《計算機(jī)網(wǎng)絡(luò)安全第三》第章計

第七章黑客攻擊與入侵檢測1本章導(dǎo)言

知識點：●黑客定義●黑客攻擊●入侵檢測

難點：●黑客攻擊原理與防范●入侵追蹤技術(shù)◆要求熟練掌握以下內(nèi)容：●熟知黑客攻擊手段●熟知入侵檢測技術(shù)●熟練掌握黑客攻擊防范措施了解以下內(nèi)容：●了解入侵檢測的分類與工具使用27.1黑客攻擊-1.什么是黑客黑客的發(fā)展黑客的分類網(wǎng)絡(luò)黑客計算機(jī)朋客網(wǎng)絡(luò)駭客3-7.1黑客攻擊-2.黑客常用的攻擊方法和防范措施黑客攻擊黑客攻擊的原因黑客攻擊的一般過程黑客攻擊防范措施協(xié)議欺騙類的攻擊與防范拒絕服務(wù)類的攻擊與防范網(wǎng)絡(luò)嗅探攻擊與防范緩沖區(qū)溢出攻擊與防范SQL注入式攻擊與防范木馬攻擊與檢查防范4黑客攻擊的原因由于少數(shù)高水平的黑客可以隨意入侵他人電腦，唄在被攻擊者毫不知情的情況下竊取電腦中的信息后悄悄退出，于是，很多人對此產(chǎn)生較強(qiáng)的好奇心和學(xué)習(xí)黑客技術(shù)的欲望，并在了解了黑客攻擊技術(shù)后不計后果地進(jìn)行嘗試，給網(wǎng)絡(luò)造成極大的安全威脅。黑客常見攻擊的理由如下：想在別人面前炫耀自己的技術(shù)，如進(jìn)入別人電腦修改一下文件和系統(tǒng)，算是打個招呼，也會讓對方對自己更加崇拜；看不慣他人的某些做法，又不方便當(dāng)面指責(zé)，于是攻擊他的電腦教訓(xùn)一下；好玩，惡作劇，這是許多人或者學(xué)生入侵或破壞的主要原因，除了有練功的效果外還有探險的感覺；竊取數(shù)據(jù)，偷取他人的QQ、網(wǎng)游密碼等，然后從事商業(yè)活動；對某個單位或者組織表示抗議。5黑客攻擊的一般過程第一步，收集被攻擊方的有關(guān)信息。第二步，建立模擬環(huán)境。第三步，利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。第四步，實施攻擊。第五步，清理痕跡。為了達(dá)到長期控制目標(biāo)主機(jī)的目的，黑客災(zāi)區(qū)的管理員權(quán)限之后會立刻在其中建立后門，這樣就可以隨時登錄該主機(jī)。為了避免被目標(biāo)主機(jī)管理員發(fā)現(xiàn)，在完成入侵之后需要清楚其中的系統(tǒng)日志文件、應(yīng)用程序日志文件和防火墻日志文件等，清理完畢即可從目標(biāo)主機(jī)中退出。達(dá)到全身而退的效果是經(jīng)驗老到的黑客的基本技能。6協(xié)議欺騙類的攻擊與防范-1.源IP地址欺騙攻擊與防范-許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可回到源地址，那么源IP地址一定是有效的，而這恰恰使得源IP地址欺騙成為可能的前提。假定同一網(wǎng)段內(nèi)兩臺主機(jī)A和B，另一網(wǎng)段內(nèi)有主機(jī)X。X為了獲得與A、B相同的特權(quán)，所做的欺騙攻擊如下：首先，X冒充A向主機(jī)B發(fā)送一個帶有隨機(jī)序列號的SYS包。主機(jī)B相應(yīng)，回送一個應(yīng)答包給A，該應(yīng)答號為原序列號加1?？墒牵藭r的主機(jī)A已經(jīng)被X用拒絕服務(wù)攻擊給“淹沒”了，導(dǎo)致主機(jī)A的服務(wù)失效。結(jié)果，主機(jī)A將B發(fā)來的包丟棄。為了完成傳輸層三次握手的協(xié)議，X還需向B回送一個應(yīng)答包，其應(yīng)答號為B向A發(fā)送的數(shù)據(jù)包的序列號加1。此時，主機(jī)X并不能檢測到主機(jī)B的數(shù)據(jù)包，因為二者不在同一網(wǎng)段內(nèi)，只有利用TCP順序號估算法來預(yù)測應(yīng)答的順序號并將其發(fā)送給目標(biāo)主機(jī)B。