入侵檢測系統(tǒng)專業(yè)課件

1、基于網(wǎng)絡的入侵檢測技術1歡迎下載 可修改6.1 分層協(xié)議模型與TCP/IP協(xié)議簇nOSI參考模型: 模型本身很通用,但與OSI模型相關的協(xié)議已經(jīng)很少用了.nTCP/IP協(xié)議模型:模型本身不很有用,但協(xié)議卻廣泛使用nTCP/IP網(wǎng)絡是采用包交換的網(wǎng)絡,分4層:應用層,傳輸層, 網(wǎng)絡層, 鏈路層2歡迎下載 可修改TCP/IP參考模型n在TCP/IP參考模型中，去掉了OSI參考模型中的會話層和表示層（這兩層的功能被合并到應用層實現(xiàn)）。同時將OSI參考模型中的數(shù)據(jù)鏈路層和物理層合并為主機到網(wǎng)絡層。3歡迎下載 可修改TCP/IP各層功能n網(wǎng)絡接口層：實際上TCP/IP參考模型沒有真正描述這一層的實現(xiàn)，只

2、是要求能夠提供給其上層-網(wǎng)絡互連層一個訪問接口，以便在其上傳遞IP分組。n網(wǎng)絡互連層：是整個TCP/IP協(xié)議棧的核心。它的功能是把分組發(fā)往目標網(wǎng)絡或主機，網(wǎng)絡互連層定義了分組格式和協(xié)議，即IP協(xié)議n傳輸層的功能是使源端主機和目標端主機上的對等實體可以進行會話。在傳輸層定義了兩種協(xié)議：傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報協(xié)議UDPn應用層面向不同的網(wǎng)絡應用引入了不同的應用層協(xié)議 4歡迎下載 可修改TCP報文格式n數(shù)據(jù)報文的分層封裝n以太網(wǎng)IEEE802.3的幀格式0 8 16 24 32目標主機的以太網(wǎng)地址（第03字節(jié)）目標主機的以太網(wǎng)地址（第4、5字節(jié)）目標主機的以太網(wǎng)地址（第0、1字節(jié)）目標主機的

3、以太網(wǎng)地址（第25字節(jié)）幀 類 型TCPIPETHTCP數(shù)據(jù)區(qū)TCP報頭IP數(shù)據(jù)區(qū)IP報頭幀數(shù)據(jù)區(qū)幀頭5歡迎下載 可修改TCP/IP報文格式ARP/RARP報文格式0 8 16 24 32硬件類型協(xié)議類型硬件地址長度協(xié)議地址長度操作類型源主機硬件地址（第03字節(jié)）源主機硬件地址（第4、5字節(jié)）源主機IP地址（第0、1字節(jié)）源主機IP地址（第2、3字節(jié)）目的主機硬件地址（第0、1字節(jié)）目的主機硬件地址（第25字節(jié)）目的主機IP地址6歡迎下載 可修改TCP/IP報文格式IP數(shù)據(jù)報頭格式0 8 16 24 32版本號報頭長度服務類型報文總長度報 文 標 識標 志分段偏移量生 存 期協(xié) 議 號報頭校驗

4、和源IP地址目的IP地址選項+填充數(shù)據(jù)報文數(shù)據(jù)7歡迎下載 可修改TCP/IP報文格式ICMP報文格式0 8 16 24 32IP報頭ICMP報文類型ICMP報文說明報文校驗和其他信息（一般設為零）ICMP數(shù)據(jù)區(qū)8歡迎下載 可修改TCP/IP報文格式0 8 16 24 32 ICMP報文類型ICMP報文說明報文校驗和標 識 符序 號任 意 數(shù) 據(jù)ICMP回送請求/響應報文格式9歡迎下載 可修改TCP/IP報文格式UDP報文格式0 8 16 24 32源 端 口 號目 的 端 口 號報 文 長 度校 驗 和數(shù) 據(jù)10歡迎下載 可修改n9、 人的價值，在招收誘惑的一瞬間被決定。2022-3-7202

5、2-3-7Monday, March 07, 2022n10、低頭要有勇氣，抬頭要有低氣。2022-3-72022-3-72022-3-73/7/2022 11:23:58 PMn11、人總是珍惜為得到。2022-3-72022-3-72022-3-7Mar-227-Mar-22n12、人亂于心，不寬余請。2022-3-72022-3-72022-3-7Monday, March 07, 2022n13、生氣是拿別人做錯的事來懲罰自己。2022-3-72022-3-72022-3-72022-3-73/7/2022n14、抱最大的希望，作最大的努力。2022年3月7日星期一2022-3-720

