網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實(shí)踐教程課件第4章-黑客攻防與檢測防御-知識要點(diǎn)

第4章黑客攻防與檢測防御網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實(shí)踐教程第1章網(wǎng)絡(luò)安全基礎(chǔ)4.2案例分析防范網(wǎng)絡(luò)端口掃描24.3要點(diǎn)小結(jié)34.4實(shí)驗(yàn)四Sniffer網(wǎng)絡(luò)漏洞檢測4

1.1知識要點(diǎn)1

*4.5選擇實(shí)驗(yàn)黑客入侵攻擊模擬演練5

4.6練習(xí)與實(shí)踐6第4章目錄

教學(xué)目標(biāo)●了解黑客的概念和分類●掌握黑客攻擊的目的及攻擊步驟●熟悉黑客常用的攻擊技術(shù)和工具軟件●理解防范黑客的具體有效措施●熟悉入侵檢測與防御系統(tǒng)的概念、功能、特點(diǎn)和應(yīng)用方法●掌握網(wǎng)絡(luò)掃描、入侵攻擊模擬實(shí)驗(yàn)第4章黑客攻防與檢測防御

1.黑客的概念及產(chǎn)生4.1知識要點(diǎn)

2016年4月24日，俄羅斯“紐帶”新聞網(wǎng)報(bào)道稱，丹麥國防部情報(bào)局所屬的網(wǎng)絡(luò)安全中心近日發(fā)布的一份報(bào)告稱，俄羅斯黑客在2015年至2016年間曾入侵丹麥國防部雇員的電子郵件系統(tǒng)，數(shù)千次并訪問這些郵箱賬戶，并獲取了一些非機(jī)密的郵件往來信息。丹麥國防大臣克勞斯約爾特弗雷澤里克森擔(dān)心黑客會攻擊丹麥政府其他部門，他認(rèn)為形勢非常嚴(yán)峻。案例4-14.1.1黑客的概念黑客（Hacker）是音譯詞，最早源自英文動詞“hack”，意為“劈砍”，引申為干一件非常漂亮的工作?！癏acker”一詞最初指熱心于鉆研計(jì)算機(jī)技術(shù)、水平高超的計(jì)算機(jī)專家，尤其熱衷于特殊程序設(shè)計(jì)，他們從事著對計(jì)算機(jī)網(wǎng)絡(luò)最大潛力進(jìn)行智力上的自由探索。當(dāng)時(shí)，黑客是一個(gè)極富褒義的詞，伴隨產(chǎn)生了黑客文化。然而并非所有人都能恪守黑客文化的信條專注于技術(shù)的探索，惡意破壞計(jì)算機(jī)網(wǎng)絡(luò)、盜取系統(tǒng)信息的行為不斷出現(xiàn)，人們把此類具有主觀上惡意企圖的人稱為“駭客”，該名稱來自英文“Cracker”，意為“破壞者”或“入侵者”。

最早的計(jì)算機(jī)1946年在美國賓夕法尼亞大學(xué)出現(xiàn)，而黑客也始于20世紀(jì)50年代。最早的黑客出現(xiàn)在美國麻省理工學(xué)院的人工智能實(shí)驗(yàn)室，一群精力充沛、技術(shù)高超，熱衷于解決計(jì)算機(jī)網(wǎng)絡(luò)難題的學(xué)生，他們自稱黑客，以編制復(fù)雜的程序?yàn)闃啡ぃ_始并沒有功利性目的。此后不久，連接多所大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的美國國防部實(shí)驗(yàn)室網(wǎng)絡(luò)APARNET的建成，黑客活動通過網(wǎng)絡(luò)傳播到更多的大學(xué)及社會。此后，居心不良的人利用手中掌握的“絕技”，借鑒盜打免費(fèi)電話的手法，擅自穿入他人的計(jì)算機(jī)系統(tǒng)，從事隱蔽活動。隨著ARARPNET逐步發(fā)展成為INTERNET，黑客的活動越來越活躍，人數(shù)越來多，形成魚目混珠的局面。黑客的產(chǎn)生4.1知識要點(diǎn)1）為了得到物質(zhì)利益，主要是指獲取金錢和財(cái)物①

竊取情報(bào)；②

報(bào)復(fù)；③

金錢；④

政治目的。4.1知識要點(diǎn)2.黑客的目的黑客實(shí)施攻擊主要目的有兩種2）為了滿足精神需求，主要是指滿足個(gè)人心理欲望

①

好奇心；

②

個(gè)人聲望；

③

智力炫耀。4.1知識要點(diǎn)4.1.2黑客的攻擊步驟1.黑客攻擊的過程

黑客攻擊步驟各異,但其整個(gè)攻擊過程有一定規(guī)律,一般可分為“攻擊五部曲”。隱藏IP地址踩點(diǎn)掃描準(zhǔn)備黑客利用程序的漏洞進(jìn)入系統(tǒng)后安裝后門程序，以便日后可以不被察覺地再次進(jìn)入系統(tǒng)。就是隱藏黑客的位置，以免被發(fā)現(xiàn)。通過各種途徑對所要攻擊目標(biāo)進(jìn)行多方了解,確保信息準(zhǔn)確,確定攻擊時(shí)間和地點(diǎn).獲得特權(quán)種植后門隱身退出即獲得管理/訪問權(quán)限,進(jìn)行攻擊。

為避免被發(fā)現(xiàn),在入侵完后及時(shí)清除登錄日志和其他相關(guān)日志,隱身退出.

