網(wǎng)絡(luò)入侵技術(shù)課件

本課程需具備的基礎(chǔ)知識(shí)TCP/IP協(xié)議原理對(duì)防火墻有初步認(rèn)識(shí)對(duì)局域網(wǎng)和廣域網(wǎng)有初步認(rèn)識(shí)Unix簡(jiǎn)單操作本課程需具備的基礎(chǔ)知識(shí)TCP/IP協(xié)議原理1課程目標(biāo)了解入侵檢測(cè)的概念、術(shù)語(yǔ)掌握網(wǎng)絡(luò)入侵技術(shù)和黑客慣用的各種手段掌握入侵檢測(cè)系統(tǒng)防范入侵原理了解入侵檢測(cè)產(chǎn)品部署方案了解入侵檢測(cè)產(chǎn)品選型原則了解入侵檢測(cè)技術(shù)發(fā)展方向課程目標(biāo)了解入侵檢測(cè)的概念、術(shù)語(yǔ)2課程內(nèi)容入侵知識(shí)簡(jiǎn)介入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的選擇和使用課程內(nèi)容入侵知識(shí)簡(jiǎn)介3§1.入侵檢測(cè)系統(tǒng)概述§1.1

背景介紹§1.2入侵檢測(cè)的提出§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)§1.4入侵檢測(cè)系統(tǒng)分類§1.5入侵檢測(cè)系統(tǒng)構(gòu)件§1.6入侵檢測(cè)系統(tǒng)部署方式§1.7動(dòng)態(tài)安全模型P2DR§1.入侵檢測(cè)系統(tǒng)概述4§1.1背景介紹§1.1.1信息社會(huì)出現(xiàn)的新問(wèn)題信息時(shí)代到來(lái)，電子商務(wù)、電子政務(wù)，網(wǎng)絡(luò)改變?nèi)藗兊纳睿祟愡M(jìn)入信息化社會(huì)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)的廣泛應(yīng)用，商業(yè)和國(guó)家機(jī)密信息的保護(hù)以及信息時(shí)代電子、信息對(duì)抗的需求存儲(chǔ)信息的系統(tǒng)面臨的極大的安全威脅潛在的網(wǎng)絡(luò)、系統(tǒng)缺陷危及系統(tǒng)的安全傳統(tǒng)的安全保密技術(shù)都有各自的局限性，不能夠確保系統(tǒng)的安全§1.1背景介紹§1.1.1信息社會(huì)出現(xiàn)的新問(wèn)題5§1.1背景介紹§1.1.2信息系統(tǒng)的安全問(wèn)題操作系統(tǒng)的脆弱性計(jì)算機(jī)網(wǎng)絡(luò)的資源開(kāi)放、信息共享以及網(wǎng)絡(luò)復(fù)雜性增大了系統(tǒng)的不安全性數(shù)據(jù)庫(kù)管理系統(tǒng)等應(yīng)用系統(tǒng)設(shè)計(jì)中存在的安全性缺陷缺乏有效的安全管理§1.1背景介紹§1.1.2信息系統(tǒng)的安全問(wèn)題6§1.1.3黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門(mén)、隱蔽通道蠕蟲(chóng)§1.1.3黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏7這就是黑客這就是黑客8§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻1999年4月16日：黑客入侵中亞信托投資公司上海某證券營(yíng)業(yè)部，造成340萬(wàn)元損失。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對(duì)銀行自動(dòng)提款機(jī)的黑客案件，用戶的信用卡被盜1.799萬(wàn)元。1999年11月23日：銀行內(nèi)部人員通過(guò)更改程序，用虛假信息從本溪某銀行提取出86萬(wàn)元?！?.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻9§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）2000年2月1日：黑客攻擊了大連市賽伯網(wǎng)絡(luò)服務(wù)有限公司，造成經(jīng)濟(jì)損失20多萬(wàn)元。2000年2月1日至2日：中國(guó)公共多媒體信息網(wǎng)蘭州節(jié)點(diǎn)——“飛天網(wǎng)景信息港”遭到黑客攻擊。2000年3月2日：黑客攻擊世紀(jì)龍公司21CN。§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）10§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）2000年3月6日至8日：黑客攻擊實(shí)華開(kāi)EC123網(wǎng)站達(dá)16次，同一時(shí)期，號(hào)稱全球最大的中文網(wǎng)上書(shū)店“當(dāng)當(dāng)書(shū)店”也遭到多次黑客攻擊。2000年3月8日：山西日?qǐng)?bào)國(guó)際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機(jī)，這是國(guó)內(nèi)首例黑客攻擊省級(jí)黨報(bào)網(wǎng)站事件。2000年3月8日：黑客攻擊國(guó)內(nèi)最大的電子郵局--擁有200萬(wàn)用戶的廣州163，系統(tǒng)無(wú)法正常登錄?！?.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）11§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）2001年3月9日:IT163.com-全國(guó)網(wǎng)上連鎖商城遭到黑客襲擊，網(wǎng)站頁(yè)面文件全部被刪除，各種數(shù)據(jù)庫(kù)遭到不同程度破壞，網(wǎng)站無(wú)法運(yùn)行，15日才恢復(fù)正常，損失巨大。2001年3月25日：重慶某銀行儲(chǔ)戶的個(gè)人帳戶被非法提走5萬(wàn)余元。2001年6月11、12日：中國(guó)香港特區(qū)政府互聯(lián)網(wǎng)服務(wù)指南主頁(yè)遭到黑客入侵，服務(wù)被迫暫停。§1.1背景介紹§1.1.4我國(guó)安全形勢(shì)非常嚴(yán)峻（續(xù)）12§1.2入侵檢測(cè)的提出§1.2.1什么是入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(IDS)是一套監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)的軟件或硬件系統(tǒng)。§1.2入侵檢測(cè)的提出§1.2.1什么是入侵檢測(cè)系統(tǒng)13§1.2入侵檢測(cè)的提出§1.2.2為什么需要IDS？入侵很容易入侵教程隨處可見(jiàn)，各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器§1.2入侵檢測(cè)的提出§1.2.2為什么需要IDS？14§1.2.2為什么需要IDS?（續(xù)）網(wǎng)絡(luò)中有可被入侵者利用的資源在一些大型的網(wǎng)絡(luò)中，管理員沒(méi)有時(shí)間跟蹤系統(tǒng)漏洞并且安裝相應(yīng)的系統(tǒng)補(bǔ)丁程序。用戶和管理員在配置和使用系統(tǒng)中的失誤。對(duì)于一些存在安全漏洞的服務(wù)、協(xié)議和軟件，用戶有時(shí)候不得不使用?！?.2.2為什么需要IDS?（續(xù)）網(wǎng)絡(luò)中有可被入侵者利用15§1.2入侵檢測(cè)的提出§1.2.3入侵檢測(cè)的任務(wù)（1）檢測(cè)來(lái)自內(nèi)部的攻擊事件和越權(quán)訪問(wèn)

