系統攻擊與入侵檢測第一頁，共四十八頁，2022年，8月28日本章學習目標：系統入侵的基本原理、主要方法以及如何實現入侵檢測，進行主動防御。本章應該掌握以下內容：入侵的概念幾種系統攻擊方法的原理入侵檢測的原理入侵檢測系統的組成及結構第二頁，共四十八頁，2022年，8月28日5.1系統攻擊概述系統攻擊或入侵是指利用系統安全漏洞，非授權進入他人系統（主機或網絡）的行為。了解自己系統的漏洞及入侵者的攻擊手段，才能更好的保護自己的系統。5.1.1黑客與入侵者

Hacker Cracker,Intruder系統攻擊的三個階段（1）收集信息（2）探測系統安全弱點（3）實施攻擊第三頁，共四十八頁，2022年，8月28日網絡入侵的對象1.固有的安全漏洞

2.系統維護措施不完善的系統

3．缺乏良好安全體系的系統第四頁，共四十八頁，2022年，8月28日5.2系統攻擊方法5.2.1口令攻擊1．獲取口令的一些方法（1）是通過網絡監聽非法得到用戶口令（2）口令的窮舉攻擊（3）利用系統管理員的失誤第五頁，共四十八頁，2022年，8月28日5.2.1口令攻擊2．設置安全的口令（1）口令的選擇：字母數字及標點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統上使用同一口令；定期改變口令。第六頁，共四十八頁，2022年，8月28日3．一次性口令（OTP，One-TimePassword）。所謂的一次性口令就是一個口令僅使用一次，能有效地抵制重放攻擊，這樣竊取系統的口令文件、竊聽網絡通信獲取口令及窮舉攻擊猜測口令等攻擊方式都不能生效。OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同。使用一次性口令的系統中，用戶可以得到一個口令列表，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機數、系統時間等參數一起通過散列得到一個一次性口令。

第七頁，共四十八頁，2022年，8月28日5.2.2IP欺騙偽造某主機的IP地址并實現與該目標主機的處于同一信用域內的其他主機之間的連接的技術。3個步驟：（1）使目標主機喪失工作能力。（2）采樣目標主機發出的TCP序列號，猜測出它的后續序列號（3）偽裝成被信用主機，與目標主機建立起基于IP地址驗證的應用連接。第八頁，共四十八頁，2022年，8月28日建立TCP連接的3次握手客戶機服務器SYN請求SYN/ACKACK第九頁，共四十八頁，2022年，8月28日SYNFlooding攻擊對WindowsNT攻擊很有效使用一個偽裝的地址向目標計算機發送連接請求叫做IP欺騙技術。當目標計算機收到這樣的請求后，就會使用一些資源來為新的連接提供服務，接著回復請求一個肯定答復（叫做SYN－ACK）。由于SYN－ACK是返回到一個偽裝的地址，沒有任何響應。于是目標計算機將繼續設法發送SYN－ACK。一些系統都有缺省的回復次數和超時時間，只有回復一定的次量、或者超時時，占用的資源才會釋放。NT設罷為可回復5次，每次等待時間加倍：則：3+6+12+24+48+96=189S第十頁，共四十八頁，2022年，8月28日SYN-Flooding攻擊示意圖第十一頁，共四十八頁，2022年，8月28日1．IP欺騙的工作原理（1）使被信任主機喪失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B……………t3:X＜－－－RST－－－B第十二頁，共四十八頁，2022年，8月28日（2）序列號猜測 方法如下：攻擊者先與被攻擊主機的一個端口（SMTP是一個很好的選擇）建立起正常的連接。通常，這個過程被重復若干次，并將目標主機最后所發送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機與被信任主機之間的RTT時間（往返時間），這個RTT時間是通過多次統計平均求出的。第十三頁，共四十八頁，2022年，8月28日(3）實施欺騙Z偽裝成A所信任的主機B攻擊目標A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A第十四頁，共四十八頁，2022年，8月28日2.IP欺騙的防止（1）拋棄基于地址的信任策略（2）進行包過濾（3）使用加密方法（4）使用隨機化的初始序列號第十五頁，共四十八頁，2022年，8月28日5.2.3端口掃描1．端口與服務許多的TCP/IP程序都是可以通過網絡啟動的客戶/服務器結構。服務器上運行著一個守護進程，當客戶有請求到達服務器時，服務器就啟動一個服務進程與其進行通信。為簡化這一過程，每個應用服務程序（如WWW、FTP、Telnet等）被賦予一個唯一的地址，這個地址稱為端口。端口號由16位的二進制數據表示，范圍為0~65535。守護進程在一個端口上監聽，等待客戶請求。

