后兩個(gè)是Unix命令). 掃描器掃描，許多掃描軟件都有分析數(shù)據(jù)的功能。如，SuperScan、Angry IP Scanner、X-Scan、X-Scan、SAINT (Security Administrators Integrated Network Tool,安全管理員集成網(wǎng)絡(luò)工具)、 Nmap、TCP connect 、TCP SYN 等.5.3 常用黑客攻防技術(shù) 圖5-5 用X-scan的掃描結(jié)果圖 5-6 用Nmap掃描主機(jī)開放的端口5.3.1 端口掃描攻防3端口掃描攻擊類型 端口掃描攻擊采用探測技術(shù)，可將其用于尋找可以成功攻擊的應(yīng)

12、用及服務(wù)。常用端口掃描攻擊類型包括： 秘密掃描。SOCKS端口探測。 跳躍掃描。UDP 掃描。4.防范端口掃描的對策 端口掃描的防范又稱系統(tǒng)“加固”.網(wǎng)絡(luò)的關(guān)鍵處使用防火墻對來源不明的有害數(shù)據(jù)進(jìn)行過濾,可有效減輕端口掃描攻擊,防范端口掃描的主要方法有兩種： (1)關(guān)閉閑置及有潛在危險(xiǎn)端口 方式一：定向關(guān)閉指定服務(wù)的端口。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)為系統(tǒng)分配默認(rèn)的端口，應(yīng)將閑置服務(wù)-端口關(guān)閉。5.3 常用黑客攻防技術(shù) 操作方法與步驟：1）打開“控制面板”窗口。2）打開“服務(wù)”窗口。 “控制面板”“管理工具”“服務(wù)”,選擇DNS。3）關(guān)閉DNS服務(wù) 在“DNS Client 的屬性”窗口.啟動(dòng)類型項(xiàng):選

13、擇“自動(dòng)”服務(wù)狀態(tài)項(xiàng)：選-。在服務(wù)選項(xiàng)中選擇關(guān)閉掉一些沒使用的服務(wù)，如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等，對應(yīng)的端口也停用。5.3 常用黑客攻防技術(shù)方式二：只開放允許端口.可用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn),設(shè)置時(shí)只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口. (2) 屏蔽出現(xiàn)掃描癥狀的端口 檢查各端口，有端口掃描癥狀時(shí)，立即屏蔽該端口。關(guān)閉DNS端口服務(wù)5.3.2 網(wǎng)絡(luò)監(jiān)聽及攻防 2. 嗅探器的功能與部署5.3 常用的黑客攻防技術(shù) 嗅探器（Sniffer）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地主機(jī)及其他數(shù)據(jù)報(bào)文的一種工具。起初也是一種網(wǎng)絡(luò)管理員診斷網(wǎng)絡(luò)系統(tǒng)的有效工具，也常被黑客利用竊取

14、機(jī)密信息。 嗅探器的主要功能包括4個(gè)方面：一是可以解碼網(wǎng)絡(luò)上傳輸?shù)膱?bào)文；二是為網(wǎng)絡(luò)管理員診斷網(wǎng)絡(luò)系統(tǒng)并提供相關(guān)的幫助信息；三是為網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)速度、連通及傳輸?shù)刃阅芴峁﹨⒖?，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸；四是發(fā)現(xiàn)網(wǎng)絡(luò)漏洞及入侵跡象，為入侵檢測提供重要參考。 常用的嗅探軟件：Sniffer Pro、Wireshark、IRIS等。 捕獲后的數(shù)據(jù)包和明文傳送的數(shù)據(jù)包，分別如圖5-9和5-10所示。 圖5-9 捕獲后的數(shù)據(jù)包 圖5-10明文傳送的數(shù)據(jù)包5.3.2 網(wǎng)絡(luò)監(jiān)聽及攻防 3檢測防范網(wǎng)絡(luò)監(jiān)聽5.3 常用的黑客攻防技術(shù) 針對運(yùn)行監(jiān)聽程序的主機(jī)可以采用多種方法防范。一是用正確的IP地址和錯(cuò)誤的物理地址ping

15、，運(yùn)行監(jiān)聽程序的主機(jī)具有相應(yīng)的響應(yīng)信息提示。二是運(yùn)用虛擬局域網(wǎng)VLAN技術(shù)，可以將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防范絕大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵攻擊。三是以交換式集線器代替共享式集線器，這種方法使單播包只限于在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽，當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包(BroadcastPacket)和多播包(MulticastPacket)。四是對于網(wǎng)絡(luò)信息安全防范的最好的方法是使用加密技術(shù)。五是利用防火墻技術(shù)、六是利用SATAN等系統(tǒng)漏洞檢測工具，并定期檢查EventLog中的SECLog記錄，查看可疑情況，防止網(wǎng)絡(luò)監(jiān)聽與端口掃描；七是利用網(wǎng)絡(luò)安全審計(jì)或防御新技術(shù)等。