6、22-3-72022-3-7n15、一個人炫耀什么，說明他內(nèi)心缺少什么。2022年3月2022-3-72022-3-72022-3-73/7/2022n16、業(yè)余生活要有意義，不要越軌。2022-3-72022-3-7March 7, 2022n17、一個人即使已登上頂峰，也仍要自強不息。2022-3-72022-3-72022-3-72022-3-7TCP/IP報文格式TCP報文格式0 8 16 24 32源 端 口 號目 的 端 口 號序 號確 認 號數(shù)據(jù)偏移保 留URGACKPSHRSTSYNFIN窗 口校 驗 和緊 急 指 針選 項填 充數(shù) 據(jù)12歡迎下載 可修改n9、 人的價值，在招

7、收誘惑的一瞬間被決定。2022-3-72022-3-7Monday, March 07, 2022n10、低頭要有勇氣，抬頭要有低氣。2022-3-72022-3-72022-3-73/7/2022 11:23:58 PMn11、人總是珍惜為得到。2022-3-72022-3-72022-3-7Mar-227-Mar-22n12、人亂于心，不寬余請。2022-3-72022-3-72022-3-7Monday, March 07, 2022n13、生氣是拿別人做錯的事來懲罰自己。2022-3-72022-3-72022-3-72022-3-73/7/2022n14、抱最大的希望，作最大的努力。

8、2022年3月7日星期一2022-3-72022-3-72022-3-7n15、一個人炫耀什么，說明他內(nèi)心缺少什么。2022年3月2022-3-72022-3-72022-3-73/7/2022n16、業(yè)余生活要有意義，不要越軌。2022-3-72022-3-7March 7, 2022n17、一個人即使已登上頂峰，也仍要自強不息。2022-3-72022-3-72022-3-72022-3-76.2 網(wǎng)絡數(shù)據(jù)包的捕獲n網(wǎng)絡數(shù)據(jù)包捕獲機制是網(wǎng)絡入侵檢測系統(tǒng)的基礎n網(wǎng)絡數(shù)據(jù)包捕獲的要求:1. 保證采用的捕獲機制能捕獲到所有網(wǎng)絡上的數(shù)據(jù)包2. 數(shù)據(jù)捕獲機制的捕獲數(shù)據(jù)包效率直接影響整個網(wǎng)絡入侵檢測系

9、統(tǒng)的運行速度nSniffer是一種常用的數(shù)據(jù)捕獲方法14歡迎下載 可修改局域網(wǎng)和網(wǎng)絡設備的工作原理nHub工作原理: 共享Hub是基于總線方式,物理上是廣播網(wǎng)絡;交換式Hub只將數(shù)據(jù)發(fā)送到相應端口n網(wǎng)卡工作原理: 先接收數(shù)據(jù)頭的目的MAC地址,如果該接收則產(chǎn)生中斷信號通知CPU,如果不該接收則丟棄不管n局域網(wǎng)工作過程: 幀通過網(wǎng)絡驅(qū)動程序進行封裝, 通過網(wǎng)卡發(fā)送到網(wǎng)線上,到達目的機器,再執(zhí)行相反的過程. 接收端機器的以太網(wǎng)卡捕獲到幀并通知操作系統(tǒng), 然后進行存儲15歡迎下載 可修改n每個網(wǎng)絡接口都有一個硬件物理地址和一個廣播地址n一個合法的網(wǎng)絡接口應該只響應以下兩種數(shù)據(jù)幀:1. 幀目標域含有和

10、本地網(wǎng)絡接口相匹配的硬件地址2. 幀的目標域含有”廣播地址”n如果某臺機器的網(wǎng)絡接口處于混雜模式,則可以捕獲網(wǎng)絡上所有的報文和幀,成為一個Sniffer16歡迎下載 可修改Sniffer介紹nSniffer是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具nSniffer工作原理: 通知網(wǎng)卡接收其收到的所有包, 在交換HUB下接收別人的數(shù)據(jù)包,可通過欺騙交換HUB的方法完成n大多數(shù)嗅探器至少能分析下面的協(xié)議: 標準以太網(wǎng), TCP/IP, IPX和DECNet17歡迎下載 可修改Sniffer的應用n正當用處主要是分析網(wǎng)絡的流量,以便找出所關心的網(wǎng)絡中潛在的問題.n由于Sniff

