1、入侵檢測(cè)技術(shù)課件第入侵檢測(cè)技術(shù)課件第6 6章章 基于網(wǎng)絡(luò)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 4數(shù)據(jù)報(bào)文的分層封裝基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 5以太網(wǎng)幀格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 6ARP/RARP報(bào)文格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 7IP數(shù)據(jù)報(bào)頭格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 8ICMP回應(yīng)請(qǐng)求與應(yīng)答報(bào)文格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 9UDP報(bào)文格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 10TCP報(bào)文格式基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 11局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理qHUB工作原理 q網(wǎng)卡工作原理q局域網(wǎng)工作過(guò)程 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 12SnifferqSniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為

2、其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 qSniffer要捕獲的東西必須是物理信號(hào)能收到的報(bào)文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡(luò)上的設(shè)備都對(duì)總線上傳送的所有數(shù)據(jù)進(jìn)行偵聽(tīng)，并不僅僅是針對(duì)它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個(gè)網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。 qSniffer的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。 qSniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下， 用戶并不直接和該層打交道，有些甚至不知道有這一層存在。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 13共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)

3、捕獲q要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流，就必須繞開(kāi)系統(tǒng)正常工作的處理機(jī)制，直接訪問(wèn)網(wǎng)絡(luò)底層。q首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問(wèn)數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過(guò)濾處理。q在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫(kù)直接與內(nèi)核驅(qū)動(dòng)交互操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。q在Win32平臺(tái)上可以使用Winpcap，通過(guò)VxD虛擬設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 14常用的包捕獲機(jī)制包捕獲機(jī)制系統(tǒng)平臺(tái)備注BPFBSD系列Berkeley Packet FilterDLPISolaris,

4、 HP-UNIX， SCO UNIXData Link Provider InterfaceNITSunOS 3Network Interface TapSNOOPIRIXSNITSunOS 4Streams Network Interface TapSOCK-PACKETLinuxLSF=Linux 2.1.75Linux Socket FilterDrainIRIX基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 15BPF的模型及其接口緩存緩存過(guò)濾器過(guò)濾器緩存協(xié)議棧鏈路層驅(qū)動(dòng)器鏈路層驅(qū)動(dòng)器程序1程序3程序2過(guò)濾器鏈路層驅(qū)動(dòng)器程序4基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 16Libpcap介紹 qLibpcap的英文意思是 Pac

5、ket Capture library，即數(shù)據(jù)包捕獲函數(shù)庫(kù)。 q它是勞倫斯伯克利國(guó)家實(shí)驗(yàn)室網(wǎng)絡(luò)研究組開(kāi)發(fā)的UNIX平臺(tái)上的一個(gè)包捕獲函數(shù)庫(kù)，其源代碼可從/libpcap.tar.z獲得。 q它是一個(gè)獨(dú)立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測(cè)提供了一個(gè)可移植的框架。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 17Windows平臺(tái)下的Winpcap庫(kù) qLibpcap過(guò)去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過(guò)在Wiin32系統(tǒng)中安裝Winpcap來(lái)實(shí)現(xiàn)的, 其官方網(wǎng)站是http:/winpcap.polito.it/。 qWinpcap的主要功能在于獨(dú)

6、立于主機(jī)協(xié)議而發(fā)送和接收原始數(shù)據(jù)報(bào)，主要提供了四大功能： q(1)捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)； q(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉；q(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；q(4)收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 18Winpcap結(jié)構(gòu)示意圖 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 19檢測(cè)引擎的設(shè)計(jì)q網(wǎng)絡(luò)檢測(cè)引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。q檢測(cè)引擎首先需要利用數(shù)據(jù)包截獲機(jī)制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。q經(jīng)過(guò)過(guò)濾后，引擎需要采用一定的技術(shù)對(duì)數(shù)據(jù)包進(jìn)行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)

7、流中存在的入侵事件和行為。q有效的處理和分析技術(shù)是檢測(cè)引擎的重要組成部分。q檢測(cè)引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 20模式匹配技術(shù)q從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較； q如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊； q如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較； q直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束。 q對(duì)于每一個(gè)攻擊特征，重復(fù)1步到4步的操作。 q直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包的匹配完畢。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 21協(xié)議分析技術(shù)q網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果

8、將協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。 q協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類(lèi)型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。q可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹(shù)來(lái)表示。 q一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。 q協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 22特征（signature）的基本概念 qIDS中的特征就是指用于判別通訊信息種類(lèi)的樣板數(shù)據(jù)

9、，通常分為多種，以下是一些典型情況及識(shí)別方法： q來(lái)自保留IP地址的連接企圖：可通過(guò)檢查IP報(bào)頭的來(lái)源地址識(shí)別。q帶有非法TCP 標(biāo)志組合的數(shù)據(jù)包：可通過(guò)對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來(lái)識(shí)別。q含有特殊病毒信息的Email：可通過(guò)對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別，或者通過(guò)搜索特定名字的附近來(lái)識(shí)別。q查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過(guò)解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是：在負(fù)載中搜索“殼代碼利用”（exploit shellcode）的序列代碼組合。q通過(guò)對(duì)POP3服務(wù)器發(fā)出上千次同一

10、命令而導(dǎo)致的DoS攻擊：通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù)，看看是否超過(guò)了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。q未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問(wèn)攻擊：通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 23典型特征-報(bào)頭值 一般情況下，異常報(bào)頭值的來(lái)源有以下幾種：來(lái)自保留IP地址的連接企圖：可通過(guò)檢查IP報(bào)頭的來(lái)源地址識(shí)別。q許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義。 q許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。 q并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。 q隨著時(shí)

11、間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 24候選特征 q只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。 q沒(méi)有設(shè)置ACK標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。 q來(lái)源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個(gè)別時(shí)候如進(jìn)行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTP對(duì)話中，目標(biāo)端口一般是21，而來(lái)源端口通常都高于1023。 qTCP

12、窗口尺寸為1028，IP標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中為39426。根據(jù)IP RFC的定義，這2類(lèi)數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 25報(bào)頭值關(guān)鍵元素 qIP地址，特別保留地址、非路由地址、廣播地址。 q不應(yīng)被使用的端口號(hào)，特別是眾所周知的協(xié)議端口號(hào)和木馬端口號(hào)。 q異常信息包片斷。 q特殊TCP標(biāo)志組合值。 q不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 26檢測(cè)實(shí)例-數(shù)據(jù)包捕獲08/19-10:35:22.409202 :137 - 55:137UDP TTL:128 TOS:0 x0 I

13、D:19775 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199 :137 - 55:137UDP TTL:128 TOS:0 x0 ID:19776 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024 :1221 - 90:80TCP TTL:128 TOS:0 x0 ID:4643 IpLen:20 DgmLen:48*S* Seq: 0 x811D5ED1 Ack: 0 x0 Win: 0 xFFFF TcpLen: 28TCP Options (4) = MSS: 1460 NOP NOP S