16、5.3.2 網(wǎng)絡(luò)監(jiān)聽及攻防 1. 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù), 排除網(wǎng)絡(luò)故障的管理工具。5.3 常用的黑客攻防技術(shù) 美國全球監(jiān)聽引發(fā)網(wǎng)絡(luò)空間深刻變化。2013年10月，隨著美國國安局監(jiān)聽門事件不斷升級，眾議院情報(bào)委員會(huì)舉行公開聽證會(huì)。最近，西方媒體披露，美國國家安全局在全球約80個(gè)地點(diǎn)的駐外使館都設(shè)有監(jiān)聽站，35國首腦的電話被監(jiān)聽。其中包括德國總理默克爾。其他國家也紛紛譴責(zé)美國的監(jiān)聽行動(dòng)。墨西哥內(nèi)政部長稱將自行調(diào)查美方的間諜行為。法國總統(tǒng)奧朗德稱，“我們不能接受以朋友關(guān)系干涉法國公民的私人生活”。 案例5-65.3.3 密碼破解攻防方法1. 密碼破解攻擊的方法 （1）通過網(wǎng)

17、絡(luò)監(jiān)聽非法竊取密碼。 （2）利用釣魚網(wǎng)站欺騙 （3）強(qiáng)行破解用戶密碼 （4）密碼分析攻擊 （5) 放置木馬程序 5.3 常用的黑客攻防技術(shù)2. 密碼破解防范對策 計(jì)算機(jī)用戶必須注意的要點(diǎn)“5不要”： 一定不要將密碼寫下來，以免泄露或遺失； 一定不要將密碼保存在電腦或磁盤文件中； 切記不要選取容易猜測到的信息作為密碼； 一定不要讓別人知道密碼，以免增加不必要的損失或麻煩； 切記不要在多個(gè)不同的網(wǎng)銀等系統(tǒng)中使用同一密碼。 誤入購買機(jī)票釣魚網(wǎng)站，損失近百萬。2013年10月上海市的林先生通過瀏覽網(wǎng)絡(luò)查到一個(gè)可以“低價(jià)購買機(jī)票的網(wǎng)站”，不僅被欺騙打開了釣魚網(wǎng)站，還不慎通過點(diǎn)擊“客服咨詢”打開不明鏈接激

18、活木馬程序，致使電腦被黑客遠(yuǎn)程控制，眼看著個(gè)人賬戶內(nèi)的96萬元被洗劫一空。 案例5-75.3.4 木馬攻防對策1木馬的特點(diǎn)和組成 特洛伊木馬（Trojan horse）簡稱“木馬”。其名稱源于希臘神話木馬屠城記。現(xiàn)指一些具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊等遠(yuǎn)程控制特殊功能的后門程序。 木馬特點(diǎn)：通過偽裝、引誘用戶將其安裝在PC或服務(wù)器上,并具有進(jìn)行遠(yuǎn)程控制和破壞功能特點(diǎn)。一般木馬的執(zhí)行文件較小，若將其捆綁到其他文件上很難發(fā)現(xiàn)。木馬可以利用新病毒或漏洞借助工具一起使用，時(shí)?？梢远氵^多種殺毒軟件，盡管現(xiàn)在很多新版的殺毒軟件，可以查殺木馬，仍需要注意世上根本不存在絕對的安全. 木馬系統(tǒng)組成

19、：一是服務(wù)器程序，二是控制器程序。木馬種類大體可分為：破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬等。有些木馬具有多種功能，如灰鴿子、冰河木馬等。5.3 常用的黑客攻防技術(shù)5.3.4 特洛伊木馬攻防2木馬攻擊途徑及過程 木馬攻擊途徑：在客戶端和服務(wù)端通信協(xié)議的選擇上，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但是，也有一些木馬由于特殊的原因，使用UDP協(xié)議進(jìn)行通訊。 木馬攻擊的基本過程分為6個(gè)步驟： 5.3 常用的黑客攻防技術(shù)配置木馬傳播木馬運(yùn)行木馬泄露信息建立連接遠(yuǎn)程控制5.3.4 特洛伊木馬攻防2. 木馬攻擊途徑及過程 灰鴿子（Hack. Huigezi）木馬產(chǎn)業(yè)鏈活

