1、第5章 安全防護(hù)與入侵檢測(cè) Sniffer Pro網(wǎng)絡(luò)管理與監(jiān)視5.1 入侵檢測(cè)系統(tǒng)5.2 蜜 罐 系 統(tǒng)5.35.1 Sniffer Pro網(wǎng)絡(luò)管理與監(jiān)視5.1.1 Sniffer Pro的功能 Sniffer Pro支持各種平臺(tái)（Windows XP/ 2000/NT/ME/9X/2019），性能優(yōu)越，是可視化的網(wǎng)絡(luò)分析軟件，主要功能有以下幾點(diǎn)。 實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)活動(dòng)。 數(shù)據(jù)包捕捉與發(fā)送。 網(wǎng)絡(luò)測(cè)試與性能分析。 利用專(zhuān)家分析系統(tǒng)進(jìn)行故障診斷。 網(wǎng)絡(luò)硬件設(shè)備測(cè)試與管理。5.1.2 Sniffer Pro的登錄與界面1Sniffer Pro的登錄（單塊網(wǎng)卡時(shí)）5.1.2 Sniffer Pro的登

2、錄與界面1Sniffer Pro的登錄（多塊網(wǎng)卡時(shí)）5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面菜單欄捕獲欄工具欄狀態(tài)欄5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面儀表盤(pán)：提供實(shí)時(shí)信息，判斷網(wǎng)絡(luò)是否異常。儀表顯示網(wǎng)絡(luò)利用率、數(shù)據(jù)包流量、錯(cuò)誤統(tǒng)計(jì)率表格顯示網(wǎng)絡(luò)利用率、數(shù)據(jù)分布規(guī)模、錯(cuò)誤詳細(xì)統(tǒng)計(jì)5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面主機(jī)列表：收集發(fā)出流量的節(jié)點(diǎn)，顯示節(jié)點(diǎn)的流量統(tǒng)計(jì)信息支持4種視圖：大綱、詳細(xì)資料、直方圖、餅圖5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界

3、面矩陣：收集網(wǎng)絡(luò)主機(jī)間的會(huì)話內(nèi)容并進(jìn)行流量統(tǒng)計(jì)，根據(jù)MAC、IP地址查看矩陣內(nèi)容。支持5種查看方式：地圖、大綱、詳細(xì)資料、直方圖、餅圖。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面應(yīng)用程序響應(yīng)時(shí)間：主要用于對(duì)服務(wù)器的監(jiān)控，了解網(wǎng)絡(luò)應(yīng)用的響應(yīng)狀況，及時(shí)發(fā)現(xiàn)服務(wù)存在的問(wèn)題。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面歷史抽樣：用于確定基準(zhǔn)，即網(wǎng)絡(luò)的正常運(yùn)行情況。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面協(xié)議分布：收集網(wǎng)絡(luò)上所有可見(jiàn)的協(xié)議，查看協(xié)議分布情況。5.1.2 Sniffer Pro的登錄與界面

4、2Sniffer Pro的界面全局統(tǒng)計(jì)：顯示捕獲過(guò)程的整體統(tǒng)計(jì)信息。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面警告日志：顯示警告信息。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面捕獲面板：顯示捕獲過(guò)程中所捕獲數(shù)據(jù)包的數(shù)量和當(dāng)前緩存的使用情況。5.1.2 Sniffer Pro的登錄與界面2Sniffer Pro的界面地址本：保存節(jié)點(diǎn)的地址信息，便于管理和分析網(wǎng)絡(luò)狀況。5.1.3 Sniffer Pro報(bào)文的捕獲與解析 Sniffer Pro是一款比較完備的網(wǎng)絡(luò)管理工具，可以用來(lái)捕獲流量。對(duì)于蠕蟲(chóng)病毒、廣播風(fēng)暴或者網(wǎng)絡(luò)攻擊，識(shí)別它

