（教學(xué)課件）入侵檢測(cè)系統(tǒng)

1、,基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù),6.1 分層協(xié)議模型與TCP/IP協(xié)議簇,OSI參考模型: 模型本身很通用,但與OSI模型相關(guān)的協(xié)議已經(jīng)很少用了. TCP/IP協(xié)議模型:模型本身不很有用,但協(xié)議卻廣泛使用 TCP/IP網(wǎng)絡(luò)是采用包交換的網(wǎng)絡(luò),分4層:應(yīng)用層,傳輸層, 網(wǎng)絡(luò)層, 鏈路層,TCP/IP參考模型,在TCP/IP參考模型中，去掉了OSI參考模型中的會(huì)話層和表示層（這兩層的功能被合并到應(yīng)用層實(shí)現(xiàn)）。同時(shí)將OSI參考模型中的數(shù)據(jù)鏈路層和物理層合并為主機(jī)到網(wǎng)絡(luò)層。,TCP/IP各層功能,網(wǎng)絡(luò)接口層：實(shí)際上TCP/IP參考模型沒有真正描述這一層的實(shí)現(xiàn)，只是要求能夠提供給其上層-網(wǎng)絡(luò)互連層一個(gè)訪問接口

2、，以便在其上傳遞IP分組。 網(wǎng)絡(luò)互連層：是整個(gè)TCP/IP協(xié)議棧的核心。它的功能是把分組發(fā)往目標(biāo)網(wǎng)絡(luò)或主機(jī)，網(wǎng)絡(luò)互連層定義了分組格式和協(xié)議，即IP協(xié)議 傳輸層的功能是使源端主機(jī)和目標(biāo)端主機(jī)上的對(duì)等實(shí)體可以進(jìn)行會(huì)話。在傳輸層定義了兩種協(xié)議：傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報(bào)協(xié)議UDP 應(yīng)用層面向不同的網(wǎng)絡(luò)應(yīng)用引入了不同的應(yīng)用層協(xié)議,TCP報(bào)文格式,數(shù)據(jù)報(bào)文的分層封裝 以太網(wǎng)IEEE802.3的幀格式,TCP,IP,ETH,TCP/IP報(bào)文格式,ARP/RARP報(bào)文格式,TCP/IP報(bào)文格式,IP數(shù)據(jù)報(bào)頭格式,TCP/IP報(bào)文格式,ICMP報(bào)文格式,TCP/IP報(bào)文格式,ICMP回送請(qǐng)求/響應(yīng)報(bào)文格式

3、,TCP/IP報(bào)文格式,UDP報(bào)文格式,TCP/IP報(bào)文格式,TCP報(bào)文格式,6.2 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,網(wǎng)絡(luò)數(shù)據(jù)包捕獲機(jī)制是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基礎(chǔ) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的要求: 1. 保證采用的捕獲機(jī)制能捕獲到所有網(wǎng)絡(luò)上的數(shù)據(jù)包 2. 數(shù)據(jù)捕獲機(jī)制的捕獲數(shù)據(jù)包效率直接影響整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的運(yùn)行速度 Sniffer是一種常用的數(shù)據(jù)捕獲方法,局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理,Hub工作原理: 共享Hub是基于總線方式,物理上是廣播網(wǎng)絡(luò);交換式Hub只將數(shù)據(jù)發(fā)送到相應(yīng)端口 網(wǎng)卡工作原理: 先接收數(shù)據(jù)頭的目的MAC地址,如果該接收則產(chǎn)生中斷信號(hào)通知CPU,如果不該接收則丟棄不管 局域網(wǎng)工作過程: 幀通過網(wǎng)絡(luò)驅(qū)