如果猜測正確，B則認(rèn)為收到的ACK是來自內(nèi)部主機(jī)A。此時，X即獲得了主機(jī)A在主機(jī)B上享有的特權(quán)，并開始對這些服務(wù)實施攻擊。7-1.源IP地址欺騙攻擊與防范為防止源端IP地址欺騙，可以采取以下措施來加以防范，盡可能地保護(hù)系統(tǒng)免受這類攻擊。第一，放棄基于地址的信任策略。抵御這種攻擊的一種簡易方法就是拋棄以地址為基礎(chǔ)的驗證。不允許remote類別的遠(yuǎn)程調(diào)用命令的使用，這將迫使所有用戶使用其它遠(yuǎn)程通信手段。第二，數(shù)據(jù)包加密。在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前對數(shù)據(jù)包加密，能在很大程度上保證數(shù)據(jù)的完整性和真實性。第三，數(shù)據(jù)包過濾。利用網(wǎng)絡(luò)設(shè)備的配置來進(jìn)行數(shù)據(jù)包過濾，比如配置路由器，使其能夠拒絕來自網(wǎng)絡(luò)外部但具有網(wǎng)絡(luò)內(nèi)部IP地址的數(shù)據(jù)包的連接請求。8-協(xié)議欺騙類的攻擊與防范2.源路由器欺騙攻擊與防范-一般情況下，信息報從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只是知道從哪里出發(fā)，到達(dá)目的地是哪里，不知道也不關(guān)心沿途經(jīng)過的具體路徑。源路由可以使信息包的發(fā)送者將此信息包經(jīng)過的路徑寫在數(shù)據(jù)包里，是數(shù)據(jù)包沿著一個對方不可預(yù)料的途徑到達(dá)目的主機(jī)。仍以上面源IP地址欺騙例子說明如下：9-2.源路由器欺騙攻擊與防范-主機(jī)A享有主機(jī)B的某些特權(quán)，主機(jī)X想冒充主機(jī)A從主機(jī)B獲得某些服務(wù)，主機(jī)B的IP地址為。首先，攻擊者修改距離X最近的路由器，使得到達(dá)此路由器且包含目的地址的數(shù)據(jù)包以主機(jī)X的所在的網(wǎng)絡(luò)為目的地；然后，攻擊者X利用IP欺騙向主機(jī)B發(fā)送源路由（制定最近的路由器）數(shù)據(jù)包。當(dāng)B回送數(shù)據(jù)包時，就傳送到被更改過的路由器，這就使得入侵者可以假冒一個主機(jī)的名義通過一個特殊的路徑來獲得某些被保護(hù)的服務(wù)和數(shù)據(jù)。10-2.源路由器欺騙攻擊與防范為防范路由器欺騙攻擊，一般采用的措施如下。第一，配置好網(wǎng)絡(luò)互聯(lián)設(shè)備——路由器。使得它能拋棄那些來自外部網(wǎng)絡(luò)卻冒充內(nèi)部網(wǎng)絡(luò)來的報文，這是對付這種攻擊的最好的辦法。第二，在路由器上關(guān)閉源路由使用。源路由默認(rèn)是被開啟的，可以在路由器上用全局配置命令noipsource-route來關(guān)閉。11拒絕服務(wù)類的攻擊與防范1拒絕服務(wù)攻擊，顧名思義，就是攻擊者加載過多的服務(wù)將被攻擊者資源全部耗盡，使其沒有多余的資源來供其他用戶使用，從而實現(xiàn)不了服務(wù)。SYNFlood攻擊是典型的拒絕服務(wù)攻擊。它常常是源IP地址的前奏，也叫做半開式連接攻擊。正常情況下，一次標(biāo)準(zhǔn)的TCP連接，會有一個三次握手的情況。然而這個SYNFlood在其實現(xiàn)過程中，只有前兩個步驟，當(dāng)服務(wù)方收到請求方的SYN并回送SYN-ACKnowledegeCharacter確認(rèn)報文后，請求方由于采用源IP地址欺騙等手段，使得服務(wù)方得不到ACK回應(yīng)，這樣，服務(wù)方會在一定時間內(nèi)處于等待接收請求方ACK報文的狀態(tài)，一臺服務(wù)器可用的TCP連接服務(wù)時有限的，如果惡意攻擊方快速連續(xù)的發(fā)送此類請求，則服務(wù)器的系統(tǒng)可用資源、網(wǎng)絡(luò)可用帶寬將急劇下降，導(dǎo)致無法向用戶提供正常的網(wǎng)絡(luò)服務(wù)。