入侵检测系统IDS
传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月益的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件能做出实时响应。
入侵检测(Instruction Detection):通过从计算机网络和操作系统中的关键点收集信息并进行分析,从中发现网络或系统中是不是有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IDS):是软件与硬件的结合,是防火墙的合理补充,是防火墙之后的第二道门坎。
入侵检测的内容:试图闯入(暴力破解),成功闯入,冒充其他用户,违反安全策略,合理用户的泄露,独占资源以及恶意使用。
很多攻击者可以穿过防火墙,从而攻击内部网络。为什么这些攻击者可以穿过防火墙呢?
因为规则是被工程师一条一条写上去的,不能够识别新的攻击类型。其二有些东西不是防火墙可以控制的了的,比如说内网允许外网访问WEB服务器,但攻击者却找出服务器上的漏洞。某些软件的漏洞。比如MYSQL的注入攻击。
当IDS发现以后,它所做的就是报警和与防火墙产生联动。
IDS的作用:
实时检测:过滤粒度比应用层网关防火墙还要高,IDS只是在监视,实时处理所捕获的数据报文。
安全审计:比如看到一个URL一直不断的变换参数。
主动响应:
如果你对某个数据库,对某个数据源熟一点,稍微加一点技巧就可以实现SQL注入攻击。就是你要耐心,细心的去分析逻辑关系。
入侵检测的分类:
异常检测:入侵者活动异常于正常的活动,建立正常活动的活动档案。
特征检测:假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是不是符合这些模式。
根据所检测的对象:
基于主机的IDS HIDS。IDS装在服务器上,维护麻烦,部署成本高。
基于网络的IDS NIDS。加密的包处理不了。
根据工作方式:
离线检测系统。
在线检测系统。升级为另一个产品,IPS,入侵防护系统。
IDS要做的第一件事情就是收集信息:包括系统,网络,用户的信息。
如 :系统和网络日志文件,日志和文件中不希望的改变,程序执行中的不期望行为,物理形式的入侵行为。
通过三种技术手段分析:
模式匹配,统计分析。完整性分析。
IDS的探测仪是一个硬件。
用C语言主要做系统软件和通讯软件的开发。是一个主流语言。
实验:
先在win2000上安装一个软件,名称为eTrust。入侵检测软件。
做主机的监护。可以监护所有的网络的通信信息。
第十三章
本章目标:
协议分析: sniffer
协议分析:ethereal 及网管大师
漏洞扫描系统之MBSA
漏洞扫描系统之流光
漏洞扫描系统之XScan
网络反病毒系统配置:防毒墙加网络版杀毒软件
把一根网线的两端同时接到同一个交换机上,可以造成网络风暴。
一定要熟练使用sniffer.
协议分析工具ethereal。
根据ping完之后返回的TTL值可以判断系统的类型,128是Windows,255是路由器或Unix,64为Linux。
协议分析式具WireShark,可以Windows,Linux上安装。
漏洞扫描系统
如果这个软件用在防御上,它可以查看自己系统的漏洞,但是如果这个软件是用在攻击上,它便可以查到目标主机的漏洞,以便我们发起攻击。
木桶的容量不是取决于最高的木版,而是取决于最低的那块。同样,网络系统的安全性取决于网络系统中最薄弱的环节。
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
漏洞扫描系统的原理:
匹配“系统漏洞库”规则
模拟黑客攻击
只要你在用某一个系统,某一个软件就会有软件漏洞。
漏洞处理的一般策略:
暂停运行产生漏洞的软件模块或服务,升级软件版本,下载并安装漏洞补丁。
漏洞扫描软件:
MBSA。微软安全分析工具。
它并不是一个黑客工具,是系统管理员对自己系统的安全进行分析的工具。
Nessus漏洞检测系统
强大的网络漏洞扫描与分析工具
有服务器端与客户机端产品构成。
其它比较好的漏洞扫描软件
流光,XScan,SuperScan,。
NMAP:主要用于网络主机扫描探测的命令行软件。
EtterCAP:主要针对用户名密码等敏感信息的嗅探抓包工具。
包括你要做一些探测,最好可以用虚拟机来做,大家都是这样来做的。没必要在真机上做。
我们来看一下 nmap的使用
nmap主要是用来对大网络当中的主机或服务进行嗅探的。
网络防病毒系统的部署
技术:
密码学:
证书服务:
VPN:虚拟专有网络。
防火墙:
IDS
IPs
但上面的这些技术无法抵御病毒的攻击。
病毒:特洛伊木马实际上是采用潜伏机制执行非授权的功能。
蠕虫是一种程序 或程序序列,通过在分布式网络中发放信息或错误,进而造成网络服务被拒绝,或崩溃。
蠕虫主要是向网络中的计算机发送大量的小型数据包,因为这样的数据包的数量巨大,导致交换机,路由器崩溃。
网络防病毒策略:
防病毒系统应该是全方位的,多层次的。
网关防毒是整体防毒的首要防线。。
有效的防毒系统管理。
服务是防毒系统中最为重要的一环。
网络管理概述
当整个网络部署完毕,要考虑到网络管理了。
网络管理五协议
网络管理五功能域
