Download
1 / 122
1.23k likes | 1.42k Views
联想信息安全技术培训. 入侵检测技术. 黑客离我们有多远?. 黑客无处不在,或许就在你的身边!. 近年来国际上著名的黑客攻击事件. 2000.2 www.rsa.com. 近年来国际上著名的黑客攻击事件. 1999.1 www.greenpeace.org. 近年来国际上著名的黑客攻击事件. 1999.3 www.cambridge.gov.uk. 黑客就在你身边. 1999.4 www.china.com. 黑客就在你身边. 1999.11中科院武汉物理与数学研究所. 1998.10 天津教育科研网. 1998 河池视窗.
E N D
联想信息安全技术培训 入侵检测技术
黑客离我们有多远? 黑客无处不在,或许就在你的身边!
近年来国际上著名的黑客攻击事件 2000.2 www.rsa.com
近年来国际上著名的黑客攻击事件 1999.1 www.greenpeace.org
近年来国际上著名的黑客攻击事件 1999.3 www.cambridge.gov.uk
黑客就在你身边 1999.4 www.china.com
黑客就在你身边 1999.11中科院武汉物理与数学研究所 1998.10 天津教育科研网 1998 河池视窗 1998 中国纺织大学 中国人权研究会、中国西藏…...
黑客就在你身边 2000.8.24 海信集团 http://www.hisense.com.cn 海信妙计安天下,赔了品牌又丢人!
黑客就在你身边 1999.2 www.specialink.nasa.gov美国国家安全部门
黑客就在你身边 影响: 北约、美国 印尼、印度 台湾、日本 组织: 红色力量www.red.sunsnet.com 绿色兵团www.isbase.com 傲气雄鹰http://soft2.gz168.com 。。。。。。 本页面保存于http://www.315china.com/5yue/heke.htm
黑客就在你身边 http://www.toshiba.com.cn东芝(中国)公司2000.9.8
网络威胁无处不在 从前面的分析可以看出: • 攻击在增加 • 内部攻击代价更大 • 系统更复杂: • Hacking 成为一种习惯:好奇与工具尝试 • 攻击造成的损失增大
他们为什么能够入侵成功呢? • 对于被攻击目标: • 软件缺陷 • 系统配置 • 对于黑客: 有一套行之有效的攻击方法、工具和手段
软件缺陷 • 软件缺陷:常见于服务器守护进程、客户应用、操作系统、网络堆栈等。可分类为: • 缓冲区溢出:多数安全漏洞的产生由此造成。典型例子登录用户名限制(256字符) • 未处理的输入:多数程序只处理有效输入,并未考虑当输入不合规定时会发生什么。
软件缺陷 • 未期望信息关联处理:不同层次信息的关联攻击。例如输入 “| mail < /etc/passwd”。可执行。因为PERL要求操作系统执行具有此输入的特殊程序,系统执行管道 ‘|’ 命令,发出 ‘mail’ ,使口令文件被传送给入侵者。 • 竞争条件: 多数系统按 “多任务/多线程”工作。在两个程序访问同一数据时会发生竞争,出现非预期结果。
系统配置问题 • 系统配置缺陷可按以下方式分类: • 缺省配置:系统发布时提供用户的“缺省易用”的配置,但“易用”意味着“易侵入”。缺省配置的UNIX 和WinNT 机器非常容易侵入。 • 懈怠的管理员:相当多 的机器配置了空root/administrator 口令。这由于管理员太贪图方便,没有及时正确进行配置就开始调试机器。随后就忘记了解决口令问题。入侵者在网络上做的第一件事就是扫描机器发现空口令。
系统配置问题 • 留下安全漏洞:程序可配置在不安全模式运行,管理员会留下安全漏洞。最好关闭不必要的服务以避免偶然出现的漏洞。 • 信任关系: 入侵者常进行跳跃式网络信任关系探测,并利用它侵入网络。
黑客攻击的步骤 踩点(信息收集):对目标网络及其主机系统进行信息收集,包括获取目标网络拓扑、目标主机开放端口、目标主机操作系统版本等基本信息。 系统安全弱点扫描:对网络上的每台主机以及网络设备(包括路由器、交换机等)进行检测,以发现该主机的安全漏洞或弱点。 入侵,从薄弱点突破一旦找到一个存在严重安全问题的主机,就发起攻击,并设法获取对系统的控制权限。 破坏现场,消除入侵痕迹:在获取系统权限后,会通过修改或删除系统日志等方法来销毁入侵痕迹。并安装后门程序以便长期控制该主机。 进行纵身攻击,扩大入侵范围:在进入一台主机之后,会试图通过这台主机来攻击网络中的其他主机,以扩大入侵的范围。
