安全防护与入侵检测.ppt

《安全防护与入侵检测.ppt》由会员分享，可在线阅读，更多相关《安全防护与入侵检测.ppt（146页珍藏版）》请在三一办公上搜索。

1、第5章 安全防护与入侵检测,本章学习要点掌握Sniffer Pro的主要功能与基本组成掌握Sniffer Pro的基本使用方法和数据的捕获,了解如何利用Sniffer Pro进行网络优化与故障排除掌握入侵检测系统的定义与分类以及选择方法了解蜜罐的定义、分类和应用,5.1 Sniffer Pro网络管理与监视,5.1.1 Sniffer Pro的功能它主要具有以下功能。实时监测网络活动。数据包捕捉与发送。网络测试与性能分析。利用专家分析系统进行故障诊断。网络硬件设备测试与管理。,5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录,图5.1 选择网络适配器,图5.2 S

2、niffer Pro的工作界面,2Sniffer Pro的界面,（1）仪表盘（2）主机列表（3）矩阵（4）应用程序响应时间（5）历史抽样,图5.3 Sniffer Pro的仪表盘,图5.4 Sniffer Pro主机列表详细资料,图5.5 Sniffer Pro矩阵地图,图5.6 Sniffer Pro应用程序响应时间表单,图5.7 Sniffer Pro应用程序响应时间ART选项,图5.8 Sniffer Pro历史抽样,（6）协议分布（7）全局统计（8）警告日志（9）捕获面板（10）地址本,图5.10 Sniffer Pro协议分布,图5.11 Sniffer Pro全局统计,图5.12

3、Sniffer Pro警告日志,图5.13 Sniffer Pro捕获面板,图5.14 Sniffer Pro地址本,5.1.3 Sniffer Pro报文的捕获与解析,表5.1捕获栏功能介绍,5.1.4 Sniffer Pro的高级应用,表5.2 Sniffer Pro高级系统层次与OSI对应关系,高级系统可以监控网络的运行现状或症状（Symptoms）和相应对象（Objects），并进行诊断（Diagnoses），如图5.21所示。,图5.21 Sniffer Pro高级系统,诊断（Diagnoses）：显示高级系统中所有层发生事件的情况的诊断结果，如当网络中某一问题或故障多次重复出现时，

4、系统就会提供该信息。,症状（Symptoms）：显示高级系统中所有层事件的症状数量。对象（Objects）：显示高级系统中所有层发生事件的对象数，如路由器、网络工作站、IP地址或MAC地址。,当使用高级系统进行故障诊断时，它的层模型可以提供很好的帮助，实际上它将故障的每一个环节分离出来，解决故障就需要对每一层的功能加以了解。,服务层（Service）：显示汇总使用HTTP和FTP等协议的对象，通过单击对象按钮 深入了解每次连接的详细情况，如图5.22所示。,图5.22 Sniffer Pro高级系统服务层对象,应用程序层（Application）：实际上可以显示TCP/IP的应用层各种服务的工

5、作状况。,会话层（Session）：检查与注册和安全相关的问题，如黑客攻击口令破解。数据链路层（Connection）：会检查与端到端通信的效率和错误率有关的问题，如在滑动窗口冻结、多次重传等现象。,工作站层（Station）：检查网络寻址和路由选择问题，如路由翻滚、路由重定向以及有没有路由更新等问题。DLC层：显示物理层和数据链路层的工作状况，如网络电压和电流状况、CRC错误、是否存在帧过短或过长等问题。,高级系统的层次模型除上述6层以外还有3层，它们的功能如表5.3所示。,表5.3 Sniffer Pro高级系统层次,下面通过利用Sniffer Pro检测Code Red 这一实例来了解捕

6、获的完整功能。Code Red II病毒可以利用IIS的缓冲区溢出漏洞，通过TCP的80端口传播，并且该病毒变种在感染系统后会释放出黑客程序。,它攻击的目标系统为安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000 系统、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统，可以 在WINNTSYSTEM32LOGFILESW3SVC1 目录下的日志文件中查看是否含有以下内容：,GET，/default.ida,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

7、XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00

8、%u531b%u53ff%u0078%u0000%u00=a,如果发现这些内容，那么该系统已经遭受“红色代码”的攻击。可以通过Sniffer Pro检测网络中的数据包是否含有Code Red 的特征码，断定网络上是否有中毒的主机。,步骤1：单击定义过滤器按钮，单击“高级”选项卡，单击“配置文件”（Profile）按钮，在弹出的捕获配置文件对话框中单击“新建”按钮。,步骤2：输入名称，如codered，如图5.23所示。步骤3：单击“OK”按钮，接着单击“完成”（Done）按钮，退回到高级选项（Advanced）视图。,图5.23 Sniffer Pro过滤器配置,步骤4：选中TCP下面的HTT

