《《安全检测技术》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《安全检测技术》PPT课件.ppt(141页珍藏版)》请在三一办公上搜索。
1、第7章 安全检测技术入侵检测技术、信息获取技术,陈德伟西南财经大学信息学院E-mail:chendw_,概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望,1 概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望,Intrusion,Intrusion:Attempting to break into or misuse your system.Intruders may be from outside the network or legitimate users of the netw
2、ork.Intrusion can be a physical,system or remote intrusion.,传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,Intrusion Detection,入侵检测的定义,入侵检测就是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源
3、的机密性、完整性和可用性,入侵检测系统的定义,进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:Intrusion Detection System,入侵检测系统的特点,一个完善的入侵检测系统的特点:经济性时效性安全性可扩展性,网络安全工具的特点,与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标:确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用,入侵检测的起源(2),计算机安全和审计美国国防部在70年代支持“可信信息系统”
4、的研究,最终审计机制纳入可信计算机系统评估准则(TCSEC)C2级以上系统的要求的一部分“褐皮书”理解可信系统中的审计指南,入侵检测的起源(3),1980年4月,James P.Anderson:Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念他提出对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作,入侵检测的起源(4),从1984年到1986年,乔治敦大学的Do
5、rothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统),IDES结构框架,入侵检测的起源(5),1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS,为什么需要IDS,关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很
6、容易入侵教程随处可见各种工具唾手可得,IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击,IDS基本结构,入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说,入侵检测系统包括三个功能部件:(1)信息收集(2)信息分析(3)结果处理,信息收集,入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,尽可能扩大检测范围从一个源来的信息有可能看不出疑点,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此
7、要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息,信息收集的来源,系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为,系统或网络的日志文件,黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,系统目录和
8、文件的异常变化,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件,信息分析,模式匹配 统计分析 完整性分析,往往用于事后分析,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或
9、一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化),统计分析,统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效,概述2 入侵检测的分类 入侵检测系统的设计原理 入侵检测
10、响应机制 入侵检测标准化工作 入侵检测的现状和展望,按检测方法分类,异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,异常检测,前提:入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报,错报,异常检测,异常检测,如果系统错误地将异常活动定义
11、为入侵,称为误报(false positive);如果系统未能检测出真正的入侵行为则称为漏报(false negative)。特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。,Anomaly Detection,误用检测,前提:所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标 错报低 漏报高,误用检测,误用检测模型
12、,如果入侵特征与正常的用户行能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报特点:采用特征匹配,误用模式能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力,Misuse Detection,Cant detect new attacks,Example:if(src_ip=dst_ip)then“land attack”,按照数据来源分类,基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行混合型,监视与分析主机的审计记录可以不运行在监控主机上
13、存在问题:能否及时采集到审计记录?如何保护作为攻击目标主机审计子系统?,基于主机,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护存在问题:如何适应高速网络环境?非共享网络上如何采集数据?,基于网络,两类IDS监测软件,网络IDS侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS视野集中 易于用户自定义保护更加周密对网络流量不敏感,入侵检测系统体系结构,常用术语,当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示如果是远程控制台,那
14、么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员,Alert(警报),Anomaly(异常),当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能,首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连
15、接但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求,Automated Response(自动响应),IDS的核心是攻击特征,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征
16、涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS,Signatures(特征),Promiscuous(混杂模式),默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量,概述 入侵检测的分类3 入侵检测系统的设计原理(略)入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望,基于主机的入侵检测系统,系统分析主机产生的数据(应用程序及