20、動(dòng)猖獗?；银澴邮且粋€(gè)集多種控制功能于一體的木馬病毒，可以監(jiān)控中毒用戶的一舉一動(dòng)，并可被輕易竊取其賬號、密碼、照片、重要文件等。甚至還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕，還可監(jiān)控被控電腦上的攝像頭、自動(dòng)開機(jī)（不開顯示器）并利用攝像頭進(jìn)行錄像。到2006年底，“灰鴿子”木馬就已達(dá)6萬多個(gè)變種?？蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學(xué)者都能充當(dāng)黑客。灰鴿子木馬產(chǎn)業(yè)鏈，如圖5-11所示。5.3 常用的黑客攻防技術(shù)圖5-11 灰鴿子木馬產(chǎn)業(yè)鏈5.3.4 特洛伊木馬攻防3. 木馬的防范對策 防范木馬的對策關(guān)鍵是提高防范意識，采取切實(shí)可行的有效措施。一是在打開或下載文件之前，一定要確認(rèn)文件的來源是否安全可靠；二是閱讀rea

21、dme.txt，并注意readme.exe；三是使用殺毒軟件；四是發(fā)現(xiàn)有不正?，F(xiàn)象出現(xiàn)立即掛斷；五是監(jiān)測系統(tǒng)文件和注冊表的變化；六是備份文件和注冊表；七要需要特別注意，不要輕易運(yùn)行來歷不明軟件或從網(wǎng)上下載的軟件，即使通過了一般反病毒軟件的檢查也不要輕易運(yùn)行；八是不要輕易相信熟人發(fā)來的E-Mail不會(huì)有黑客程序；九是不要在聊天室內(nèi)公開自身的E-Mail 地址，對來歷不明的E-Mail 應(yīng)立即清除；十是不要隨便下載軟件，特別是不可靠的FTP 站點(diǎn)；十一是不要將重要密碼和資料存放在上網(wǎng)的計(jì)算機(jī)中，以免被破壞或竊取?？梢岳?60安全衛(wèi)士等防范查殺木馬。 5.3 常用的黑客攻防技術(shù)5.3.5 拒絕服務(wù)

22、攻防1. 拒絕服務(wù)攻擊 拒絕服務(wù)是指通過各種手段向某個(gè)Web網(wǎng)站發(fā)送巨量的垃圾郵件或服務(wù)請求等,干擾該網(wǎng)站系統(tǒng)的正常運(yùn)行，導(dǎo)致無法完成應(yīng)有網(wǎng)絡(luò)服務(wù). 拒絕服務(wù)按入侵方式可分：資源消耗型、配置修改型、物理破壞型以及服務(wù)利用型。 拒絕服務(wù)攻擊（Denial of Service，簡稱DoS）,是指黑客對攻擊目標(biāo)網(wǎng)站發(fā)送大量的垃圾郵件或服務(wù)請求搶占過多的服務(wù)資源，使系統(tǒng)無法提供正常服務(wù)的攻擊方式。 5.3 常用的黑客攻防技術(shù) 美國核武庫系統(tǒng)每天遭受到數(shù)以百萬計(jì)的攻擊。據(jù)“美國新聞與世界報(bào)道”2012年3月援引美國國家核軍工管理局(NNSA)工作人員的話稱，該局管理核武庫的計(jì)算機(jī)系統(tǒng)每天遭受到數(shù)以百萬

23、計(jì)的電腦攻擊，核實(shí)驗(yàn)室和能源部也不斷遭受攻擊。 案例5-10 分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS),指借助于客戶/服務(wù)器技術(shù)，將網(wǎng)絡(luò)系統(tǒng)中的多個(gè)計(jì)算機(jī)進(jìn)行聯(lián)合作為攻擊平臺，對一個(gè)或幾個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊原理如圖5-13所示。 。 DDoS攻擊的類型.帶寬型攻擊和應(yīng)用型攻擊。 DDoS攻擊的方式.通過使網(wǎng)絡(luò)過載干擾甚至阻斷正常的網(wǎng)絡(luò)通訊；通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷；阻斷某一用戶訪問服務(wù)器；阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊.2. 常見的拒絕服務(wù)攻擊 1）Flooding攻擊。 2）SYN f

