第5章 反入侵技術（II）：基于

第5章反入侵技術（II）：基于網(wǎng)絡的機制5.1較簡單的機制5.2信息流控制：防火墻5.3*防火墻的實現(xiàn)5.4網(wǎng)絡入侵檢測系統(tǒng)（NIDS）5.1較簡單的機制表5-1 幾類典型網(wǎng)絡病毒入侵時必須要創(chuàng)建或利用的端口病

毒被攻擊或被利用的TCP或UDP端口W32/CodRedTCP80W32/BlasterTCP135,4444,UDP69W32/SlammerUDP1434W32/SasserTCP445,5554,9996W32/DabberTCP5554,8967,9898-9999W32/KogroTCP445,113,3067-3076,6667W32/WelchiaTCP135,80W32/Welchia.DTCP80,135,445,3127Linux/SlapperTCP80,443,2002W32/WittyUDP40000除了以上方面，攜帶病毒代碼的IP分組本身也具有明顯的數(shù)據(jù)特征，如Linux/Slapper病毒利用OpenSSL的漏洞進行溢出攻擊，在HTTPS（TCP443端口）建立起加密信道之前就入侵了目標系統(tǒng)，并且以明文（而非密文）傳輸其數(shù)據(jù)，在其消息中含有以下典型的特征信息。rm-vf/tmp/.bugtraq.c;cat>/tmp.uubugtraq<__eof__;.begin655.bugtraq.c

熟悉UNIX/Linux的讀者立刻能看出來以上序列在前面包含兩條帶參數(shù)的shell命令。這一序列中獨一無二（該病毒特有）的字節(jié)序列用十六進制表達出來就是363535202E6275677472612E63

再以病毒W(wǎng)32/Slammer為例，它在UDP1434端口上的消息總包含以下特征字節(jié)序列，用十六進制表示就是682E646C68656C3332686B65726E從以上這些事實不難歸納出檢測網(wǎng)絡病毒的一種方法：如果IP分組的數(shù)據(jù)部分被觀測到攜帶以上字節(jié)序列，這可以判定該IP分組源自對應的病毒。實際上，當代的許多病毒都有利用加密技術進行自我隱形的能力，結果使得同源病毒也可以有很不相同的表觀特征。如此一來，上面那種直接的檢測方法就不能總是有效識別出這類病毒了。但另一方面，細致的分析表明大量病毒仍然具有特定的數(shù)據(jù)或指令特征，即獨一無二的特征字節(jié)序列。5.2信息流控制：防火墻防火墻基于信息流（informationflow）強制實施網(wǎng)絡邊界安全策略。圖5-1所示是一個典型的在網(wǎng)絡邊界配置有防火墻保護的網(wǎng)絡的例子。圖5-1一個企業(yè)網(wǎng)及其邊界防火墻防火墻實施IP分組過濾的方式是依照所謂訪問控制列表（AccessControlList，ACL）。ACL是一組表項的有序集合，每個表項表達一個規(guī)則，稱為IP分組過濾策略，內容包含被監(jiān)測的IP分組的特征、對該類型的IP分組所實施的動作（放行、廢棄等）。每當一個IP分組經過防火墻的接口，防火墻都要順序檢索對應的ACL，找到特征匹配的表項，然后根據(jù)該表項指示的動作處理該IP分組。但防火墻的配置有普遍的原則。（1）如果防火墻的默認行為是阻塞一切IP分組，則僅當顯式指定過濾規(guī)則時，防火墻按照指定的過濾規(guī)則對滿足特征匹配的IP分組實施規(guī)定的處理動作；所有不匹配的IP分組一概默認為實施阻塞。（2）防火墻對每個接口、每個方向（到達和離出）單獨建立一組過濾規(guī)則，單獨實施匹配和處理，因此每個接口一般具有分別針對兩個傳輸方向的兩組過濾規(guī)則。