第5章反入侵技術（II）：基于網絡的機制5.1較簡單的機制5.2信息流控制：防火墻5.3*防火墻的實現5.4網絡入侵檢測系統（NIDS）5.1較簡單的機制表5-1 幾類典型網絡病毒入侵時必須要創建或利用的端口病

毒被攻擊或被利用的TCP或UDP端口W32/CodRedTCP80W32/BlasterTCP135,4444,UDP69W32/SlammerUDP1434W32/SasserTCP445,5554,9996W32/DabberTCP5554,8967,9898-9999W32/KogroTCP445,113,3067-3076,6667W32/WelchiaTCP135,80W32/Welchia.DTCP80,135,445,3127Linux/SlapperTCP80,443,2002W32/WittyUDP40000除了以上方面，攜帶病毒代碼的IP分組本身也具有明顯的數據特征，如Linux/Slapper病毒利用OpenSSL的漏洞進行溢出攻擊，在HTTPS（TCP443端口）建立起加密信道之前就入侵了目標系統，并且以明文（而非密文）傳輸其數據，在其消息中含有以下典型的特征信息。rm-vf/tmp/.bugtraq.c;cat>/tmp.uubugtraq<__eof__;.begin655.bugtraq.c

熟悉UNIX/Linux的讀者立刻能看出來以上序列在前面包含兩條帶參數的shell命令。這一序列中獨一無二（該病毒特有）的字節序列用十六進制表達出來就是363535202E6275677472612E63