a.85％以上的攻擊事件來(lái)自于內(nèi)部的攻擊

b.防火墻只能防外，難于防內(nèi)（2）入侵檢測(cè)系統(tǒng)作為防火墻系統(tǒng)的一個(gè)有效的補(bǔ)充

a.入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵§1.2入侵檢測(cè)的提出§1.2.3入侵檢測(cè)的任務(wù)16§1.2.3入侵檢測(cè)的任務(wù)（續(xù)）（3）通過(guò)事先發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員。（4）檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件。（5）提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過(guò)程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性?！?.2.3入侵檢測(cè)的任務(wù)（續(xù)）（3）通過(guò)事先發(fā)現(xiàn)17§1.2入侵檢測(cè)的提出§1.2.4入侵檢測(cè)的發(fā)展歷史1980年，JamesAnderson最早提出入侵檢測(cè)概念1987年，D．E．Denning首次給出了一個(gè)入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一種新的安全防御措施提出。1988年，Morris蠕蟲(chóng)事件直接刺激了IDS的研究1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR，DIDS等§1.2入侵檢測(cè)的提出§1.2.4入侵檢測(cè)的發(fā)展歷史18§1.2入侵檢測(cè)的提出§1.2.4入侵檢測(cè)的發(fā)展歷史（續(xù)）90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入IDS系統(tǒng)2000年2月，對(duì)Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對(duì)IDS系統(tǒng)的新一輪研究熱潮2001年～今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展?！?.2入侵檢測(cè)的提出§1.2.4入侵檢測(cè)的發(fā)展歷史（續(xù)19§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectionSystems)入侵檢測(cè)系統(tǒng)Promiscuous混雜模式Signatures特征§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDet20§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)Alerts警告Anomaly異?！?.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)Alerts21§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)Console控制臺(tái)Sensor傳感器（是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包）§1.3入侵檢測(cè)相關(guān)術(shù)語(yǔ)Console22§1.4入侵檢測(cè)系統(tǒng)分類概要Host-BasedIDS（基于主機(jī)的IDS)Network-BasedIDS（基于網(wǎng)絡(luò)的IDS）Stack-BasedIDS（混和的IDS)§1.4入侵檢測(cè)系統(tǒng)分類概要23§1.4入侵檢測(cè)系統(tǒng)分類§1.4.1Host-BasedIDS(HIDS)

數(shù)據(jù)來(lái)源為事件日志、端口調(diào)用以及安全審計(jì)記錄。

保護(hù)的對(duì)象是單個(gè)主機(jī)。（HIDS系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行安全檢測(cè)。最適合于檢測(cè)那些可以信賴的內(nèi)部人員的誤用以及已經(jīng)避開(kāi)了傳統(tǒng)的檢測(cè)方法而滲透到網(wǎng)絡(luò)中的活動(dòng)。)§1.4入侵檢測(cè)系統(tǒng)分類§1.4.1Host-Base24§1.4入侵檢測(cè)系統(tǒng)分類

HIDS優(yōu)點(diǎn)性能價(jià)格比高細(xì)膩性，審計(jì)內(nèi)容全面視野集中適用于加密及交換環(huán)境§1.4入侵檢測(cè)系統(tǒng)分類HIDS優(yōu)點(diǎn)25§1.4入侵檢測(cè)系統(tǒng)分類HIDS缺點(diǎn)額外產(chǎn)生的安全問(wèn)題HIDS依賴性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況§1.4入侵檢測(cè)系統(tǒng)分類HIDS缺點(diǎn)26§1.4入侵檢測(cè)系統(tǒng)分類§1.4.2Network-BasedIDS(NIDS)