12拒絕服務(wù)類的攻擊與防范2為防范拒絕服務(wù)攻擊,可采用如下措施：第一，對于信息淹沒攻擊，采取措施是關(guān)掉可能產(chǎn)生無限序列的服務(wù)。比如，可以在服務(wù)器端拒絕所有的ICMP包，或者在該網(wǎng)段內(nèi)，對路由器上的ICMP包進(jìn)行帶寬限制，控制其在一定范圍內(nèi)。第二，防止SYN數(shù)據(jù)段攻擊。采取措施是對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對超時的SYN請求連接數(shù)據(jù)包復(fù)位，同時通過縮短超時常數(shù)和加長等候隊列來使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。第三，調(diào)整該網(wǎng)段的路由器配置。比如限制SYN半開數(shù)據(jù)包的流量和個數(shù)。第四，在路由器前端進(jìn)行TCP攔截。在路由器的前端對TCP做必要攔截，使得只有完成TCP三次握手的數(shù)據(jù)包才可以進(jìn)入網(wǎng)段，可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。13網(wǎng)絡(luò)嗅探攻擊與防范1網(wǎng)絡(luò)嗅探對于一般的網(wǎng)絡(luò)來說，操作極其簡單但威脅卻是巨大的。很多黑客使用嗅探器進(jìn)行網(wǎng)絡(luò)入侵。網(wǎng)絡(luò)嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密而不易被發(fā)現(xiàn)。嗅探器（Sniffer）就像一個安裝在計算機(jī)上的竊聽器，可以竊聽計算機(jī)在網(wǎng)絡(luò)上的產(chǎn)生的信息。嗅探器的工作原理如下。14網(wǎng)絡(luò)嗅探攻擊與防范2以太網(wǎng)的數(shù)據(jù)傳輸都是基于信道共享的原理，所有同一本地網(wǎng)范圍內(nèi)的計算機(jī)共同接收到相同的數(shù)據(jù)包，以太網(wǎng)卡構(gòu)造了硬件過濾，將與自己無關(guān)的網(wǎng)絡(luò)信息過濾掉，實現(xiàn)了忽略掉與自身MAC地址不符的信息。網(wǎng)絡(luò)嗅探就是利用這個特點將過濾器關(guān)閉掉，把網(wǎng)卡設(shè)置為混雜模式，成為雜錯節(jié)點，嗅探程序就能接收整個以太網(wǎng)上的包括不屬于本機(jī)的數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡(luò)的底層，把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來。它可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和監(jiān)測網(wǎng)絡(luò)性能，可以分析網(wǎng)絡(luò)流量。嗅探器對廣播型網(wǎng)絡(luò)可監(jiān)聽能力比較高。15網(wǎng)絡(luò)嗅探攻擊與防范3網(wǎng)絡(luò)嗅探器一般具有幾個威脅。首先，它能夠捕獲密碼。這是絕大多數(shù)非法使用Sniffer者的原因。其次，它能捕獲專用機(jī)密信息。通過攔截數(shù)據(jù)包，可以方便的記錄敏感信息。第三，可以分析網(wǎng)絡(luò)數(shù)據(jù)，實現(xiàn)更大威脅的網(wǎng)絡(luò)攻擊的前奏。這在前面已經(jīng)提到。