24、lood攻擊。 3）LAND attack攻擊。 4）ICMP floods攻擊。 5）Application level floods攻擊。5.3 常用的黑客攻防技術(shù)圖5-14 SYN flood攻擊示意圖圖5-13 DDoS的攻擊原理 5.3.6 拒絕服務(wù)攻防3. 拒絕服務(wù)攻擊檢測與防范 主要檢測方法2種：一是異常檢測分析，二是使用DDoS檢測工具 主要防范策略和方法：定期掃描及時(shí)發(fā)現(xiàn)并處理漏洞.要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,及時(shí)安裝系統(tǒng)補(bǔ)丁程序,對新出現(xiàn)的漏洞及時(shí)處理. 利用網(wǎng)絡(luò)安全設(shè)備(如防火墻、防御系統(tǒng))等加固網(wǎng)絡(luò)系統(tǒng)的安全性,在網(wǎng)絡(luò)骨干節(jié)點(diǎn)配置防火墻以抵御DD

25、oS和其他一些攻擊。在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁用不必要的網(wǎng)絡(luò)服務(wù)或端口； 與網(wǎng)絡(luò)服務(wù)提供商合作協(xié)調(diào)工作，幫助用戶實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制；當(dāng)發(fā)現(xiàn)主機(jī)正在遭受DDoS時(shí)，應(yīng)當(dāng)啟動(dòng)應(yīng)對策略，盡快追蹤審計(jì)攻擊包，并及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響系統(tǒng)，確定涉及的有關(guān)節(jié)點(diǎn)，限制已知攻擊節(jié)點(diǎn)的流量；對于潛在的DDoS隱患應(yīng)當(dāng)及時(shí)清除，以免后患。5.3 常用的黑客攻防技術(shù)5.3.6 緩沖區(qū)溢出攻防方法1. 緩沖區(qū)溢出 緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)時(shí)，超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。 緩沖區(qū)溢出的原理.是由于字符串處理函數(shù)(gets,st

26、rcpy等)沒有對數(shù)組的越界監(jiān)視和限制,結(jié)果覆蓋了老堆棧數(shù)據(jù).2. 緩沖區(qū)溢出攻擊 指通過向緩沖區(qū)寫入超長度內(nèi)容造成緩沖區(qū)溢出,破壞程序的堆棧.使程序轉(zhuǎn)而執(zhí)行其他指令/使黑客取得程序控制權(quán). 3緩沖區(qū)溢出攻擊的防范方法 1） 編寫程序中應(yīng)時(shí)刻注意的問題。 2） 改進(jìn)編譯器。 3） 利用人工智能的方法檢查輸入字段。 4） 程序指針完整性檢查。 5.3 常用的黑客攻防技術(shù)5.3.7 其他攻防技術(shù)1. WWW的欺騙技術(shù) WWW的欺騙是指黑客篡改訪問站點(diǎn)頁面或?qū)⒂脩粢獮g覽的網(wǎng)頁URL改寫為指向黑客的服務(wù)器。 “網(wǎng)絡(luò)釣魚”（Phishing）是指利用欺騙性很強(qiáng)、偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng),目的在于釣

27、取用戶的賬戶資料,假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益.可被用作網(wǎng)絡(luò)釣魚的攻擊技術(shù)有：URL編碼結(jié)合釣魚技術(shù)，Web漏洞結(jié)合釣魚技術(shù),偽造Email地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。 防范攻擊可以分為兩個(gè)方面：其一對釣魚攻擊利用的資源進(jìn)行限制。如Web漏洞是Web服務(wù)提供商可直接修補(bǔ)；郵件服務(wù)商可使用域名反向解析郵件發(fā)送服務(wù)，提醒用戶是否收到匿名郵件;其二及時(shí)修補(bǔ)漏洞.如瀏覽器漏洞,須打上補(bǔ)丁.5.3 常用的黑客攻防技術(shù)5.3.7 其他攻防技術(shù)2. 電子郵件攻擊 電子郵件欺騙是攻擊方式之一，攻擊者佯稱自己為系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令，或在貌似正常的附件中加載病

28、毒或其他木馬程序,這類欺騙只要用戶提高警惕,一般危害性不是太大。 防范電子郵件攻擊的方法： 1) 解除電子郵件炸彈。 2) 拒收某用戶信件方法。3通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn) 4利用缺省帳號進(jìn)行攻擊 5.3 常用的黑客攻防技術(shù)討論思考：（1）常用的黑客攻擊方法具體有哪些？（2）針對黑客攻擊常用的防范策略是什么？5.4.1 防范攻擊的策略 在主觀上重視，客觀上積極采取措施。制定規(guī)章制度和管理制度，普及網(wǎng)絡(luò)安全教育，使用戶需要掌握網(wǎng)絡(luò)安全知識和有關(guān)的安全策略。在管理上應(yīng)當(dāng)明確安全對象，建立強(qiáng)有力的安全保障體系，按照安全等級保護(hù)條例對網(wǎng)絡(luò)實(shí)施保護(hù)與監(jiān)督。認(rèn)真制定有針對性的防攻措施，采用科學(xué)的方法和行之