（3）每組過濾規(guī)則是有特定順序的規(guī)則表，對IP分組，防火墻永遠（按照排列順序）實施匹配的第一個規(guī)則；最后一條規(guī)則是本表的默認規(guī)則。對更復雜的企業(yè)網(wǎng)絡，即使企業(yè)網(wǎng)內部的不同網(wǎng)段也可能具有不同的安全訪問策略，因此這類網(wǎng)絡具有更復雜的安全策略，這時需要實施多防火墻配置。圖5-2多防火墻配置表5-2概要總結了當代各種防火墻系統(tǒng)的類型。表5-2 防火墻系統(tǒng)的類型類型特點硬件防火墻基于專用硬件平臺和專用操作系統(tǒng)實現(xiàn)；能較有效地抵抗一般性的攻擊手段；典型產品：CiscoPIX帶防火墻功能的安全路由器/交換機集成分組轉發(fā)與過濾功能；多為專用硬件平臺（如基于網(wǎng)絡處理器）、專用或通用操作系統(tǒng)（前者如CiscoIOS、pSOS+），后者如嵌入式Linux、FreeBSD純軟件防火墻運行于通用操作系統(tǒng)平臺，典型的如Linuxiptables,CheckPoint等個人防火墻僅針對本機進行消息流的訪問控制，如Windows2000/XP的內置產品5.3*防火墻的實現(xiàn)完整的防火墻系統(tǒng)由“軟件+系統(tǒng)軟件（操作系統(tǒng)）+硬件平臺”構成，且軟件在防火墻系統(tǒng)中占很大部分，至少包括分組的高速過濾引擎和策略管理系統(tǒng)兩個重要部分。圖5-3所示是完整防火墻設備的邏輯結構。圖5-3防火墻設備的邏輯結構所謂分類，是指按照某種規(guī)則將IP分組歸結為邏輯范疇——流（flow），有共同特征的分組歸結為同一個流，然后進一步做基于流的處理。以圖5-4所示為例，其中網(wǎng)關G是具有負載均衡能力的防火墻系統(tǒng)，作為服務器集群的網(wǎng)絡前端。所有服務器對外共用一個IP地址（例如高吞吐量的Web集群）。假如服務器事務是基于TCP的（如Web），網(wǎng)關G可以將每個TCP連接對應一個流，針對每個流實施安全策略，同時在所有服務器上均勻分配當前存在的流。圖5-4保護服務器集群的防火墻系統(tǒng)分類是一個計算量較大的操作，特別是軟件實現(xiàn)，雖然非常靈活，但因為這種分類計算需要大量的條件判定、程序分支，使軟件分類的計算速度不高，成為實現(xiàn)高性能網(wǎng)絡系統(tǒng)的瓶頸之一。如何綜合軟/硬件功能，優(yōu)化分類處理，是實現(xiàn)高性能網(wǎng)絡系統(tǒng)的關鍵技術之一。高性能網(wǎng)絡系統(tǒng)的硬件體系結構與軟件體系結構是相互影響的，兩方協(xié)同才有可能構造出真正滿足高性能、同時成本合理的系統(tǒng)。圖5-5所示是高性能防火墻系統(tǒng)幾種典型的邏輯體系結構。圖5-5高性能防火墻系統(tǒng)幾種典型的邏輯體系結構圖5-5（a）所示是低性能系統(tǒng)的構成方案，圖5-5（b）所示是低性能系統(tǒng)的構成方案的演化，圖5-5（c）所示是方案（b）的改進。在防火墻軟件方面，除了實施基本的上下文無關檢測功能（如上一節(jié)的ACL所表達的那類功能），高級的軟件也能實現(xiàn)上下文有關的檢測。這時防火墻不是僅針對每個孤立的IP分組單獨識別、過濾和處理，而是將這些IP分組關聯(lián)起來，放在特定的協(xié)議上下文中識別和處理，以發(fā)現(xiàn)更復雜的行為。這也是網(wǎng)絡入侵檢測系統(tǒng)具有的重要功能之一。5.4網(wǎng)絡入侵檢測系統(tǒng)（NIDS）5.4.1NIDS實例:Snort5.4.2NIDS實例:Bro5.4.3對NIDS的典型欺騙及抵御方法NIDS的目的是從網(wǎng)絡上的TCP/IP消息流中識別出潛在的攻擊行為。