5、們最好的方法是，分析問(wèn)題并將之分類(lèi)，這樣就可以全面了解網(wǎng)絡(luò)的現(xiàn)狀，并針對(duì)不同的問(wèn)題采取不同的解決方法。首先了解一下捕獲欄的使用，如表5.1所示。捕獲欄表5.1捕獲欄功能介紹表5.1捕獲欄功能介紹名 稱(chēng)圖 標(biāo)功 能開(kāi)始按鈕表示可以開(kāi)始捕獲過(guò)程暫停按鈕可以在任何時(shí)間停止捕獲過(guò)程，稍后再繼續(xù)停止按鈕可以停止過(guò)程來(lái)查看信息，或?qū)⑿畔⒋鏋橐粋€(gè)文件停止并顯示按鈕以停止捕獲并顯示捕獲的幀顯示按鈕顯示一個(gè)已經(jīng)停止捕獲過(guò)程的結(jié)果定義過(guò)濾器按鈕定義用來(lái)捕獲幀的條件選擇過(guò)濾器以從定義好的條件列表中選擇一個(gè)用于捕獲定義過(guò)濾器捕獲ARP幀的結(jié)果5.1.4 Sniffer Pro的高級(jí)應(yīng)用表5.2 Sniffer Pro

6、高級(jí)系統(tǒng)層次與OSI對(duì)應(yīng)關(guān)系圖 標(biāo)高級(jí)系統(tǒng)層次名稱(chēng)OSI模型的層次服務(wù)層（Service）應(yīng)用層與表示層應(yīng)用程序?qū)樱ˋpplication）應(yīng)用層與表示層會(huì)話層（Session）會(huì)話層數(shù)據(jù)鏈路層（Connection）數(shù)據(jù)鏈路層工作站層（Station）網(wǎng)絡(luò)層DLC數(shù)據(jù)鏈路層與物理層入侵檢測(cè)系統(tǒng)5.2 入侵檢測(cè)系統(tǒng)5.2.1 入侵檢測(cè)的概念與原理入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是用來(lái)發(fā)現(xiàn)內(nèi)部攻擊、外部攻擊和誤操作的一種方法。是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)，傳統(tǒng)的操作系統(tǒng)加固技術(shù)等都是靜態(tài)安全防御技術(shù)。入侵檢測(cè)

7、被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。5.2 入侵檢測(cè)系統(tǒng)5.2.1 入侵檢測(cè)的概念與原理圖5.26 通用入侵檢測(cè)模型入侵檢測(cè)利用不同的引擎實(shí)時(shí)或定期地對(duì)網(wǎng)絡(luò)數(shù)據(jù)源進(jìn)行分析，并對(duì)其中的威脅部分提取出來(lái)，觸發(fā)響應(yīng)機(jī)制。將入侵檢測(cè)的軟件與硬件的組合稱(chēng)為入侵檢測(cè)系統(tǒng)（IDS）5.2.2 入侵檢測(cè)系統(tǒng)的構(gòu)成與功能入侵檢測(cè)系統(tǒng)一般由4個(gè)部分的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。圖5.27 入侵檢測(cè)系統(tǒng)的組成提供事件記錄流的信息源收集信息源的數(shù)據(jù)對(duì)基于分析引擎的數(shù)據(jù)結(jié)果產(chǎn)生反應(yīng)存放各種中間和最終數(shù)據(jù)的地

8、方的統(tǒng)稱(chēng)5.2.2 入侵檢測(cè)系統(tǒng)的構(gòu)成與功能入侵檢測(cè)系統(tǒng)的功能：（1）檢測(cè)和分析用戶與系統(tǒng)的活動(dòng)（2）審計(jì)系統(tǒng)配置和漏洞（3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性（4）識(shí)別已知攻擊（5）統(tǒng)計(jì)分析異常行為（6）操作系統(tǒng)的審計(jì)、跟蹤、管理、并識(shí)別違反安全策略的用戶活動(dòng)5.2.3 入侵檢測(cè)系統(tǒng)的分類(lèi)1按照檢測(cè)類(lèi)型劃分（2）特征檢測(cè)模型（Signature-based detection）（1）異常檢測(cè)模型（Anomaly detection）2按照檢測(cè)對(duì)象劃分（1）基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS） 安裝在被檢測(cè)的主機(jī)上，對(duì)該主機(jī)的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。 （2）基于網(wǎng)絡(luò)的

