在網絡安全領域,隨著黑客應用技術的不斷“傻瓜化”,入侵檢測系統IDS的地位正在逐漸增加。一個網絡中,只有有效實施了IDS,才能敏銳地察覺攻擊者的侵犯行為,才能防患於未然!本文對IDS的概念、行為及策略等方面內容以問答形式進行全面介紹,期望幫助管理者更快和更好地使用IDS。 問:入侵有哪些方式? 1、探測 探測方式有很多,包括ping掃描、探測操作系統類別、系統及應用軟件的弱帳號掃描、偵探電子郵件、TCP/UDP端口掃描、探測Web服務器CGI漏洞等。 2、漏洞利用 指入侵者利用系統的隱藏功能或漏洞嘗試取得系統控制權。主要包括: CGI漏洞:編寫CGI程序需要考慮得非常完善才有可能避免安全威脅。入侵者經常要嘗試訪問系統中的一些具有知名漏洞的CGI程序,以期尋找到突破口。這些CGI程序有:TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyForm、FormMail。如果我們沒有使用這些文件卻發現有人正在頻繁地訪問其中之一,就可以清楚地斷明一個入侵行為正在進行了。 Web服務器漏洞:比如文件名中包含一系列“../”字符串從而可以訪問系統中的任意文件;URL路徑後添加上“::$DATA”就可以查看腳本源代碼。 Web浏覽器漏洞:這方面的漏洞涉及面同樣很廣,沖浪者絕不能掉以輕心。比如可能導致緩沖區溢出或執行.LNK命令的URL、畸形的HTTP header內容、MIME類型溢出(例如Netscape浏覽器的命令)、總是有漏可乘的javascript腳本(例如利用文件上傳功能創建後門程序)、偶爾犯些錯誤的Java代碼以及現在更為厲害、更為猖獗的ActiveX組件。 STMP漏洞:比如利用緩沖區溢出攻擊STMP、使用VRFY命令搜索用戶名稱。 IMAP漏洞:IMAP即Internet信息控制協議(Internet Message Access Protocol),是指從郵件服務器上獲取Email信息或直接收取郵件的協議。傳統的POP3收信過程中,用戶無法得知郵件的具體信息,只有在郵件全部下載到硬盤後,才能慢慢地浏覽或刪除,用戶幾乎沒有對郵件的控制決定權。IMAP解決的就是這個問題。但是許多流行的IMAP服務器都存在重大漏洞。 IP地址欺騙:由於路由選擇不需要判斷來源地址,因此入侵者就可將IP數據包的來源地址替換為偽造地址以期隱藏其攻擊地點。而且,由於是偽造的來源地址,入侵者也不會接收到目標機器的返回通訊信息,真正做到了“攻不還手”。 緩沖區溢出:除了前面提及的緩沖區溢出種類外,,還有DNS溢出(超長DNS名字發送給服務器)、statd溢出(超長文件名)。 3、DoS或DDoS(拒絕服務攻擊或分布式拒絕服務攻擊) 這種攻擊是真正的“損人不利己”,不需要別人的數據,只想等別人出錯看熱鬧。這種攻擊行為越來越多,是不是因為這種人也越來越 ...... 常見的DoS有死亡之Ping、SYN湮沒、Land攻擊。 問:NIDS檢測到一個入侵行為後做什麼? 當發現一個入侵行為後,NIDS系統將采取諸多有力措施對付攻擊,這主要包括: * 重新配置防火牆禁止入侵者IP地址進入 * 播放一段.WAV音樂提醒管理者 * 發送SNMP TRAP信息包到管理控制台 * 將事件記錄到系統日志文件中 * 給管理員發送電子郵件通知入侵正在發生 * 以尋呼方式(BP機)告知管理員 * 保存攻擊信息,如攻擊時間、入侵者IP地址、受害者IP地址及端口、協議信息、相關數據包 * 啟動特殊程序處理入侵事件 * 偽造TCP FIN信息包強制結束連接,避免悲劇繼續上演 共4頁。 1 2 3 4 8 :