29、有效的技術(shù)手段，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，使每一層都成為一道關(guān)卡,從而讓攻擊者無隙可鉆、無計(jì)可使.在技術(shù)上要注重研發(fā)新方法，同時(shí)還必須做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份（如主機(jī)系統(tǒng)日志）、關(guān)閉不用的主機(jī)服務(wù)端口、終止可疑進(jìn)程和避免使用危險(xiǎn)進(jìn)程、查詢防火墻日志詳細(xì)記錄、修改防火墻安全策略等。 5.4 防范攻擊的策略和措施5.4.2 網(wǎng)絡(luò)攻擊的防范措施提高安全防范意識，注重安全防范管理和措施。應(yīng)當(dāng)及時(shí)下載、更新、安裝系統(tǒng)漏洞補(bǔ)丁程序。盡量避免從Internet下載無法確認(rèn)安全性的軟件、歌曲、游戲等。不要隨意打開來歷不明的電子郵件及文件、運(yùn)行不熟悉的人給用戶的程序或鏈接。不隨便運(yùn)行黑客程序,

30、不少這類程序運(yùn)行時(shí)會(huì)發(fā)出用戶的個(gè)人信息.在支持HTML的BBS上,如發(fā)現(xiàn)提交警告,先看源代碼,預(yù)防騙取密碼。設(shè)置安全密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼經(jīng)常更換。使用防病毒、防黑客等防火墻軟件，以阻檔外部網(wǎng)絡(luò)的侵入。 隱藏自已的IP地址?？刹扇〉姆椒ㄓ校菏褂么矸?wù)器進(jìn)行中轉(zhuǎn)，用戶上網(wǎng)聊天、BBS等不會(huì)留下自身的IP；使用工具軟件，如Norton Intemet Security來隱藏主機(jī)地址,避免在BBS和聊天室暴露個(gè)人信息 切實(shí)做好端口防范.在安裝端口監(jiān)視程序同時(shí),將不用端口關(guān)閉。 加強(qiáng)IE瀏覽器對網(wǎng)頁的安全防護(hù)。 上網(wǎng)前備份注冊表,許多黑客攻擊會(huì)對系統(tǒng)注冊表進(jìn)行修改. 加

31、強(qiáng)管理。將防病毒、防黑客形成慣例，當(dāng)成日常例性工作. 5.4 防范攻擊的策略和措施5.4 防范攻擊的策略和措施通過對IE屬性設(shè)置提高IE訪問網(wǎng)頁的安全性方法： 提高IE安全級別。操作方法：打開IE“工具”“Internet選項(xiàng)”“安全”“Internet區(qū)域”，將安全級別設(shè)置為“高”。 禁止ActiveX控件和JavaApplets的運(yùn)行。操作方法：打開IE “工具”“Intemet選項(xiàng)” “安全”“自定義級別”，在“安全設(shè)置”對話框中找到ActiveX控件相關(guān)的設(shè)置，將其設(shè)為“禁用”或“提示”即可。 禁止Cookie。由于許多網(wǎng)站利用Cookie記錄網(wǎng)上客戶的瀏覽行為及電子郵件地址等信息,為

32、確保個(gè)人隱私信息的安全,可將其禁用.操作方法：在任一網(wǎng)站上選擇 “工具” “Internet選項(xiàng)” “安全” “自定義級別”，在“安全設(shè)置”對話框中找到Cookie相關(guān)的設(shè)置，將其設(shè)為“禁用”或“提示”即可。 將黑客網(wǎng)站列入黑名單,將其拒之門外.操作方法：在任一網(wǎng)站上選擇“工具”“Internet選項(xiàng)” “內(nèi)容”“分級審查”“啟用”，在“分級審查”對話框的“許可站點(diǎn)”下輸入黑客網(wǎng)站地址，并設(shè)為“從不”即可。及時(shí)安裝補(bǔ)丁程序,以強(qiáng)壯IE。應(yīng)及時(shí)利用微軟網(wǎng)站提供的補(bǔ)丁程序來消除這些漏洞，提高IE自身的防侵入能力。討論思考： 1. 為什么要防范黑客攻擊？如何防范黑客攻擊？2. 簡述網(wǎng)絡(luò)安全防范攻擊的