9、入侵檢測(cè)產(chǎn)品（NIDS） 放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。 5.2.3 入侵檢測(cè)系統(tǒng)的分類(lèi)5.2.4 入侵檢測(cè)系統(tǒng)的部署一般入侵檢測(cè)產(chǎn)品都由傳感器和控制臺(tái)兩個(gè)部分組成。傳感器負(fù)責(zé)采集、分析數(shù)據(jù)并生成安全事件?？刂婆_(tái)主要起到中央管理的作用?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)需要有傳感器才能工作。入侵檢測(cè)系統(tǒng)的位置主要是傳感器的部署位置。如果傳感器放的位置不正確，入侵檢測(cè)系統(tǒng)也無(wú)法工作在最佳狀態(tài)，一般可以采取以下4個(gè)選擇： 放在邊界防火墻之內(nèi)，傳感器可以發(fā)現(xiàn)所有來(lái)自Internet 的攻擊，然而如果攻擊類(lèi)型是TCP攻擊，而防火墻或過(guò)濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這

10、種攻擊的發(fā)生。 放在邊界防火墻之外，可以檢測(cè)所有對(duì)保護(hù)網(wǎng)絡(luò)的攻擊事件，包括數(shù)目和類(lèi)型。但是這樣部署會(huì)使傳感器徹底地暴露在黑客之下。5.2.4 入侵檢測(cè)系統(tǒng)的部署 放在主要的網(wǎng)絡(luò)中樞中，傳感器可以監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性，可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶的行為。 放在一些安全級(jí)別需求高的子網(wǎng)中，對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)，比如一個(gè)公司的財(cái)務(wù)部門(mén)，這個(gè)網(wǎng)段安全級(jí)別需求非常高，因此可以對(duì)財(cái)務(wù)部門(mén)單獨(dú)放置一個(gè)檢測(cè)器系統(tǒng)。5.2.5 入侵檢測(cè)系統(tǒng)的選型表5.5入侵檢測(cè)系統(tǒng)選擇標(biāo)準(zhǔn)產(chǎn)品是否可擴(kuò)展系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志

11、溢出的處理該產(chǎn)品是否進(jìn)行過(guò)攻擊測(cè)試了解產(chǎn)品提供商提供的產(chǎn)品是否進(jìn)行過(guò)攻擊測(cè)試，明確測(cè)試步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力產(chǎn)品支持的入侵特征數(shù)不同廠商對(duì)檢測(cè)特征庫(kù)大小的計(jì)算方法都不一樣，盡量參考國(guó)際標(biāo)準(zhǔn)特征庫(kù)升級(jí)與維護(hù)的周期、方式、費(fèi)用入侵檢測(cè)的特征庫(kù)需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法最大可處理流量一般有百兆、千兆、萬(wàn)兆之分是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng)主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有：國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心是否有成功案例需要了解產(chǎn)品的成功應(yīng)用案例，有必要進(jìn)行實(shí)地考察和測(cè)試使用系統(tǒng)的價(jià)格性能價(jià)格比，以要保護(hù)系統(tǒng)的價(jià)值為主要的因素5.2.5 入侵

12、檢測(cè)系統(tǒng)的選型Axent Technologies公司網(wǎng)址: axentCisco Systems公司網(wǎng)址: ciscoInternet Security Systems公司網(wǎng)址: issIntrusion Detection公司網(wǎng)址: intrusionNetwork Associates公司網(wǎng)址: naingcComputer Associates公司網(wǎng)址: cai/Trusted Information Systems公司網(wǎng)址: tisNetwork Security Wizards公司網(wǎng)址: securitywizardsNetwork Ice公司網(wǎng)址: networkiceNFR公司

13、網(wǎng)址: nfr/CyberSafe公司網(wǎng)址:cybersafe/中科網(wǎng)威公司網(wǎng)址: netpower/啟明星辰公司網(wǎng)址: venustechIDS軟件廠商的網(wǎng)址入侵檢測(cè)系統(tǒng)軟件介紹 BlackICE Server Protection 軟件 薩客嘶入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)BlackICE BlackICE Server Protection 軟件（以下簡(jiǎn)稱(chēng)BlackICE）是由ISS安全公司出品的一款著名的入侵檢測(cè)系統(tǒng)。該軟件在九九年曾獲得了PC Magazine的技術(shù)卓越大獎(jiǎng)。專(zhuān)家對(duì)它的評(píng)語(yǔ)是：“對(duì)于沒(méi)有防火墻的家庭用戶來(lái)說(shuō)，BlackICE是一道不可缺少的防線；而對(duì)于企業(yè)網(wǎng)絡(luò)，它又增加了一

