返回
入侵检测与防御技术

入侵检测与防御技术

ID:18503666

大小:214.50 KB

页数:42页

时间:2018-09-18

入侵检测与防御技术_第1页
入侵检测与防御技术_第2页
入侵检测与防御技术_第3页
入侵检测与防御技术_第4页
入侵检测与防御技术_第5页
资源描述:

《入侵检测与防御技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章入侵检测与防御技术 7.1入侵检测系统概述 7.1.1网络攻击的层次  任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵,它可以是针对安全策略的违规行为、针对授权特征的滥用行为,还可以是针对正常行为特征的异常行为。这些攻击可分为六个层次。  1.第一层  第一层次的攻击一般是基于应用层的操作,第一层的各种攻击一般应是互不相干的。典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击,这些攻击的目的只是为了干扰目标的正常工作,化解这些攻击一般是十分容易的。拒绝服务发生的可能性很大,对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒绝

2、列表中,使攻击者网络中所有主机都不能对你的网络进行访问。  第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话,然后设法了解哪些目录是共享的、哪些目录没被共享,如果在网络上采取了适当的安全措施,这些行为是不会带来危险的,如果共享目录未被正确地配置或系统正在运行远程服务,那么这类攻击就能方便得手。  网络上一旦发现服务拒绝攻击的迹象,就应在整个系统中查找攻击来源,拒绝服务攻击通常是欺骗攻击的先兆或一部分,如果发现在某主机的一个服务端口上出现了拥塞现象,那就应对此端口特别注意,找出绑定在此端口上的服务;如果服务是内部系统的组成部分,那就应该特

3、别加以重视。许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效,真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。  2.第二层和第三层  第二层是指本地用户获得不应获得的文件(或目录)读权限,第三层则上升为获得写权限。这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。如果某本地用户获得了访问tmp目录的权限,那么问题就是很糟糕的,可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击,甚至可能继续下去。  本地攻击和其他攻击存在一些区别,“本地用户”(LocalUser)是一种相对的概念。“本地用户”是指能自由登录到网络的任何一台

4、主机上的用户。本地用户引起的威胁与网络类型有直接的关系,如对一个ISP而言,本地用户可以是任何人。本地用户发起的攻击既可能是不成熟的,也可能是非常致命的,但无论攻击技术水平高是低,都必须利用Telnet。  访问控制环境中,存在着两个与权限密切相关的问题,都决定着第二层攻击能否发展成为三层、四层或五层攻击。这两个问题就是误配置和软件漏洞。如果对权限理解不透彻,第一个问题可能出现。第二个问题比较常见,任何时候都会出现。  3.第四层  第四层攻击主要是指外部用户获得访问内部文件的权利。所获得的访问权限可以各不相同,有的只能用于验证一些文件是否存在,有的

5、则能读文件。如果远程用户(没有有效账户的用户)利用一些安全漏洞在你的服务器上执行数量有限的几条命令,则也属于第四层攻击。  第四层攻击所利用的漏洞一般是由服务器配置不当、CGI程序的漏洞和溢出问题引起的。  4.第五层和第六层  第五层攻击是指获得特权文件的写权限,第六层攻击则是指获得系统管理员的权限或根权限。这两类攻击都利用了本不该出现却出现的漏洞,在此级别上,远程用户有读、写和执行文件的权限,这类攻击都是致命的。  一般来讲,如果阻止了第二层、第三层及第四层攻击,那么除非是利用软件本身的漏洞,五层、六层攻击几乎不可能出现。7.1.2各攻击层次的防

6、范策略  1.对第一层攻击的防范  防范第一层攻击的方法:首先对源地址进行分析,发现攻击迹象后,与攻击者的服务进行联系。这种防范手段当拒绝服务攻击看上去和其他更高层次的攻击相似时,即攻击持续时间较长时,这时应该不仅仅是拒绝接受数据。  2.对第二层攻击的防范  对第二层攻击的处理应局限在内部,不要泄露有关本地用户已访问到他们不应访问的东西这一信息,采取的基本措施是不做任何警告就冻结或取消本地用户的账号,通过这种方法可以保留那些来不及被删除的证据。  万一无法完全获得攻击证据,可以先做出警告并暂时保留其账号,然后尽可能全面地记录整个事件的过程,当攻击又

7、发生时再做出处理。  3.对第三、第四和第五层攻击的防范  如果遭受的攻击是第三、第四、第五层攻击,那么所受的威胁就十分得大,必须采取下列一些措施:  1)将遭受攻击的网段隔离出来,把攻击限制在较小的范围内。  2)让攻击行为继续进行。  3)对攻击行为进行大量的日志工作。  4)在另一个网段上,竭尽全力地判断攻击源。  此时还需要和攻击者周旋,因为这种类型的访问是非法的,如果想抓住他,那么需要收集证据,但证据的收集是需要时间的。在Internet犯罪案件中,证据并没有统一的标准。能使罪犯绳之以法的确凿证据是那些能证明攻击者曾侵入过网络,如攻击者用拒

8、绝服务攻击使服务器死机的证据。在寻找攻击者并定位攻击者的过程中,一般需要相当的技术和一定的时间,在此过程中,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。