黑客攻擊企業(yè)內(nèi)部局域網(wǎng)過程，圖4-1是攻擊過程的示意圖.

討論思考：（1）黑客攻擊的目的與步驟？（2）黑客找到攻擊目標(biāo)后,可以繼續(xù)那幾步的攻擊操作？（3）黑客的行為有哪些？①用Ping查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的IP③用PortScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT④用WWWhack入侵局域網(wǎng)絡(luò)E-mail⑥用Legion掃描局域網(wǎng)⑦植入特洛伊木馬⑤破解Internet賬號與口令（或密碼）②用IPNetworkBrowser掃描企業(yè)內(nèi)部局域網(wǎng)IP圖4-1黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意圖4.2黑客攻擊的目的及過程4.1知識要點(diǎn)2.黑客攻擊分類（1）阻塞類攻擊

阻塞類攻擊企圖通過強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源、存儲空間資源，使服務(wù)器崩潰或資源耗盡無法對外繼續(xù)提供服務(wù)。常見的攻擊方法有拒絕服務(wù)攻擊(DoS，DenialofService)、TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊、電子郵件炸彈等。（2）探測類攻擊

信息探測型攻擊主要是收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、系統(tǒng)信息服務(wù)收集等。目前，正在發(fā)展更先進(jìn)的網(wǎng)絡(luò)無蹤跡信息探測技術(shù)。（3）控制類攻擊

控制型攻擊是一類試圖獲得對目標(biāo)機(jī)器控制權(quán)的攻擊。最常見的三種：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊?？诹畹慕孬@與破解仍然是最有效的口令攻擊手段，進(jìn)一步的發(fā)展應(yīng)該是研制功能更強(qiáng)的口令破解程序；木馬技術(shù)目前著重研發(fā)更新的隱藏技術(shù)和秘密信道技術(shù)；緩沖區(qū)溢出是一種常用攻擊技術(shù)，早期利用系統(tǒng)軟件自身存在的緩沖區(qū)溢出的缺陷進(jìn)行攻擊，現(xiàn)在研究制造緩沖區(qū)溢出。4.1知識要點(diǎn)2.黑客攻擊分類（4）欺騙類攻擊欺騙類攻擊包括IP欺騙和假消息攻擊，前一種通過冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息，后一種攻擊主要是通過配制或設(shè)置一些假信息來實(shí)施欺騙攻擊。主要包括：ARP緩存虛構(gòu)、DNS高速緩存污染、偽造電子郵件等。（5）漏洞類攻擊

漏洞(Hole)是系統(tǒng)硬件或者軟件存在某種形式的安全方面的脆弱性，這種脆弱性存在的直接后果是允許非法用戶未經(jīng)授權(quán)獲得訪問權(quán)或提高其訪問權(quán)限。針對掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實(shí)施的相應(yīng)攻擊，伴隨新發(fā)現(xiàn)的漏洞，攻擊手段不斷翻新，防不勝防。（6）破壞類攻擊破壞類攻擊指對目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊，包括計(jì)算機(jī)病毒、邏輯炸彈等攻擊手段。邏輯炸彈與計(jì)算機(jī)病毒的主要區(qū)別：邏輯炸彈沒有感染能力，它不會自動傳播到其他軟件內(nèi)。由于我國使用的大多數(shù)系統(tǒng)都是國外進(jìn)口的，可能存在邏輯炸彈應(yīng)該保持警惕。對于機(jī)要部門中的計(jì)算機(jī)系統(tǒng)，應(yīng)使用自主研發(fā)的軟件為主。4.1知識要點(diǎn)4.1.3常用的黑客攻擊技術(shù)

網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)的入侵和攻擊在所難免，黑客攻擊的防范成為了網(wǎng)絡(luò)安全管理工作的首要任務(wù)，掌握黑客攻擊防御技術(shù)可以有效地預(yù)防攻擊，做到“知己知彼，百戰(zhàn)不殆”。根據(jù)網(wǎng)絡(luò)攻擊的工作流程，下面將從信息收集、網(wǎng)絡(luò)入侵、種植后門及清除痕跡幾個(gè)方面常見的攻防技術(shù)進(jìn)行分析，如圖4-2所示。圖4-2常用的黑客攻防技術(shù)4.1知識要點(diǎn)1.端口掃描的攻防2017年5月12日，“WannaCry”勒索病毒通過MS17-010漏洞在全球范圍大爆發(fā)。遭到感染的計(jì)算機(jī)中會被植入敲詐者病毒，導(dǎo)致電腦大量文件被加密，只有支付一定的比特幣才可以解鎖?！癢annaCry”利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動傳播的特性?！癢annaCry”勒索病毒爆發(fā)后，至少150個(gè)國家，30萬用戶中招，造成損失達(dá)80億美元。案例4-2（1）端口的概念

端口是計(jì)算機(jī)與外部通信的途徑，它的作用如同進(jìn)出一間房屋的大門，起到了通道的作用。在計(jì)算機(jī)系統(tǒng)中，端口泛指硬件端口，又稱為接口，如計(jì)算機(jī)的串口、并口、輸入/輸出設(shè)備端口、USB接口以及適配器接口、網(wǎng)絡(luò)連接設(shè)備集線器、交換機(jī)、路由器的連接端口等等，這些端口都是看得見摸得著的。