系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。保護(hù)的對(duì)象是單個(gè)網(wǎng)段，故系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)§1.4入侵檢測(cè)系統(tǒng)分類§1.4.2Network-B27§1.4入侵檢測(cè)系統(tǒng)分類NIDS優(yōu)點(diǎn)檢測(cè)范圍廣無(wú)需改變主機(jī)配置和性能獨(dú)立性和操作系統(tǒng)無(wú)關(guān)性安裝方便§1.4入侵檢測(cè)系統(tǒng)分類NIDS優(yōu)點(diǎn)28§1.4入侵檢測(cè)系統(tǒng)分類NIDS缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話§1.4入侵檢測(cè)系統(tǒng)分類NIDS缺點(diǎn)29§1.4入侵檢測(cè)系統(tǒng)分類§1.4.3Stack-BasedIDS(NNIDS)網(wǎng)絡(luò)節(jié)點(diǎn)入侵檢測(cè)系統(tǒng)安裝在網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)中結(jié)合了NIDS和HIDS的技術(shù)適合于高速交換環(huán)境和加密數(shù)據(jù)§1.4入侵檢測(cè)系統(tǒng)分類§1.4.3Stack-Base30§1.5入侵檢測(cè)系統(tǒng)構(gòu)件§1.5入侵檢測(cè)系統(tǒng)構(gòu)件31§1.5入侵檢測(cè)系統(tǒng)構(gòu)件事件產(chǎn)生器(Eventgenerators)事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。§1.5入侵檢測(cè)系統(tǒng)構(gòu)件事件產(chǎn)生器(Eventgener32§1.5入侵檢測(cè)系統(tǒng)構(gòu)件事件分析器(Eventanalyzers)事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果?！?.5入侵檢測(cè)系統(tǒng)構(gòu)件事件分析器(Eventanaly33§1.5入侵檢測(cè)系統(tǒng)構(gòu)件響應(yīng)單元(Responseunits)響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警?！?.5入侵檢測(cè)系統(tǒng)構(gòu)件響應(yīng)單元(Responseuni34§1.5入侵檢測(cè)系統(tǒng)構(gòu)件事件數(shù)據(jù)庫(kù)(Eventdatabases)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件?！?.5入侵檢測(cè)系統(tǒng)構(gòu)件事件數(shù)據(jù)庫(kù)(Eventdatab35§1.6入侵檢測(cè)系統(tǒng)部署方式SwitchIDSSensorMonitoredServersConsole通過(guò)端口鏡像實(shí)現(xiàn)（SPAN/PortMonitor）§1.6入侵檢測(cè)系統(tǒng)部署方式SwitchIDSSenso36§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器部署位置放在邊界防火墻之外放在邊界防火墻之內(nèi)放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器部署位置37Internet檢測(cè)器部署示意圖部署一部署二部署三部署四Internet檢測(cè)器部署示意圖部署一部署二部署三部署四38§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放置于防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放置于防火墻的DMZ區(qū)域39§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放置于路由器和邊界防火墻之間可以審計(jì)所有來(lái)自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊數(shù)目可以審計(jì)所有來(lái)自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊類型§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放置于路由器和邊界防火墻40§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶的行為§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放在主要的網(wǎng)絡(luò)中樞41§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放在安全級(jí)別高的子網(wǎng)對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)§1.6入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器放在安全級(jí)別高的子網(wǎng)42§1.7動(dòng)態(tài)安全模型P2DR§1.7動(dòng)態(tài)安全模型P2DR43§1.7動(dòng)態(tài)安全模型P2DRPolicy——策略Protection—防護(hù)Detection——檢測(cè)Response——響應(yīng)§1.7動(dòng)態(tài)安全模型P2DRPolicy——策略44§2.網(wǎng)絡(luò)入侵技術(shù)§2.1

入侵知識(shí)簡(jiǎn)介§2.2網(wǎng)絡(luò)入侵的一般步驟§2.網(wǎng)絡(luò)入侵技術(shù)45§2.1入侵知識(shí)簡(jiǎn)介入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、竄改信息，使系統(tǒng)不可靠或不能使用的行為。入侵企圖破壞計(jì)算機(jī)資源的完整性、機(jī)密性、可用性、可控性§2.1入侵知識(shí)簡(jiǎn)介入侵(Intrusion)46§2.1入侵知識(shí)簡(jiǎn)介目前主要漏洞：緩沖區(qū)溢出拒絕服務(wù)攻擊漏洞代碼泄漏、信息泄漏漏洞配置修改、系統(tǒng)修改漏洞腳本執(zhí)行漏洞遠(yuǎn)程命令執(zhí)行漏洞§2.1入侵知識(shí)簡(jiǎn)介目前主要漏洞：47§2.1入侵知識(shí)簡(jiǎn)介入侵者入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)?！?.1入侵知識(shí)簡(jiǎn)介入侵者48§2.1入侵知識(shí)簡(jiǎn)介侵入系統(tǒng)的主要途徑物理侵入本地侵入遠(yuǎn)程侵入§2.1入侵知識(shí)簡(jiǎn)介侵入系統(tǒng)的主要途徑49§2.2網(wǎng)絡(luò)入侵的一般步驟進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工 作，其主要工作流程是：目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志§2.2網(wǎng)絡(luò)入侵的一般步驟進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工50§2.2.1目標(biāo)探測(cè)和信息收集目標(biāo)探測(cè)和信息收集端口掃描漏洞掃描利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)§2.2.1目標(biāo)探測(cè)和信息收集目標(biāo)探測(cè)和信息收集51§2.2.1目標(biāo)探測(cè)和信息收集利用掃描器軟件什么是掃描器Scanner掃描器工作原理掃描器能告訴我們什么§2.2.1目標(biāo)探測(cè)和信息收集利用掃描器軟件52§2.2.1目標(biāo)探測(cè)和信息收集常用掃描器軟件SATAN（安全管理員的網(wǎng)絡(luò)分析工具）

