入侵檢測(cè)技術(shù)課件第6章-基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)課件第6章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)課件第6章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)第6章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù):分層協(xié)議模型與TCP/IP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包的捕獲包捕獲機(jī)制BPF模型基于Libpcap庫(kù)的數(shù)據(jù)捕獲技術(shù)檢測(cè)引擎的設(shè)計(jì)網(wǎng)絡(luò)入侵特征實(shí)例分析檢測(cè)實(shí)例分析2基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)第6章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù):2基于TCP/IP協(xié)議分層結(jié)構(gòu)TCP/IP分層協(xié)議OSI分層應(yīng)用層FTPSMTPTelnetDNSSNMP7傳輸層TCPUDP4網(wǎng)絡(luò)層IP,ICMP

(RIP,OSPF)3ARP,RARP鏈路層EthernetTokenBusTokenRingFDDIWLAN213基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)TCP/IP協(xié)議分層結(jié)構(gòu)TCP/IP分層協(xié)議OSI分層應(yīng)用數(shù)據(jù)報(bào)文的分層封裝4基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)數(shù)據(jù)報(bào)文的分層封裝4基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)以太網(wǎng)幀格式5基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)以太網(wǎng)幀格式5基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)ARP/RARP報(bào)文格式6基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)ARP/RARP報(bào)文格式6基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)IP數(shù)據(jù)報(bào)頭格式7基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)IP數(shù)據(jù)報(bào)頭格式7基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)ICMP回應(yīng)請(qǐng)求與應(yīng)答報(bào)文格式8基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)ICMP回應(yīng)請(qǐng)求與應(yīng)答報(bào)文格式8基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)UDP報(bào)文格式9基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)UDP報(bào)文格式9基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)TCP報(bào)文格式10基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)TCP報(bào)文格式10基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程11基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理11基于網(wǎng)絡(luò)的入侵SnifferSniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。Sniffer要捕獲的東西必須是物理信號(hào)能收到的報(bào)文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡(luò)上的設(shè)備都對(duì)總線上傳送的所有數(shù)據(jù)進(jìn)行偵聽，并不僅僅是針對(duì)它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個(gè)網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。12基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)SnifferSniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流，就必須繞開系統(tǒng)正常工作的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫(kù)直接與內(nèi)核驅(qū)動(dòng)交互操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。在Win32平臺(tái)上可以使用Winpcap，通過VxD虛擬設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。13基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己常用的包捕獲機(jī)制包捕獲機(jī)制系統(tǒng)平臺(tái)備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

14基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)常用的包捕獲機(jī)制包捕獲機(jī)制系統(tǒng)平臺(tái)備注BPFBSDBPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動(dòng)器鏈路層驅(qū)動(dòng)器程序1程序3程序2過濾器鏈路層驅(qū)動(dòng)器程序415基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)BPF的模型及其接口緩存緩存過濾器過濾器緩存鏈路層驅(qū)動(dòng)器鏈路Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary，即數(shù)據(jù)包捕獲函數(shù)庫(kù)。它是勞倫斯伯克利國(guó)家實(shí)驗(yàn)室網(wǎng)絡(luò)研究組開發(fā)的UNIX平臺(tái)上的一個(gè)包捕獲函數(shù)庫(kù)，其源代碼可從/libpcap.tar.z獲得。它是一個(gè)獨(dú)立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測(cè)提供了一個(gè)可移植的框架。16基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)Libpcap介紹Libpcap的英文意思是PacketWindows平臺(tái)下的Winpcap庫(kù)

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實(shí)現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨(dú)立于主機(jī)協(xié)議而發(fā)送和接收原始數(shù)據(jù)報(bào)，主要提供了四大功能：(1)捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)；

(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。

17基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)Windows平臺(tái)下的Winpcap庫(kù)Libpcap過去只Winpcap結(jié)構(gòu)示意圖

18基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)Winpcap結(jié)構(gòu)示意圖18基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)檢測(cè)引擎的設(shè)計(jì)網(wǎng)絡(luò)檢測(cè)引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測(cè)引擎首先需要利用數(shù)據(jù)包截獲機(jī)制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術(shù)對(duì)數(shù)據(jù)包進(jìn)行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測(cè)引擎的重要組成部分。檢測(cè)引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等。19基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)檢測(cè)引擎的設(shè)計(jì)19基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較；如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開始比較；直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束。對(duì)于每一個(gè)攻擊特征，重復(fù)1步到4步的操作。直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包的匹配完畢。20基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)模式匹配技術(shù)20基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測(cè)數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個(gè)特定的協(xié)議是該樹結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹來表示。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小。21基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)協(xié)議分析技術(shù)21基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)特征（signature）的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識(shí)別方法：

來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭的來源地址識(shí)別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包：可通過對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來識(shí)別。含有特殊病毒信息的Email：可通過對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來識(shí)別，或者通過搜索特定名字的附近來識(shí)別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個(gè)域的長(zhǎng)度來識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是：在負(fù)載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊：通過跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。

22基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)特征（signature）的基本概念I(lǐng)DS中的特征就是指用典型特征--報(bào)頭值

一般情況下，異常報(bào)頭值的來源有以下幾種：來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭的來源地址識(shí)別。許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義。許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。隨著時(shí)間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。23基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)典型特征--報(bào)頭值一般情況下，異常報(bào)頭值的來源有以下幾種：候選特征

只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。沒有設(shè)置ACK標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個(gè)別時(shí)候如進(jìn)行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTP對(duì)話中，目標(biāo)端口一般是21，而來源端口通常都高于1023。TCP窗口尺寸為1028，IP標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。24基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)候選特征只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意報(bào)頭值關(guān)鍵元素

IP地址，特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號(hào)，特別是眾所周知的協(xié)議端口號(hào)和木馬端口號(hào)。異常信息包片斷。特殊TCP標(biāo)志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。25基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)報(bào)頭值關(guān)鍵元素IP地址，特別保留地址、非路由地址、廣播地址檢測(cè)實(shí)例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024:1221->90:80TCPTTL:128TOS:0x0ID:4643IpLen:20DgmLen:48******S*Seq:0x811D5ED1Ack:0x0Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+…………26基于網(wǎng)絡(luò)的