第 5 章 安全防护与入侵检测

1. 5.1 5.2 5.3 Sniffer Pro网络管理与监视 入侵检测系统 蜜罐系统 第5章 安全防护与入侵检测

2. 本章学习要点 • 掌握Sniffer Pro的主要功能与基本组成 • 掌握Sniffer Pro的基本使用方法和数据的捕获

3. 了解如何利用Sniffer Pro进行网络优化与故障排除 • 掌握入侵检测系统的定义与分类以及选择方法 • 了解蜜罐的定义、分类和应用

4. 5.1 Sniffer Pro网络管理与监视 • 5.1.1 Sniffer Pro的功能 • 它主要具有以下功能。 • 实时监测网络活动。 • 数据包捕捉与发送。 • 网络测试与性能分析。 • 利用专家分析系统进行故障诊断。 • 网络硬件设备测试与管理。

5. 5.1.2 Sniffer Pro的登录与界面 • 1．Sniffer Pro的登录 图5.1 选择网络适配器

6. 图5.2 Sniffer Pro的工作界面

7. 2．Sniffer Pro的界面 • （1）仪表盘 • （2）主机列表 • （3）矩阵 • （4）应用程序响应时间 • （5）历史抽样

8. 图5.3 Sniffer Pro的仪表盘

9. 图5.4 Sniffer Pro主机列表详细资料

10. 图5.5 Sniffer Pro矩阵地图

11. 图5.6 Sniffer Pro应用程序响应时间表单

12. 图5.7 Sniffer Pro应用程序响应时间ART选项

13. 图5.8 Sniffer Pro历史抽样

14. （6）协议分布 • （7）全局统计 • （8）警告日志 • （9）捕获面板 • （10）地址本

15. 图5.10 Sniffer Pro协议分布

16. 图5.11 Sniffer Pro全局统计

17. 图5.12 Sniffer Pro警告日志

18. 图5.13 Sniffer Pro捕获面板

19. 图5.14 Sniffer Pro地址本

20. 5.1.3 Sniffer Pro报文的捕获与解析 表5.1 捕获栏功能介绍

21. 5.1.4 Sniffer Pro的高级应用 表5.2 Sniffer Pro高级系统层次与OSI对应关系

22. 高级系统可以监控网络的运行现状或症状（Symptoms）和相应对象（Objects），并进行诊断（Diagnoses），如图5.21所示。

23. 图5.21 Sniffer Pro高级系统

24. ① 诊断（Diagnoses）：显示高级系统中所有层发生事件的情况的诊断结果，如当网络中某一问题或故障多次重复出现时，系统就会提供该信息。

25. ② 症状（Symptoms）：显示高级系统中所有层事件的症状数量。 • ③ 对象（Objects）：显示高级系统中所有层发生事件的对象数，如路由器、网络工作站、IP地址或MAC地址。

26. 当使用高级系统进行故障诊断时，它的层模型可以提供很好的帮助，实际上它将故障的每一个环节分离出来，解决故障就需要对每一层的功能加以了解。

27. 服务层（Service）：显示汇总使用HTTP和 • FTP等协议的对象，通过单击对象按钮 • 深入了解每次连接的详细情况，如图5.22所示。

28. 图5.22 Sniffer Pro高级系统服务层对象

29. 应用程序层（Application）：实际上可以显示TCP/IP的应用层各种服务的工作状况。应用程序层（Application）：实际上可以显示TCP/IP的应用层各种服务的工作状况。

30. 会话层（Session）：检查与注册和安全相关的问题，如黑客攻击口令破解。会话层（Session）：检查与注册和安全相关的问题，如黑客攻击口令破解。 • 数据链路层（Connection）：会检查与端到端通信的效率和错误率有关的问题，如在滑动窗口冻结、多次重传等现象。

31. 工作站层（Station）：检查网络寻址和路由选择问题，如路由翻滚、路由重定向以及有没有路由更新等问题。工作站层（Station）：检查网络寻址和路由选择问题，如路由翻滚、路由重定向以及有没有路由更新等问题。 • DLC层：显示物理层和数据链路层的工作状况，如网络电压和电流状况、CRC错误、是否存在帧过短或过长等问题。

32. 高级系统的层次模型除上述6层以外还有3层，它们的功能如表5.3所示。

33. 表5.3 Sniffer Pro高级系统层次

34. 下面通过利用Sniffer Pro检测Code Red Ⅱ这一实例来了解捕获的完整功能。 • Code Red II病毒可以利用IIS的缓冲区溢出漏洞，通过TCP的80端口传播，并且该病毒变种在感染系统后会释放出黑客程序。

35. 它攻击的目标系统为安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000 • 系统、安装Index Server 2.0和IIS 4.0 或IIS • 5.0的Microsoft Windows NT 4.0系统，可以 • 在WINNT\SYSTEM32\LOGFILES\W3SVC1 • 目录下的日志文件中查看是否含有以下内容：

36. GET，/default.ida, • XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX • XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX • XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX • XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858 • %ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190% • u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,

37. 如果发现这些内容，那么该系统已经遭受“红色代码Ⅱ”的攻击。 • 可以通过Sniffer Pro检测网络中的数据包是否含有Code Red Ⅱ的特征码，断定网络上是否有中毒的主机。

38. 步骤1：单击定义过滤器按钮，单击“高级”选项卡，单击“配置文件”（Profile）按钮，在弹出的捕获配置文件对话框中单击“新建”按钮。步骤1：单击定义过滤器按钮，单击“高级”选项卡，单击“配置文件”（Profile）按钮，在弹出的捕获配置文件对话框中单击“新建”按钮。

39. 步骤2：输入名称，如codered，如图5.23所示。 • 步骤3：单击“OK”按钮，接着单击“完成” • （Done）按钮，退回到高级选项（Advanced） • 视图。

40. 图5.23 Sniffer Pro过滤器配置

41. 步骤4：选中TCP下面的HTTP复选框，如图5.24所示。步骤4：选中TCP下面的HTTP复选框，如图5.24所示。

42. 图5.24 Sniffer Pro过滤器Advanced配置

43. 步骤5：单击数据模式（Data Pattern）选项卡，单击“增加模式”（Add Pattern）按钮，如图5.25所示。

44. 图5.25 Sniffer Pro过滤器配置数据模式

45. 步骤6：将补偿值（Offset）设为36，格式（Format）设为ASCII，将Code Red的特征码输入域1和域2：“GET/default.ida? XXXXXXXXXXXXXXX” 。 • 将名称（Name）设为codered类型，单击“OK”按钮，如图5.26所示。

46. 图5.26 Sniffer Pro过滤器配置数据模式

47. 步骤7：进行监听，如果网络上有被感染的主机，可以在高级系统的服务层、应用层找到详细信息，而且可以通过会话层了解该主机是否对其他设备进行攻击。步骤7：进行监听，如果网络上有被感染的主机，可以在高级系统的服务层、应用层找到详细信息，而且可以通过会话层了解该主机是否对其他设备进行攻击。

48. 5.2 入侵检测系统 • 5.2.1 入侵检测的概念与原理 图5.27 通用入侵检测模型

49. 5.2.2 入侵检测系统的构成与功能 图5.28 入侵检测系统的组成

50. 入侵检测系统的基本功能有以下几点。 • 检测和分析用户与系统的活动。 • 审计系统配置和漏洞。 • 评估系统关键资源和数据文件的完整性。