17、操作系统的事件日志)由于内部人员的威胁正变得更重要基于主机的检测威胁基于主机的结构优点及问题,基于主机的检测威胁,特权滥用关键数据的访问及修改安全配置的变化,基于主机的入侵检测系统结构,基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算机通信集中式:原始数据在分析之前要先发送到中央位置分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台,集中式检测的优缺点,优点:不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点:不能进行实时检测不能实时响应影响网络通信量,分布式检测的优缺点,优点:实时告警实时响应缺点:降低目标机的性能没
18、有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据,操作模式,操作主机入侵检测系统的方式警告监视毁坏情况评估遵从性,基于主机的技术面临的问题,性能:降低是不可避免的部署/维护损害欺骗,基于网络的入侵检测系统,入侵检测系统分析网络数据包基于网络的检测威胁基于网络的结构优点及问题,基于网络的检测威胁,非授权访问数据/资源的窃取拒绝服务,基于网络的入侵检测系统结构,基于网络的入侵检测系统由遍及网络的传感器(Sensor)组成,传感器会向中央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模式,然后告警。传统的基于传感器的结构分布式网络节点
19、结构,传统的基于传感器的结构,传感器(通常设置为混杂模式)用于嗅探网络上的数据分组,并将分组送往检测引擎检测引擎安装在传感器计算机本身网络分接器分布在关键任务网段上,每个网段一个,分布式网络节点结构,为解决高速网络上的丢包问题,1999年6月,出现的一种新的结构,将传感器分布到网络上的每台计算机上每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有的告警聚集、关联起来,基于网络的入侵检测的好处,威慑外部人员检测自动响应及报告,基于网络的技术面临的问题,分组重组高速网络加密,基于异常的入侵检测,思想:任何正常人的行为有一定的规律需要考虑的问题:(1)选择哪些数据来表现用户的行为(2
20、)通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同(3)考虑学习过程的时间长短、用户行为的时效性等问题,数据选取的原则,(1)数据能充分反映用户行为特征的全貌(2)应使需要的数据量最小(3)数据提取难度不应太大,NIDS抓包,PF_PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库,分析数据包,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,协议分析,HTTP,Unicode,XML,一个攻击检测实例,老版本的Sendmail漏洞利用$telnet 25WIZshell或者DEBUG#直接获得rootshell
21、!,简单的匹配,检查每个packet是否包含:“WIZ”|“DEBUG”,检查端口号,缩小匹配范围 Port 25:“WIZ”|“DEBUG”,深入决策树,只判断客户端发送部分 Port 25:Client-sends:“WIZ”|Client-sends:“DEBUG”,概述 入侵检测的分类 入侵检测系统的设计原理4.入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望,响应策略,弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMP Trap,概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制5.入侵检测标准化工作 入侵检测的现
22、状和展望,IDS标准化工作的组织,IETF的入侵检测工作组IDWG:http:/www.ietf.org/html.charters/OLD/idwg-charter.html通用入侵检测框架CIDF:http:/gost.isi.edu/cidf,入侵检测工作组IDWG,IDWG的主要工作是定义相关的数据格式和共享信息的交换过程,用于入侵检测与响应(Intrusion Detection and Response,IDR)系统之间或与需要交互的管理系统之间的信息共享。,入侵检测工作组IDWG,从进展状况来看,目前IDWG基本形成了4个RFC文档,其中有3个文档实在2007年3月从草案正式被接
23、受为RFC文档的,历时数年之久,相当不容易;,通用入侵检测框架CIDF,CIDF所做的工作主要包括四部分:IDS的体系结构通信机制描述语言应用编程接口API,CIDF将一个入侵检测系统分为四个组件,事件产生器(Event generators)事件分析器(Event analyzers)响应单元(Response units)事件数据库(Event databases)。,CIDF的体系结构,通用入侵检测框架CIDF,目前CIDF的进展不尽如人意,该项目组的工作基本处于停滞状态,其思想和理念也没有得到很好的贯彻和执行。,概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标
24、准化工作6.入侵检测的现状和展望,IDS现状,存在问题:误报和漏报的矛盾 隐私和安全的矛盾被动分析与主动发现的矛盾 海量信息与分析代价的矛盾功能性和可管理性的矛盾 单一的产品与复杂的网络应用的矛盾 网络规模扩大,网络速度提高,需满足高速大规模网络应用需求,IDS发展方向,分析技术的改进智能化的检测方法改进对高速网络数据流的检测与防火墙联动集成网络分析和管理功能入侵检测产品集成网管功能、扫描器(Scanner)、嗅探器(Sniffer)等功能是以后发展的方向,IDS与Firewall联动,通过在防火墙中驻留的一个IDS Agent对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终
25、实现联动,Cisco CIDF(CISL)ISS Checkpoint,产品,免费Snort http:/www.snort.orgSHADOWhttp:/www.nswc.navy.mil/ISSEC/CID/,产品,商业CyberCop Monitor,NAIDragon Sensor,EnterasyseTrust ID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFR SecurityRealSecure,ISSSecureNet Pro,I,资源,IDS FAQhttp:/Mailinglisthttp:/,引语:在这一实验中,将
26、在Windows平台上建立入侵检测系统(snort)。Snort是一个轻便的网络入侵检测系统,在运行的时只占用极少的网络资源,对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能,能完成协议分析,内容查找匹配,是用来探测多种攻击的侵入探测器(如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、指纹采集尝试等)。Snort 可以运行在*nix/Win32 平台上。目的:本实验在Win2000 Server环境安装与配置入侵检测系统(snort)。完成这一实验之后,将能够:安装“snort”服务,使用“snort”服务。,实验 入侵检测系统snort配置,实验所需软件
27、:具备服务器运行Windows 2000 Server。snort软件。要完整的安装入侵检测系统必须先从网上下载以下软件:Snort(Win32 MySQL Binary!)(www.snort.org);Snort Rules 2.1(www.snort.org);WinPcap 3.1(winpcap.polito.it);MySQL Shareware 3.23.58();PHP 4.3.5();ADODB 3.5.0(0.9.6b6(www.cert.org/kb/acid/);l MySQL Databasel PHP,实验 入侵检测系统snort配置,任务1.安装Snort任务2.