9、P复选框，如图5.24所示。,图5.24 Sniffer Pro过滤器Advanced配置,步骤5：单击数据模式（Data Pattern）选项卡，单击“增加模式”（Add Pattern）按钮，如图5.25所示。,图5.25 Sniffer Pro过滤器配置数据模式,步骤6：将补偿值（Offset）设为36，格式（Format）设为ASCII，将Code Red的特征码输入域1和域2：“GET/default.ida?XXXXXXXXXXXXXXX”。将名称（Name）设为codered类型，单击“OK”按钮，如图5.26所示。,图5.26 Sniffer Pro过滤器配置数据模式,步骤7：

10、进行监听，如果网络上有被感染的主机，可以在高级系统的服务层、应用层找到详细信息，而且可以通过会话层了解该主机是否对其他设备进行攻击。,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,图5.27 通用入侵检测模型,5.2.2 入侵检测系统的构成与功能,图5.28 入侵检测系统的组成,入侵检测系统的基本功能有以下几点。检测和分析用户与系统的活动。审计系统配置和漏洞。评估系统关键资源和数据文件的完整性。,识别已知攻击。统计分析异常行为。操作系统的审计、跟踪、管理，并识别违反安全策略的用户活动。,5.2.3 入侵检测系统的分类,1按照检测类型划分（1）异常检测模型（2）特征检测模型,2按照检测

11、对象划分,基于主机的入侵检测产品（HIDS）通常安装在被重点检测的主机之上，主要是对该主机的网络进行实时连接以及对系统审计日志进行智能分析和判断。,基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。,5.2.4 入侵检测系统的部署,图5.29 入侵检测系统一般部署图,5.2.5 入侵检测系统的选型,在此基础上，可以参照表5.5选择适合于自身网络的入侵检测系统。,表5.5入侵检测系统选择标准,续表,入侵防护系统,入侵防护系统（Intrusion Prevention System，IPS）是一种主动的、积极的入侵防范

12、及阻止系统。它部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。,IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是建立在IDS发展的基础上的新生网络安全产品。,5.3 蜜罐系统,5.3.1 蜜罐概述 蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而达到了解对手目的的技术。蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。,它表明蜜罐并无其他的实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，而蜜罐的核心价值在于对这些攻击活动进行监视、检测和分析。DTK（欺骗工具包）和Honeyd 是最为著

13、名的两个蜜罐工具。,蜜罐和没有任何防范措施的计算机的区别在于，虽然两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出，却尽在掌握之中，它收集的入侵数据十分有价值；而后者根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹。,设计蜜罐的初衷是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此要求一台合格的蜜罐拥有发现攻击、产生警告、强大的记录能力、欺骗和协助调查的功能。另外一个功能由管理员去完成，那就是在必要的时候根据蜜罐收集的证据来起诉入侵者。,5.3.2 蜜罐的分类,按照部署，蜜罐可以分为以下两种。产品型：用于保护单位网络，实现防

14、御、检测和帮助对攻击的响应，主要产品有KFSensor、Specter、ManTrap等。,研究型：用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，如Gen 蜜网、Honeyd等。,按照攻击者在蜜罐中活动的交互性级别，蜜罐可以分为以下两种。低交互型：又称伪系统蜜罐。用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。它容易部署、减少风险，但只能捕获少量信息，其主要产品有Specter、KFSensor、Honeyd等。,高交互型：又称实系统蜜罐。它是最真实的蜜罐，运行着真实的系统，并且带有真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往

15、往是最真实的，可以捕获更丰富的信息，但部署复杂、等风险较大，其主要产品有ManTrap、Gen蜜网等。,5.3.3 蜜罐的应用,为了使蜜罐系统更加高效，很多政府组织和技术性公司的人员都在着手开发成型的蜜罐产品。,实训5 Sniffer Pro的抓包与发包,【实训目的】掌握Sniffer Pro的安装与基本界面的使用。利用工具栏进行网络监控。使用Sniffer Pro进行数据的捕获。了解报文发送功能。,【实训设备】集线器或采用端口镜像的交换机、路由器。服务器、计算机两台或多台。网线。,【实训步骤】1Sniffer Pro安装 Sniffer Pro的安装与其他任何Microsoft Window