16網(wǎng)絡(luò)嗅探攻擊與防范4對于網(wǎng)絡(luò)嗅探攻擊，可以采用以下措施來實現(xiàn)防范主動檢測嗅探器網(wǎng)絡(luò)通信丟包率很高網(wǎng)絡(luò)帶寬分配反常被動隱藏數(shù)據(jù)網(wǎng)絡(luò)分段加密一次性口令技術(shù)禁用雜錯節(jié)點ARP或者IP-MAC映射表用靜態(tài)代替動態(tài)17緩沖區(qū)溢出攻擊與防范1許多程序都是用C語言編寫的，而C語言不做緩沖區(qū)下屆檢查;若用戶輸入數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)，則會覆蓋其他數(shù)據(jù)區(qū)，這就是緩沖區(qū)溢出，也叫做堆棧溢出緩沖區(qū)溢出攻擊時一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。當(dāng)然，普通的緩沖區(qū)內(nèi)容是達(dá)不到攻擊的目的的。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶Shell，再通過Shell執(zhí)行其他命令。如果該程序具有root權(quán)限，攻擊者就可以對系統(tǒng)就行任意操作了18緩沖區(qū)溢出攻擊與防范2要有效防止該種攻擊，應(yīng)做到以下幾點

程序指針完整性檢查--在程序指針被引用之前，檢測它是否改變。即使一個攻擊者成功改變了程序指針，由于系統(tǒng)實現(xiàn)檢測到了指針改變，因此指針也不會被使用。

保護(hù)堆棧--這是一種提供程序指針完整性檢查的編譯器技術(shù)。通過檢查函數(shù)活動記錄中的返回地址來實現(xiàn)。在堆棧中函數(shù)返回地址后面增加了附加的字節(jié)，在函數(shù)返回時，首先檢查附加的字節(jié)是否被改動過。如果發(fā)生過緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測到。

數(shù)組邊界檢查--所有對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化的技術(shù)來減少檢查單次數(shù)。19SQL注入式攻擊與防范SQL注入式攻擊是目前比較流行，也是研究最多的一種黑客攻擊技術(shù)。它主要是針對網(wǎng)頁進(jìn)行的一種攻擊。詳細(xì)的描述見本書關(guān)于Web的安全一章介紹。20木馬攻擊愿與檢查防琴范1木馬——又稱特洛堂伊木馬，益是一種用述于竊取用古戶的密碼箏資料、破標(biāo)壞硬盤內(nèi)同的數(shù)據(jù)或襲程序的軟房誠件。其入蓄侵方式與院《荷馬史太詩》中記伸載的特洛內(nèi)伊木馬及結(jié)其類似。黑客的往主要攻弟擊手段省之一，亮就是使醉用木馬存技術(shù)滲帖透到對哄方的主臂機(jī)系統(tǒng)排中，從瘡而實現(xiàn)且對遠(yuǎn)程唉目標(biāo)主甘機(jī)的控扣制。凡究是在表者面上偽訴裝成正獸常的程椅序，而牙實際上巾卻偷偷器把正常施的程序食換掉，莖并留下榜一些特康殊的系愛統(tǒng)后門袖，以方裹便以后該可以控煎制主機(jī)曲運行或誼者執(zhí)行鮮破壞行娛為的程欄序，就抄是一種巾特洛伊紋木馬程草序，俗煤稱后門沸（Back非door）程序背或者木翅馬（Troj疏an）程序。21木馬攻擊攝與檢查防證范2黑客利來用木馬追入侵網(wǎng)兩絡(luò)中的參電腦，布從而達(dá)血到操作應(yīng)被入侵撫電腦的辱目的。奴功過控較制被入靠侵的電噴腦，黑共客可以葬任意在遇其中瀏逆覽信息喊，上傳紛下載文露件以及謠竊取密低碼信息囑等，而成且還可茂以通過晉該電腦窄向其他郵電腦進(jìn)嫂行攻擊天，達(dá)到縱既能攻叨擊更多伸主機(jī)又稱能隱藏雄自身信紹息的目夾的，所芝以木馬穗已經(jīng)成蝴為黑客搭攻擊電示腦的首勉選工具瞧。22木馬攻擊憲與檢查防警范3黑客常南將已經(jīng)閱被木馬比入侵的替主機(jī)成掉為服務(wù)脅器，而釀將用于賤接收或賽控制木捆馬運行泉的電腦為稱為客槍戶端，計因此一趨個完整殖的木馬柿軟件一記般是由撐兩部分德組成，路即入侵截軟件和蟻控制軟傍件，它肆們的關(guān)禁系如圖7-1所示。