踩点信息收集型攻击 这种攻击主要是对目标网络或主机进行信息收集,以便为下一步入侵做准备,他一般不会对网络或系统造成破坏,信息收集型攻击主要分为如下几类: • 网络扫描: • 网络拓扑探测 • 服务信息收集
地址扫描 某主机 192.168.1.53 对ping进行响应,说明192.168.1.53主机存在 Ping 192.168.1.53
端口扫描 Port :1 ? Port :2 ? Port :3 ? Port :4 ? Port :5 ? …… Port :81 ? …… 202.12.23.5 扫描发现主机202.12.23.5的 80 端口开放 Port :80 ? 使用扫描软件对大范围主机的一系列TCP/UDP端口进行扫描,报告开放或关闭的端口 Scan 202.12.23.5 from 0 to 65536 ……
主机系统类型扫描(TCP/IP协议栈指纹鉴别技术)主机系统类型扫描(TCP/IP协议栈指纹鉴别技术) WINDOWS NT4.0 XXX 已知响应类型的数据库 操作系统类型 返回的响应 匹配返回的响应 XXX XXX 匹配成功 运行什么OS? WINDOWS NT4.0 XXX HP-UNIX YYY SUN Solaris ZZZ WINDOWS 2000 AAA …… …… Send Message 获知对方运行的操作系统 为WINDOWS NT4.0 返回的响应 XXX Send Message Send Message 返回的响应 XXX 返回的响应 XXX
网络拓扑探测 SNMP 检测:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。 TraceRoute:获得到达目标主机所要经过的网络数和路由器数,攻击者可以利用这些信息来了解目标网络的拓扑结构。
服务器及单机的信息收集 Whois :通过Whois服务可以查询有关的DNS域和相关的管理信息 DNS 域传输:如果目标DNS 服务器没有限制域传输,黑客只需实施一次域传输操作就能得到您所有主机的名称以及内部IP地址。 Finger 服务:黑客使用finger命令来刺探一台finger 服务器以获取关于该系统的用户的信息。 LDAP 服务:黑客使用LDAP协议窥探网络内部的系统和他们的用户的信息。
那么,如何来防止黑客利用这些漏洞进行攻击呢?那么,如何来防止黑客利用这些漏洞进行攻击呢? 网络入侵检测系统
目 录 • IDS技术简介 • 联想网御IDS产品介绍
IDS技术简介目录 入侵检测概念 入侵检测起源 入侵检测分类 入侵检测形态 入侵检测术语 技术原理介绍
入侵检测概念 • 对系统的运行状态进行监视,发现各种攻击企图、攻 击行为或者攻击结果,以保证系统资源的机密性、完整 性和可用性 • 进行入侵检测的软件与硬件的组合便是 入侵检测系 统 • IDS : Intrusion Detection System
入侵检测产品的起源 • 审计技术:产生、记录并检查按时间顺序排列的系统 事件记录的过程 • 监测系统的问题区 • 提供有效的灾难恢复 • 阻止系统的不正当使用 • 审计的目标: • 确定和保持系统活动中每个人的责任 • 重建事件 • 评估损失 • 监测系统的问题区 • 提供有效的灾难恢复 • 阻止系统的不正当使用
为什么需要入侵检测系统? 网络攻击的破坏性、损失的严重性 • 网络边界的设备自身可以被攻破 • 对某些攻击保护很弱 • 不是所有的威胁来自防火墙外部 入侵很容易 • 入侵教程随处可见 • 各种工具唾手可得
防火墙 安全域1 安全域2 Host A Host B Host C Host D Source Destination Permit Protocol Host A Host C Pass TCP Host B Host C Block UDP 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
绕过防火墙的攻击 • 穿过防火墙的攻击行为 Dir c:\ %c1%1c %c1%1c
防火墙的局限性 防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子 访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限
其它问题 再加上入侵工具容易获得,入侵教程随处可见。
解决之道 摄像机=探测引擎 监控室=控制中心 Card Key 保安=防火墙 • IDS与防火墙的配合使用,达到最佳的防护效果