第十六頁，共四十八頁，2022年，8月28日2．端口掃描

端口掃描是獲取主機信息的一種常用方法。利用端口掃描程序可以了解遠程服務器提供的各種服務及其TCP端口分配，了解服務器的操作系統及目標網絡結構等信息。

作為系統管理員使用掃描工具，可以及時檢查和發現自己系統存在的安全弱點和安全漏洞，是非很常用的網絡管理工具，許多安全軟件都提供掃描功能。

端口掃描也廣泛被入侵者用來尋找攻擊線索和攻擊入口。

通過這種方法，還可以搜集到很多關于目標主機的各種有用的信息，比如：是否能用匿名登陸，是否有可寫的FTP目錄，是否能用TELNET等等。端口掃描程序在網上很容易找到，因而許多人認為掃描工具是入侵工具中最危險的一類。第十七頁，共四十八頁，2022年，8月28日5.2.4網絡監聽網絡監聽可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息，是網絡管理員的一種監視和管理網絡的一種方法，但網絡監聽工具也常是黑客們經常使用的工具。當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。只要將網絡接口設置在監聽模式，便可以源源不斷地將網上傳輸的信息截獲。網絡監聽可以在網上的任何一個位置實施，如局域網中的主機、網關或遠程網的調制解調器之間等。黑客們用得最多的是截獲用戶的口令。

第十八頁，共四十八頁，2022年，8月28日1．網絡監聽的原理 以太網協議的工作方式為將要發送的數據幀發往物理連接在一起的所有主機。 在幀頭中包含著應該接收數據包的主機的地址。數據幀到達一臺主機的網絡接口時，在正常情況下，網絡接口讀入數據幀，并檢查數據幀幀頭中的地址字段，如果數據幀中攜帶的物理地址是自己的，或者物理地址是廣播地址，則將數據幀交給上層協議軟件，否則就將這個幀丟棄。對于每一個到達網絡接口的數據幀，都要進行這個過程。 然而，當主機工作在監聽模式下，不管數據幀的目的地址是什么，所有的數據幀都將被交給上層協議軟件處理。第十九頁，共四十八頁，2022年，8月28日2．網絡監聽工具及其作用

嗅探器（sniffer）就是一種網絡監聽工具。sniffer工作在網絡環境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態和整體布局,Sniffer實施的是一種消極的安全攻擊，它們極其安靜地躲在某個主機上偷聽別人的通信，具有極好隱蔽性。

網絡監聽對系統管理員是很重要的，系統管理員通過監聽可以診斷出大量的不可見問題，這些問題有些涉及兩臺或多臺計算機之間的異常通訊，有些牽涉到各種協議的漏洞和缺陷。

第二十頁，共四十八頁，2022年，8月28日3．如何發現sniffer通過下面的方法可以分析出網絡上是否存在sniffer進行分析。網絡通訊掉包率反常的高。網絡帶寬將出現異常。對于懷疑運行監聽程序的主機，用正確的IP地址和錯誤的物理地址去PING，正常的機器不接受錯誤的物理地址，處于監聽狀態的機器能接受，這種方法依賴系統的IPSTACK，對有些系統可能行不通。往網上發大量包含著不存在的物理地址的包,由于監聽程序將處理這些包，將導致性能下降，通過比較前后該機器性能（icmpechodelay等方法）加以判斷。第二十一頁，共四十八頁，2022年，8月28日5.2.5拒絕服務（DoS）1．什么是拒絕服務拒絕服務攻擊（DenialofService）是指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其它用戶提供服務的一種攻擊方式。拒絕服務攻擊的結果可以降低系統資源的可用性，

2．拒絕服務攻擊的方式（1）：信息數據包流量式：（2）：SYN-Flooding攻擊:（3）：過載攻擊

:

服務過載、進程過載攻擊、系統過載攻擊、磁盤過載攻擊第二十二頁，共四十八頁，2022年，8月28日DoS攻擊的基本過程

第二十三頁，共四十八頁，2022年，8月28日3．分布式拒絕服務（DDoS）

DDoS（分布式拒絕服務）是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，一個比較完善的DDoS攻擊體系分成三層，如后圖。（1）攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發送攻擊命令。第二十四頁，共四十八頁，2022年，8月28日（2）主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到代理主機上。（3）代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發來的命令。代理端主機是攻擊的執行者，由它向受害者主機實際發起攻擊。第二十五頁，共四十八頁，2022年，8月28日

DDoS攻擊體系

第二十六頁，共四十八頁，2022年，8月28日DDoS的主要攻擊方式及防范策略

死亡之ping（pingofdeath）

由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方死機。第二十七頁，共四十八頁，2022年，8月28日5.2.6緩沖區溢出緩沖區溢出是目前最為常見的安全漏洞，也是黑客利用最多的攻擊漏洞。

1．緩沖區溢出的原理在程序試圖將數據放到機器內存中的某一個位置的時候，如果沒有足夠的空間就會發生緩沖區溢出。大多造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入參數而造成的。

