- 1、本文档共122页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
联想信息安全技术培训.ppt
第 页 联想信息安全技术培训 入侵检测技术 近年来国际上著名的黑客攻击事件 近年来国际上著名的黑客攻击事件 近年来国际上著名的黑客攻击事件 黑客就在你身边 黑客就在你身边 黑客就在你身边 黑客就在你身边 黑客就在你身边 黑客就在你身边 网络威胁无处不在 他们为什么能够入侵成功呢? 软件缺陷 软件缺陷 未期望信息关联处理:不同层次信息的关联攻击。例如输入 “| mail /etc/passwd”。可执行。因为 PERL要求操作系统执行具有此输入的特殊程序,系统执行管道 ‘|’ 命令,发出 ‘mail’ ,使口令文件被传送给入侵者。 竞争条件: 多数系统按 “多任务/多线程”工作。在两个程序访问同一数据时会发生竞争,出现非预期结果。 系统配置问题 系统配置问题 留下安全漏洞:程序可配置在不安全模式运行,管理员会留下安全漏洞。最好关闭不必要的服务以避免偶然出现的漏洞。 信任关系: 入侵者常进行跳跃式网络信任关系探测,并利用它侵入网络。 黑客攻击的步骤 踩点信息收集型攻击 地址扫描 端口扫描 主机系统类型扫描(TCP/IP协议栈指纹鉴别技术) 网络拓扑探测 服务器及单机的信息收集 入侵检测概念 入侵检测产品的起源 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 为什么需要入侵检测系统? 防火墙 什么是入侵? 入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情:比如滥用你的电子邮件系统发垃圾邮件。 入侵者的分类 外部的: 你网络外面的侵入者,或者可能攻击你的外部存在。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同你网络连接的伙伴网络 内部的: 合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。 入侵者如何进入系统? 物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。 入侵者如何进入系统? 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打必威体育精装版的漏洞补丁,就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 如未打过补丁的IIS发布系统,会存在UNICODE漏洞,可能会使得入侵者远程访问系统文件。 http:/ip/scrtpts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 入侵者如何进入系统? 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在,侵入就要复杂得多。 这类入侵通常是很漫长的,从系统扫描开始,获得较低的权限,然后通过先验经验获得更高的权限。 为什么会有入侵? 软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。 有证据表明每一千行代码中就会存在五至十五个BUG! 缓冲区溢出 缓冲区溢出:大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据,跳转执行自己想要的代码。 如IIS发布系统中的ida/idq以及.printf溢出漏洞,攻击者很容易利用工具获得系统的root权限。 意外结合 意外结合: 程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入, 却对其他层有意义。 在“|mail /etc/passwd“,这个命令得以在perl下执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符|并且按语义启动mail程序,结果是将password文件寄给侵入者。 其它缺陷 缺省配置:很多系统在交付使用时采用缺省配置,“缺省”意味着“易攻击”。 口令攻击:弱口令和字典穷举攻击。 监听:收集网络上的公共团体字符串。 协议缺陷:TCP/IP协议的设计缺点,如smurf攻击,ICMP不可达的连结, IP哄骗, 和SYN floods。以及数据本身的容易被信任。 入侵如何被检测 UNIX系统的/var/adm下的syslog与messages。 入侵监测系统 入侵检测系统的发展 入侵检测技术的成熟 入侵检测产品形态 CIDF模型 Common Intrusion Detection Frame 组件: 事件产生器(Event generators) 事件分析器(Event analyzers) 响应单元(Res
文档评论(0)