33、基本措施有哪些？3. 說出幾種通過對IE屬性的設(shè)置來提高IE訪問網(wǎng)頁的安全性具體措施？5.5.1 入侵檢測系統(tǒng)的概念1. 入侵檢測的概念 “入侵”是一個(gè)廣義上的概念，指任何威脅和破壞系統(tǒng)資源的行為。實(shí)施入侵行為的“人”稱為入侵者或攻擊者。攻擊是入侵者進(jìn)行入侵所采取的技術(shù)手段和方法。 入侵的整個(gè)過程(包括入侵準(zhǔn)備、進(jìn)攻、侵入)都伴隨著攻擊有時(shí)也把入侵者稱為攻擊者。 入侵檢測（Intrusion Detection，ID）是指通過對行為、安全日志、審計(jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或企圖的過程。 5.5 入侵檢測與防御系統(tǒng)概述5.5.1 入侵檢測系統(tǒng)的概念2.入侵檢測系統(tǒng)

34、概述（1）入侵檢測系統(tǒng)的概念 入侵檢測系統(tǒng)(Intrusion Detection System,IDS),是可對入侵自動(dòng)進(jìn)行檢測、監(jiān)控和分析的軟件與硬件的組合系統(tǒng),是一種自動(dòng)監(jiān)測信息系統(tǒng)內(nèi)、外入侵的安全系統(tǒng)。IDS通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。 （2）入侵檢測系統(tǒng)產(chǎn)生與發(fā)展 （3）入侵檢測系統(tǒng)的架構(gòu) 5.5 入侵檢測與防御系統(tǒng)概述圖5-15 入侵檢測系統(tǒng)通用架構(gòu) 5.5.2 入侵檢測系統(tǒng)的功能及分類1. IDS的構(gòu)成及分析方法 IDS主要由事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫、響應(yīng)

35、單元等構(gòu)成.常用的入侵檢測系統(tǒng)的分析方法主要有三種：模式匹配。統(tǒng)計(jì)分析。完整性分析。 2. IDS的主要功能 1）對已知攻擊特征的識別。 2）對異常行為的分析、統(tǒng)計(jì)與響應(yīng)。 3) 對網(wǎng)絡(luò)流量的跟蹤與分析。 4）實(shí)現(xiàn)特征庫的在線升級。 5）對數(shù)據(jù)文件的完整性檢驗(yàn)。 6）系統(tǒng)漏洞的預(yù)報(bào)警功能。 7）自定義特征的響應(yīng)。 5.5 入侵檢測與防御系統(tǒng)概述5.5.4 入侵及防御系統(tǒng)概述3.IDS的主要分類 按照檢測對象(數(shù)據(jù)來源)分:基于主機(jī)、基于網(wǎng)絡(luò)和分布式(混合型) (1) 基于主機(jī)的入侵檢測系統(tǒng)（HIDS） HIDS是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的

36、主機(jī)收集信息進(jìn)行分析。HIDS一般是保護(hù)所在的系統(tǒng)，經(jīng)常運(yùn)行在被監(jiān)測的系統(tǒng)上，監(jiān)測系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。 優(yōu)點(diǎn)：對分析“可能的攻擊行為”有用。與NIDS相比通常能夠提供更詳盡的相關(guān)信息,誤報(bào)率低,系統(tǒng)的復(fù)雜性少。 弱點(diǎn)：HIDS安裝在需要保護(hù)的設(shè)備上,會(huì)降低應(yīng)用系統(tǒng)的效率,也會(huì)帶來一些額外的安全問題.另一問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力,若服務(wù)器沒有配置日志功能,則必須重新配置,這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。 5.5 入侵檢測與防御系統(tǒng)概述 (2) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS） NIDS又稱嗅探器,通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù),分析可疑現(xiàn)象(

37、將NIDS放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流).該類系統(tǒng)一般被動(dòng)地在網(wǎng)絡(luò)上監(jiān)聽整個(gè)網(wǎng)絡(luò)上的信息流，通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)行分析，檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵，如圖4-8示。 5.5 入侵檢測與防御系統(tǒng)概述圖5-16 基于網(wǎng)絡(luò)的入侵檢測過程 （3）分布式入侵檢測系統(tǒng) 分布式入侵檢測系統(tǒng)DIDS是將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成一起,即混合型入侵檢測系統(tǒng).系統(tǒng)一般 由多個(gè)部件組成，分布在網(wǎng)絡(luò)的各個(gè)部分，完成相應(yīng)的功能，分別進(jìn)行數(shù)據(jù)采集、分析等。通過中心的控制部件進(jìn)行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報(bào)警等。在這種結(jié)構(gòu)下，不僅可以檢測到針對單獨(dú)主機(jī)的入侵，同時(shí)也可