危害：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統崩潰；另有一個結果就是利用這種漏洞可以執行任意指令，甚至可以取得系統根用戶的權限。第二十八頁，共四十八頁，2022年，8月28日例如下面一段簡單的C程序：#include"stdio.h"#include"string.h"voidfuction(char*str){charbuf[10];gets(buf);strcat(str,buf);}voidmain(){charstr[20],str2;scanf("%s",str); scanf("%c",&str2); fuction(str);printf("%s",str);}第二十九頁，共四十八頁，2022年，8月28日3．緩沖區溢出的保護目前有四種基本的方法保護緩沖區免受緩沖區溢出的攻擊和影響：一是強制編寫正確的代碼的方法。二是通過操作系統使得緩沖區不可執行，從而阻止攻擊者植入攻擊代碼。三是利用編譯器的邊界檢查來實現緩沖區的保護。四是一種間接的方法，該方法在程序指針失效前進行完整性檢查。第三十頁，共四十八頁，2022年，8月28日5.3入侵檢測5.3.1入侵檢測概述入侵檢測（IntrusionDetection），顧名思義，即是對入侵行為的發覺。它在計算機網絡或計算機系統中的若干關鍵點收集信息，通過對這些信息的分析來發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（IntrusionDetectionSystem，簡稱IDS）。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須能將得到的數據進行分析，并得出有用的結果。早期的IDS模型設計用來監控單一服務器，是基于主機的入侵檢測系統；近期的更多模型則集中用于監控通過網絡互連的多個服務器。第三十一頁，共四十八頁，2022年，8月28日5.3.2.入侵檢測的主要任務和作用

監視、分析用戶及系統活動；對系統構造和弱點的審計；識別和反應已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，識別用戶違反安全策略的行為。第三十二頁，共四十八頁，2022年，8月28日入侵檢測系統的工作原理1.信息收集

(1)系統和網絡日志文件

(2)目錄和文件中的不期望的改變

(3)程序執行中的不期望行為

(4)物理形式的入侵信息2.信號分析

(1)模式匹配：

(2)統計分析

(3)完整性分析第三十三頁，共四十八頁，2022年，8月28日(1)模式匹配的方法(也稱為誤用檢測)：模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。優點只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。弱點需要不斷的升級模式庫以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。第三十四頁，共四十八頁，2022年，8月28日(2)

統計分析的方法(也稱為異常檢測)：統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。這種分析方法。優點可檢測到未知的入侵和更為復雜的入侵缺點誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法有：基于專家系統的、基于模型推理的和基于神經網絡的分析方法。第三十五頁，共四十八頁，2022年，8月28日(3)完整性分析的方法：完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性的變化。完整性分析在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制（如：消息摘要函數），能識別哪怕是微小的變化。優點不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點一般以批處理方式實現，不用于實時響應。第三十六頁，共四十八頁，2022年，8月28日入侵檢測系統的分類按照入侵檢測系統的數據來源劃分（1）基于主機的入侵檢測系統（2）基于網絡的入侵檢測系統（3）采用上述兩種數據來源的分布式的入侵檢測系統2．按照入侵檢測系統采用的檢測方法來分類（1）基于行為的入侵檢測系統：（2）基于模型推理的入侵檢測系統：（3）采用兩者混合檢測的入侵檢測系統：

第三十七頁，共四十八頁，2022年，8月28日3．按照入侵檢測的時間的分類（1）實時入侵檢測系統：（2）事后入侵檢測系統：第三十八頁，共四十八頁，2022年，8月28日5.3.5入侵檢測系統的CIDF模型通用入侵檢測框架（CIDF）是由美國加州大學Davis分校的安全實驗室提出的框架。

CIDF從邏輯上把IDS分成面向任務的一個組件集合，這些組件一起定義了入侵檢測系統的結構。 事件發生器（E-boxes） 分析引擎(A-boxes)

存貯機制（D-boxes） 對抗措施（C-boxes）。

第三十九頁，共四十八頁，2022年，8月28日圖5-1CIDF組件關系

第四十頁，共四十八頁，2022年，8月28日5.4入侵檢測系統的結構入侵檢測系統的結構大體上可分為三種模式：基于主機系統的結構、基于網絡系統的結構、基于分布式系統的結構第四十一頁，共四十八頁，2022年，8月28日基于主機的入侵檢測系統第四十二頁，共四十八頁，2022年，8月28日這種類型系統的關鍵在于依賴于審計數據或系統日志的準確性、完整性以及安全事件的定義。 若入侵者設法逃避審計或進行合作入侵，則基于主機的檢測系統的弱點就暴露出來了。表現在以下四個方面：一是主機的審計信息弱點，如易受攻擊，入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主