Nessus(網(wǎng)絡(luò)評(píng)估軟件)

§2.2.1目標(biāo)探測(cè)和信息收集常用掃描器軟件53§2.2.1目標(biāo)探測(cè)和信息收集常用掃描器軟件（續(xù)）流光（NT掃描工具）

Mscan（Linux下漏洞掃描器）

§2.2.1目標(biāo)探測(cè)和信息收集常用掃描器軟件（續(xù)）54§2.2.1目標(biāo)探測(cè)和信息收集什么是SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議協(xié)議無(wú)關(guān)性搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件§2.2.1目標(biāo)探測(cè)和信息收集什么是SNMP55§2.2.1目標(biāo)探測(cè)和信息收集Snmp用途用于網(wǎng)絡(luò)管理，網(wǎng)管工具Communitystrings也成為黑客入侵的一直輔助手段§2.2.1目標(biāo)探測(cè)和信息收集Snmp用途56§2.2.1目標(biāo)探測(cè)和信息收集Snmp查詢工具SolarWinds

通過(guò)其中的IPNetworkBrowser工具

LANguardNetworkScanner/lannetscan/§2.2.1目標(biāo)探測(cè)和信息收集Snmp查詢工具57SolarWinds的IPNetworkBrowserSolarWinds的IPNetworkBrowser58LanguardNetworkScannerLanguardNetworkScanner59§2.2.2自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址通過(guò)telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過(guò)終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客，精通利用電話交換侵入主機(jī)§2.2.2自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址60§2.2.3利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵§2.2.3利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞61§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)添加系統(tǒng)賬號(hào)利用LKM利用信任主機(jī)§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)62§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果什么是木馬客戶端軟件服務(wù)端軟件木馬啟動(dòng)方式修改注冊(cè)表修改INI文件作為服務(wù)啟動(dòng)§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果什么是木馬63§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果BOBO的客戶端程序可以監(jiān)視、管理和使用其他網(wǎng)絡(luò)中運(yùn)行了BO服務(wù)器程序的計(jì)算機(jī)系統(tǒng)冰河國(guó)產(chǎn)木馬程序一般殺毒軟件均可發(fā)現(xiàn)§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果BO64§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果黑客入侵主機(jī)后，可添加管理員賬號(hào)Windows主機(jī)賬號(hào)Unix主機(jī)賬號(hào)§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果黑客入侵主機(jī)后，可添加管理員賬65§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器，可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵§2.2.4穩(wěn)固和擴(kuò)大戰(zhàn)果控制了主機(jī)以后，可以利用該主機(jī)66§2.2.5清除日志清除入侵日志使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵§2.2.5清除日志清除入侵日志67§2.2.5清除日志（windows）清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志§2.2.5清除日志（windows）清除系統(tǒng)日志68系統(tǒng)日志系統(tǒng)日志69IIS日志IIS日志70§2.2.5清除日志（Unix）登陸信息/var/log/home/user/.bash_historylastlog§2.2.5清除日志（Unix）登陸信息/var/lo71網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門(mén)新建帳號(hào)獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過(guò)輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口。網(wǎng)絡(luò)入侵步驟總覽選中攻獲取普通擦除入安裝后門(mén)獲取超級(jí)攻擊其它72§3IDS工作原理目標(biāo)通過(guò)本章學(xué)習(xí)，可以掌握入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵事件分析的方法和原理。概要入侵檢測(cè)引擎工作流程入侵檢測(cè)的分析方式入侵檢測(cè)技術(shù)§3IDS工作原理目標(biāo)73§3.1入侵檢測(cè)引擎工作流程§3.1入侵檢測(cè)引擎工作流程74§3.1.1監(jiān)聽(tīng)部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置，過(guò)濾一些數(shù)據(jù)包過(guò)濾程序的算法的重要性§3.1.1監(jiān)聽(tīng)部分網(wǎng)絡(luò)接口混雜模式75§3.1.1監(jiān)聽(tīng)部分監(jiān)聽(tīng)器設(shè)置如下規(guī)則進(jìn)行過(guò)濾：Onlycheckthefollowingpacket源地址為§3.1.1監(jiān)聽(tīng)部分監(jiān)聽(tīng)器設(shè)置如下規(guī)則進(jìn)行過(guò)濾：76§3.1.2協(xié)議分析協(xié)議IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI§3.1.2協(xié)議分析協(xié)議IPXICMPOSPFTCPUD77§3.1.3數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議，調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心快速的模式匹配算法§3.1.3數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議，調(diào)用相應(yīng)的數(shù)據(jù)分析函78§3.1.4引擎管理協(xié)調(diào)和配置各模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall§3.1.4引擎管理協(xié)調(diào)和配置各模塊間工作79§3.2入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetection）

