河南化工职业学院第5章安全防护与入侵检测河南化工职业学院SnifferPro网络管理与监视Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。河南化工职业学院基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。河南化工职业学院网络技术与设备简介数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。河南化工职业学院每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。河南化工职业学院网络监听原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包河南化工职业学院普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF。但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。河南化工职业学院Sniffer产品的基本功能包括功能1)网络安全的保障与维护2)面向网络链路运行情况的监测3)面向网络上应用情况的监测4)强大的协议解码能力,用于对网络流量的深入解析5)网络管理、故障报警及恢复河南化工职业学院实时监控统计和告警功能根据用户习惯,Sniffer可提供实时数据或图表方式显示统计结果,统计内容包括:网络统计:如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。协议统计:如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。差错统计:如错误的CRC校验数、发生的碰撞数、错误帧数等。站统计:如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。帧长统计:如某一帧长的帧所占百分比,某一帧长的帧数等。当某些指标超过规定的阈值时,Sniffer可以自动显示或采用有声形式的告警。Sniffer可根据网络管理者的要求,自动将统计结果生成多种统计报告格式,并可存盘或打印输出。河南化工职业学院Sniffer实时专家分析系统Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(ExpertSystem)。简单地说,Sniffer能自动实时监视网络,捕捉数据,识别网络配置,自动发现网络故障并进行告警,它能指出:网络故障发生的位置,以及出现在OSI第几层。网络故障的性质,产生故障的可能的原因以及为解决故障建议采取的行动。Sniffer还提供了专家配制功能,用户可以自已设定专家系统判断故障发生的触发条件。河南化工职业学院SnifferPro的登录与界面File-selectsettings河南化工职业学院SnifferPro报文的捕获与解析河南化工职业学院基本捕获条件基本的捕获条件有两种:1)链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。2)IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉,如图5.3所示。河南化工职业学院高级捕获条件在“Advance”页面下,你可以编辑你的协议捕获条件河南化工职业学院任意捕获条件河南化工职业学院捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率河南化工职业学院捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息,如图5.7所示。河南化工职业学院专家分析专家分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因,如图5.8所示。河南化工职业学院捕获的报文解码功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture-DefineFilter和Display-DefineFilter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选,如图5.9所示河南化工职业学院解码分析下图5.9是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。河南化工职业学院河南化工职业学院SnifferPro的高级应用使用数据包生成器在网络中发送测试数据包,这样可以重现要排除的网络故障,验证对网络设备或应用程序的修复方法是否正确和生成各级网络通信量负载,模拟实际的网络情况并对设备或应用程序进行测试。要启动“数据包生成器”,请选择工具菜单中的数据包生成器。通过“数据包生成器”,可以发送自已创建或从网络捕获的单个数据包。也可以发送捕获缓冲区或捕获文件的全部内容。可以一次、连续或以指定次数发送数据包、捕获缓冲区或者捕获文件。当发送多个数据包或连续发送一个数据包时,您可以指定每个数据包之间的时延(以毫秒或希望所发送数据包达到的线路利用率百分比表示)。河南化工职业学院“数据包生成器”有两个视图。动画视图显示了数据包止在发送的时刻。详细信息视图详细显示了数据包传输的过程。要启动“数据包生成器”,选择工具菜单中的数据包生成器。通过它,可以发送自己创建或从网络捕获的单个数据包,也可以发送捕获缓冲区或捕获文件的全部内容。河南化工职业学院发送单个数据包在发送数据包之前,必须准备好要发送的消息。您可以创建数据包、使用已捕获数据包或者使用修改后的已捕获数据包。·要创建新数据包,请单击“数据包生成器”窗中的按钮打开“发送新帧”对话框。您可在配置选项卡中直接编辑十六进制的显示内容。·要选择或编辑现有的(捕获的)数据包,您必须先从解码显示的“摘要”窗格中选择该数据包。然后,单击“数据包生成器”窗日中的按钮打开“发送当前帧”对话框。您可在配置选项卡中编辑十六进制的显示内容。通过选择对话框中的选项,您可以控制发送数据包的方式,如图5.10所示。河南化工职业学院河南化工职业学院发送捕获缓冲区或文件要发送当前的捕获缓冲区或捕获文件,您必须先显示其内容。要显示当前缓冲区,请选择捕获菜单中的显示。要显示捕获文件,请选择文件菜单中的打开。然后,在“数据包生成器”窗日中单击}至按钮。“发送当前缓冲区”对话框将显示缓冲区/文件内容的有关信息,允许您控制发送数据包的方式,如图5.11所示。河南化工职业学院1.入侵检测的基本原理2.入侵检测系统的分类3.入侵检测系统的发展方向入侵检测的基本原理河南化工职业学院1.入侵检测系统的作用我们知道,防火墙是Internet网络上最有效的安全保护屏障,防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起到访问控制的作用,是网络安全的第一道闸门。但防火墙的功能也有局限性,防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为做出相应的反应,及时切断入侵源,保护现场并通过各种途径通知网络管理员,增大保障系统安全。河南化工职业学院2.入侵检测系统的工作流程入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。(1)数据收集入侵检测的第一步是数据收集,内容包括系统、网络运行、数据及用户活动的状态和行为,而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集数据。入侵检测很大程度上依赖于收集数据的准确性与可靠性,因此,必须使用精确的软件来报告这些信息,因为黑客经常替换软件以搞混和移走这些数据,例如替换被程序调用的子程序、库和其它工具。数据的收集主要来源以下几个方面:系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。(2)数据提取从收集到的数据中提取有用的数据,以供数据分析之用。(3)数据分析对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析:模块匹配、统计分析和完整性分析。(4)结果处理记录入侵事件,同时采取报警、中断连接等措施。河南化工职业学院入侵检测系统的分类入侵检测系统(IDS)可以分成3类:基于主机型(HostBased)入侵检测系统、基于网络型(NetworkBased)入侵检测系统和基于代理型(AgentBased)入侵检测系统。1.基于主机的入侵检测系统基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点:l适合于加密和交换环境;l可实时的检测和响应;l不需要额外的硬件。基于主机的入侵检测系统对系统内在的结构却没有任何约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。基于主机的入侵检测系统存在的不足之处在于:会占用主机的系统资源,增加系统负荷,而且针对不同的操作平台必须开发出不同