第四章网络入侵与防范 黑客文化 技术基础 概述 网络编程 入侵特征思想 IDS模型 IDS IDS分类 思想 IDS实现 新方法*智能方法 ①蠕虫 ②I欺骗 内容 ③DoS ④ Sniffer(网络侦听) 典型攻击与防范 ⑤端口扫描 口令破译 ⑦特洛伊木马 ⑧缓冲区溢出 web安全 ①基于NN的IDS IDS实例介绍②基于ES的Is ③基于KDD的IS ④基于免疫的IDS
第四章 网络入侵与防范 内容 概述 黑客文化 技术基础 入侵特征 思想 OS 网络编程 IDS IDS 模型 IDS 分类 IDS实现 思想 新方法 *智能方法 典型攻击与防范 ① 蠕虫 ② IP 欺骗 ③ DoS ④ Sniffer(网络侦听) ⑤ 端口扫描 ⑥ 口令破译 ⑦ 特洛伊木马 ⑧ 缓冲区溢出 Web 安全 IDS 实例介绍 ① 基于 NN 的 IDS ② 基于 ES 的 IDS ③ 基于 KDD 的 IDS ④ 基于免疫的 IDS
4.1概述 4.1.1黑客文化 1. Hacker与 Cracker(入侵者) √ Hacker创造新东西, Cracker破坏东西 √黑客守则(杨P3) 2. Hacker文化简史 √ Real programmer,如超级电脑的cray设计者 S. Cray所有 程序(OS)自己做,无任何 bug/error √从1990年起,三个中心 MIT AI LAB以DEC的PDPI自编的 ITS OS Incompatible Timesharing System) Stanford大学的SAIL→后来做了GUI CMU→后来做ES,工业机器人 (2) XEROX PARC (Palo Alto Research Center) (3)AT& Bell lab的Unix Ken Thompson, B kernighan, Dennis Ritchie, The C Programming language,C语言圣经又称“K&R” ---Keep it Simple, Stupid √都以PDP-1,10,11为硬件 √ Bill gates是其中之 Linux, Internet
4.1 概述 4.1.1 黑客文化 1.Hacker 与 Cracker(入侵者) ✓ Hacker 创造新东西,Cracker 破坏东西 ✓ 黑客守则(杨 P3) 2.Hacker 文化简史 ✓ Real programmer,如超级电脑的 Cray 设计者 S.Cray—所有 程序(OS)自己做,无任何 bug/error ✓ 从 1990 年起,三个中心 (1) ➢ MIT AI LAB 以 DEC 的 PDP-Ⅰ自编的 ITS OS ( Incompatible Timesharing System) ➢ Stanford 大学的 SAIL→后来做了 GUI ➢ CMU→后来做 ES,工业机器人 (2) XEROX PARC(Palo Alto Research Center) (3) AT & Bell lab 的 Unix Ken Thompson, B.kernighan, Dennis Ritchie, The C Programming language, C 语言圣经又称“K&R” -----Keep it Simple,Stupid ✓ 都以 PDP-1,10,11 为硬件 ✓ Bill gates 是其中之一 ✓ Linux,Internet
3. Genocide 2600 大屠杀2600黑客组织,2000年已有150多万名成员(杨 P13) 4.入侵者的危害 5黑客的利用 4.1.2技术基础 1.OS方面 (1)UNIX的基本操作 (2) Linux的基本操作 (3)日志 (4) Windows9x的 MSdos.sys及NT的注册表 √NT注册表
3.Genocide 2600 ——大屠杀 2600 黑客组织,2000 年已有 150 多万名成员(杨 P13) 4.入侵者的危害 5.黑客的利用 4.1.2 技术基础 1.OS 方面 (1)UNIX 的基本操作 (2)Linux 的基本操作 (3)日志 (4)Windows 9x 的 MSdos.sys 及 NT 的注册表 ✓ NT 注册表
1. HKEY-CURRENT-USER(登录用户的配置信息) 2. HKEY-USERS Hardware 主键 SAM 3 HKEY-LOCAL-MACHINE个副键){ Security Software 4 HIKEY-CLASSES-ROOT(打开文件时所调用的程序) 5.HKEY-CURRENT-CONFIG Regedit32exe:查主键、副键 编辑器 Regedit. exe:查字符串、值、主键、副键 2. Internet与TCP/IP协议方面 3网络编程方面 Linux网络编程 套接字系统调用如 Socket()(杨P61) √ Windows网络编程 Winsock如 Socket()打开一个流套接字(杨P69) VC++的MFC CSocket类 4.1.3入侵基本思想 ①确认攻击目标 任务:收集有用信息。如目标计算机的硬件信息、操作系