38、以檢測到針對整個(gè)網(wǎng)絡(luò)上的主機(jī)入侵。其他分類方法： 1）按照體系結(jié)構(gòu)分為：集中式和分布式。 2）按照工作方式分為：離線檢測和在線檢測。 3）按照所用技術(shù)分為：特征檢測和異常檢測。 5.5 入侵檢測與防御系統(tǒng)概述5.5.3 常見的入侵檢測方法1. 特征檢測的概念 特征檢測又稱誤用檢測（Misuse detection）是指將正常行為特征表示的模式與黑客的異常行為特征進(jìn)行分析、辨識和檢測的過程。IDS可以對黑客已知的異常攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式，無法檢測出新的入侵行為。當(dāng)被審計(jì)檢測的事件與已知的入侵事件模式相匹配時(shí)，系統(tǒng)立即響應(yīng)并進(jìn)行報(bào)警。 2. 特征檢測的類型 入侵檢測

39、系統(tǒng)對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是其核心功能。從技術(shù)上,入侵檢測分為兩類：一種基于標(biāo)志(signature-based),另一種基于異常情況（anomaly-based）。 5.5 入侵檢測與防御系統(tǒng)概述5.5.3 常見的入侵檢測方法3.異常檢測的常用方法 異常檢測（Anomaly detection）是指假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)的特征檢測.根據(jù)這一原理建立主體正?；顒?dòng)的特征庫,將當(dāng)前主體的活動(dòng)狀況與特征庫相比較,當(dāng)違反其統(tǒng)計(jì)模型時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為.異常檢測的難題在于建立特征庫和設(shè)計(jì)統(tǒng)計(jì)模型.從而不將正常的操作作為“入侵”/忽略真正“入侵”行為。常用的

40、5種入侵檢測統(tǒng)計(jì)模型為：操作模型; 方差.多元模型;馬爾柯夫過程模型。時(shí)間序列分析。常用的異常檢測方法包括： 基于貝葉斯推理檢測法?；谔卣鬟x擇檢測法?；谪惾~斯網(wǎng)絡(luò)檢測法?；谀Ｊ筋A(yù)測的檢測法?；诮y(tǒng)計(jì)的異常檢測法。基于機(jī)器學(xué)習(xí)檢測法。數(shù)據(jù)挖掘檢測法。 基于應(yīng)用模式的異常檢測法?；谖谋痉诸惖漠惓z測法。 5.5 入侵檢測與防御系統(tǒng)概述5.5.4 入侵防御系統(tǒng)概述1.入侵防御系統(tǒng)的概念（1）入侵防御系統(tǒng)的概念 入侵防御系統(tǒng) (Intrusion Prevent System，IPS)是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)信息傳輸行為，及時(shí)的中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)信息傳輸行為.如

41、同IDS一樣,專門深入網(wǎng)路數(shù)據(jù)內(nèi)部查找攻擊代碼特征,過濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進(jìn)行記載,以便事后分析。 （2）入侵防御系統(tǒng)IPS的種類按其用途可以劃分為三種類型：基于主機(jī)的入侵防御系統(tǒng)HIPS。基于網(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS 。是IPS與防火墻的集成, 為了提高其使用效率,應(yīng)采用信息流通過的方式。受保護(hù)的信息流應(yīng)代表向網(wǎng)絡(luò)系統(tǒng)或從中發(fā)出的數(shù)據(jù),且要求：一是指定的網(wǎng)絡(luò)領(lǐng)域中，需要高度的安全和保護(hù)，二是該網(wǎng)絡(luò)領(lǐng)域中存在極可能發(fā)生的內(nèi)部爆發(fā)配置地址，三是可以有效地將網(wǎng)絡(luò)劃分成最小的保護(hù)區(qū)域，并能提供最大范圍的有效覆蓋率。 分布式入侵防御系統(tǒng)DIPS。 5.5 入侵檢測與防御系統(tǒng)概述5.5.4

42、 入侵防御系統(tǒng)概述 （3）入侵防御系統(tǒng)IPS的工作原理 IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理，如圖5-17所示。主要利用多個(gè)IPS的過濾器，當(dāng)新的攻擊手段被發(fā)現(xiàn)后，就會(huì)創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。 針對不同攻擊行為,IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，規(guī)則的定義非常廣泛。在對傳輸內(nèi)容分類時(shí)，過濾引擎還要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析,以提高過濾準(zhǔn)確性. 5.5 入侵檢測與防御系統(tǒng)概述圖5- 17 IPS的工作原理（4）IPS應(yīng)用及部署 IPS的關(guān)鍵技術(shù)包括:集成全球