什么是入侵? 入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情:比如滥用你的电子邮件系统发垃圾邮件。
入侵者的分类 • 外部的: 你网络外面的侵入者,或者可能攻击你的外部存在。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络 • 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。 • 其中,仅由于数据泄密造成的损失就高达 $70,195,900
入侵者如何进入系统? • 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。
入侵者如何进入系统? • 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 如未打过补丁的IIS发布系统,会存在UNICODE漏洞,可能会使得入侵者远程访问系统文件。 http:/ip/scrtpts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
入侵者如何进入系统? • 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在,侵入就要复杂得多。 这类入侵通常是很漫长的,从系统扫描开始,获得较低的权限,然后通过先验经验获得更高的权限。
为什么会有入侵? • 软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。 有证据表明每一千行代码中就会存在五至十五个BUG!
缓冲区溢出 • 缓冲区溢出:大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据,跳转执行自己想要的代码。 如IIS发布系统中的ida/idq以及.printf溢出漏洞,攻击者很容易利用工具获得系统的root权限。
意外结合 • 意外结合: 程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入, 却对其他层有意义。 在“|mail < /etc/passwd“,这个命令得以在perl下执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符"|"并且按语义启动"mail"程序,结果是将password文件寄给侵入者。
其它缺陷 • 缺省配置:很多系统在交付使用时采用缺省配置,“缺省”意味着“易攻击”。 • 口令攻击:弱口令和字典穷举攻击。 • 监听:收集网络上的公共团体字符串。 • 协议缺陷:TCP/IP协议的设计缺点,如smurf攻击,ICMP不可达的连结, IP哄骗, 和SYN floods。以及数据本身的容易被信任。
入侵如何被检测 • UNIX系统的/var/adm下的syslog与messages。 • 入侵监测系统
入侵检测系统的发展 1980年 Anderson提出:入侵检测概念,分类方法 《Computer Security Threat Monitoring and Surveillance》 1987年 Denning提出了一种通用的入侵检测模型 独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 研究出了一个实时入侵检测系统模型—IDES(入侵检测专 家系统)
入侵检测技术的成熟 • 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出 了NSM(Network Security Monitor) • 该系统第一次直接将网络流作为审计数据来源,因而可以 在不将审计数据转换成统一格式的情况下监控多种主机 • 入侵检测系统发展史翻开了新的一页,两大阵营正式形 成:基于网络的IDS和基于主机的IDS
入侵检测产品形态 • 软件 速度快,不存在数据传输瓶颈,视野集中。 取决于操作系统的安全性,性能不能得到保障。 • 软硬件结合 较少的占用资源,自定制的操作系统保证了自身的性 能和安全性,但存在软硬件之间数据传输的问题。
入侵检测产品介绍 —— IDS的分类 NIDS:基于网络的入侵检测系统 基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据进行分析处理,从中获取有用的信息,以识别、判 定攻击事件。 HIDS:基于主机的入侵检测系统 基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