网络管理五组成
SNMP代理在Windows,Linux,Switch,Router上启用
网络管理器Solarwinds v8的使用
终端服务,DameWareNT,SSH,远程管理工具
网络管理即对网络的监视和控制,并以获得的数据为依据进行相关的增值服务。
网络管理系统应该具备的功能:性能管理,配置管理,计费管理,故障管理,安全管理
网络管理系统的组成:
被管理节点 被监视的设备
管理代理 用来跟踪被管理设备状态的特殊软件或固件
网络管理工作站 与在不同管理节点的管理代理通信,并且显示这些代理状态的中心设备。
网络管理协议
管理信息数据库
现在主流网络管理协议:SNMP简单网络管理协议
SNMP的管理模型
SNMP中采用SNMP协议,UDP协议。
MIB管理信息数据库的四种属性:对象类型,语法,存取,状态
SNMP管理便信息数据库中采用了和DNs相类似 的倒树管理
SNMP的请求响应原语:
Get Request 从代理进程处提取一个或多个参数
Get Next Request 提取下一个参数
Set Request 设置一个或多个参数
Get Response 返回能数
Trap 代理进程主动发出的报文,通知管理进程有某些事情要发生。
SNMP中除Trap使用162端口,其他全部使用161端口。
SNMP工作站收集数据的方法:
轮询,中断,面向自陷的轮询方法(轮询加中断)
SNMP共同体的作用:认证服务,访问策略,代理服务
如何在Windows,Linux,路由器,Switch上配置代理
首先在Windows上:
安装简单网络管理协议,SNMP
然后在服务中找到SNMP服务,右击属性进行设置。在安全,陷阱等表项中进行设置。
很简单,在DOS中可以看到已经在监听161,162端口了。
在Linux上配置代理:
安装SNMP数据包。
要编辑/etc/snmp/snmp.conf
在路由器上,防火墙,交换机上配置都是一样的:
conf t
snmp-server location l23-12
snmp-server contact zhao
snmp-server community public ro
snmp-server community xa123 rw
snmp-server enable informs
snmp-server enable trap
传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月益的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件能做出实时响应。
入侵检测(Instruction Detection):通过从计算机网络和操作系统中的关键点收集信息并进行分析,从中发现网络或系统中是不是有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IDS):是软件与硬件的结合,是防火墙的合理补充,是防火墙之后的第二道门坎。
入侵检测的内容:试图闯入(暴力破解),成功闯入,冒充其他用户,违反安全策略,合理用户的泄露,独占资源以及恶意使用。
很多攻击者可以穿过防火墙,从而攻击内部网络。为什么这些攻击者可以穿过防火墙呢?
因为规则是被工程师一条一条写上去的,不能够识别新的攻击类型。其二有些东西不是防火墙可以控制的了的,比如说内网允许外网访问WEB服务器,但攻击者却找出服务器上的漏洞。某些软件的漏洞。比如MYSQL的注入攻击。
当IDS发现以后,它所做的就是报警和与防火墙产生联动。
IDS的作用:
实时检测:过滤粒度比应用层网关防火墙还要高,IDS只是在监视,实时处理所捕获的数据报文。
安全审计:比如看到一个URL一直不断的变换参数。
主动响应:
如果你对某个数据库,对某个数据源熟一点,稍微加一点技巧就可以实现SQL注入攻击。就是你要耐心,细心的去分析逻辑关系。
入侵检测的分类:
异常检测:入侵者活动异常于正常的活动,建立正常活动的活动档案。
特征检测:假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是不是符合这些模式。
根据所检测的对象:
基于主机的IDS HIDS。IDS装在服务器上,维护麻烦,部署成本高。
基于网络的IDS NIDS。加密的包处理不了。
根据工作方式:
离线检测系统。
在线检测系统。升级为另一个产品,IPS,入侵防护系统。
IDS要做的第一件事情就是收集信息:包括系统,网络,用户的信息。
如 :系统和网络日志文件,日志和文件中不希望的改变,程序执行中的不期望行为,物理形式的入侵行为。
通过三种技术手段分析:
模式匹配,统计分析。完整性分析。
IDS的探测仪是一个硬件。
用C语言主要做系统软件和通讯软件的开发。是一个主流语言。
实验:
先在win2000上安装一个软件,名称为eTrust。入侵检测软件。
做主机的监护。可以监护所有的网络的通信信息。
第十三章
本章目标:
协议分析: sniffer
协议分析:ethereal 及网管大师
漏洞扫描系统之MBSA
漏洞扫描系统之流光
漏洞扫描系统之XScan
网络反病毒系统配置:防毒墙加网络版杀毒软件
把一根网线的两端同时接到同一个交换机上,可以造成网络风暴。
一定要熟练使用sniffer.