14、層保護(hù)措施它并不是要取代防火墻，而是阻止企圖穿過(guò)防火墻的入侵者。BlackICE集成有非常強(qiáng)大的檢測(cè)和分析引擎，可以識(shí)別多種入侵技巧，給予用戶全面的網(wǎng)絡(luò)檢測(cè)以及系統(tǒng)的呵護(hù)。而且該軟件還具有靈敏度及準(zhǔn)確率高，穩(wěn)定性出色，系統(tǒng)資源占用率極少的特點(diǎn)。軟件版本：3.6、軟件大?。?.11 M、軟件語(yǔ)言：英文、軟件類(lèi)別：國(guó)外軟件 / 注冊(cè)版 / 網(wǎng)絡(luò)安全、運(yùn)行環(huán)境：Win9x/NT/2000/XP/2019/、下載地址：blackice.iss 入侵檢測(cè)系統(tǒng)BlackICEBlackICE安裝后以后臺(tái)服務(wù)的方式運(yùn)行，前端有一個(gè)控制臺(tái)可以進(jìn)行各種報(bào)警和修改程序的配置，界面很簡(jiǎn)潔。BlackICE軟件最具特

15、色的地方是內(nèi)置了應(yīng)用層的入侵檢測(cè)功能，并且能夠與自身的防火墻進(jìn)行聯(lián)動(dòng)，可以自動(dòng)阻斷各種已知的網(wǎng)絡(luò)攻擊行為。 入侵檢測(cè)系統(tǒng)BlackICEBlackICE具有強(qiáng)大的網(wǎng)絡(luò)攻擊檢測(cè)能力，可以說(shuō)大部分的非法入侵都會(huì)被它發(fā)現(xiàn)，并采取Critical、Serious、Suspicious和Information這4種級(jí)別報(bào)警（分別用紅、橙黃、黃和綠4種顏色標(biāo)識(shí)，危險(xiǎn)程度依次降低）。同樣，BlackICE對(duì)外來(lái)訪問(wèn)也設(shè)有4個(gè)安全級(jí)別，分別是Trusting、Cautious、Nervous和Paranoid。Paranoid是阻斷所有的未受權(quán)信息，Nervous是阻斷大部分的未受權(quán)信息，Cautious是阻

16、斷部分的未受權(quán)的信息，而軟件缺省設(shè)置的是Trusting級(jí)別，即接受所有的信息。修改以上安全級(jí)別，可以通過(guò)“Tools”菜單中的“Edit BlackICE Settings”，選擇“Firewall”來(lái)進(jìn)行。 入侵檢測(cè)系統(tǒng)BlackICEBlackICE提供了一個(gè)簡(jiǎn)單的防火墻設(shè)置界面，通過(guò)選擇“Tools”菜單中的“Advanced Firewall Settings”，就可以對(duì)TCP/UDP端口或IP地址進(jìn)行禁止或允許等訪問(wèn)規(guī)則的配置。 入侵檢測(cè)系統(tǒng)BlackICE另外，針對(duì)上述功能BlackICE軟件還提供了詳細(xì)的檢測(cè)日志?！癐ntruders”中列出了BlackICE發(fā)現(xiàn)的全部可疑IP

17、地址，逐一點(diǎn)擊可以查看每個(gè)IP的詳細(xì)信息，包括IP地址、Node節(jié)點(diǎn)名、Group組、NetBIOS名稱(chēng)、MAC地址和DNS解析地址等。入侵檢測(cè)系統(tǒng)BlackICE“History”給出了在過(guò)去的時(shí)間段里（Min、Hour、Day）發(fā)生的事件和網(wǎng)絡(luò)流量的曲線趨勢(shì)圖表（當(dāng)曲線出現(xiàn)波動(dòng)時(shí)，表示存在不正常的網(wǎng)絡(luò)行為，點(diǎn)擊某個(gè)波形就可以查看相對(duì)應(yīng)的事件信息）?！癊vents”顯示BlackICE所發(fā)現(xiàn)的全部入侵或訪問(wèn)事件。薩客嘶入侵檢測(cè)系統(tǒng) 薩客嘶入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的網(wǎng)絡(luò)安全防護(hù)工具，提供了對(duì)內(nèi)部和外部攻擊的實(shí)時(shí)保護(hù)，它通過(guò)對(duì)網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)進(jìn)行智能分析和檢測(cè)，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違