11、er可以捕獲網(wǎng)絡上的報文數(shù)據(jù),所以也常被黑客作為網(wǎng)絡監(jiān)聽工具nSniffer的危害:1. 嗅探器能夠捕獲口令,可以記錄明文傳送的userid和password2. 能夠捕獲專用的或者機密的信息3. 窺探低級的協(xié)議信息,用來獲取更高級別的訪問權限18歡迎下載 可修改共享和交換網(wǎng)絡環(huán)境下的數(shù)據(jù)捕獲nLibpcap和Winpcapn使用交換Hub或交換機連接的網(wǎng)絡環(huán)境中采用以下方法:1. 將數(shù)據(jù)包捕獲程序放在網(wǎng)關或代理服務器上,可以捕獲整個局域網(wǎng)的數(shù)據(jù)包2. 對交換機實行端口映射,將所有端口的數(shù)據(jù)包全映射到某連接監(jiān)控機器的端口上3. 在交換機和路由器之間連接一個Hub, 以廣播的方式發(fā)送4. 實行A

12、RP欺騙, 即在負責數(shù)據(jù)包捕獲的機器上實現(xiàn)整個網(wǎng)絡的數(shù)據(jù)包的轉(zhuǎn)發(fā),但會降低整個局域網(wǎng)的效率19歡迎下載 可修改6.3 包捕獲機制與BPF模型n包捕獲機制的3個主要部分: 1. 最底層是針對特定操作系統(tǒng)的包捕獲機制, 其原理是在數(shù)據(jù)鏈路層增加一個旁路處理, 對發(fā)送和接收到的數(shù)據(jù)包做過濾/緩沖等相關處理, 最后傳遞到應用程序2. 包過濾機制, 便于用戶程序通過簡單設置的一系列過濾條件, 以獲得滿足條件的數(shù)據(jù)包. 包過濾機制實際上是布爾值操作函數(shù),如果返回true, 則通過過濾, 反之則丟棄3. 最高層是針對用戶程序的接口20歡迎下載 可修改BPF模型n組成: 網(wǎng)絡分接頭和數(shù)據(jù)包過濾器21歡迎下載

13、可修改6.4 基于Libpcap庫的數(shù)據(jù)捕獲技術nLibpcap是unix/linux平臺下的網(wǎng)絡數(shù)據(jù)包捕獲函數(shù)庫nLibpcap最主要的優(yōu)點是平臺無關性,被廣泛應用在各種網(wǎng)絡監(jiān)控軟件中nLibpcap頭文件: 數(shù)據(jù)流存儲文件頭(pcap_file_header)和數(shù)據(jù)信息包(pcap_pkthdr)nLibpcap庫主要函數(shù)nLibpcap應用框架22歡迎下載 可修改Windows平臺下的Winpcap庫nWinPcap 是在Windows 操作平臺上來實現(xiàn)對底層包的截取過濾 nWinpcap不能阻塞、過濾或控制其他應用程序數(shù)據(jù)報的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)報nWinpcap提

14、供的四大功能: 1. 捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報； 2. 在數(shù)據(jù)報發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉； 3. 在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)報； 4.收集網(wǎng)絡通信過程中的統(tǒng)計信息 23歡迎下載 可修改Winpcap結構示意圖24歡迎下載 可修改Winpcap的組成nNPF(Netgroup Packet Filter)，是一個虛擬設備驅(qū)動程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊 npacket.dll為win32平臺提供了一個公共的接口。不同版本的Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶層模塊。Pa

15、cket.dll用于解決這些不同 nWpcap.dll是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù) 25歡迎下載 可修改Winpcap的基本使用步驟n枚舉本機網(wǎng)卡信息: pcap_findalldevs函數(shù),主要功能是枚舉系統(tǒng)所有網(wǎng)絡設備的信息n打開相應網(wǎng)卡并設置為混雜模式: pcap_open_live函數(shù), 主要功能是根據(jù)網(wǎng)卡名字打開網(wǎng)卡設置為混雜模式n截獲數(shù)據(jù)包并保存為文件:1. pcap_dumper_t* pcap_dump_open函數(shù),功能是建立或者打開存儲數(shù)據(jù)包內(nèi)容的文件2. int pcap_next_ex函數(shù),功能是從網(wǎng)卡或者數(shù)據(jù)包文件中讀取數(shù)據(jù)內(nèi)容3. void p