16、s上的应用程序一样简单，对于计算 机系统的要求极低，采用标准的InstallShield Wizard来指导安装。,双击Setup.exe启动安装，会看到InstallShield Wizard屏幕，如图5.30所示，单击“Next”按钮继续。安装程序会找出安装所需文件，出现欢迎屏幕，如图5.31所示，单击“Next”按钮继续下一步。,图5.30 Sniffer Pro安装向导,图5.31 Sniffer Pro欢迎界面,仔细阅读软件安装协议，如果同意，单击“Yes”按钮继续，然后输入用户信息，如图5.32所示。指定安装位置，如图5.33所示，单击“Next”按钮继续。,图5.32 Sniff

17、er Pro安装协议,图5.33 Sniffer Pro安装路径,安装程序开始复制文件，结束后Sniffer Pro会要求用户注册，包括用户姓名（Name）、单位（Business）、用户类型（Customer Type）和电子邮件（E-mail），如图5.34所示，输入完毕后单击“下一步”按钮继续。,图5.34 Sniffer Pro安装用户注册（一）,接着输入地址（Address）、所在城市（City）、州/省（State）、国家（Country）、邮政编码（Postal Code）和电话号码（Phone）以及传真（Fax），如图5.35所示，输入完 毕后单击“下一步”按钮继续。,图5.3

18、5 Sniffer Pro安装用户注册（二）,输入序列号，如图5.36所示，然后单击“下一步”按钮继续。,图5.36 Sniffer Pro安装填入序列号,接着需要通过Internet与NAI联系进行注册，有3种方式：选择与Internet直连，直接进行注册；通过代理与Internet连接，此时需要设置代理参数；没有与Internet连接，需要通过传真注册。一般情况可选中第1个单选项，如图5.37所示。,图5.37 Sniffer Pro安装联网注册,软件一旦与NAI服务器连接上，就会注册，并提供一个客户号，单击“下一步”按钮就会出现注册成功的信息，如图5.38所示。,图5.38 Sniffe

19、r Pro安装完成,单击“Finish”按钮完成。安装软件会通知如果运行Sniffer Pro必须有微软公司的IE5或更高版本，并且安装微软公司的Java虚拟机。,2工具栏的使用 具体操作参见5.1节内容。3捕获栏的使用 下面介绍如何使用Sniffer Pro捕获ICMP流量。,单击定义过滤器按钮，在出现的对话框中单击“配置文件”（Profiles）按钮，新建（New）一个配置文件，取名为ICMP，如图5.39所示。,图5.39 Sniffer Pro过滤器定义,单击“完成”（Done）按钮后，在屏幕右侧选择ICMP，然后单击高级（Advanced）标签，进入高级选项卡，因为只需要监听ICMP

20、报文，所以选中IP下的ICMP，如图5.40所示。,图5.40 Sniffer Pro过滤器协议定义,单击“确定”按钮，完成定义过滤器。选择ICMP过滤器，进行监听，单击“开始”按钮，如图5.41所示。,图5.41 Sniffer Pro捕获高级系统,在本地主机（IP：）利用ping命令测试与相邻主机（IP：）的连通性。当捕获到ICMP报文时，单击停止并显示按钮，并单击视图下方的解码（Decode）选项，如图5.42所示。,图5.42 Sniffer Pro解码,可以发现监听到的ICMP Echo Request回送请求，源地址（Source Address）：，目的地址（Destinatio

21、n Address）：。,4报文的发送,在解码卷标的“总结”选项中选中捕获的ICMP报文，选中“HEX”部分，单击鼠标右键，在弹出的快捷菜单中选择“编辑”（Edit），修改源地址（Source Address）为，如图5.43所示。,图5.43 Sniffer Pro十六进制代码编辑,单击“重新插入”（Re-interpret）按 钮，此时在“HEX”部分的源地址（Source Address）发生了变化。然后单击鼠标右 键，在弹出的快捷菜单中选择发送当前报 文（Send Current Frame），如图5.44所示。,图5.44 Sniffer Pro编码发送,发送次数（Times）为10

22、0次，延迟（Delay）为1ms，单击“确定”按钮，如图5.45所示。如果选中连续（Continuously）单选项，这就是一种简单的Smurf攻击。,图5.45 Sniffer Pro当前帧发送,选择工具菜单栏Tools下的报文发送器（Packet Generator），可以及时了解报文发送的实时数据，如图5.46所示。,图5.46 Sniffer Pro报文发送器,可以单击“停止”按钮或“开始”按钮来控制报文的发送。单击“属性”按钮 可以修改报文的内容。,实训6 Session Wall 3的使用,【实训目的】掌握Session Wall 3的安装。掌握Session Wall 3基本界面