18、反安全策略的行為和被攻擊的跡象， 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和阻止入侵。薩客嘶入侵檢測(cè)系統(tǒng)基于協(xié)議分析，采用了快速的多模式匹配算法，能對(duì)當(dāng)前復(fù)雜高速的網(wǎng)絡(luò)進(jìn)行快速精確分析，在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能方面提供全面和深入的數(shù)據(jù)依據(jù)，是企業(yè)、政府、學(xué)校等網(wǎng)絡(luò)安全立體縱深、多層次防御的重要產(chǎn)品。 主要功能入侵檢測(cè)及防御功能檢測(cè)用戶網(wǎng)絡(luò)中存在的黑客入侵，網(wǎng)絡(luò)資源濫用，蠕蟲(chóng)攻擊，后門(mén)木馬，ARP欺騙、拒絕服務(wù)攻擊等各種威脅。同時(shí)可以根據(jù)策略配置主動(dòng)切斷危險(xiǎn)行為，對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行保護(hù)。行為審計(jì)功能對(duì)網(wǎng)絡(luò)中用戶的行為進(jìn)行審計(jì)記錄，包括用戶范圍WEB網(wǎng)站，收發(fā)郵件，使用FTP傳輸文件，使用MSN、QQ等即時(shí)通訊軟件等行

19、為，幫助管理員發(fā)現(xiàn)潛在的網(wǎng)絡(luò)威脅。同時(shí)對(duì)網(wǎng)絡(luò)中的敏感行為進(jìn)行審計(jì)。流量統(tǒng)計(jì)功能對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)顯示和統(tǒng)計(jì)分析，幫助用戶有效的發(fā)現(xiàn)網(wǎng)絡(luò)資源濫用、蠕蟲(chóng)、拒絕服務(wù)攻擊，確保用戶網(wǎng)絡(luò)正常使用。 主要功能入侵檢測(cè)及防御功能檢測(cè)用戶網(wǎng)絡(luò)中存在的黑客入侵，網(wǎng)絡(luò)資源濫用，蠕蟲(chóng)攻擊，后門(mén)木馬，ARP欺騙、拒絕服務(wù)攻擊等各種威脅。同時(shí)可以根據(jù)策略配置主動(dòng)切斷危險(xiǎn)行為，對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行保護(hù)。行為審計(jì)功能對(duì)網(wǎng)絡(luò)中用戶的行為進(jìn)行審計(jì)記錄，包括用戶范圍WEB網(wǎng)站，收發(fā)郵件，使用FTP傳輸文件，使用MSN、QQ等即時(shí)通訊軟件等行為，幫助管理員發(fā)現(xiàn)潛在的網(wǎng)絡(luò)威脅。同時(shí)對(duì)網(wǎng)絡(luò)中的敏感行為進(jìn)行審計(jì)。流量統(tǒng)計(jì)功能對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)

20、顯示和統(tǒng)計(jì)分析，幫助用戶有效的發(fā)現(xiàn)網(wǎng)絡(luò)資源濫用、蠕蟲(chóng)、拒絕服務(wù)攻擊，確保用戶網(wǎng)絡(luò)正常使用。策略自定義功能高級(jí)用戶可以根據(jù)自身網(wǎng)絡(luò)情況，對(duì)檢測(cè)規(guī)則進(jìn)行定義，制定針對(duì)用戶網(wǎng)絡(luò)的高效策略，加強(qiáng)入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確性。 主要功能警報(bào)響應(yīng)功能對(duì)警報(bào)事件進(jìn)行及時(shí)響應(yīng)，包括實(shí)時(shí)切斷會(huì)話連接、記錄日志。IP碎片重組 利用碎片穿透技術(shù)突破防火墻和欺騙IDS已經(jīng)成為黑客們常用的手段，薩客嘶入侵檢測(cè)系統(tǒng)能夠進(jìn)行完全的IP碎片重組，發(fā)現(xiàn)所有的基于IP碎片的攻擊。TCP狀態(tài)跟蹤及流重組 通過(guò)對(duì)TCP協(xié)議狀態(tài)的跟蹤，能夠完全避免因單包匹配造成的誤報(bào)。Stick、Snot等黑客工具通過(guò)發(fā)送沒(méi)有經(jīng)過(guò)三次握手的TCP攻擊報(bào)文