2.Internet 与 TCP/IP 协议方面 3.网络编程方面 ✓ Linux 网络编程 套接字系统调用 如 Socket() (杨 P61) ✓ Windows 网络编程 Winsock 如 Socket()打开一个流套接字(杨 P69) ✓ VC++的 MFC CSocket 类 4.1.3 入侵基本思想 ①确认攻击目标 ➢ 任务:收集有用信息。如目标计算机的硬件信息、操作系 主键 编辑器 1. HKEY-CURRENT-USER(登录用户的配置信息) 2. HKEY-USERS 3.HKEY-LOCAL-MACHINE(5 个副键) Hardware SAM Security Software System 4.HKEY-CLASSES-ROOT(打开文件时所调用的程序) 5.HKEY-CURRENT-CONFIG Regedit32.exe:查主键、副键 Regedit.exe:查字符串、值、主键、副键
统信息、应用软件信息、所在网络的信息、用户信息、存 在的漏洞等。 使用的工具:端口扫描,网络命令等。 ②选用合适方法入侵 利用口令猜测,重复登录,直至合法登录 发现漏洞(当然要有方法如缓冲区溢出法),直接登录 用IP欺骗取得目标计算机的信任 ③留后门(木马),删除入侵记录,继续收集有用信息(如用 sniffer收集数据)等 具体实例(杨P175) 4.1.4IDS 人工智能的重要性 1.引入 ①被动防御:加密、身份认证、访问控制、安全OS、安全路 由器、防火墙 ②主动防范:入侵检测 2.IDS原理 1980年, Anderson √1987年, D. Denning介绍了一种通用的Is模型
统信息、应用软件信息、所在网络的信息、用户信息、存 在的漏洞等。 ➢ 使用的工具:端口扫描,网络命令等。 ②选用合适方法入侵 ➢ 利用口令猜测,重复登录,直至合法登录 ➢ 发现漏洞(当然要有方法如缓冲区溢出法),直接登录 ➢ 用 IP 欺骗 取得目标计算机的信任 ③留后门(木马),删除入侵记录,继续收集有用信息(如用 sniffer 收集数据)等 ➢ 具体实例 (杨 P175) 4.1.4 IDS ✓ 人工智能的重要性 1.引入 ①被动防御:加密、身份认证、访问控制、安全 OS、安全路 由器、防火墙 ②主动防范:入侵检测 2. IDS 原理 ✓ 1980 年,Anderson ✓ 1987 年,D.Denning 介绍了一种通用的 IDS 模型
用户历史行为 用户当前行为 入侵检测 检 入侵 断开记录 恢复 有三种主要部件: (1)事件产生器: Event generator (2)活动记录器: Activity Profile (3)规则集: Rule set 3.IDS分类 (1)基于主机IDS和基于网络IDS(最常用) (2)按功能分类 ①扫描器:事前的IDs,对系统威胁进行定期评估 原理:通过比较已知的弱点数据库数据与系统配置的 数据,探测系统或网络中的缺陷 ②系统IDS:针对一个系统的信息资源来检测攻击 原理:主要检查系统日志,不考虑数据包 不足:收集数据困难,各个节点的协调,系统开销大 ③网络IDS:视网络传输中和系统事件来对付攻击
有三种主要部件: (1) 事件产生器:Event Generator (2) 活动记录器:Activity Profile (3) 规则集:Rule Set 3. IDS 分类 (1) 基于主机 IDS 和基于网络 IDS(最常用) (2) 按功能分类 ① 扫描器:事前的 IDS,对系统威胁进行定期评估 原理:通过比较已知的弱点数据库数据与系统配置的 数据,探测系统或网络中的缺陷 ② 系统 IDS:针对一个系统的信息资源来检测攻击 原理:主要检查系统日志,不考虑数据包 不足:收集数据困难,各个节点的协调,系统开销大 ③ 网络 IDS:视网络传输中和系统事件来对付攻击 用户历史行为 用户当前行为 入侵检测 断开 记录 恢复 检测 入侵 Y N
原理: 不足:只能监视本网段的活动,精确度较低 (3)按组成方式分类 ①集中式IDS:ID程序集中,各个主机上有一简单的 审计程序 优点: 缺点: ②分层式IDS:网络分层监视检测 优点: 缺点: ③分布式IDS (面向大规模网络的分布式入侵检测与预警系统) 优点: 缺点: (4)按功能分类 误用检测 异常检测 集成检测 4.IDS实现 (Ref3张楚敏等,入侵检测系统,计算机应用研究,2001) (1)误用(滥用)检测(Ref7)
原理: 不足:只能监视本网段的活动,精确度较低 (3) 按组成方式分类 ① 集中式 IDS:ID 程序集中,各个主机上有一简单的 审计程序 优点: 缺点: ② 分层式 IDS:网络分层监视检测 优点: 缺点: ③ 分布式 IDS (面向大规模网络的分布式入侵检测与预警系统) 优点: 缺点: (4)按功能分类 误用检测 异常检测 集成检测 4. IDS 实现 (Ref.3 张楚敏等,入侵检测系统,计算机应用研究,2001) (1) 误用(滥用)检测(Ref.7)