协议分析工具ethereal。
根据ping完之后返回的TTL值可以判断系统的类型,128是Windows,255是路由器或Unix,64为Linux。
协议分析式具WireShark,可以Windows,Linux上安装。
漏洞扫描系统
如果这个软件用在防御上,它可以查看自己系统的漏洞,但是如果这个软件是用在攻击上,它便可以查到目标主机的漏洞,以便我们发起攻击。
木桶的容量不是取决于最高的木版,而是取决于最低的那块。同样,网络系统的安全性取决于网络系统中最薄弱的环节。
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
漏洞扫描系统的原理:
匹配“系统漏洞库”规则
模拟黑客攻击
只要你在用某一个系统,某一个软件就会有软件漏洞。
漏洞处理的一般策略:
暂停运行产生漏洞的软件模块或服务,升级软件版本,下载并安装漏洞补丁。
漏洞扫描软件:
MBSA。微软安全分析工具。
它并不是一个黑客工具,是系统管理员对自己系统的安全进行分析的工具。
Nessus漏洞检测系统
强大的网络漏洞扫描与分析工具
有服务器端与客户机端产品构成。
其它比较好的漏洞扫描软件
流光,XScan,SuperScan,。
NMAP:主要用于网络主机扫描探测的命令行软件。
EtterCAP:主要针对用户名密码等敏感信息的嗅探抓包工具。
包括你要做一些探测,最好可以用虚拟机来做,大家都是这样来做的。没必要在真机上做。
我们来看一下 nmap的使用
nmap主要是用来对大网络当中的主机或服务进行嗅探的。
网络防病毒系统的部署
技术:
密码学:
证书服务:
VPN:虚拟专有网络。
防火墙:
IDS
IPs
但上面的这些技术无法抵御病毒的攻击。
病毒:特洛伊木马实际上是采用潜伏机制执行非授权的功能。
蠕虫是一种程序 或程序序列,通过在分布式网络中发放信息或错误,进而造成网络服务被拒绝,或崩溃。
蠕虫主要是向网络中的计算机发送大量的小型数据包,因为这样的数据包的数量巨大,导致交换机,路由器崩溃。
网络防病毒策略:
防病毒系统应该是全方位的,多层次的。
网关防毒是整体防毒的首要防线。。
有效的防毒系统管理。
服务是防毒系统中最为重要的一环。
网络管理概述
当整个网络部署完毕,要考虑到网络管理了。
网络管理五协议
网络管理五功能域
网络管理五组成
SNMP代理在Windows,Linux,Switch,Router上启用
网络管理器Solarwinds v8的使用
终端服务,DameWareNT,SSH,远程管理工具
网络管理即对网络的监视和控制,并以获得的数据为依据进行相关的增值服务。
网络管理系统应该具备的功能:性能管理,配置管理,计费管理,故障管理,安全管理
网络管理系统的组成:
被管理节点 被监视的设备
管理代理 用来跟踪被管理设备状态的特殊软件或固件
网络管理工作站 与在不同管理节点的管理代理通信,并且显示这些代理状态的中心设备。
网络管理协议
管理信息数据库
现在主流网络管理协议:SNMP简单网络管理协议
SNMP的管理模型
SNMP中采用SNMP协议,UDP协议。
MIB管理信息数据库的四种属性:对象类型,语法,存取,状态
SNMP管理便信息数据库中采用了和DNs相类似 的倒树管理
SNMP的请求响应原语:
Get Request 从代理进程处提取一个或多个参数
Get Next Request 提取下一个参数
Set Request 设置一个或多个参数
Get Response 返回能数
Trap 代理进程主动发出的报文,通知管理进程有某些事情要发生。
SNMP中除Trap使用162端口,其他全部使用161端口。
SNMP工作站收集数据的方法:
轮询,中断,面向自陷的轮询方法(轮询加中断)
SNMP共同体的作用:认证服务,访问策略,代理服务
如何在Windows,Linux,路由器,Switch上配置代理
首先在Windows上:
安装简单网络管理协议,SNMP
然后在服务中找到SNMP服务,右击属性进行设置。在安全,陷阱等表项中进行设置。
很简单,在DOS中可以看到已经在监听161,162端口了。
在Linux上配置代理:
安装SNMP数据包。
要编辑/etc/snmp/snmp.conf
在路由器上,防火墙,交换机上配置都是一样的:
conf t
snmp-server location l23-12
snmp-server contact zhao
snmp-server community public ro
snmp-server community xa123 rw
snmp-server enable informs
snmp-server enable trap
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