23木馬攻饅擊與檢駱查防范4根據(jù)木馬泰的原理和因危害，可僚知木馬具淹有偽裝性潤、隱蔽性倒和頑固性所的特點。偽裝性——由于人們襖對于病毒蓮以及木馬活警覺性的毛提高，木閃馬通常需奸要將自己壇偽裝成其特他程序才舟能消除用獎戶的戒心界，使用戶怎不會認(rèn)為棚它是來歷社不明的程銀序，達(dá)到響不知不覺竟進(jìn)入主機(jī)媽的目的。隱蔽性——目前不壘少木馬殲在傳播巨時，大鵲多會與紡一些常善見的軟毒件一起壩被用戶肉存儲到擱電腦中漏，很難爽被發(fā)現(xiàn)考，當(dāng)用墊戶使用攪該軟件飽時，木閘馬就自津動運行虹了。頑固性——某些木馬雞會在系統(tǒng)痰文件中留羞下備份文斜件，當(dāng)用敏戶用殺毒小軟件清除呈木馬時，悅備份文件斷很難被清劑除掉，使耗這些病毒甜具有了“依死灰復(fù)燃臥”的能力臟。另外，憶木馬一般屋都隨系統(tǒng)峽啟動而啟誓動，并且季有進(jìn)程保終護(hù)設(shè)置，選所以查殺級木馬非常罩麻煩。24木馬攻擊竿與檢查防優(yōu)范5防治木馬煎，常用簡蠻單使用措掌施如下：安裝殺毒嗽軟件和個拆人防火墻欲，并及時笨升級；將個人慮防火墻茂設(shè)置好坑安全等葛級，防斗治未知鉆程序向怎外傳送熔數(shù)據(jù)；考慮使用撈安全性比交較好的瀏服覽器和電墳子郵件客其戶端工具蓬；如果使興用IE瀏覽器，哄應(yīng)該看裝于一些安全王助手，防麥止惡意網(wǎng)泥站在自己臭的電腦上踢安裝不明涌軟件和瀏繞覽器插件伶，以免被痛木馬乘機(jī)撓侵入。25木馬攻擊壤與檢查防掙范6進(jìn)一步懂幫助判瘦斷是否找被植入帥木馬的方法軟件Has嚼h值校驗——此方法就架是檢驗文橫件是否被傭篡改。無疾論何時，習(xí)當(dāng)用戶從茶網(wǎng)站上下港載一個軟演件的時候既，都應(yīng)該頃生成相應(yīng)算文件的Hash值，之柔后與發(fā)冬布廠商洽網(wǎng)站上短的Has贏h值進(jìn)行桿比較。削如，從占某網(wǎng)站閑下載軟蛙件時，洞軟件連自接旁邊巷看到軟消件的MD5值，下載溪之后，利累用MD5工具生成強(qiáng)下載文件倚的MD5散列值，怪兩個散列馳值進(jìn)行比皆較，若相損等說明軟賭件沒有被佩篡改，若蓋不等則要螺懷疑軟件票的真實性組。進(jìn)程和滿端口監(jiān)徑控——監(jiān)控端眠口指監(jiān)庭控系統(tǒng)撒當(dāng)前哪短些端口照是處于賠監(jiān)聽、治連接狀懼態(tài)，哪叉些進(jìn)程醒在使用伙哪些端課口，即貧進(jìn)行進(jìn)紹程與端脈口的關(guān)黃聯(lián)。通辜過監(jiān)視姑計算機(jī)沖上打開卵的非常飼用端口包，能夠罪檢測出努等待建藍(lán)立連接拿的木馬浩。常用璃的nets扔tat崇–na命令就可首以實現(xiàn)這算一功能。267.2入侵檢酸測1.入侵檢強(qiáng)測的定樓義2.入侵響應(yīng)3.入侵追早蹤4.入侵檢股測工具果介紹27（1）入侵檢測隆的定義入侵檢測傭（Int贊rus嗎ion罰De倦tec于tio升n）——就是對嘗入侵行能為的發(fā)克覺。它蟻通過對旬計算機(jī)戶網(wǎng)絡(luò)或概計算機(jī)櫻系統(tǒng)中竟若干關(guān)慰鍵點收指集信息冠并對其魯進(jìn)行分聲析，從偶中發(fā)現(xiàn)驚網(wǎng)絡(luò)或仔系統(tǒng)中邀是否有查違反安繪全策略貪的行為阻和被攻燥擊的跡熄象。防火墻之后的第韻二道安全姻閘門，在費不影響網(wǎng)勤絡(luò)性能的助情況下能構(gòu)對網(wǎng)絡(luò)進(jìn)暈行監(jiān)測?？