統(tǒng)計(jì)模型誤報(bào)較多誤用檢測(cè)（MisuseDetection）維護(hù)一個(gè)入侵特征知識(shí)庫(kù)（CVE）準(zhǔn)確性高完整性分析

§3.2入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDe80§3.2.1異常檢測(cè)基本原理（檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測(cè)模型漏報(bào)率低，誤報(bào)率高。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，所以能有效檢測(cè)未知的入侵。）

正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況是否偏離預(yù)設(shè)的門(mén)限？§3.2.1異常檢測(cè)基本原理81§3.2.1異常檢測(cè)異常檢測(cè)的優(yōu)點(diǎn)：可以檢測(cè)到未知的入侵

可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng)，自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)§3.2.1異常檢測(cè)異常檢測(cè)的優(yōu)點(diǎn)：82§3.2.1異常檢測(cè)異常檢測(cè)的缺點(diǎn)：漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難§3.2.1異常檢測(cè)異常檢測(cè)的缺點(diǎn)：83§3.2.2誤用檢測(cè)采用匹配技術(shù)檢測(cè)已知攻擊

（收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。）提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶行為特征§3.2.2誤用檢測(cè)采用匹配技術(shù)檢測(cè)已知攻擊84§3.2.2誤用檢測(cè)誤用檢測(cè)的優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開(kāi)銷小準(zhǔn)確率高效率高§3.2.2誤用檢測(cè)誤用檢測(cè)的優(yōu)點(diǎn)85§3.2.2誤用檢測(cè)誤用檢測(cè)的缺點(diǎn)（1）被動(dòng)只能檢測(cè)出已知攻擊新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅（2）模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴于硬件平臺(tái)操作系統(tǒng)系統(tǒng)中運(yùn)行的應(yīng)用程序§3.2.2誤用檢測(cè)誤用檢測(cè)的缺點(diǎn)86§3.2.3完整性分析通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。§3.2.3完整性分析通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系87§3.3入侵檢測(cè)具體技術(shù)基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于專家系統(tǒng)的入侵檢測(cè)技術(shù)基于模型推理的入侵檢測(cè)技術(shù)§3.3入侵檢測(cè)具體技術(shù)基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)88§3.3.1基于統(tǒng)計(jì)方法審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為?！?.3.1基于統(tǒng)計(jì)方法審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使89§3.3.2基于神經(jīng)網(wǎng)絡(luò)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到的信息有效地加以處理，作出攻擊可能性的判斷。神經(jīng)網(wǎng)絡(luò)技術(shù)可以用于解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的以下問(wèn)題：難于建立確切的統(tǒng)計(jì)分布函數(shù)難于實(shí)現(xiàn)方法的普適性算法實(shí)現(xiàn)比較昂貴系統(tǒng)臃腫難于剪裁§3.3.2基于神經(jīng)網(wǎng)絡(luò)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到90§3.3.3基于專家系統(tǒng)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測(cè)?；谝?guī)則的專家系統(tǒng)或推進(jìn)系統(tǒng)的也有一定的局限性?！?.3.3基于專家系統(tǒng)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)91§3.3.4基于模型推理用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。§3.3.4基于模型推理用基于模型的推理方法人們能夠?yàn)槟?2§3.4其他的檢測(cè)技術(shù)

免疫系統(tǒng)方法遺傳算法基于代理檢測(cè)數(shù)據(jù)挖掘§3.4其他的檢測(cè)技術(shù)免疫系統(tǒng)方法93§6IDS產(chǎn)品評(píng)估與選型原則目標(biāo)通過(guò)本章學(xué)習(xí)，可以具備對(duì)自己或者客戶的網(wǎng)絡(luò)結(jié)構(gòu)提出入侵檢測(cè)系統(tǒng)方面的建議。概要IDS評(píng)估與測(cè)試環(huán)境和策略考慮IDS產(chǎn)品功能和品質(zhì)§6IDS產(chǎn)品評(píng)估與選型原則目標(biāo)94§6.1IDS評(píng)估與測(cè)試入侵檢測(cè)系統(tǒng)能發(fā)現(xiàn)入侵行為嗎？入侵檢測(cè)系統(tǒng)是否達(dá)到了開(kāi)發(fā)者的設(shè)計(jì)目標(biāo)？什么樣的入侵檢測(cè)系統(tǒng)才是用戶需要的性能優(yōu)良的入侵檢測(cè)系統(tǒng)呢？