28、安装MySQL Database 任务3.生成Win32 MySQL database 任务4.在MySQL中生成Acid的库表 任务5.测试Snort 任务6.将Snort设置成为windows 2000/XP的一项服务 任务7.安装PHP 任务8.配置PHP运行在2000/XP的IIS 4/5环境下 任务9.安装ADODB 一个高性能的数据库,实验 入侵检测系统snort配置,第7章 安全检测技术网络信息获取技术,陈德伟Chendw_西南财经大学信息工程学院,目 录,网络信息收集网络扫描技术网络流量侦听技术,网络信息收集,信息攻击者和管理者都需要各种网络信息,如:域名,IP地址,主机运行的
29、TCP和UDP服务,系统信息(用户名、版本等),认证机制。,网络信息收集社会信息,指通过非网络技术手段获得的信息社会工程:获取员工的信任。搜索引擎:google,百度新闻论坛网站:,网络信息收集 WHOIS,WHOIS:是用来查询域名的IP以及所有者等信息的传输协议 UNIX系统自带Whois客户端程序,windows可以直接通过Web查询中国域名信息查询:http:/W,网易的域名信息,网络信息收集 DNS查询,DNS是一个全球分布式数据库,对每一个DNS结点,都包含该结点的机器、邮件服务器、主机CPU和操作系统信息。Nslookup:客户程序,可以把DNS数据库中的信息挖掘出来,Nsloo
30、kup查询的新浪,注:本机所访问到的新浪网页是镜像网站,目 录,网络信息收集网络扫描技术网络流量侦听技术,扫描技术,扫描技术是网络安全领域的重要技术之一,是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术,是为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统的安全风险而发展起来的一种安全技术。,扫描步骤,一次完整的扫描分为3个阶段:(1)第1阶段:发现目标主机或网络。(2)第2阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3
31、)第3阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。,扫描技术的分类,扫描技术主要包括主机扫描端口扫描,主机扫描技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。常用的传统扫描手段有:ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描,ICMP echo扫描,实现原理:Ping的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request(type 8)数据包,等待回复的ICMP Echo Reply 包(type 0)。如果
32、能收到,则表明目标系统可达,否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。优点:简单,系统支持缺点:很容易被防火墙限制可以通过并行发送,同时探测多个目标主机,以提高探测效率(ICMP Sweep扫描)。,Broadcast ICMP扫描,实现原理:将ICMP ECHO request包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。缺点:只适合于UNIX/Linux系统,Windows 会忽略这种请求包;这种扫描方式容易引起广播风暴,ICMP报文类型,0 Echo Reply3 Destination Unreachable4 Source Quench 5
33、 Redirect 8 Echo 11 Time Exceeded,12 Parameter Problem13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply,端口扫描技术,当确定了目标主机可达后,就可以使用端口扫描技术,发现目标主机的开放端口,包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类:开放扫描(TCP Connect 扫描)会产生大量审计数据,易被对方发现,但其可靠性高隐蔽扫描(T
34、CP FIN 扫描、分段扫描)能有效的避免对方入侵检测系统和防火墙的检测,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息;半开放扫描(TCP SYN 扫描)隐蔽性和可靠性介于前两者之间。,开放扫描TCP Connect 扫描,实现原理:通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程。如果端口处于侦听状态,那么connect()就能成功返回。否则,这个端口不可用,即没有提供服务。优点:稳定可靠,不需要特殊的权限缺点:扫描方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录,并容易被防火墙发现和屏蔽,半开放扫描TCP SYN 扫描,实
35、现原理:扫描器向目标主机端口发送SYN包。如果应答是RST包,那么说明端口是关闭的;如果应答中包含SYN和ACK包,说明目标端口处于监听状态,再传送一个RST包给目标机从而停止建立连接。在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半连接扫描优点:隐蔽性较全连接扫描好,一般系统对这种半扫描很少记录缺点:通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用,隐蔽扫描技术TCP FIN 扫描,实现原理:扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且返回一个RST数据包。否则,若是打开的端口,数据包只是简单的丢掉(不返回RST)。优点:
