分析系統漏洞 認識黑客入侵手法

　　本文針對入侵檢測系統的漏洞來了解一下黑客的入侵手法。一旦安裝了網絡入侵檢測系統，網絡入侵檢測系統就會為你分析出網上出現的黑客攻擊事件，而且你能用此入侵檢測系統的反擊功能，即時將這種聯機獵殺或阻斷。你也可以配合防火牆的設置，由入侵檢測系統自動為你動態修改防火牆的存取規則，拒絕來自這個IP 的後續聯機動作！這種美好的“前景，可能是許多入侵檢測系統提供商的慣用銷售手法，一般的企業或組織在建立自己的入侵檢測系統時也會有這種預期目的。誠然，入侵檢測系統可以具有很好的監視及檢測入侵的能力，也可以對企業或組織的安全提供很好的協助。但是，正如小偷的手法會隨著鎖的設計而不斷“更新一樣，隨著入侵檢測系統的出現，許多針對網絡入侵檢測系統的規避手法也隨之不斷“升級。如今，黑客對於入侵檢測系統已經有了一套較完整的入侵手法。下面我們將針對入侵檢測系統的漏洞來了解一下黑客的入侵手法。

一、識別方式的設計漏洞

1.對比已知攻擊手法與入侵檢測系統監視到的在網上出現的字符串，是大部分網絡入侵檢測系統都會采取的一種方式。例如，在早期Apache Web服務器版本上的phf CGI程序，就是過去常被黑客用來讀取服務器系統上的密碼文件(/etc/passWord)，或讓服務器為其執行任意指令的工具之一。當黑客利用這種工具時，在其URL request請求中多數就會出現類似“GET /cgi-bin/phf?.....的字符串。因此許多入侵檢測系統就會直接對比所有的URL request 中是否出現/cgi-bin/phf 的字符串，以此判斷是否出現phf 的攻擊行為。

2.這樣的檢查方式，雖然適用於各種不同的入侵檢測系統，但那些不同的入侵檢測系統，因設計思想不同，采用的對比方式也會有所不同。有的入侵檢測系統僅能進行單純的字符串對比，有的則能進行詳細的TCP Session重建及檢查工作。這兩種設計方式，一個考慮了效能，一個則考慮了識別能力。攻擊者在進行攻擊時，為避免被入侵檢測系統發現其行為，可能會采取一些規避手法，以隱藏其意圖。例如：攻擊者會將URL中的字符編碼成%XX 的警惕6進值，此時“cgi-bin就會變成“%63%67%69%2d%62%69%6e，單純的字符串對比就會忽略掉這串編碼值內部代表的意義。攻擊者也可以通過目錄結構的特性，隱藏其真正的意圖，例如：在目錄結構中，“./代表本目錄，“../代表上層目錄，Web服務器 可能會將“/cgi-bin/././phf、“//cgi-bin//phf、“/cgi-bin/blah/../phf?這些URL request均解析成“/cgi-bin/phf，但單純的入侵檢測系統可能只會判斷這些request是否包含“/cgi-bin/phf的字符串，而沒有發現其背後所代表的意義。

3.將整個request在同一個TCP Session中切割成多個僅內含幾個字符的小Packet，網絡入侵檢測若沒將整個TCP session重建，則入侵檢測系統將僅能看到類似“GET、“/cg、“i、“-bin、“/phf的個別Packet，而不能發現重組回來的結果，因為它僅單純地檢查個別Packet是否出現類似攻擊的字符串。類似的規避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復雜的欺瞞手法。

二、“獵殺及重調安全政策的漏洞

所謂“獵殺，就是在服務器中設定一個陷阱，如有意打開一個端口，用檢測系統對其進行24小時的嚴密盯防，當黑客嘗試通過該端口入侵時，檢測系統就會及時地將其封鎖。網絡入侵檢測系統的“獵殺及重新調整防火牆安全政策設置功能，雖然能即時阻斷攻擊動作，但這種阻斷動作僅能適用TCP Session，要完全限制，就必須依賴重新調整防火牆安全政策設置的功能，同時也可能造成另一種反效果：即時阻斷的動作會讓攻擊者發現IDS的存在，攻擊者通常會尋找規避方式，或轉向對IDS進行攻擊。重新設置防火牆的安全政策，若設置不當，也可能造成被攻擊者用來做阻斷服務(Denial of Service)攻擊的工具：經過適當的設計，若網絡入侵檢測的檢查不足，攻擊者可以偽裝成其他的正常IP來源進行攻擊動作，入侵檢測系統若貿然限制這些來源的IP，將會導致那些合法用戶因攻擊者的攻擊而無法使用。論是識別方式的設計，還是所謂的“獵殺及重新設置防火牆安全政策的設置功能，都有其利弊。能夠實地了解入侵檢測系統的識別方式，或進行其識別手法的調整，將有助於提高入侵檢測系統運作的正確性。對“獵殺及重新調整防火牆安全政策設置功能工具的使用，則應仔細評估其效益與相應的損失，這樣才能有效地發揮網絡入侵檢測系統的功能。

　　今天,隨著計算機的廣泛應用和網絡的流行,越來越多的單位和部門開始引入計算機網絡管理,從而相應的需要更多的優秀網管.已有幾"腦齡"的你是不是也有成為網管的雄心壯志?在你成為一名合格的網管前,你必須先把下面的十個問題弄清楚。如果連這些最基本的網管知識你都不具備的話,那你怎麼能不補這堂課呢?