要回答這些問(wèn)題，就要對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行測(cè)試和評(píng)估?！?.1IDS評(píng)估與測(cè)試入侵檢測(cè)系統(tǒng)能發(fā)現(xiàn)入侵行為嗎？95§6.1.1IDS的評(píng)價(jià)標(biāo)準(zhǔn)Porras等給出了評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的三個(gè)因素：準(zhǔn)確性（Accuracy）處理性能（Performance）完備性（Completeness）Debar等增加了兩個(gè)性能評(píng)價(jià)測(cè)度容錯(cuò)性（FaultTolerance）及時(shí)性（Timeliness）§6.1.1IDS的評(píng)價(jià)標(biāo)準(zhǔn)Porras等給出了評(píng)價(jià)入侵96§6.1.2IDS測(cè)試評(píng)估步驟創(chuàng)建、選擇一些測(cè)試工具或測(cè)試腳本確定計(jì)算環(huán)境所要求的條件，比如背景計(jì)算機(jī)活動(dòng)的級(jí)別配置運(yùn)行入侵檢測(cè)系統(tǒng)運(yùn)行測(cè)試工具或測(cè)試腳本分析入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果§6.1.2IDS測(cè)試評(píng)估步驟創(chuàng)建、選擇一些測(cè)試工具或測(cè)97§6.1.3IDS測(cè)試分類入侵識(shí)別測(cè)試（也可說(shuō)是入侵檢測(cè)系統(tǒng)有效性測(cè)試）資源消耗測(cè)試強(qiáng)度測(cè)試§6.1.3IDS測(cè)試分類入侵識(shí)別測(cè)試（也可說(shuō)是入侵檢測(cè)98§6.1.4評(píng)估IDS的性能指標(biāo)檢測(cè)率、虛警率及檢測(cè)可信度(最重要的指標(biāo))入侵檢測(cè)系統(tǒng)本身的抗攻擊能力延遲時(shí)間資源的占用情況系統(tǒng)的可用性。系統(tǒng)使用的友好程度。日志、報(bào)警、報(bào)告以及響應(yīng)能力§6.1.4評(píng)估IDS的性能指標(biāo)檢測(cè)率、虛警率及檢測(cè)可信99§7Liunx下實(shí)現(xiàn)一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)

本章內(nèi)容簡(jiǎn)介：系統(tǒng)框架數(shù)據(jù)采集部分?jǐn)?shù)據(jù)分析部分告警與響應(yīng)性能分析§7Liunx下實(shí)現(xiàn)一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)本章內(nèi)容簡(jiǎn)100§7.1系統(tǒng)框架

從實(shí)現(xiàn)結(jié)構(gòu)上看，waRcher分成三個(gè)應(yīng)用程序，它們分別是：數(shù)據(jù)收集及分析程序(agent)；告警信息收集程序(listener)；告警信息顯示程序(console)?！?.1系統(tǒng)框架從實(shí)現(xiàn)結(jié)構(gòu)上看，waRcher101§7.2數(shù)據(jù)采集部分

Agent采用了linux2.2內(nèi)核中提供的PF_PACKET類型的socket（并未采用libpcap提供的API接口）,直接從鏈路層獲取數(shù)據(jù)幀數(shù)據(jù)采集部分還做了一項(xiàng)工作就是將網(wǎng)卡置于混雜模式，這樣可以監(jiān)聽(tīng)到整個(gè)網(wǎng)段的數(shù)據(jù)§7.2數(shù)據(jù)采集部分Agent采用了linux2.2102§7.3數(shù)據(jù)分析部分?jǐn)?shù)據(jù)分析部分事實(shí)上與數(shù)據(jù)采集部分作為一個(gè)進(jìn)程(agent)存在,主要是為了簡(jiǎn)化程序設(shè)計(jì)的復(fù)雜性?？驁D詳見(jiàn)下一頁(yè)§7.3數(shù)據(jù)分析部分?jǐn)?shù)據(jù)分析部分事實(shí)上與數(shù)據(jù)采集部分作103網(wǎng)絡(luò)入侵技術(shù)課件104§7.4告警與響應(yīng)經(jīng)過(guò)采集和分析模塊后，如果判斷為攻擊行為或異常行為，IDS進(jìn)行告警發(fā)生告警后，可以人為的進(jìn)行響應(yīng)，也可以通過(guò)預(yù)先設(shè)定的相應(yīng)模塊進(jìn)行自動(dòng)響應(yīng)最常見(jiàn)的響應(yīng)方式是IDS和防火墻聯(lián)動(dòng)§7.4告警與響應(yīng)經(jīng)過(guò)采集和分析模塊后，如果判斷為攻擊行105§7.5性能分析IDS系統(tǒng)面臨的一個(gè)矛盾便是性能與功能的折衷對(duì)waRcher而言，其可能影響性能的有三個(gè)地方：內(nèi)核到應(yīng)用層的轉(zhuǎn)換（涉及數(shù)據(jù)拷貝）；數(shù)據(jù)分析（大量的數(shù)據(jù)匹配操作）；記錄日志（IO操作）?！?.5性能分析IDS系統(tǒng)面臨的一個(gè)矛盾便是性能與功能的106§8Snort分析內(nèi)容概要：Snort安裝與配置Snort的使用Snort的規(guī)則Snort總體結(jié)構(gòu)分析§8Snort分析內(nèi)容概要：107§8.1Snort安裝與配置Snort是一個(gè)用C語(yǔ)言編寫(xiě)的開(kāi)放源代碼軟件，符合GPL（GNUGeneralPublicLicense）的要求，當(dāng)前的最新版本是1.8，其作者為MartinRoesch。Snort稱自己是一個(gè)跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)軟件，實(shí)際上它是一個(gè)基于libpcap的網(wǎng)絡(luò)數(shù)據(jù)包嗅探器和日志記錄工具，可以用于入侵檢測(cè)。從入侵檢測(cè)分類上來(lái)看，Snort應(yīng)該算是一個(gè)基于網(wǎng)絡(luò)和誤用的入侵檢測(cè)軟件?！?.1Snort安裝與配置Snort是一個(gè)用C語(yǔ)言編108§8.1.1Snort簡(jiǎn)介