端口掃描器也稱掃描工具、掃描軟件，是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。掃描器通過選用遠(yuǎn)程TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答，搜集到很多關(guān)于目標(biāo)計(jì)算機(jī)的各種有用的信息，如是否有端口在偵聽，是否能用匿名登陸，是否有可寫的FTP目錄，是否能用TELNET，HTTPD是用ROOT還是nobady。掃描器不是一個(gè)直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅能幫助使用者發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)。一個(gè)好的掃描器能對它得到的數(shù)據(jù)進(jìn)行分析，幫助查找目標(biāo)主機(jī)的漏洞。一般來說，一個(gè)好的掃描器應(yīng)當(dāng)具備三項(xiàng)功能：發(fā)現(xiàn)一個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)的能力；發(fā)現(xiàn)一臺計(jì)算機(jī)上正在運(yùn)行什么服務(wù)的能力；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。4.3常用的黑客攻防技術(shù)（2）端口掃描及掃描器4.3常用的黑客攻防技術(shù)（3）端口掃描方式端口掃描的基礎(chǔ)是利用TCP端口的連接定向特性，根據(jù)與目標(biāo)計(jì)算機(jī)某些端口建立的連接的應(yīng)答，從而收集目標(biāo)計(jì)算機(jī)的有用信息，發(fā)現(xiàn)系統(tǒng)的安全漏洞。掃描的方式主要采用手工掃描和端口掃描軟件。（4）端口掃描攻擊與防范對策1）秘密掃描：不能被用戶使用審查工具檢測出來的掃描。2）SOCKS端口探測：SOCKS是一種允許多臺計(jì)算機(jī)共享公用Internet連接的系統(tǒng)。如果SOCKS配置有錯誤，將能允許任意的源地址和目標(biāo)地址通行。3）跳躍掃描：攻擊者快速地在Internet中尋找可供他們進(jìn)行跳躍攻擊的系統(tǒng)。FTP跳躍掃描使用了FTP協(xié)議自身的一個(gè)缺陷。其他的應(yīng)用程序，如電子郵件服務(wù)器、HTTP代理、指針等都存在著攻擊者可用于進(jìn)行跳躍攻擊的弱點(diǎn)。4）UDP掃描：對UDP端口進(jìn)行掃描，尋找開放的端口。4.1知識要點(diǎn)2.網(wǎng)絡(luò)監(jiān)聽的攻防2014年5月26日，中國互聯(lián)網(wǎng)新聞研究中心發(fā)表了《美國全球監(jiān)聽行動記錄》，披露美國對其他國家的監(jiān)聽行為?！队涗洝分赋雒绹鴮ｉT監(jiān)控互聯(lián)網(wǎng)的項(xiàng)目非常龐大，可以監(jiān)控某個(gè)目標(biāo)人物的幾乎所有互聯(lián)網(wǎng)活動。美國國家安全局通過接入全球移動網(wǎng)絡(luò)，每天收集全球高達(dá)50億份手機(jī)通話的位置記錄以及約20億條全球手機(jī)短信。中國有關(guān)部門證實(shí)，長期以來美國對中國政府部門、機(jī)構(gòu)、企業(yè)、大學(xué)、電信主干網(wǎng)絡(luò)進(jìn)行大規(guī)模監(jiān)控、攻擊以及入侵活動，其監(jiān)聽行動涉及中國領(lǐng)導(dǎo)人、普通網(wǎng)民、廣大手機(jī)用戶等。案例4-3（1）網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽又稱為網(wǎng)絡(luò)嗅探，是指通過某種手段監(jiān)視網(wǎng)絡(luò)狀態(tài)，并截獲他人網(wǎng)絡(luò)上通信的數(shù)據(jù)流，以非法獲得重要信息的一種方法。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式。在此模式下，主機(jī)可以接收到本網(wǎng)絡(luò)在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接受方是誰。此時(shí)，如果兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具可以輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。4.3常用的黑客攻防技術(shù)（2）網(wǎng)絡(luò)監(jiān)聽檢測網(wǎng)絡(luò)監(jiān)聽為網(wǎng)絡(luò)管理員提供了管理網(wǎng)絡(luò)的手段，起到監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)、排除網(wǎng)絡(luò)故障等作用，正是由于其對于網(wǎng)絡(luò)強(qiáng)大的監(jiān)測能力，成為了黑客獲取在局域網(wǎng)上傳輸?shù)拿舾行畔⒌囊环N重要手段。以太網(wǎng)是局域網(wǎng)常使用的一種技術(shù)，以太網(wǎng)的工作方式是將要發(fā)送的數(shù)據(jù)幀發(fā)送到同一網(wǎng)絡(luò)中所有的主機(jī)，只有與數(shù)據(jù)幀中的目標(biāo)地址一致的主機(jī)才能接受數(shù)據(jù)幀。如果將主機(jī)的網(wǎng)絡(luò)接口設(shè)置為混雜（promiscuous）模式，則無論接受到的數(shù)據(jù)幀中的目標(biāo)地址是什么，該主機(jī)可以接受到所有在以太網(wǎng)上傳輸?shù)臄?shù)據(jù)幀，包括在網(wǎng)絡(luò)上傳輸?shù)目诹畹让舾行畔?。這也就是如SnifferPro等的網(wǎng)絡(luò)監(jiān)聽工具的工作原理。通常將網(wǎng)絡(luò)監(jiān)聽攻擊放置在被攻擊主機(jī)或網(wǎng)絡(luò)附近，也可將其放在網(wǎng)關(guān)或路由器上，如圖4-3所示。圖4-3Sniffer軟件工作原理4.3常用的黑客攻防技術(shù)（3）網(wǎng)絡(luò)監(jiān)聽的防范1）從邏輯或物理上對網(wǎng)絡(luò)分段。通過網(wǎng)絡(luò)分段將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。網(wǎng)絡(luò)分段是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。2）以交換式集線器代替共享式集線器。網(wǎng)絡(luò)終端用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器，因此，局域網(wǎng)中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，仍然面臨被監(jiān)聽的危險(xiǎn)。當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺主機(jī)之間的數(shù)據(jù)包（單播包）會被同一臺集線器上的其他用戶所監(jiān)聽，應(yīng)用交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。