诌@些都通跪過它執(zhí)行乘以下任務(wù)婆來實現(xiàn)：監(jiān)視、分租析用戶及溜系統(tǒng)活動錦；系統(tǒng)構(gòu)房誠造和弱妨點的審凝計；識別反映孕已知進(jìn)攻陶的活動模鮮式并向相嫌關(guān)人士報史警；異常行聯(lián)為模式蠻的統(tǒng)計罰分析；評估重要宮系統(tǒng)和數(shù)煩據(jù)文件的先完整性；操作系統(tǒng)舊的審計跟冊蹤管理，俯并識別用投戶違反安另全策略的桐行為28（2）入侵檢測浴系統(tǒng)入侵檢測濟(jì)系統(tǒng)（簡甘稱“IDS員”）——是一種對割網(wǎng)絡(luò)傳輸墳進(jìn)行即時注監(jiān)視，在作發(fā)現(xiàn)可疑宇傳輸時發(fā)錦出警報或也者采取主都動反應(yīng)措津施的網(wǎng)絡(luò)小安全設(shè)備萍。它與其而他網(wǎng)絡(luò)安駱全設(shè)備的挽不同之處脂便在于，IDS是一種積脆極主動的險安全防護(hù)驕技術(shù)。29（3）入侵檢抖測的分鉛類1）按照對分析方絕法（檢霉測方法祝）異常檢躬測（Anom消aly辯Dete累ctio閣n)誤用檢橋測（Mis坐use匯De名tec劇tio控n)2）按照肉數(shù)據(jù)來叉源基于主機(jī)基于網(wǎng)乏絡(luò)混合型3）按系統(tǒng)晝各模塊的維運行方式集中式分布式4）根據(jù)算時效性脫機(jī)分析聯(lián)機(jī)分騙析302.入侵響室應(yīng)入侵響應(yīng)（Intr牌usio始nRe恢spon歲se）——是指當(dāng)纏檢測到傅入侵或華攻擊時觀，采取敲適當(dāng)?shù)挠洿胧┳栌乐谷肭舟E和攻擊最的進(jìn)行基；入侵膨響應(yīng)系箏統(tǒng)（Int凝rus仰ion題Re畏spo族nse殿Sy名ste網(wǎng)m）是指穿實施入呼侵響應(yīng)勻的系統(tǒng)脹。31入侵響應(yīng)系系統(tǒng)的分旦類1）按響氏應(yīng)類型駕分類報警型響欲應(yīng)系統(tǒng)人工響準(zhǔn)應(yīng)系統(tǒng)自動響應(yīng)辦系統(tǒng)2）按響應(yīng)支方式分類基于主域機(jī)的響叔應(yīng)基于網(wǎng)絡(luò)身的響應(yīng)3）按照響然應(yīng)范圍分信類本地響應(yīng)殖系統(tǒng)網(wǎng)絡(luò)協(xié)棕同響應(yīng)返系統(tǒng)32入侵響應(yīng)燥的方式入侵響應(yīng)煎的方式，蘿根據(jù)嚴(yán)厲槽程度不同木，可以分洽為以下幾榴個級別第一級孤別，較勻溫和的眉被動響拋應(yīng)方式裙，包括額以下幾盯種響應(yīng)相：記錄安蜜全事件產(chǎn)生報警枝信息記錄附擔(dān)加日志激活附加鮮入侵檢測醫(yī)工具第二，介冰于溫和與伴嚴(yán)厲之間戚的主動響膜應(yīng)方式：隔離入侵姥者IP禁止被攻歷擊對象的喜特定端口填和服務(wù)隔離被礙攻擊對占象第三級令別，較買為嚴(yán)厲慮的主動息響應(yīng)方似式：警告攻虎擊者跟蹤攻既擊者斷開危險凍連接攻擊攻擊勒者33自動入破侵響應(yīng)入侵預(yù)取防、入型侵檢測須和容忍個入侵在抖解決網(wǎng)以絡(luò)入侵妥問題上進(jìn)都發(fā)揮弊了很大惰的作用真，但這暮些方法炕都是被晚動地解做決入侵喚問題。鈴而入侵要響應(yīng)系屠統(tǒng)在入克侵發(fā)生鐵后能夠便主動?？嶙o(hù)受害峰系統(tǒng)，脾阻擊入邊侵者。虧目前，痰入侵防恥范研究狐的重點轟還是在今入侵預(yù)販防和入踢侵檢測鋤上，入?yún)⑶猪憫?yīng)連還大都改只是在IDS系統(tǒng)中棵實現(xiàn)，案其響應(yīng)形方式和虹響應(yīng)能飼力受到掘一定限扎制。3435自動入爽侵響應(yīng)龍系統(tǒng)的謎模型如陳圖7-2所示，系倦統(tǒng)的輸入貧是入侵檢閑測系統(tǒng)輸俯出的安全寒事件；棋響應(yīng)決策盜模塊依據(jù)素響應(yīng)決策記知識庫，妹決定對于映輸入的安英全事件做線出什么響派應(yīng)，產(chǎn)生竹響應(yīng)策略博響應(yīng)某種宴中間語言脹描述，然部后由響應(yīng)遠(yuǎn)執(zhí)行模塊膠解釋執(zhí)行沉，并調(diào)用繡響應(yīng)工具磁庫中預(yù)先別編制好的雀響應(yīng)工具苦；響應(yīng)評窮估模塊對翼作出的響炭應(yīng)進(jìn)行評狹估，評估罵結(jié)果再反考饋到響應(yīng)催決策模塊恩，調(diào)整和糕改進(jìn)響應(yīng)泥決策機(jī)制藍(lán)。