23、的使用。利用Session Wall了解网络的行为。利用Session Wall定义服务来监控网络。,【实训设备】交换机、三层网络设备。服务器、计算机两台或多台。网线。,【实训步骤】1安装Computer Associates 的 Session Wall 3 按照提示进行安装。,安装过程中，系统会询问是否要作为一个服务启动这个程序。除非设定该程序在每次启动系统时自动启动，否则选择No。一般选择No，将Session Wall作为一个应用程序来使用。继续安装Session Wall。,当安装完成后，单击“Yes”按钮重新启动计算机。,2Session Wall-3的使用 打开应用程序Sessi

24、on Wall-3。将会看到Logo Session Wall-3的登录对话框，如图5.47所示，单击“OK”按钮。屏幕出现主界面，如图5.48所示。,图5.47 Session Wall登录,图5.48 Session Wall主界面,报警消息（Alter messages）：当某个会话匹配该规则中的条件时就显示警告消息。当规则匹配时，工具栏上的“报警消息”按钮将闪烁。,安全冲突（Detected security violations）：显示安全冲突。入侵检测包括了许多预定义的安全冲突。当入侵检测探测到这些冲突时，工具栏中的“安全冲突”按钮将闪烁。单击该按钮可以显示包括冲突细节的窗口。,暂

25、停检测：暂时停止检测过程。开始检测：启动检测。重新探测：开始重新探测。,单击ViewAlter Messages命令查看一些现有的报警，或者单击报警消息 按钮，如图5.49所示。,图5.49 Session Wall报警设置,通过单击“Clear”按钮清除所有的报警。完成操作以后，退出Alter Messages对话框。,当完成对所有报警（它们可能都是误判断）的清除后，关闭所有的报警对话窗并最小化Session Wall。利用X-Scan扫描一台没有作为IDS的远程系统。,检查Session Wall，它将记录和追踪这个扫描攻击并发出警告。注意此时安全冲突 按钮会发生闪烁，同时在其下面的框中将

26、增加客户端数量。,打开Alter Messages和Detected security violations对话框，分别如图5.50、图5.51所示。通过报警信息会发现这个扫描攻击的过程。,图5.50 Session Wall报警信息,图5.51 Session Wall安全冲突信息,3利用Session Wall分析网络的行为 使用Session Wall生成并记录信息传输，然后观察静态格式/动态格式的信息。,生成额外的网络信息传输，如HTTP和FTP连接或者Telnet连接某台主机。选择界面最左面的Services图标，查看主界面最左面的窗口。,单击HTTP左边的加号（+），并单击代表网络

27、上的一个远程主机的图标，此时可以查看远程用户访问过的页面的源代码，如图5.52所示。,图5.52 Session Wall解码分析,单击Session Wall屏幕底部的Server/bytes部分，用鼠标右键单击Total图标，并在弹出的快捷菜单中选择Reset Statistics。,用鼠标右键单击代表一个具体计算机的 图标，选择ProgressStation Traffic Over Time，此时保证不同系统之间正在进行FTP或HTTP的对话，如图5.53所示。,图5.53 Session Wall站点通信统计（一）,当前屏幕显示了Session Wall监控从一个叫Xunlei的系统

28、发出的信息传输。查看当前对网络上另一个系统的统计。,到屏幕底部再一次用鼠标右键单击Total network traffic图标，在弹出的快捷菜单中选择CurrentTop 5 Stations-Total Traffic，查看网络上通信量最大的5台机器，如图5.54所示，列表中最上面的系统是最忙的系统。,图5.54 Session Wall站点通信统计（二）,4利用Session Wall 3定义服务 在定义服务时，需要决定入侵检测监控或阻塞的服务。单击SettingsDefinitions命令，如图5.55所示。,图5.55 Session Wall主界面参数设定,在Definitions

29、窗口中单击“Service”选项卡，如图5.56所示。单击“Add”按钮，出现服务属性设定对话框，如图5.57所示。,图5.56 Session Wall服务参数设定,图5.57 Session Wall服务属性设定对话框,在Name文本框中键入新名称，在Protocol列表框中选择“TCP”或“UDP”，在Port文本框中输入该服务使用的端口号或者端口号范围，然后单击“Add”按钮。对于不需要的端口，可在选择端口后单击“Remove”按钮。同时在Parser下拉列表框中找到相关的分析器，如图5.58所示。,图5.58 Session Wall服务属性参数设定,定义一个关于Telnet的服务。如果入侵检测已经默认定义了服务，就无法重复定义了。定义好服务后，当网络中存在Telnet连接时，就会被系统监测到，如图5.59所示。,图5.59 Session Wall监控主界面,