3）使用加密技術(shù)。若主機(jī)設(shè)置為監(jiān)聽模式，則局域網(wǎng)中傳輸?shù)娜魏螖?shù)據(jù)都可以被主機(jī)所監(jiān)聽，將原始數(shù)據(jù)經(jīng)過加密后在網(wǎng)絡(luò)上傳輸，即使監(jiān)聽得到的數(shù)據(jù)包往往是亂碼，沒有使用價(jià)值。但是使用加密技術(shù)的缺點(diǎn)是影響數(shù)據(jù)傳輸速度，若采用了弱加密技術(shù)的數(shù)據(jù)仍然容易被破解。4）劃分VLAN。運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，可以將局域網(wǎng)分割成一個(gè)個(gè)的小段，讓數(shù)據(jù)包在小段內(nèi)傳輸，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，從而可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。5）使用動態(tài)口令技術(shù)，使得監(jiān)聽結(jié)果再次使用時(shí)無效。4.1知識要點(diǎn)3.社會工程學(xué)的攻防（1）社會工程學(xué)攻擊社會工程學(xué)攻擊是一種利用社會工程學(xué)來實(shí)施的網(wǎng)絡(luò)攻擊行為，通常利用大眾的疏于防范的詭計(jì)，騙取對方新任，獲取機(jī)密情報(bào)。（2）社會工程學(xué)攻擊的防范為了免受社會工程學(xué)攻擊，從以下幾點(diǎn)保持警惕：1）學(xué)會鑒別和防御網(wǎng)絡(luò)攻擊者，知識武裝頭腦，掌握信息是預(yù)防社會工程學(xué)攻擊的最有力工具。2）對于來路不明的服務(wù)供應(yīng)商等人的電子郵件、即時(shí)簡訊以及電話，不要輕易提供個(gè)人信息；對于未知發(fā)送者電子郵件中的嵌入鏈接和附件，不要隨便點(diǎn)擊和下載。3）關(guān)注網(wǎng)站的URL，盡量手動輸入，避免釣魚網(wǎng)站。4）及時(shí)下載和更新操作系統(tǒng)及常用軟件的補(bǔ)丁，預(yù)防漏洞。5）安裝及使用防火墻保護(hù)計(jì)算機(jī)。4.1知識要點(diǎn)4.密碼破解的攻防2012年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。隨后，CSDN“密碼外泄門”持續(xù)發(fā)酵，天涯、世紀(jì)佳緣等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄露。天涯網(wǎng)于12月25日發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露。針對泄露的CSDN用戶口令統(tǒng)計(jì)，近45萬用戶使用123456789和12345678做口令；近40萬用戶使用自己的生日做口令；近15萬的用戶使用自己的手機(jī)號做口令；近25萬的用戶使用自己的QQ號做口令。其中，設(shè)置成弱口令的用戶占了590萬，只有8000多個(gè)用戶的口令里在8個(gè)長度以上，并有大寫字母、小寫字母和數(shù)字，并不在常見的口令字典表里。案例4-4黑客依靠獲得計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)的賬號和密碼進(jìn)行網(wǎng)絡(luò)攻擊的行為，稱之為“口令攻擊”?？诹钍呛芏嘞到y(tǒng)認(rèn)證用戶的唯一標(biāo)識，這種攻擊的前提是必須得到主機(jī)的某個(gè)合法用戶的賬號，然后進(jìn)行合法用戶的口令的破解。4.3常用的黑客攻防技術(shù)（1）口令攻擊的方法1）暴力攻擊。暴力攻擊是利用無窮列舉的方法嘗試賬號或口令的方法。針對固定長度的口令，只要有足夠的時(shí)間，總能窮舉出所有可能的組合值，如字母、數(shù)字、特殊字符等的組合。2）字典攻擊。字典攻擊是將一些網(wǎng)絡(luò)用戶經(jīng)常使用的口令集中起來存放在一個(gè)稱為“口令字典”的文本文件中，通過對字典中的口令逐一進(jìn)行比較猜測口令的方法。3）組合攻擊。實(shí)際應(yīng)用中，網(wǎng)絡(luò)系統(tǒng)要求用戶的口令采用字母和數(shù)字的組合，許多用戶將原先的口令尾部添加幾個(gè)數(shù)字，組成新的口令，如hello改成hello123，組合口令攻擊對于此類口令的攻擊效果顯著。組合攻擊就是在使用詞典單詞的基礎(chǔ)上，在單詞的后面串接幾個(gè)字母和數(shù)字進(jìn)行攻擊的攻擊方式。4）口令存儲攻擊。通常，在操作系統(tǒng)中存儲了一些口令文件，如Windows系統(tǒng)的SAM文件、Linux系統(tǒng)的Shadow文件。用戶的口令信息以明文或者密文的方式存放在這些文件中，黑客只要能夠遠(yuǎn)程控制或者本地操作目標(biāo)主機(jī)，那么通過一些技術(shù)手段破解口令文件，獲取到這些口令的明文，這就是口令存儲攻擊。4.3常用的黑客攻防技術(shù)（2）口令破解工具口令破解工具是用于破解口令的應(yīng)用程序，大多數(shù)口令破解工具并不是真正意義上的解碼，而是通過嘗試加密后的口令與要解密的口令進(jìn)行比較，直到數(shù)據(jù)一致，則認(rèn)為這個(gè)數(shù)據(jù)就是要破解的密碼。（3）密碼破解防范對策通常情況下，網(wǎng)絡(luò)用戶應(yīng)注意以下“5不要”：1）不要選取容易被黑客猜測到的信息做密碼，如生日、手機(jī)號碼后幾位等；2）不要將密碼寫到紙上，以免出現(xiàn)泄露或遺失問題；3）不要將密碼保存在電腦或其他磁盤文件中；4）不要讓他人知道，以免增加不必要的損失和免費(fèi)；5）不要在多個(gè)不同系統(tǒng)中使用同一密碼。4.1知識要點(diǎn)5.緩沖器溢出的攻防（1）緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是指通過向緩沖區(qū)寫入超出其長度的大量文件或信息內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令或使得攻擊者篡奪程序運(yùn)行的控制權(quán)。如果該程序具有足夠的權(quán)限，那么整個(gè)網(wǎng)絡(luò)或主機(jī)就被控制了，達(dá)到黑客期望的攻擊目的。（2）緩沖區(qū)溢出攻擊的防范方法緩沖區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)。如果能有效地消除緩沖區(qū)溢出的漏洞，則很大一部分的安全威脅可以得到緩解。保護(hù)緩沖區(qū)免受緩沖區(qū)溢出攻擊和影響的方法是提高軟件編寫者的能力，強(qiáng)制編寫正確代碼。利用編譯器的邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)，這個(gè)方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對而言代價(jià)比較大。4.1知識要點(diǎn)6.拒絕服務(wù)的攻防（1）拒絕服務(wù)攻擊