在自動布入侵響應(yīng)位中，響應(yīng)遍決策模塊抽是整個系著統(tǒng)的核心火，因為及寇時、有效總、合理的因響應(yīng)策略寧是提高系泡統(tǒng)響應(yīng)性抄能的關(guān)鍵漏。36常見自動匯入侵響應(yīng)囑有以下幾息種類型基于代草理自適胳應(yīng)響應(yīng)勒系統(tǒng)AAI杜RS（Ada印pti莖ve蛋Age深nt-含bas素ed怕Int伙rus沙ion氏Re祝spo豪nse密Sy紋ste裂m）基于移動哥代理（Mobi姿leA逐gent書)的入侵獻(xiàn)響應(yīng)系懶統(tǒng)基于IDI魄P協(xié)議的創(chuàng)響應(yīng)系然統(tǒng)（IDIP——Intr熱uder地Det椒ecti男ona您ndI勻sola振tion溜Pro原toco落l）基于主巾動網(wǎng)絡(luò)(Act舉ive文Netw皆ork)的響應(yīng)糕系統(tǒng)373.入侵追棚蹤網(wǎng)絡(luò)攻擊左的追蹤是舉對網(wǎng)絡(luò)攻員擊做出的導(dǎo)正確響應(yīng)憑的前提。發(fā)一旦網(wǎng)絡(luò)歉遭到攻擊楊，如何追毀蹤入侵者琴并將其繩處之以法，斯是十分必侮要的。入劍侵追蹤一美般包括兩匪個各方面毫的工作。第一，撿發(fā)現(xiàn)入否侵者的IP地址、MAC地址或是頭認(rèn)證的主弟機(jī)名。第二，追俘蹤攻擊源驢，確定入譜侵者的真米實位置。38(1)蹄IP地址追蒸蹤使用net梁sta用t命令：發(fā)現(xiàn)舅入侵者倒的IP地址是很絮基礎(chǔ)的一蠻項追蹤技螞術(shù)。使用nets謹(jǐn)tat命令可本以獲得爽所有連鎖接被測意主機(jī)的毯網(wǎng)絡(luò)用致戶的IP地址。Win遇dow斜s系列系統(tǒng)汪、Unix系統(tǒng)、Lin目ux系統(tǒng)等常脊用操作系紐奉統(tǒng)都可以嘆使用該命杯令。日志數(shù)岔據(jù)：系統(tǒng)捕的日志柳數(shù)據(jù)提抖供了詳繳細(xì)的用瞎戶登錄取信息。舒在追蹤應(yīng)網(wǎng)絡(luò)攻至擊時，怨這些數(shù)睛據(jù)是最冤直接最幅有效的紗證據(jù)。原始數(shù)據(jù)汁報文：由于蹈系統(tǒng)主臂機(jī)有被澡攻陷的汗可能，貞因此，講利用系物統(tǒng)日志嘗獲取攻便擊者信爺息有時常候就不茅可靠。言捕獲原辜始數(shù)據(jù)件報文并平對數(shù)據(jù)餡進(jìn)行分娛析，是哨確定攻棟擊源的脅另一個覺比較重但要的可六靠方法劣。搜索引擎：此方頂法是人郊為因素泛較多。嗎黑客們江經(jīng)?？尚弈茉谡擈湁染W(wǎng)稼絡(luò)社區(qū)駁炫耀自美己的攻暗擊成果說，借助缺搜索引刃擎，可盤以搜集濱這些信獎息，獲鑄取被攻置擊證據(jù)主。39(2)攻擊源時追蹤在追蹤網(wǎng)贊絡(luò)攻擊中失，大部分染網(wǎng)絡(luò)攻擊具者都采用IP地址欺騙究技術(shù)，這覺樣，采用IP地址追來蹤方法齊難以實針現(xiàn)追蹤誤目的。喜因此，謎網(wǎng)絡(luò)攻漿擊追蹤綁技術(shù)研短究重點渾就轉(zhuǎn)為幣如何重毫構(gòu)攻擊介路徑，單或者說誤如何真決實定位授攻擊源誤地址和艙攻擊路獲徑。攻擊源賴追蹤技征術(shù)大致穗可以分周為兩類被動追永蹤技術(shù)寒：只在倚被攻擊幫的主機(jī)滿或網(wǎng)絡(luò)璃嗅探到感攻擊現(xiàn)非象發(fā)生寇后才啟耽動追蹤真。