21、觸發(fā)大量的 IDS報(bào)警，但這些TCP報(bào)文并不會(huì)真正對(duì)目標(biāo)機(jī)器產(chǎn)生實(shí)際的效果。（通常是被丟棄）此時(shí)IDS產(chǎn)生大量的警告就屬于誤報(bào)。處理不當(dāng)可能造成IDS系統(tǒng)癱瘓。薩客嘶入侵檢測(cè)系統(tǒng)完全模仿受保護(hù)的機(jī)器丟棄這些殘缺報(bào)文，極大地減小了誤報(bào)率。采用類(lèi)似于Telnet方式將攻擊報(bào)文拆成一個(gè)個(gè)的小報(bào)文進(jìn)行發(fā)送，可以逃避基于單包的IDS的檢測(cè)。薩客嘶入侵檢測(cè)系統(tǒng)采用流匯重組式檢測(cè)該類(lèi)攻擊手段。 5.2.6 入侵防護(hù)技術(shù)IPS入侵防護(hù)技術(shù)（IPS）是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)，是建立在入侵檢測(cè)系統(tǒng)（IDS）基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。目前，從保護(hù)對(duì)象上可將IPS分為3類(lèi)。 基于主機(jī)的入侵防護(hù)（HIPS

22、），用于保護(hù)服務(wù)器和主機(jī)系統(tǒng)不受不法分子的攻擊和誤操作的破壞。 基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS），通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)體系的安全保護(hù)，一旦辨識(shí)出有入侵行為，NIPS就阻斷該網(wǎng)絡(luò)會(huì)話。 應(yīng)用入侵防護(hù)（AIP），是將基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)信息安全設(shè)備。 蜜 罐 系 統(tǒng)5.3 蜜 罐 系 統(tǒng)5.3.1 蜜罐概述 蜜罐及蜜網(wǎng)技術(shù)是一種捕獲和分析惡意代碼及黑客攻擊活動(dòng)，從而達(dá)到了解對(duì)手目的的技術(shù)。蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷，從而實(shí)現(xiàn)對(duì)攻擊活動(dòng)的監(jiān)視、檢測(cè)和分析。 設(shè)計(jì)蜜罐就是讓黑客入侵，欺騙對(duì)方，借此保護(hù)服務(wù)器和收集證據(jù)。 5.3.2 蜜罐的

23、分類(lèi) 根據(jù)網(wǎng)絡(luò)應(yīng)用的不同，蜜罐的系統(tǒng)和漏洞設(shè)置要求也不盡相同，蜜罐是有針對(duì)性的，因此，就產(chǎn)生了多種多樣的蜜罐。（1）按照部署分為以下兩種。 產(chǎn)品型用于保護(hù)單位網(wǎng)絡(luò)，實(shí)現(xiàn)防御、檢測(cè)和幫助對(duì)攻擊的響應(yīng)，主要產(chǎn)品有KFSensor、Specter、ManTrap。 研究型用于對(duì)黑客攻擊進(jìn)行捕獲和分析，了解攻擊的過(guò)程、方法和工具，例如Gen 蜜網(wǎng)、Honeyd。（2）按照攻擊者在蜜罐中活動(dòng)的交互性級(jí)別分為以下兩種。 低交互型蜜罐用于模擬服務(wù)和操作系統(tǒng)，利用一些工具程序強(qiáng)大的模仿能力，偽造出不屬于自己平臺(tái)的“漏洞”，容易部署、減少風(fēng)險(xiǎn)，但只能捕獲少量信息，主要有Specter、KFSensor、Honeyd。 高交互型蜜罐最真實(shí)的蜜罐，它運(yùn)行著真實(shí)的系統(tǒng)，并且?guī)в姓鎸?shí)可入侵的漏洞，屬于最危險(xiǎn)的漏洞，但是它記錄下的入侵信息往往是最真實(shí)的，可以捕獲更豐富的信息，但部署復(fù)雜，但風(fēng)險(xiǎn)較大，主要有ManTrap, Gen蜜網(wǎng)。5.3.3 蜜罐的應(yīng)用實(shí)例安全配置IIS蜜罐抵御黑客攻擊 一般地，黑客們會(huì)使用端口掃描器來(lái)查