拒絕服務(wù)攻擊（DenialofService，DoS），并非微軟的DOS操作系統(tǒng)。DoS攻擊是指黑客利用合理的服務(wù)請求來占用過多的服務(wù)資源，使合法用戶無法得到服務(wù)的響應(yīng)，直至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)的攻擊方式。DoS攻擊的目的是使目標(biāo)主機(jī)停止網(wǎng)絡(luò)服務(wù)，而其它類型的攻擊的目的往往是獲取主機(jī)的控制權(quán)利。一旦主機(jī)遭受了DoS，其常表現(xiàn)出的現(xiàn)象有：被攻擊的主機(jī)上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊；利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時(shí)處理所有正常請求；嚴(yán)重時(shí)會造成系統(tǒng)死機(jī)。4.1知識要點(diǎn)6.拒絕服務(wù)的攻防分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）是利用更多的傀儡機(jī)（肉雞）來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者，DDoS是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。DDoS的攻擊原理如圖4-4所示，是通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備（如防火墻、路由器等）負(fù)載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的Internet服務(wù)。圖4-4DDoS的攻擊原理4.1知識要點(diǎn)（2）常見的拒絕服務(wù)攻擊1）TCPSYN拒絕服務(wù)攻擊。利用了TCP/IP協(xié)議的固有漏洞，面向連接的TCP三次握手是TCPSYN拒絕服務(wù)攻擊存在的基礎(chǔ)。標(biāo)準(zhǔn)的TCP握手需要三次包交換來建立：當(dāng)服務(wù)器接收到客戶機(jī)發(fā)送的SYN包后，必須回應(yīng)一個(gè)SYN/ACK包，然后等待客戶機(jī)回應(yīng)一個(gè)ACK包來確認(rèn)，從而建立起真正的連接。如果客戶機(jī)只發(fā)送初始的SYN包而不向服務(wù)器發(fā)送確認(rèn)的ACK包，則會導(dǎo)致服務(wù)器一直等待ACK包直到超時(shí)為止。由于服務(wù)器在有限的時(shí)間內(nèi)只能響應(yīng)有限數(shù)量的連接，這就會導(dǎo)致服務(wù)器一直等待回應(yīng)而無法響應(yīng)其他機(jī)器的連接請求。如果客戶機(jī)連續(xù)不斷地發(fā)送SYN包，使得目標(biāo)無法響應(yīng)合法用戶的連接請求，就會發(fā)生拒絕服務(wù)，如圖4-5所示。圖4-5TCPSYN拒絕服務(wù)攻擊4.1知識要點(diǎn)（2）常見的拒絕服務(wù)攻擊2）Smurf攻擊。利用了TCP/IP中的定向廣播特性，廣播信息可以通過廣播地址發(fā)送到整個(gè)網(wǎng)絡(luò)中的所有主機(jī)，當(dāng)某臺主機(jī)使用廣播地址發(fā)送一個(gè)ICMPecho請求包時(shí)，一些系統(tǒng)會回應(yīng)一個(gè)ICMPecho回應(yīng)包，也就是說，發(fā)送一個(gè)包會收到許多的響應(yīng)包。Smurf攻擊正是基于這樣的原理來顯示的。為了使網(wǎng)絡(luò)上某臺主機(jī)成為被攻擊的對象，將該主機(jī)的地址作為發(fā)送源地址，目的地址為廣播地址的包，這樣會有許多的系統(tǒng)響應(yīng)發(fā)送大量的信息給被攻擊的主機(jī)。大量的ICMPecho應(yīng)答包會發(fā)送到被攻擊主機(jī)而消耗其網(wǎng)絡(luò)帶寬和CPU周期。如圖4-6所示。圖4-6Smurf攻擊4.1知識要點(diǎn)（2）常見的拒絕服務(wù)攻擊3）Ping洪流攻擊。利用了早期操作系統(tǒng)在處理ICMP協(xié)議數(shù)據(jù)包時(shí)存在的漏洞。早期許多操作系統(tǒng)對TCP/IP協(xié)議的ICMP包長度規(guī)定為固定大小64KB，在接受ICMP數(shù)據(jù)包時(shí)，只開辟64KB的緩存區(qū)存儲接受的數(shù)據(jù)包。一旦發(fā)送過來的ICMP數(shù)據(jù)包的實(shí)際尺寸超過64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報(bào)文向緩存區(qū)填寫時(shí)，報(bào)文長度大于64KB，就會產(chǎn)生一個(gè)緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)的重啟動或是死機(jī)。這種攻擊也被稱為“PingofDeath”。4）淚滴攻擊。“淚滴”也被稱為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個(gè)實(shí)現(xiàn)這種攻擊的程序名稱為Teardrop，所以這種攻擊也被稱為“淚滴”。淚滴攻擊的工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。也就是利用了在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的數(shù)據(jù)包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。5）Land攻擊。與SYNfloods類似，不過在Land攻擊包中的源地址和目標(biāo)地址都是攻擊對象的IP。這種攻擊會導(dǎo)致被攻擊的機(jī)器死循環(huán)，最終耗盡運(yùn)行的系統(tǒng)資源而死機(jī)，難以正常運(yùn)行。4.1知識要點(diǎn)（3）拒絕服務(wù)攻擊檢測與防范