36、由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多,FIN数据包能够通过只监测SYN包的包过滤器。缺点:跟SYN扫描类似,需要自己构造数据包,要求由超级用户或者授权用户访问专门的系统调用;通常适用于UNIX目标主机。但在Windows环境下,该方法无效,因为不论目标端口是否打开,操作系统都返回RST包。,利用综合扫描工具收集信息,目 录,网络信息收集网络扫描技术网络流量侦听技术,网络监听原理,网卡工作在数据链路层,数据以帧为单位进行传输,在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下,网卡只接收与自己MAC地址相同的数据包,并将其传
37、递给操作系统。在“混杂”模式下,网卡将所有经过的数据包都传递给操作系统。被监听的网络类型:以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电,网络监听原理,举例:共享式集线器(HUB)连接,将网卡置于混杂模式实现监听,Sniffer软件,WiresharkNetxRaySniffer ProCuteSniffer(小巧,功能较全)IrisAce Password Sniffer(自动捕获口令),CuteSniffer,自动捕捉口令,Ace Password Sniffer,能监听 LAN,取得密码。包括:FTP、POP3、HTTP、SMTP、Telnet 密码。,交换局
38、域网嗅探,交换机在正常模式下按MAC地址表转发数据包,此时只能监听广播数据包。交换网络嗅探的关键:如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗,MAC洪水包,向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机就进入了所谓的打开失效模式,也就是开始了类似于集线器的工作方式,向网络上所有的机器广播数据包,利用交换机的镜像功能,利用交换机的镜像功能,利用ARP欺骗,首先介绍以太数据包格式,类型0800:IP数据包 类型0806:ARP数据包,ARP数据包格式,交换局域网嗅探,在VICTIM运行ARP A,有如下输出:Inte
39、rface:192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00-03 dynamic,交换局域网嗅探,在ATTACKER上构建并发送表一所示的包,其中目的 mac 为00-00-00-00-00-02,目的 IP address为192.168.0.2,发送者MAC为00-00-00-00-00-01,发送者IP为192.168.0.3(假冒IP)。,在VICTIM上运
40、行ARP A,有如下的输出:Interface:192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00-01 dynamic欺骗成功!(通过网关出去的信息发给了攻击者),实验 扫描与入侵,入侵工具:xscan,DameW,实验 扫描与入侵,Xscan是一款优秀的综合扫描器,对指定IP地址段或单机进行安全漏洞检测。扫描内容包括:远程服务类型,操作系统类型及版本,各种弱口令漏洞
41、,后门,应用服务漏洞,网络设备漏洞,拒绝服务漏洞等20多类。,实验 扫描与入侵,DameWare是一款网管工具,只要拥有远程主机管理员权限的帐号,任何人都可以通过图形界面来控制该远程主机。,实验 扫描与入侵,入侵思路:获取管理员权限,在DameWare中添加主机,实时屏幕监视和控制、远程执行命令、系统设置修改与系统控制、文件上传与下载。,实验 扫描与入侵,入侵步骤:利用xscan扫描远程主机是否存在弱口令,获取管理员权限。打开xscan,在“设置”菜单中选择“扫描参数”选项,打开扫描参数设置窗口。在指定IP范围的输入框中输入要扫描的IP地址段,如:192.168.1.2-192.168.1.2
42、53。打开全局设置菜单,在扫描模块中选择NTServer弱口令,单击“确定”按钮后,回到主界面,单击“启动”图标进行扫描,检测到192.168.1.30主机存在弱口令(如空口令)。,实验 扫描与入侵,入侵步骤2.在DameWare中添加远程主机。打开DameWare,单击“添加主机”图标,在弹出的“add domain or machine”对话框中选择“non-browsable machine”,并填入目标主机的IP地址192.168.1.30,单击“OK”按钮,实验 扫描与入侵,入侵步骤3.实时屏幕监视和控制。在DameWare主界面,单击左侧图标“remote control”,在打开
43、菜单中双击“mini remote control”,然后在弹出界面的“user”栏中填入获得的用户名“administrator”,由于密码为空,所以“password”栏不填。,实验 扫描与入侵,然后单击“connect”按钮即可进行连接,如果是首次连接远程主机,那么DameWare会要求远程主机安装dameware被控端。单击“OK”按钮进行安装,在默认的情况下,远程主机会被通知建立连接,这样会使入侵者暴露入侵痕迹。在“remote connect”窗口单击“setting”按钮,选择“install options”选项卡,选择“remove service on disconnect
44、”和“copy configuration file dwrcs”复选框,单击“edit”按钮,去除“enable sys tray icon”复选框。,实验 扫描与入侵,在“notify dialog”选项卡中,去除“notify on connection”复选框。服务安装、启动完成后,便会在本地机得到远程主机当前的屏幕。,实验 扫描与入侵,4.远程执行命令。单击“remote command”即可远程执行命令。5.修改系统参数并远程控制系统。进程控制修改注册表远程关机6.文件上传与下载单击“share”图标。7.建立后门帐号单击“user”图标。8.清除脚印单击“event log”图标,清除右侧窗口的“application”,“security”和“system”日志。,课后练习,比较基于异常检测模型和基于误用检测模型的特点下载snort建立入侵检测系统进行扫描与入侵实验,了解所处网络有无漏洞存在。,