16、cap_dump函數(shù),功能是將數(shù)據(jù)包內(nèi)容依次寫入pcap_dump_open()指定的文件中n捕獲數(shù)據(jù)包的完整代碼26歡迎下載 可修改6.5 檢測引擎的設計n檢測引擎的主要分析技術:1. 模式匹配技術: 使用基于攻擊特征的網(wǎng)絡數(shù)據(jù)包分析技術,分析速度快,誤報率小,缺點是計算量大,只能檢測特定類型的攻擊,影響檢測準確性2. 協(xié)議分析技術: 辨別數(shù)據(jù)包的協(xié)議類型,以便使用相應的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包27歡迎下載 可修改6.6 網(wǎng)絡入侵特征實例分析n特征的基本概念:1. 來自保留IP地址的連接企圖2. 帶非法TCP標志組合的數(shù)據(jù)包3. 含有特殊病毒信息的E-mail4. 查詢負載中的DNS緩沖區(qū)溢

17、出企圖5. 通過對POP3服務器發(fā)出上千次同一命令而導致的DOS攻擊6. 未登錄情況下使用文件和目錄命令對FTP服務器的文件訪問攻擊28歡迎下載 可修改典型特征-報頭值n經(jīng)典的例子:明顯違背RFC793中規(guī)定的TCP標準、設置了SYN和FIN標記的TCP數(shù)據(jù)包n許多包含報頭值的漏洞利用都會故意違反RFC的標準定義 n許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)n并非所有的操作系統(tǒng)和應用程序都能全面擁護RFC定義，至少會存在一個方面與RFC不協(xié)調(diào) n執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中 29歡迎下載 可修改候選特征nSynscan是一個流行的用于掃描和探測系統(tǒng)的工具，執(zhí)行

18、行為很具典型性，它發(fā)出的信息包具有多種可分辨的特性n特征數(shù)據(jù)的候選對象: 1.只具有SYN和FIN標志集的數(shù)據(jù)包，這是公認的惡意行為跡象 2.沒有設置ACK標志，但卻具有不同確認號碼數(shù)值的數(shù)據(jù)包，而正常情況應該是03.來源端口和目標端口都被設置為21的數(shù)據(jù)包，經(jīng)常與FTP服務器關聯(lián) 30歡迎下載 可修改最佳特征n選擇一項數(shù)據(jù)作為特征有很大的局限性,選擇以上4項數(shù)據(jù)聯(lián)合作為特征顯得有些太特殊 n創(chuàng)建一個特征: 1. 只設置了SYN和FIN標志2. IP鑒定號碼為394263. TCP窗口尺寸為102831歡迎下載 可修改通用特征nSynscan變臉:1. 只設置了SYN標志，這純屬正常的TCP數(shù)

19、據(jù)包“長相”。 2. TCP窗口尺寸總是40而不是1028 3. “反身”端口數(shù)值為53而不是21 n通用特征創(chuàng)建:1. 沒有設置確認標志，但是確認數(shù)值卻非0的TCP數(shù)據(jù)2. 只設置了SYN和FIN標志的TCP數(shù)據(jù)包。3. 初始TCP窗口尺寸低于一定數(shù)值的TCP數(shù)據(jù)包 32歡迎下載 可修改報頭值關鍵元素nIP地址，特別保留地址、非路由地址、廣播地址。n不應被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。n異常信息包片斷。n特殊TCP標志組合值。n不應該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼 33歡迎下載 可修改n9、 人的價值，在招收誘惑的一瞬間被決定。22.3.722.3.7Monday, March 07, 2022n10、低頭要有勇氣，抬頭要有低氣。*3/7/2022 11:23:59 PMn11、人總是珍惜為得到。22.3.7*Mar-227-Mar-22n12、人亂于心，不寬余請。*Monday, March 07, 2022n13、生氣是拿別人做錯的事來懲罰自己。22.3.722.3.7*March 7, 2022n14、抱最大的希望，作最大的努力。2022年3月7