★計算機網絡是什麼?

這是首先必須解決的一個問題,絕對是核心概念.我們講的計算機網絡,其實就是利用通訊設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能完善的網絡軟件(即網絡通信協議、信息交換方式及網絡操作系統等)實現網絡中資源共享和信息傳遞的系統。它的功能最主要的表現在兩個方面:一是實現資源共享(包括硬件資源和軟件資源的共享);二是在用戶之間交換信息。計算機網絡的作用是:不僅使分散在網絡各處的計算機能共享網上的所有資源,並且為用戶提供強有力的通信手段和盡可能完善的服務,從而極大的方便用戶。從網管的角度來講,說白了就是運用技術手段實現網絡間的信息傳遞,同時為用戶提供服務。

★計算機網絡由哪幾個部分組成?

計算機網絡通常由三個部分組成,它們是資源子網、通信子網和通信協議.所謂通信子網就是計算機網絡中負責數據通信的部分;資源子網是計算機網絡中面向用戶的部分,負責全網絡面向應用的數據處理工作;而通信雙方必須共同遵守的規則和約定就稱為通信協議,它的存在與否是計算機網絡與一般計算機互連系統的根本區別。所以從這一點上來說,我們應該更能明白計算機網絡為什麼是計算機技術和通信技術發展的產物了。

★計算機網絡的種類怎麼劃分?

現在最常見的劃分方法是:按計算機網絡覆蓋的地理范圍的大小,一般分為廣域網(WAN)和局域網(LAN)(也有的劃分再增加一個城域網(MAN))。顧名思義，所謂廣域網無非就是地理上距離較遠的網絡連接形式,例如著名的Internet網,Chinanet網就是典型的廣域網。而一個局域網的范圍通常不超過10公裡,並且經常限於一個單一的建築物或一組相距很近的建築物.Novell網是目前最流行的計算機局域網。

★計算機網絡的體系結構是什麼?

在計算機網絡技術中,網絡的體系結構指的是通信系統的整體設計,它的目的是為網絡硬件、軟件、協議、存取控制和拓撲提供標准.現在廣泛采用的是開放系統互連OSI(Open System Interconnection)的參考模型,它是用物理層、數據鏈路層、網絡層、傳送層、對話層、表示層和應用層七個層次描述網絡的結構.你應該注意的是,網絡體系結構的優劣將直接影響總線、接口和網絡的性能.而網絡體系結構的關鍵要素恰恰就是協議和拓撲。目前最常見的網絡體系結構有FDDI、以太網、令牌環網和快速以太網等。

★計算機網絡的協議是什麼?

剛才說過網絡體系結構的關鍵要素之一就是網絡協議。而所謂協議(Protocol)就是對數據格式和計算機之間交換數據時必須遵守的規則的正式描述，它的作用和普通話的作用如出一轍。依據網絡的不同通常使用Ethernet(以太網)、NetBEUI、IPX/SPX以及TCP/IP協議。Ethernet是總線型協議中最常見的網絡低層協議,安裝容易且造價便宜;而NetBEUI可以說是專為小型局域網設計的網絡協議。對那些無需跨經路由器與大型主機通信的小型局域網,安裝NetBEUI協議就足夠了,但如果需要路由到另外的局域網,就必須安裝IPX/SPX或TCP/IP協議.前者幾乎成了Novell網的代名詞,而後者就被著名的Internet網所采用.特別是TCP/IP(傳輸控制協議/網間協議)就是開放系統互連協議中最早的協議之一,也是目前最完全和應用最廣的協議,能實現各種不同計算機平台之間的連接、交流和通信。

★計算機網絡的拓撲結構是什麼?

計算機網絡的拓撲結構是指網絡中各個站點相互連接的形式,在局域網中明確一點講就是文件服務器、工作站和電纜等的連接形式.現在最主要的拓撲結構有總線型拓撲、星型拓撲、環型拓撲以及它們的混合型。顧名思義,總線型其實就是將文件服務器和工作站都連在稱為總線的一條公共電纜上,且總線兩端必須有終結器;星型拓撲則是以一台設