主要檢測DDoS的方法有2種：根據(jù)異常情況分析和使用DDoS檢測工具。通常，對DDoS的主要防范策略主要包括：1）盡早發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序；2）在網(wǎng)絡(luò)安全管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)；

3）利用網(wǎng)絡(luò)安全設(shè)備（如防火墻）等來加固網(wǎng)絡(luò)的安全性；4）對網(wǎng)絡(luò)安全訪問控制和限制。比較有效的防御措施就是與網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，幫助用戶實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制；5）當(dāng)發(fā)現(xiàn)主機(jī)正在遭受DDoS時(shí)，應(yīng)當(dāng)啟動應(yīng)付策略，盡快追蹤攻擊包，并及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量；6）對于潛在的DDoS應(yīng)當(dāng)及時(shí)清除，以免留下后患。7.特洛伊木馬的攻防（1）特洛伊木馬概述特洛伊木馬（Trojanhorse）簡稱“木馬”。黑客借用古希臘神話《木馬屠城記》其名，將隱藏在正常程序中的一段惡意代碼稱作特洛伊木馬。木馬系統(tǒng)組成：由硬件部分、軟件部分和連接控制部分組成。一般都包括客戶端和服務(wù)端兩個(gè)程序，客戶端用于遠(yuǎn)程控制植入木馬，服務(wù)器端即是木馬程序。木馬特點(diǎn)：偽裝成一個(gè)實(shí)用工具、游戲等,誘使用戶下載并將其安裝在PC或服務(wù)器上;侵入用戶電腦并進(jìn)行破壞;一般木馬執(zhí)行文件較小,若將木馬捆綁到其他正常文件上很難發(fā)現(xiàn);木馬可與最新病毒、漏洞工具一起使用,幾乎可躲過殺毒軟件.

4.1知識要點(diǎn)（3）特洛伊木馬攻擊過程4.1知識要點(diǎn)配置木馬傳播木馬運(yùn)行木馬泄露信息建立連接遠(yuǎn)程控制（2）木馬的植入方式木馬植入的方式主要是利用點(diǎn)擊鏈接、郵件、下載軟件等，先設(shè)法將木馬程序放置到被攻擊者的系統(tǒng)里，然后通過提示故意誤導(dǎo)被攻擊者打開可執(zhí)行文件（木馬）。木馬也可以通過Script、ActiveX及Asp.CGI交互腳本的方式植入，以及利用系統(tǒng)的一些漏洞進(jìn)行植入，如微軟著名的US服務(wù)器溢出漏洞。植入方式包括：網(wǎng)站植入、升級植入、漏洞植入、U盤植入、程序綁定等方式。（4）木馬的防范對策提高安全防范意識，不要輕易打開電子郵件附件，盡管有時(shí)并非陌生人的郵件，如果要閱讀，可以先以純文本方式閱讀郵件；在打開或下載文件之前，一定要確認(rèn)文件的來源是否可靠；安裝和使用最新的殺毒軟件，特別是帶有木馬病毒攔截功能的殺毒軟件；監(jiān)測系統(tǒng)文件、注冊表、應(yīng)用進(jìn)程和內(nèi)存等的變化，定期備份文件和注冊表；特別需要注意的是不要輕易運(yùn)行來歷不明軟件或從網(wǎng)上下載的軟件，即使通過了一般反病毒軟件的檢查也不要輕易運(yùn)行；即使更新系統(tǒng)漏洞補(bǔ)丁，升級系統(tǒng)軟件和應(yīng)用軟件；不要隨意瀏覽陌生網(wǎng)站，特別是網(wǎng)站上一些廣告條和來歷不明的網(wǎng)絡(luò)鏈接，這些很可能是木馬病毒的入口；在計(jì)算機(jī)安裝并運(yùn)行防護(hù)墻。4.1知識要點(diǎn)4.1知識要點(diǎn)