主動追僻蹤技術(shù)撤：在攻阿擊尚未梯發(fā)生時墨，轉(zhuǎn)發(fā)焰數(shù)據(jù)報撤文的節(jié)甘點將自找身的標(biāo)底識信息凍發(fā)送給振報文的搏接收方漂。被攻處擊方在株檢測到伏被攻擊碌時，利鏡用這些蔑報文重絞構(gòu)攻擊養(yǎng)路徑。40入口過蟲濾——通過配置航路由器來峰組織那些殘具有非法攔源地址的狀報文。鏈路測挑試——鏈路測刃試又包漲含輸入化檢測和車受控泛葡洪兩種虎措施。輸入檢噴測方法狀要求被介攻擊的蜂系統(tǒng)從繭所有報勻文中描盒述出攻自擊報文愛標(biāo)志。仁管理員界逐層上劈燕流出口健端配置把合適的博輸入檢沾測并檢棄測攻擊猜來源。受控泛依洪方法梳就是制內(nèi)造泛洪奔攻擊，歲通過觀紋察路由種器的狀辟態(tài)來判巷斷攻擊讀路徑。日志記逃載——在傳輸路殃徑上的一武些重要路脅由器中隊易國王的報勺文做日志閣記錄，并匪使用數(shù)據(jù)凍挖掘的方吐法來分析怕報文傳輸和的真實路今徑。ICM帽P追蹤——I質(zhì)CMP追蹤技黑術(shù)是在顧路由器頃中增加呀追蹤機(jī)久制，這只種路由活器成為itra問ce路由器。相發(fā)送特殊ICM球P報文，牛記錄發(fā)妙送它的撿路由器IP地址、前貼一跳和后熟一跳地址鞏。該路由迎器向源和努目的地址殲都轉(zhuǎn)發(fā)該練特殊報文艷。受害者六收集足夠閱報文，就頂可以找出宋攻擊路由賭。報文標(biāo)壇記——通過將塞信息寫段入到IP報文頭來煌追蹤泛洪使攻擊。414.入侵檢測專工具1．Fpor淘t2.煩02．win沫dow深s安全基準(zhǔn)摩分析器（MBSA）3．Lsof4．Snor怪t5．Namp429、靜夜四鮮無鄰，荒練居舊業(yè)貧失。。4月-2煩34月-與23Thu赤rsd蒙ay,胸Ap唐ril喬27得,2叔02310、雨中柳黃葉樹單，燈下噴白頭人電。。06:壤31:瞇0606:3味1:0606:3舒14/2縣7/2仇023美6:啊31:懷06宰AM11、以我荷獨沈久援，愧君覽相見頻庭。。4月-偉2306:腥31:師0606:3載1Apr-握2327-迅Apr啦-2312、故人江拾海別，幾騰度隔山川隨。。06:3煮1:0606:獻(xiàn)31:絡(luò)0606:3惰1Thur置sday懷,Ap壘ril胖27,勺202313、乍見翻緞疑夢，相輔悲各問年攤。。4月-2優(yōu)34月-元2306:3她1:0606:卸31:距06Apri刻l27蓮,20汪2314、他鄉(xiāng)生搶白發(fā)，舊陷國見青山躍。。27四船月20斷236:3盞1:0俊6上警午06:宗31:所064月-屯2315、比不了回得就不比歌，得不到估的就不要殖。。。四月2丹36:3宴1上暈午4月-揪2306:形31Apr顆il怒27,符20猶2316、行動堡出成果芹，工作敵出財富疾。。2023綠/4/2良76:查31:0貨606:移31:果0627它Apr皺il愈202咱317、做前吵，能夠銹環(huán)視四寨周；做宰時，你高只能或捎者最好糠沿著以椒腳為起且點的射哲線向前斷。。6:3雨1:0買6上輛午6:31補(bǔ)上午06:脆31:皆064月-霸239、沒有失干敗，只有委暫時停止嗚成功！。4月-爆234月-旅23Thu白rsd品ay,專Ap旗ril碰27掌,2絮02310、很多膊事情努釋力了未穿必有結(jié)妙果，但與是不努鞏力卻什課么改變潤也沒有甜。。06:襯31:傍0606:3瘡1:0606:3評14/27料/202債36:日31:0餃6AM11、成功灑就是日趣復(fù)一日鋪那一點歡點小小見努力的擠積累。改。4月-2挪306:斜31:冶0606:芳31Apr-英2327-A炎pr-2降312、世間成沸事，不求細(xì)其絕對圓羽滿，留一止份不足，秤可得無限栗完美。。06:3樸1:0606:3岸1:0606:3趨1Thu渡rsd川ay,鋪Ap瘋ril呈27鉆,2目02313、不知香姥積寺，數(shù)叛里入云峰牢。。4月-富234月-2弊306:3伍1:0606:3摔1:06Apr臟il眾27,閘20概2314、意志堅侮強(qiáng)的人能某