4、動(dòng)程序進(jìn)行封裝, 通過網(wǎng)卡發(fā)送到網(wǎng)線上,到達(dá)目的機(jī)器,再執(zhí)行相反的過程. 接收端機(jī)器的以太網(wǎng)卡捕獲到幀并通知操作系統(tǒng), 然后進(jìn)行存儲(chǔ),每個(gè)網(wǎng)絡(luò)接口都有一個(gè)硬件物理地址和一個(gè)廣播地址 一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)以下兩種數(shù)據(jù)幀: 1. 幀目標(biāo)域含有和本地網(wǎng)絡(luò)接口相匹配的硬件地址 2. 幀的目標(biāo)域含有”廣播地址” 如果某臺(tái)機(jī)器的網(wǎng)絡(luò)接口處于混雜模式,則可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀,成為一個(gè)Sniffer,Sniffer介紹,Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具 Sniffer工作原理: 通知網(wǎng)卡接收其收到的所有包, 在交換HUB下接收別人的數(shù)據(jù)包,可通過欺

5、騙交換HUB的方法完成 大多數(shù)嗅探器至少能分析下面的協(xié)議: 標(biāo)準(zhǔn)以太網(wǎng), TCP/IP, IPX和DECNet,Sniffer的應(yīng)用,正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題. 由于Sniffer可以捕獲網(wǎng)絡(luò)上的報(bào)文數(shù)據(jù),所以也常被黑客作為網(wǎng)絡(luò)監(jiān)聽工具 Sniffer的危害: 1. 嗅探器能夠捕獲口令,可以記錄明文傳送的userid和password 2. 能夠捕獲專用的或者機(jī)密的信息 3. 窺探低級(jí)的協(xié)議信息,用來獲取更高級(jí)別的訪問權(quán)限,共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲,Libpcap和Winpcap 使用交換Hub或交換機(jī)連接的網(wǎng)絡(luò)環(huán)境中采用以下方法: 1. 將數(shù)據(jù)包捕

6、獲程序放在網(wǎng)關(guān)或代理服務(wù)器上,可以捕獲整個(gè)局域網(wǎng)的數(shù)據(jù)包 2. 對(duì)交換機(jī)實(shí)行端口映射,將所有端口的數(shù)據(jù)包全映射到某連接監(jiān)控機(jī)器的端口上 3. 在交換機(jī)和路由器之間連接一個(gè)Hub, 以廣播的方式發(fā)送 4. 實(shí)行ARP欺騙, 即在負(fù)責(zé)數(shù)據(jù)包捕獲的機(jī)器上實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包的轉(zhuǎn)發(fā),但會(huì)降低整個(gè)局域網(wǎng)的效率,6.3 包捕獲機(jī)制與BPF模型,包捕獲機(jī)制的3個(gè)主要部分: 1. 最底層是針對(duì)特定操作系統(tǒng)的包捕獲機(jī)制, 其原理是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理, 對(duì)發(fā)送和接收到的數(shù)據(jù)包做過濾/緩沖等相關(guān)處理, 最后傳遞到應(yīng)用程序 2. 包過濾機(jī)制, 便于用戶程序通過簡(jiǎn)單設(shè)置的一系列過濾條件, 以獲得滿足條件的數(shù)據(jù)

7、包. 包過濾機(jī)制實(shí)際上是布爾值操作函數(shù),如果返回true, 則通過過濾, 反之則丟棄 3. 最高層是針對(duì)用戶程序的接口,BPF模型,組成: 網(wǎng)絡(luò)分接頭和數(shù)據(jù)包過濾器,6.4 基于Libpcap庫的數(shù)據(jù)捕獲技術(shù),Libpcap是unix/linux平臺(tái)下的網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫 Libpcap最主要的優(yōu)點(diǎn)是平臺(tái)無關(guān)性,被廣泛應(yīng)用在各種網(wǎng)絡(luò)監(jiān)控軟件中 Libpcap頭文件: 數(shù)據(jù)流存儲(chǔ)文件頭(pcap_file_header)和數(shù)據(jù)信息包(pcap_pkthdr) Libpcap庫主要函數(shù) Libpcap應(yīng)用框架,Windows平臺(tái)下的Winpcap庫,WinPcap是在Windows操作平臺(tái)上來實(shí)