Snort由三個(gè)重要的子系統(tǒng)構(gòu)成：數(shù)據(jù)包解碼器檢測(cè)引擎日志與報(bào)警系統(tǒng)§8.1.1Snort簡(jiǎn)介Snort由三個(gè)重要的子109§8.1.2底層庫(kù)的安裝與配置

安裝Snort所必須的底層庫(kù)有三個(gè)：

Libpcap提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了與數(shù)據(jù)包截獲有關(guān)的過(guò)程Libnet提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了數(shù)據(jù)包的構(gòu)造和發(fā)送過(guò)程N(yùn)DISpacketcaptureDriver是為了方便用戶在Windows環(huán)境下抓取和處理網(wǎng)絡(luò)數(shù)據(jù)包而提供的驅(qū)動(dòng)程序§8.1.2底層庫(kù)的安裝與配置安裝Snort所必須110§8.1.2底層庫(kù)的安裝與配置以Libpcap為例，講解庫(kù)的安裝：檢查L(zhǎng)ibpcap解開(kāi)壓縮包

#tar–zxvflibpcap.tar.z正式安裝

#cdlibpcap#./configure#make#makecheck#makeinstall§8.1.2底層庫(kù)的安裝與配置以Libpcap為例，講解111§8.1.3Snort的安裝

Linux環(huán)境下的安裝（確認(rèn)Libpcap已經(jīng)安裝成功），安裝過(guò)程如下：#tar–zxvfsnort-1.8.tar.gz#cdsnort-1.8#./configure#make#makeinstall§8.1.3Snort的安裝Linux環(huán)境下的安112§8.1.3Snort的安裝Solaris環(huán)境下的安裝（確認(rèn)Libpcap已經(jīng)安裝成功）在Solaris下，同樣可以按照Linux下的步驟和方法使用源代碼包進(jìn)行安裝，另外還提供了Solaris特有的PacketFormat包，安裝方法則比較冷門(mén)一點(diǎn)，所以在此另行說(shuō)明。安裝過(guò)程如下：#pkgtranssnort-1.8-sol-2.7-sparc-local/var/spool/pkg#pkgadd在此選擇“Mrsnort”選項(xiàng)進(jìn)行安裝即可?！?.1.3Snort的安裝Solaris環(huán)境下的安裝（113§8.1.3Snort的安裝Win32環(huán)境下的安裝解開(kāi)snort-1.8-win32-source.zip用VC++打開(kāi)位于snort-1.8-win32-source\snort-1.7\win32-Prj目錄下的snort.dsw文件選擇“Win32Release”編譯選項(xiàng)進(jìn)行編譯在Release目錄下會(huì)生成所需的Snort.exe可執(zhí)行文件?！?.1.3Snort的安裝Win32環(huán)境下的安裝114§8.1.3Snort的安裝§8.1.3Snort的安裝115§8.1.3Snort的安裝§8.1.3Snort的安裝116§8.1.4Snort的配置配置Snort并不需要自已編寫(xiě)配置文件，只需對(duì)Snort.conf文件進(jìn)行修改即可設(shè)置網(wǎng)絡(luò)變量

配置預(yù)處理器配置輸出插件配置所使用的規(guī)則集§8.1.4Snort的配置配置Snort并不需要117§8.2Snort的使用

§8.2.1Libpcap的命令行

Snort和大多數(shù)基于Libpcap的應(yīng)用程序一樣，可以使用標(biāo)準(zhǔn)BPF類型的過(guò)濾器。設(shè)置過(guò)濾器關(guān)鍵字分為以下幾類：屬性類關(guān)鍵字：說(shuō)明后面所跟值的意義，這樣的關(guān)鍵字有host、net、port方向類關(guān)鍵字：說(shuō)明報(bào)文的流向，這樣的關(guān)鍵字有：src、dst、srcordst、srcanddst協(xié)議類關(guān)鍵字：用來(lái)限制協(xié)議，這樣的關(guān)鍵字有：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等

