|
在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然!本文对IDS的概念、行为及策略等方面内容以问答形式进行全面介绍,期望帮助管理者更快和更好地使用IDS。 问:都有哪些重要的IDS系统? 根据监测对象不同,IDS系统分为很多种,以下是几种很重要的IDS系统: 1、NIDS NIDS是network intrusion detection system的缩写,即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。 NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通讯信息,另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。 2、SIV SIV是system integrity verifiers的缩写,即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修改,以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现,比如“Tripwire”,它可以检测到重要系统组件的变换情况,但并不产生实时的报警信息。 3、LFM LFM是log file monitors的缩写,即日志文件监测器,主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有“phf”攻击。 4、Honeypots 蜜罐系统,也就是诱骗系统,它是一个包含漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据,这看起来有“诱捕”的感觉。 问:谁是入侵者? 通常我们将入侵者称为hacker,但实际上这是不准确的。可以这么说:hacker是发现系统漏洞并修补漏洞的,cracker才是利用漏洞占山头搞破坏的入侵者。为了不混淆视听,在此干脆统一叫作入侵者吧。一般来说,入侵者分为两类:内部和外部。内部入侵者通常利用社会工程学盗用非授权帐户进行非法活动,比如使用其他人的机器、冒充是处长或局长;外部入侵者则要借助一定的攻击技术对攻击目标进行监测、查漏,然后采取破坏活动。 有一点请牢记:统计表明,入侵行为有80%来自内部。 问:入侵者如何进入系统? 主要有三种方式: 1、物理入侵 指入侵者以物理方式访问一个机器进行破坏活动,例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。 2、系统入侵 指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常,如果系统没有及时“打”最近的补丁程序,那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。 3、远程入侵 指入侵者通过网络渗透到一个系统中。这种情况下,入侵者通常不具备任何特殊权限,他们要通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术执行破坏活动。NIDS主要针对的就是这种入侵。
问:入侵者为何能闯入系统? 苍蝇不盯无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以,了解这些缝都有可能在哪里,对于修补它们至关重要。通常,裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。 1、软件编写存在bug 无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的东西,都会存在不同程度的bug。Bug主要分为以下几类: 缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻���xd+9#k�����i):`&+�[�]8�8g+����:`o##:/#`9k*9."+,9.*b9k/9o##ybyfj9d9k-#: #9aiy/z !yc 9/oc!9fj9l,z "k#:/ 9iyb!9a#9$9..-b ����d+9b9kk�����od#9&`&++*9b9kk8/#9aiy/z !yl,zg :)y`'e% !za*99biz)#$y.m.#z ,9aiy/z !yd+:(c9..f..*9#9+j:(;y"yc y.ey/kdy."aiy/z !y.fj9.b!:/k���/."�\��^H�]��X�����/+y.yo#,y+&aiy/z !y.#yoc:)#:g :)y+9ayk-ko9koex����8c�����c&n.:`f9g*9. 9.*cey+{/V9c+]��\.g+*:eg9`"{9c+�\[LYxaiy/z !y. 9c#9l,yco-:)"9am.+yo,yck���x)�����-,y.+c#y`f+: #9l!k*9. 9o(9."c+.""% !yg*:/9&y.#y."yy"y. 9/cx'9k'xaiy/z !y'9b9ogn.9io{/g9.h9iz+9l,y+oamx`9.#9b*iy/z !y����/&m"�����bczgh,:/*e;/&m"+*:ggf:%/yy*:gg9`-c9gg.#9/om..fj8aaay+o`:eoydf9/by+9/c9"y.y/h9c#9.+.b;+9/c#9. 9'l9b9.#:`l,y+y����e&an9giy/yg.k����`:,$yg.k,y+iy/z !z`&.ha9l'z+. an9giy/ygh+-eyneyleyo 9����xi%` �����mo;&9.#yaiy/z !y.9. 9iyl,y+ 9b!.!c:, az-a9xa9y!y&/o�mdy9/ko9%�Ym(�kk.fj9d#y'9alk9c9ak9o 9:e / 9iyk(!y+j9.#y����az`! �����k..!+9lg)yg,9g`8..#yaiy/z !yl!kc9iybe8y"{`cyc*hmzgh'9+f9g*�y#&*��[m 9k'9.`9.fj;k!j9i��j9+"yc*9#ybx/.`g.h9g;/#z iy/z(c9../a+Q�! 'y !x'9"y.h9b:eb)'I����#*y�����g*9b,9.o 9i9b&y.gc-*9i&g*9i9&9b%."&/*:/ny.+yayaiyhoy.e,[���[X[;iz !&+9kyaj9)&/ yi)l9k.kk+f9g*:!#y+z$e$.a#&o9ceyc-:)n9od#9"9/o&yo#.$9b#y.9 ����8!&-�����kaiy/z !z #:* ;. 9鹢$9biy/y..+y. 9c.fj;l,yc+,aiy/z !yg*:)y`fl,y+iy/y/mb-`(9#ay.#e#:/,zg :)yk%am.c9.z`(;% !ykz("*:jk9n% !yh.d#e" /#�k9m9)b c%.az`dy.+ykyaj9z`&n.:`#:/ 9iyg,;aiy/z !yl!.+9. 9c.fj9/g9..-o.dy.+yam.幧.fj;ko."*kz.����x.$9 �����b,9i;aiy/z !yc+$9..{bjy.",y+$99.% !yk9k#*8% !y*9-a98% !y.Uhmzghayk{!!/h9.fj9/g9..-om.幧.fj8���."+:++"yaiy/z !y`&n.:(c9../"y. 9aiy/yg.k.:(.'�\���^H�]��X'{$ymd*+'y-b,:+9i&.% !y*"9d)#z/*9g*:/yg*9bcyb9."'9.'y.)9ke \���^H�]��X. :"+9izj9+'9. 9.*[�\]9g,9g`;'9am."+"y!9#&9"{.ykm9#*yyc9. � | 
转播