(2)异常检测(行为)(Ref6) 5.现有系统(产品)Ref3 4.2典型攻击与防范 4.2.1蠕虫 1.概述 莫里斯,美,康奈尔大学计算机系研究生,1988.11.2 针对UNIX的安全漏洞( fingerd和 Sendmail) √现在一般不再认为是病毒(与病毒有区别) 2.蠕虫利用的漏洞 (1) fingerd进程 finger(获取远程系统的用户信息) fingerd( finger运行中的一个守护进程) gets( fingerd使用的无栈的边界控制) 返回地址 侵入 发出一个长串,串覆盖返回地址栈瓦解技术 (2) Sendmail √ Sendmail用于实现SMTP协议(过于复杂,安全问题很多) DEBNG功能对用户开放,即允许将接受方的地址行看作一个
(2) 异常检测(行为)(Ref.6) 5. 现有系统(产品)Ref.3 4.2 典型攻击与防范 4.2.1 蠕虫 1.概述 ✓ 莫里斯,美,康奈尔大学计算机系 研究生,1988.11.2 ✓ 针对 UNIX 的安全漏洞(fingerd 和 Sendmail) ✓ 现在一般不再认为是病毒(与病毒有区别) 2.蠕虫利用的漏洞 (1)fingerd 进程 (2)Sendmail ✓ Sendmail 用于实现 SMTP 协议(过于复杂,安全问题很多) ✓ DEBNG 功能对用户开放,即允许将接受方的地址行看作一个 finger(获取远程系统的用户信息) fingerd(finger 运行中的一个守护进程) gets(fingerd 使用的无栈的边界控制) 返回地址 侵入 发出一个长串,串覆盖返回地址 栈瓦解技术
命令行,并用rot权限来执行。(龚P1ns) (3)口令问题 ec/ passwd中,对口令进行攻击(如字典攻击) √组网(龚P2062) 引导程序 bootstrap 蠕虫体 3.蠕虫的入侵过程 从一个主机A发出(得到一个 SOCKET口) 利用 finger/SMTP漏洞入侵B 将引导程序从A送入B,编译执行后删除 利用引导程序从A获取蠕虫体程序并执行 阅读/etc/ /hosts. egner和/rhos文件,寻找其它主机,进行字典攻 击(包括无口令用户和简单口令用户,用UNIX自带的词典 /user/dict/words 建立攻击对象表,随机选一个 4.蠕虫的简单防范 (1)放入假蠕虫,充当疫苗 (2)查看进程
命令行,并用 root 权限来执行。(龚 P175) (3)口令问题 ✓ /etc/passwd 中,对口令进行攻击(如字典攻击) ✓ 组网(龚 P206-209) 3.蠕虫的入侵过程 4.蠕虫的简单防范 (1)放入假蠕虫,充当疫苗 (2)查看进程 引导程序 蠕虫体 bootstrap 从一个主机 A 发出(得到一个 SOCKET 口) 利用 finger/SMTP 漏洞入侵 B 将引导程序从 A 送入 B,编译执行后删除 利用引导程序从 A 获取蠕虫体程序并执行 阅读/etc/hosts.egnir 和/.rhosts 文件,寻找其它主机,进行字典攻 击(包括无口令用户和简单口令用户,用 UNIX 自带的词典 /user/dict/words) 建立攻击对象表,随机选一个
(3)honeypot 5.网络蠕虫的建模 4.2.2端口扫描 √系统的信息服务器可能提供一些入侵需要的信息,如 finger 正上机的用户名、使用的终端、空闲的时间、登录时间、从 哪登录等。但有些攻击者还需要进一步的分析工具,如端口 扫描 1.原理(龚P212) 2.扫描对象:TCP,UDP(龚P2121) 3.优缺点 优点:操作方便,能发现已知的安全隐患 缺点:无法发现未被扫描工具包含的安全隐患及新的隐患 例子: Sportscan122.33.4420100 11.22.33.44 21 accepted 11. 22.33. 44 23 accepted l1.22.33.4425 accepted l1.22.33.4437 accepted 可以看出,主机112.3.44在端口21、23、25、37都提供服 务 √对1024以下的端口,端口号与对应得服务基本上是固定的 Port20...http
(3)honeypot 5.网络蠕虫的建模 4.2.2 端口扫描 ✓ 系统的信息服务器可能提供一些入侵需要的信息,如 finger、 正上机的用户名、使用的终端、空闲的时间、登录时间、从 哪登录等。但有些攻击者还需要进一步的分析工具,如端口 扫描 1.原理(龚 P212) 2.扫描对象:TCP,UDP(龚 P212-213) 3.优缺点 优点:操作方便,能发现已知的安全隐患 缺点:无法发现未被扫描工具包含的安全隐患及新的隐患 例子:$portscan 11.22.33.44 20 100 11.22.33.44 21 accepted 11.22.33.44 23 accepted 11.22.33.44 25 accepted 11.22.33.44 37 accepted ✓ 可以看出,主机 11.22.33.44 在端口 21、23、25、37 都提供服 务 ✓ 对 1024 以下的端口,端口号与对应得服务基本上是固定的 Port 20 …http