隨著智能手機(jī)的應(yīng)用功能越來越強(qiáng)大，原本集中在計(jì)算機(jī)間傳播的木馬已經(jīng)在手機(jī)之間傳播，手機(jī)木馬成為了黑客謀取利益、獲取重要信息的主要手段之一。手機(jī)木馬一般有兩大特征：一是多以圖片、網(wǎng)址、二維碼的形式偽裝；二是需要用戶點(diǎn)擊下載操作。防范手機(jī)木馬要注意以下幾點(diǎn)：不要點(diǎn)擊陌生人發(fā)送的鏈接、二維碼截圖、壓縮包等；不要接受陌生請求，如無線傳輸功能的藍(lán)牙、紅外接收信息時(shí)，選擇安全可靠的傳送對象，因?yàn)槭謾C(jī)病毒會自動搜索無線范圍內(nèi)的設(shè)備進(jìn)行病毒的傳播；安裝手機(jī)應(yīng)用要到官網(wǎng)下載，最好仔細(xì)閱讀應(yīng)用授權(quán)說明；不要瀏覽危險(xiǎn)網(wǎng)站，比如一些黑客，色情網(wǎng)站，其中本身就隱匿著許多病毒與木馬，手機(jī)瀏覽此類網(wǎng)站是非常危險(xiǎn)的。8.網(wǎng)絡(luò)欺騙的攻防（1）WWW欺騙

WWW的欺騙是指黑客篡改訪問站點(diǎn)頁面或?qū)⒂脩粢獮g覽的網(wǎng)頁URL改寫為指向黑客的服務(wù)器。“網(wǎng)絡(luò)釣魚”（Phishing）是指利用欺騙性很強(qiáng)、偽造的Web站點(diǎn)來進(jìn)行詐騙活動,目的在于釣取用戶的賬戶資料,假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益.可被用作網(wǎng)絡(luò)釣魚的攻擊技術(shù)有：URL編碼結(jié)合釣魚技術(shù)，Web漏洞結(jié)合釣魚技術(shù),偽造Email地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。

防范攻擊可以分為兩個(gè)方面：其一對釣魚攻擊利用的資源進(jìn)行限制。如Web漏洞是Web服務(wù)提供商可直接修補(bǔ)；郵件服務(wù)商可使用域名反向解析郵件發(fā)送服務(wù)，提醒用戶是否收到匿名郵件;其二及時(shí)修補(bǔ)漏洞.如瀏覽器漏洞,須打上補(bǔ)丁.4.1知識要點(diǎn)8.網(wǎng)絡(luò)欺騙的攻防（2）電子郵件攻擊1）電子郵件攻擊方式

電子郵件欺騙是指攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。電子郵件欺騙的目的主要是在隱藏自己的身份的同時(shí)，冒充他人騙取敏感信息。

2）防范電子郵件攻擊的方法

使用郵件程序的Email-notify功能過濾信件，它不會將信件直接從主機(jī)上下載下來，只會將所有信件的頭部信息(Headers)送過來，它包含了信件的發(fā)送者，信件的主題等信息；用View功能檢查頭部信息，看到可疑信件，可直接下指令將它從主機(jī)Server端刪除掉。拒收某用戶信件方法。在收到某特定用戶的信件后,自動退回(相當(dāng)于查無此人)。4.1知識要點(diǎn)8.網(wǎng)絡(luò)欺騙的攻防（3）IP欺騙

IP欺騙是黑客的一種攻擊形式。黑客在與網(wǎng)絡(luò)上的目標(biāo)計(jì)算機(jī)通信時(shí)，借用第三方的IP地址，從而冒充另一臺計(jì)算機(jī)與目標(biāo)計(jì)算機(jī)的通信。這是利用了TCP/IP協(xié)議的缺陷，根據(jù)IP協(xié)議，數(shù)據(jù)包的頭部包含源地址和目的地址。而一般情況下，路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，只根據(jù)目的地址查路由表并轉(zhuǎn)發(fā)，并不檢查源地址。黑客正是利用這一缺陷，在向目的計(jì)算機(jī)發(fā)送數(shù)據(jù)包時(shí)，將源地址改寫為被攻擊者的IP地址，這樣這個(gè)數(shù)據(jù)包在到達(dá)目標(biāo)計(jì)算機(jī)后，便可能向被攻擊者進(jìn)行回應(yīng)，這就是所謂的IP地址欺騙攻擊。4.1知識要點(diǎn)9.種植后門4.1知識要點(diǎn)

黑客實(shí)施攻擊后，為了保持對侵入的主機(jī)保持長久控制，常會在主機(jī)上種植網(wǎng)絡(luò)后門，方便日后再次通過后門入侵系統(tǒng)。建立的后門應(yīng)使得系統(tǒng)管理員無法阻止攻擊者再次進(jìn)入系統(tǒng)，同時(shí)使攻擊者在系統(tǒng)中不易被發(fā)現(xiàn)，攻擊者再次進(jìn)入系統(tǒng)的時(shí)間開銷少。