§8.2Snort的使用§8.2.1Libpc118§8.2.2Snort的命令行

Snort的命令行參數(shù)很多，可使用Snort-?命令列出這些參數(shù)及其簡(jiǎn)單的解釋

常見(jiàn)的參數(shù)有：-A<alert>設(shè)置警告模式-a顯示ARP報(bào)文-b以tcpdump格式記錄報(bào)文到日志文件

-c<cf>使用配置文件<cf>-d：顯示應(yīng)用層數(shù)據(jù)-v：更詳細(xì)地輸出

詳細(xì)的解釋可以使用mansnort命令查看幫助頁(yè)，或者直接閱讀README文件和USAGE文件

§8.2.2Snort的命令行Snort的命令行參數(shù)很119§8.2.3高性能的配置方式如果在一個(gè)高數(shù)據(jù)流量（比如大于100Mbps）的網(wǎng)絡(luò)環(huán)境下運(yùn)行Snort，就需要考慮如何配置Snort才能使它高效率地運(yùn)行./snort–b–Afast–csnort-lib./snort–d–csnort-lib–l./log–h/24–rsnort.log§8.2.3高性能的配置方式如果在一個(gè)高數(shù)據(jù)流量（比如大120§8.2.4Snort配置實(shí)例§8.2.4Snort配置實(shí)例121§8.2.4Snort配置實(shí)例§8.2.4Snort配置實(shí)例122§8.2.4Snort配置實(shí)例§8.2.4Snort配置實(shí)例123§8.2.4Snort配置實(shí)例§8.2.4Snort配置實(shí)例124§8.2.4Snort配置實(shí)例§8.2.4Snort配置實(shí)例125§8.2.5使用Snort

§8.2.5使用Snort126§8.2.5使用Snort§8.2.5使用Snort127§8.3Snort的規(guī)則本節(jié)內(nèi)容包括：規(guī)則的語(yǔ)法規(guī)則頭規(guī)則選項(xiàng)預(yù)處理器輸出模塊對(duì)規(guī)則的更新§8.3Snort的規(guī)則本節(jié)內(nèi)容包括：1288.3.1規(guī)則的語(yǔ)法Snort使用了一種簡(jiǎn)單但是靈活、高效的規(guī)則描述語(yǔ)言來(lái)對(duì)檢測(cè)規(guī)則進(jìn)行表述每一個(gè)Snort規(guī)則的描述都必須在單獨(dú)一行內(nèi)完成Snort規(guī)則可以劃分為兩個(gè)邏輯部分：規(guī)則頭（RuleHeader）和規(guī)則選項(xiàng)（RuleOptions）8.3.1規(guī)則的語(yǔ)法Snort使用了一種簡(jiǎn)單但是靈活、高效1298.3.2規(guī)則頭規(guī)則動(dòng)作（Alert、Log、Pass）協(xié)議IP地址端口號(hào)方向操作符8.3.2規(guī)則頭規(guī)則動(dòng)作（Alert、Log、Pass）1308.3.3規(guī)則選項(xiàng)是Snort系統(tǒng)入侵檢測(cè)引擎的核心部分所有的Snort規(guī)則選項(xiàng)之間都使用分號(hào)來(lái)分離規(guī)則選項(xiàng)中的關(guān)鍵字與選項(xiàng)參數(shù)之間使用冒號(hào)隔離當(dāng)前有三十幾種關(guān)鍵字（msg、log、ttl、id、content、flags、seq等）8.3.3規(guī)則選項(xiàng)是Snort系統(tǒng)入侵檢測(cè)引擎的核心部分1318.3.4預(yù)處理器預(yù)處理器的引用大大擴(kuò)展Snort功能，使得用戶和程序員可以容易地加入模塊化的插件預(yù)處理器程序在系統(tǒng)檢測(cè)引擎執(zhí)行前被調(diào)用，但在數(shù)據(jù)包解碼工作之后預(yù)處理程序通過(guò)preprocessor關(guān)鍵字來(lái)引入和配置preprocessor<name>:<options>8.3.4預(yù)處理器預(yù)處理器的引用大大擴(kuò)展Snort功能，使1328.3.5輸出模塊輸出模塊的引入使得Snort能夠以更加靈活的方式來(lái)格式化和顯示對(duì)用戶的輸出輸出模塊被系統(tǒng)的警告或者日志系統(tǒng)所調(diào)用，在預(yù)處理器模塊和檢測(cè)引擎之后執(zhí)行。通過(guò)在規(guī)則文件中指定output關(guān)鍵字，可以在運(yùn)行時(shí)加載對(duì)應(yīng)的輸出模塊。Output<name>:<options>8.3.5輸出模塊輸出模塊的引入使得Snort能夠以更加靈1338.3.6對(duì)規(guī)則的更新要經(jīng)常訪問(wèn)snort的官方網(wǎng)站，更新它所發(fā)布的新規(guī)則。這些規(guī)則通常有一定的通用性和穩(wěn)定性，但時(shí)效上可能要弱一點(diǎn)?？梢约尤胍恍┚W(wǎng)絡(luò)安全的郵件列表，它會(huì)更及時(shí)地根據(jù)當(dāng)前流行的安全漏洞，發(fā)布相應(yīng)的攻擊標(biāo)識(shí)以及相應(yīng)的檢測(cè)規(guī)則

可以根據(jù)自己的環(huán)境定制自己的規(guī)則，或者根據(jù)自己發(fā)現(xiàn)的新攻擊來(lái)編寫(xiě)相應(yīng)的規(guī)則。

8.3.6對(duì)規(guī)則的更新要經(jīng)常訪問(wèn)snort的官方網(wǎng)站，更新134§8.4Snort總體結(jié)構(gòu)分析