43、和本地主機(jī)訪問控制、IDS、全球和本地安全策略、風(fēng)險(xiǎn)管理軟件和支持全球訪問并用于管理IPS 的控制臺。類似IDS，通常使用更為先進(jìn)的入侵檢測技術(shù)，如試探式掃描、內(nèi)容檢查、狀態(tài)和行為分析，同時(shí)還結(jié)合常規(guī)的侵入檢測技術(shù)如基于簽名的檢測和異常檢測。 H3C SecBlade IPS入侵防御系統(tǒng)。是一款高性能入侵防御模塊,可應(yīng)用于多種路由器,集成入侵防御/檢測、病毒過濾和帶寬管理等功能。通過深達(dá)7層的分析與檢測,實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為,并實(shí)現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù). IPS部署交換機(jī)的應(yīng)用如圖5-18所示,IPS部署路由器的應(yīng)用,

44、如圖5-19所示。 5.5 入侵檢測與防御系統(tǒng)概述 圖5-18 IPS部署交換機(jī)的應(yīng)用 圖5-19 IPS部署路由器的應(yīng)用案例5-125.5.4 入侵防御系統(tǒng)概述3. 防火墻、IDS與IPS的區(qū)別 IDS核心價(jià)值在于通過對全網(wǎng)信息分析,了解信息系統(tǒng)的安全狀況,進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵防御系統(tǒng)的核心價(jià)值在于安全策略的實(shí)施，阻擊黑客行為；入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)。入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界,抵御來自外部的入侵,對內(nèi)部攻擊行為無能為力。 防火墻是實(shí)施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流

45、量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說，在攻擊實(shí)際發(fā)生之前，IDS往往無法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng) (IPS) 則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量

46、,經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中.這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都可在IPS設(shè)備中被清除掉。 5.5 入侵檢測與防御系統(tǒng)概述5.5.5 入侵檢測及防御技術(shù)的發(fā)展趨勢1.入侵檢測及防御技術(shù)發(fā)展趨勢 三個(gè)方向發(fā)展： 1）分布式入侵檢測：第一層含義，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。 2）智能化入侵檢測:使用智能化的方法與手段進(jìn)行入侵檢測. 3）全面的安全防御方案： 2.統(tǒng)一威脅管理 統(tǒng)一威脅管理 (Unifi

47、ed Threat Management,UTM),2004年9月,全球著名市場咨詢顧問機(jī)構(gòu)IDC(國際數(shù)據(jù)公司),首度提出此概念，將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理。 5.5 入侵檢測與防御系統(tǒng)概述5.5.5 入侵檢測及防御技術(shù)的發(fā)展趨勢 （1）UTM重要特點(diǎn) 1）建一個(gè)更高、更強(qiáng)、更可靠的墻,除了傳統(tǒng)的訪問控制之外,防火墻還應(yīng)該對防垃圾郵件、拒絕服務(wù)、黑客攻擊等這樣的一些外部的威脅起到綜合檢測網(wǎng)絡(luò)全協(xié)議層防御； 2）用高檢測技術(shù)降低誤報(bào)； 3）用高可靠、高性能的硬件平臺支撐。 UTM優(yōu)點(diǎn):整合使成本降低、信息安全工作強(qiáng)度降低、技術(shù)復(fù)雜度降低。（2）UTM的技術(shù)架構(gòu) 1）完全

48、性內(nèi)容保護(hù)（Complete Content Protection，CCP）,對OSI模型中描述的所有層次的內(nèi)容進(jìn)行處理； 2）緊湊型模式識別語言（Compact Pattern Recognition Language，CPRL）,是為了快速執(zhí)行完全內(nèi)容檢測而設(shè)計(jì)的。 3）動(dòng)態(tài)威脅防護(hù)系統(tǒng)（Dynamic Threat Prevention System）,是在傳統(tǒng)的模式檢測技術(shù)上結(jié)合未知威脅處理的防御體系.動(dòng)態(tài)威脅防護(hù)系統(tǒng)可以將信息在防病毒、防火墻和入侵檢測等子模塊之間共享使用,以達(dá)到檢測準(zhǔn)確率和有效性的提升。這種技術(shù)是業(yè)界領(lǐng)先的一種處理技術(shù)，也是對傳統(tǒng)安全威脅檢測技術(shù)的一種顛覆。 5.5 入侵檢測與防御系統(tǒng)概述討論