ID (入侵侦测系统).PPT

Snort規則的回應動作 alert：使用所選擇的告警，並將封包記錄下來 log ：將封包記錄下來。 pass ：讓封包通過不做任何事。 activate ：使用所選擇的方式告警，並啟動另一個dynamic rules。 dynamic ：保持idle直到被activate rules啟動，然後將封包記錄下來。 Snort Rules分類 VRT rules 為的官方rules，由Sourcefire Vulnerability Research Team (VRT)提供，每一條rules均經VRT嚴格測試。 subscription release 須付費，即時更新 registered user release 只要在註冊即可下載，比subscription release 晚5天 unregistered user release 不定期發布 Community Rules 由開放原始社群提供，VRT僅提供基本的測試。 特殊字串 的偵測 C:\snort\rules\local.rules中加入以下一行 alert tcp any any - any 21 (msg:Pass detected; flow:to_server,established; content:|50 41 53 53|; sid:1000001;) BitComet 的偵測 C:\snort\rules\p2p.rules中加入以下一行 alert udp $HOME_NET any - $EXTERNAL_NET any (msg:BitComet P2P applications detected; content:|66 69 6e 64 5f 6e 6f 64 65|; sid:1000002;) SQL Injection 的偵測 C:\snort\rules\local.rules中加入以下一行 alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:SQL Injections detected”;uricontent:.asp;pcre:/\w*((\%27)|(\))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix; sid:1000003;) Cross Site Scripting 的偵測 C:\snort\rules\local.rules 中加入以下一行 alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:SQL Injections detected; uricontent:.asp;pcre:“/((\%3C)|)[^\n]+((\%3E)|)/I; sid:1000004;) * Nessus 網路型弱點檢測工具，採 Client-Server 架構 採用 plug-in 的新增弱點測試項目 可呼叫外部程式以增強測試的能力 Nmap 可用 NASL (Nessus Attack Scripting Language)語言所撰寫，只有一小部分是以 C 來撰寫 plugin 檔案 ： .nasl 註冊免費的更新版本是在必威体育精装版 plugins 公布後七天才能提供我們更新使用，而若真的要取得必威体育精装版的plugins則需要花錢購買 * 使用Tracert來偵測網路拓樸，使用Telnet開啟服務連接埠獲取系統訊息(BANNER) ，使用掃瞄來偵測已開啟的連接埠，使用廣播要求列舉子網路上的主機，使用代理程式(如搜尋引撃)來蒐集使用者或服務暴露的資訊 * 攻擊者使用工具來修改送出的封包，使它們看起來像是來自其它的網路或主機攻擊者使用偽冒的使用者身份存取服務。 * 暴力式封包溢流(如廣播攻擊) ， SYN 溢流攻擊，服務剝削(如緩衝區溢位) ，具拒絕服務手段的蠕蟲、病毒、木馬等 NIDS是監控一個區域網路，常常建置於網路入口處，NIDS將網路卡設置成混亂模式，以監聽流過NIDS的每個封包。NIDS的優點是部署成本低，僅需一台IDS即可以監控整個網域，免除了在每台主機都安裝IDS的成本也不會增加網段中主機的負載。 HIDS是建置在被保護的重要的伺服器上，並針對系統上的重要檔案、日誌檔、甚至是系統呼叫（System Call）進行監控，只要流入本機的封包皆會接收並分析，一旦符合入侵規則便發出警告. 基於特徵以比對入侵行為是最常用於IDS上的偵測方式，系統會先建立一個入侵特徵資料庫，只要偵測到的資料與資料庫內的特徵相符，系統就會將這個行為視為入侵行為。這種方式的做法的優點是不易誤判，但是缺點是無法偵測未知型的入侵行為，因為特徵資料庫僅有已知型的入侵行為，並無未知型態的入侵