8、現(xiàn)對(duì)底層包的截取過濾 Winpcap不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)報(bào)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報(bào) Winpcap提供的四大功能: 1. 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)； 2. 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉； 3. 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)； 4.收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息,Winpcap結(jié)構(gòu)示意圖,Winpcap的組成,NPF(NetgroupPacketFilter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊 packet.dll為win3

9、2平臺(tái)提供了一個(gè)公共的接口。不同版本的Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶層模塊。Packet.dll用于解決這些不同 Wpcap.dll是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù),Winpcap的基本使用步驟,枚舉本機(jī)網(wǎng)卡信息: pcap_findalldevs函數(shù),主要功能是枚舉系統(tǒng)所有網(wǎng)絡(luò)設(shè)備的信息 打開相應(yīng)網(wǎng)卡并設(shè)置為混雜模式: pcap_open_live函數(shù), 主要功能是根據(jù)網(wǎng)卡名字打開網(wǎng)卡設(shè)置為混雜模式 截獲數(shù)據(jù)包并保存為文件: 1. pcap_dumper_t* pcap_dump_open函數(shù),功能是建立或者打開存儲(chǔ)數(shù)據(jù)包內(nèi)容的文件 2. int pcap_ne

10、xt_ex函數(shù),功能是從網(wǎng)卡或者數(shù)據(jù)包文件中讀取數(shù)據(jù)內(nèi)容 3. void pcap_dump函數(shù),功能是將數(shù)據(jù)包內(nèi)容依次寫入pcap_dump_open()指定的文件中 捕獲數(shù)據(jù)包的完整代碼,6.5 檢測(cè)引擎的設(shè)計(jì),檢測(cè)引擎的主要分析技術(shù): 1. 模式匹配技術(shù): 使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù),分析速度快,誤報(bào)率小,缺點(diǎn)是計(jì)算量大,只能檢測(cè)特定類型的攻擊,影響檢測(cè)準(zhǔn)確性 2. 協(xié)議分析技術(shù): 辨別數(shù)據(jù)包的協(xié)議類型,以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測(cè)數(shù)據(jù)包,6.6 網(wǎng)絡(luò)入侵特征實(shí)例分析,特征的基本概念: 1. 來自保留IP地址的連接企圖 2. 帶非法TCP標(biāo)志組合的數(shù)據(jù)包 3. 含有特殊病毒

11、信息的E-mail 4. 查詢負(fù)載中的DNS緩沖區(qū)溢出企圖 5. 通過對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DOS攻擊 6. 未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問攻擊,典型特征-報(bào)頭值,經(jīng)典的例子:明顯違背RFC793中規(guī)定的TCP標(biāo)準(zhǔn)、設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包 許多包含報(bào)頭值的漏洞利用都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義 許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù) 并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義，至少會(huì)存在一個(gè)方面與RFC不協(xié)調(diào) 執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中,候選特征,Synscan是一個(gè)流行的用于掃描和探測(cè)系

12、統(tǒng)的工具，執(zhí)行行為很具典型性，它發(fā)出的信息包具有多種可分辨的特性 特征數(shù)據(jù)的候選對(duì)象: 1.只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象 2.沒有設(shè)置ACK標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0 3.來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián),最佳特征,選擇一項(xiàng)數(shù)據(jù)作為特征有很大的局限性,選擇以上4項(xiàng)數(shù)據(jù)聯(lián)合作為特征顯得有些太特殊 創(chuàng)建一個(gè)特征: 1. 只設(shè)置了SYN和FIN標(biāo)志 2. IP鑒定號(hào)碼為39426 3. TCP窗口尺寸為1028,通用特征,Synscan變臉: 1. 只設(shè)置了SYN標(biāo)志，這純屬正常的TCP數(shù)據(jù)包“長(zhǎng)相”。 2. TCP窗口尺寸總是40而不是1028 3. “反身”端口數(shù)值為53而不是2