5.4.1NIDS實例：SnortSnort是一個所謂輕量級NIDS，實時記錄網(wǎng)絡消息流并進行協(xié)議分析，對內容進行搜索/匹配，能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。Snort由4部分組成：分組捕獲器、分組的分類/預處理器、檢測引擎和日志/報警輸出模塊，系統(tǒng)體系結構如圖5-6所示。圖5-6Snort的系統(tǒng)結構Snort具有實時的日志記錄和協(xié)議消息流分析能力，能夠快速到檢測網(wǎng)絡攻擊并報警。Snort能夠進行在線協(xié)議分析，包括協(xié)議消息內容的搜索與匹配。Snort的日志格式豐富，除了包括最經典的tcpdump格式和自定義ASCII字符形式，若使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入特定類型的數(shù)據(jù)庫。Snort不僅對IP分組的數(shù)據(jù)負載部分進行病毒模式匹配，而且對TCP段進行重組以強制檢測完整的TCP流。Snort的核心功能之一是對IP分組高速過濾，過濾規(guī)則由用戶配置，為此Snort使用一種簡單易用的規(guī)則描述語言。典型的Snort過濾規(guī)則包含4個要素：處理動作、被過濾的協(xié)議、消息的方向、發(fā)生過濾的端口。在工作程序上，Snort在捕獲IP分組后先提交分類/預處理插件處理，然后被捕獲的分組將經過檢測引擎中對應的規(guī)則鏈，如果檢測到有匹配規(guī)則鏈所表達的病毒模式的情況，Snort就根據(jù)輸出設置把該信息記錄到對應的文件并報警。5.4.2NIDS實例：BroBro的主要設計目標包括以下諸方面。大吞吐量與高速率，即著眼于針對大型網(wǎng)絡的消息流進行高速檢測。實時檢測與在線報警。靈活的可擴展能力。具有抵抗攻擊的能力。圖5-7Bro的系統(tǒng)結構除了最基層的IP分組捕獲模塊，Bro最重要的兩個模塊是事件引擎（EventEngine）和策略解釋器（PolicyInterpreter）。事件引擎對IP分組捕獲模塊所過濾出的IP分組首先進行完整性檢查，確認是無缺陷的IP分組、對經過切割的IP分組進行重組，識別并建立其攜帶的上層協(xié)議的當前狀態(tài)。Bro的事件引擎以各種基本事件的形式向上層的策略解釋器輸出，每個事件表示基本協(xié)議的特定狀態(tài)或狀態(tài)的變化。事件引擎對每種協(xié)議所生成的事件序列可以看做對該協(xié)議狀態(tài)機模型的一種匹配。在策略解釋器中，每個事件對應一個特定的事先配置好的事件處理例程（event-handler）。事件處理例程的重要功能是將多事件的上下文關聯(lián)起來以推斷這些事件所蘊涵的協(xié)議行為是否符合該協(xié)議的規(guī)范，或從中檢測出潛在的入侵特征。每個事件處理例程的輸出可能更新協(xié)議機模型的內部狀態(tài)、生成實時入侵報告或引發(fā)新的事件。Bro的安全策略是一個類似于C++風格的語言所表達的程序腳本，Bro的策略解釋器同時執(zhí)行多個這樣的腳本。Bro的策略解釋器根據(jù)安全策略判定所觀測到的協(xié)議會話是否符合該協(xié)議的規(guī)范，并適時加以安全控制。5.4.3對NIDS的典型欺騙及抵御方法NIDS的目的在于識別出反常的協(xié)議行為，因此從入侵者的角度看，如何使入侵過程在消息流的層次上表現(xiàn)得正常，或最大程度地掩蓋其反常特征，將是一條可行的途徑。這里給出幾個典型而有趣的例子。第一個例子（見圖5-8）是入侵者故意切割IP分組，使得每個IP分組中的消息載荷都不包含完整的病毒特征，以此欺騙那些基于特征匹配方式檢測入侵的NIDS。圖5-8通過故意切割IP分組來隱藏載核中的病毒特征第二個例子（見圖5-9）是入侵者發(fā)送“真”、“假”IP分組，所有