后門程序是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。最初是軟件程序員為了便于修改程序設(shè)計(jì)中的缺陷而在軟件開發(fā)階段創(chuàng)建的后門程序，逐漸被黑客加以利用，成為了黑客入侵和控制攻擊目標(biāo)的一種途徑。后門也可以說是一種登錄系統(tǒng)的方法，作為一種黑客工具，不用于計(jì)算機(jī)病毒具有感染性，后門是為了繞過系統(tǒng)已有的安全設(shè)置，方便的進(jìn)入系統(tǒng)。10.清除痕跡4.1知識要點(diǎn)

黑客一旦入侵過系統(tǒng)，并非毫無痕跡留下，系統(tǒng)會記錄黑客的IP地址以及相應(yīng)操作事件，系統(tǒng)管理員可以通過有關(guān)的文件記錄查找出入侵證據(jù)。因此，黑客在完成入侵任務(wù)后，除了斷開與遠(yuǎn)程主機(jī)/服務(wù)器的連接之外，還要盡可能的避免留下攻擊取證數(shù)據(jù)，同時(shí)為后續(xù)的攻擊作好準(zhǔn)備，黑客需要清除攻擊痕跡。刪除事件日志是黑客用來清除攻擊痕跡的最主要手段。入侵者可以遠(yuǎn)程控制主機(jī)，對該系統(tǒng)的日志文件進(jìn)行手工清除，也可以編寫批處理文件實(shí)現(xiàn)對日志文件的清除，另外，利用第三方軟件來清除一些手動難以清除的系統(tǒng)日志也是常用的方法。4.1.4網(wǎng)絡(luò)攻擊的防范策略在主觀上重視，客觀上積極采取措施。制定規(guī)章制度和管理制度，普及網(wǎng)絡(luò)安全教育，使用戶需要掌握網(wǎng)絡(luò)安全知識和有關(guān)的安全策略。在管理上應(yīng)當(dāng)明確安全對象，建立強(qiáng)有力的安全保障體系，按照安全等級保護(hù)條例對網(wǎng)絡(luò)實(shí)施保護(hù)與監(jiān)督。認(rèn)真制定有針對性的防攻措施，采用科學(xué)的方法和行之有效的技術(shù)手段，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，使每一層都成為一道關(guān)卡,從而讓攻擊者無隙可鉆、無計(jì)可使.在技術(shù)上要注重研發(fā)新方法，同時(shí)還必須做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份（如主機(jī)系統(tǒng)日志）、關(guān)閉不用的主機(jī)服務(wù)端口、終止可疑進(jìn)程和避免使用危險(xiǎn)進(jìn)程、查詢防火墻日志詳細(xì)記錄、修改防火墻安全策略等。4.1知識要點(diǎn)4.1.4網(wǎng)絡(luò)攻擊的防范措施1）加強(qiáng)網(wǎng)絡(luò)安全防范法律法規(guī)等宣傳和教育，提高安全防范意識。2）加固網(wǎng)絡(luò)系統(tǒng)，及時(shí)下載、安裝系統(tǒng)補(bǔ)丁程序。3）盡量避免從Internet下載不知名的軟件、游戲程序。4）不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行不熟悉的人給用戶的程序。5）不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時(shí)會發(fā)出用戶的個(gè)人信息。6）在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看源地址及代碼，可能是騙取密碼的陷阱7）設(shè)置安全密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼最好經(jīng)常更換。8）使用防病毒/黑客等防火墻軟件,以阻檔外部網(wǎng)絡(luò)侵入。9）隱藏自已的IP地址。10)切實(shí)做好端口防范.安裝端口監(jiān)視程序,關(guān)閉不用端口。11)加強(qiáng)IE瀏覽器對網(wǎng)頁的安全防護(hù)。12)上網(wǎng)前備份注冊表。13）加強(qiáng)管理。4.1知識要點(diǎn)

討論思考：（1）為什么要防范黑客攻擊？如何防范黑客攻擊？（2）簡述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？（3）說出幾種通過對IE屬性的設(shè)置來提高IE訪問網(wǎng)頁的安全性的具體措施？4.1.5入侵檢測系統(tǒng)的概念1.入侵檢測系統(tǒng)（1）入侵檢測相關(guān)概念

入侵是對信息系統(tǒng)的非授權(quán)訪問及未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作，而入侵檢測（IntrusionDetection，ID）是就是對正在入侵或已經(jīng)發(fā)生的入侵行為的檢測和識別。根據(jù)國標(biāo)GB/T18336給出的定義，入侵檢測是指“通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。

入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是指對入侵行為自動進(jìn)行檢測、監(jiān)控和分析過程的軟件與硬件的組合系統(tǒng)，是一種自動監(jiān)測信息系統(tǒng)內(nèi)、外入侵事件的安全設(shè)備。入侵檢測系統(tǒng)可以稱為防火墻之后的第二道防線，在網(wǎng)絡(luò)受到攻擊時(shí)，發(fā)出警報(bào)或采取一定的干預(yù)措施，與防火墻形成互補(bǔ)，通過合理搭配部署和聯(lián)動提升網(wǎng)絡(luò)安全級別。4.1知識要點(diǎn)（2）入侵檢測系統(tǒng)的主要功能一般的入侵檢測系統(tǒng)的主要功能包括如下幾個(gè)。1）具有對網(wǎng)絡(luò)流量的跟蹤與分析功能。跟蹤用戶從進(jìn)入網(wǎng)絡(luò)到退出網(wǎng)絡(luò)的所有活動，實(shí)時(shí)監(jiān)測并分析用戶在系統(tǒng)中的活動狀態(tài)。2）對已知攻擊特征的識別功能。識別特類攻擊，向控制臺報(bào)警，為防御提供依據(jù)。