再以病毒W32/Slammer為例，它在UDP1434端口上的消息總包含以下特征字節序列，用十六進制表示就是682E646C68656C3332686B65726E從以上這些事實不難歸納出檢測網絡病毒的一種方法：如果IP分組的數據部分被觀測到攜帶以上字節序列，這可以判定該IP分組源自對應的病毒。實際上，當代的許多病毒都有利用加密技術進行自我隱形的能力，結果使得同源病毒也可以有很不相同的表觀特征。如此一來，上面那種直接的檢測方法就不能總是有效識別出這類病毒了。但另一方面，細致的分析表明大量病毒仍然具有特定的數據或指令特征，即獨一無二的特征字節序列。5.2信息流控制：防火墻防火墻基于信息流（informationflow）強制實施網絡邊界安全策略。圖5-1所示是一個典型的在網絡邊界配置有防火墻保護的網絡的例子。圖5-1一個企業網及其邊界防火墻防火墻實施IP分組過濾的方式是依照所謂訪問控制列表（AccessControlList，ACL）。ACL是一組表項的有序集合，每個表項表達一個規則，稱為IP分組過濾策略，內容包含被監測的IP分組的特征、對該類型的IP分組所實施的動作（放行、廢棄等）。每當一個IP分組經過防火墻的接口，防火墻都要順序檢索對應的ACL，找到特征匹配的表項，然后根據該表項指示的動作處理該IP分組。但防火墻的配置有普遍的原則。（1）如果防火墻的默認行為是阻塞一切IP分組，則僅當顯式指定過濾規則時，防火墻按照指定的過濾規則對滿足特征匹配的IP分組實施規定的處理動作；所有不匹配的IP分組一概默認為實施阻塞。（2）防火墻對每個接口、每個方向（到達和離出）單獨建立一組過濾規則，單獨實施匹配和處理，因此每個接口一般具有分別針對兩個傳輸方向的兩組過濾規則。（3）每組過濾規則是有特定順序的規則表，對IP分組，防火墻永遠（按照排列順序）實施匹配的第一個規則；最后一條規則是本表的默認規則。對更復雜的企業網絡，即使企業網內部的不同網段也可能具有不同的安全訪問策略，因此這類網絡具有更復雜的安全策略，這時需要實施多防火墻配置。圖5-2多防火墻配置表5-2概要總結了當代各種防火墻系統的類型。表5-2 防火墻系統的類型類型特點硬件防火墻基于專用硬件平臺和專用操作系統實現；能較有效地抵抗一般性的攻擊手段；典型產品：CiscoPIX帶防火墻功能的安全路由器/交換機集成分組轉發與過濾功能；多為專用硬件平臺（如基于網絡處理器）、專用或通用操作系統（前者如CiscoIOS、pSOS+），后者如嵌入式Linux、FreeBSD純軟件防火墻運行于通用操作系統平臺，典型的如Linuxiptables,CheckPoint等個人防火墻僅針對本機進行消息流的訪問控制，如Windows2000/XP的內置產品5.3*防火墻的實現完整的防火墻系統由“軟件+系統軟件（操作系統）+硬件平臺”構成，且軟件在防火墻系統中占很大部分，至少包括分組的高速過濾引擎和策略管理系統兩個重要部分。圖5-3所示是完整防火墻設備的邏輯結構。圖5-3防火墻設備的邏輯結構所謂分類，是指按照某種規則將IP分組歸結為邏輯范疇——流（flow），有共同特征的分組歸結為同一個流，然后進一步做基于流的處理。以圖5-4所示為例，其中網關G是具有負載均衡能力的防火墻系統，作為服務器集群的網絡前端。所有服務器對外共用一個IP地址（例如高吞吐量的Web集群）。假如服務器事務是基于TCP的（如Web），網關G可以將每個TCP連接對應一個流，針對每個流實施安全策略，同時在所有服務器上均勻分配當前存在的流。圖5-4保護服務器集群的防火墻系統分類是一個計算量較大的操作，特別是軟件實現，雖然非常靈活，但因為這種分類計算需要大量的條件判定、程序分支，使軟件分類的計算速度不高，成為實現高性能網絡系統的瓶頸之一。如何綜合軟/硬件功能，優化分類處理，是實現高性能網絡系統的關鍵技術之一。高性能網絡系統的硬件體系結構與軟件體系結構是相互影響的，兩方協同才有可能構造出真正滿足高性能、同時成本合理的系統。圖5-5所示是高性能防火墻系統幾種典型的邏輯體系結構。圖5-5高性能防火墻系統幾種典型的邏輯體系結構圖5-5（a）所示是低性能系統的構成方案，圖5-5（b）所示是低性能系統的構成方案的演化，圖5-5（c）所示是方案（b）的改進。在防火墻軟件方面，除了實施基本的上下文無關檢測功能（如上一節的ACL所表達的那類功能），高級的軟件也能實現上下文有關的檢測。這時防火墻不是僅針對每個孤立的IP分組單獨識別、過濾和處理，而是將這些IP分組關聯起來，放在特定的協議上下文中識別和處理，以發現更復雜的行為。這也是網絡入侵檢測系統具有的重要功能之一。5.4網絡入侵檢測系統（NIDS）5.4.1NIDS實例:Snort5.4.2NIDS實例:Bro5.4.3對NIDS的典型欺騙及抵御方法NIDS的目的是從網絡上的TCP/IP消息流中識別出潛在的攻擊行為。5.4.1NIDS實例：SnortSnort是一個所謂輕量級NIDS，實時記錄網絡消息流并進行協議分析，對內容進行搜索/匹配，能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。Snort由4部分組成：分組捕獲器、分組的分類/預處理器、檢測引擎和日志/報警輸出模塊，系統體系結構如圖5-6所示。圖5-6Snort的系統結構Snort具有實時的日志記錄和協議消息流分析能力，能夠快速到檢測網絡攻擊并報警。Snort能夠進行在線協議分析，包括協議消息內容的搜索與匹配。Snort的日志格式豐富，除了包括最經典的tcpdump格式和自定義ASCII字符形式，若使用數據庫輸出插件，Snort可以把日志記入特定類型的數據庫。Snort不僅對IP分組的數據負載部分進行病毒模式匹配，而且對TCP段進行重組以強制檢測完整的TCP流。Snort的核心功能之一是對IP分組高速過濾，過濾規則由用戶配置，為此Snort使用一種簡單易用的規則描述語言。典型的Snort過濾規則包含4個要素：處理動作、被過濾的協議、消息的方向、發生過濾的端口。在工作程序上，Snort在捕獲IP分組后先提交分類/預處理插件處理，然后被捕獲的分組將經過檢測引擎中對應的規則鏈，如果檢測到有匹配規則鏈所表達的病毒模式的情況，Snort就根據輸出設置把該信息記錄到對應的文件并報警。5.4.2NIDS實例：BroBro的主要設計目標包括以下諸方面。大吞吐量與高速率，即著眼于針對大型網絡的消息流進行高速檢測。實時檢測與在線報警。靈活的可擴展能力。具有抵抗攻擊的能力。圖5-7Bro的系統結構除了最基層的IP分組捕獲模塊，Bro最重要的兩個模塊是事件引擎（EventEngine）和策略解釋器（PolicyInterpreter）。事件引擎對IP分組捕獲模塊所過濾出的IP分組首先進行完整性檢查，確認是無缺陷的IP分組、對經過切割的IP分組進行重組，識別并建立其攜帶的上層協議的當前狀態。Bro的事件引擎以各種基本事件的形式向上層的策略解釋器輸出，每個事件表示基本協議的特定狀態或狀態的變化。事件引擎對每種協議所生成的事件序列可以看做對該協議狀態機模型的一種匹配。在策略解釋器中，每個事件對應一個特定的事先配置好的事件處理例程（event-handler）。事件處理例程的重要功能是將多事件的上下文關聯起來以推斷這些事件所蘊涵的協議行為是否符合該協議的規范，或從中檢測出潛在的入侵特征。每個事件處理例程的輸出可能更新協議機模型的內部狀態、生成實時入侵報告或引發新的事件。Bro的安全策略是一個類似于C++風格的語言所表達的程序腳本，Bro的策略解釋器同時執行多個這樣的腳本。Bro的策略解釋器根據安全策略判定所觀測到的協議會話是否符合該協議的規范，并適時加以安全控制。5.4.3對NIDS的典型欺騙及抵御方法NIDS的目的在于識別出反常的協議行為，因此從入侵者的角度看，如何使入侵過程在消息流的層次上表現得正常，或最大程度地掩蓋其反常特征，將是一條可行的途徑。這里給出幾個典型而有趣的例子。第一個例子（見圖5-8）是入侵者故意切割IP分組，使得每個IP分組中的消息載荷都不包含完整的病毒特征，以此欺騙那些基于特征匹配方式檢測入侵的NIDS。圖5-8通過故意切割IP分組來隱藏載核中的病毒特征第二個例子（見圖5-9）是入侵者發送“真”、“假”IP分組，所有