WIN2000的入侵檢測系統(tǒng)實(shí)例分析

1、WIN 2000 的入侵檢測系統(tǒng)實(shí)例分析王偉( 湖北省公眾氣象服務(wù)中心, 武漢 430074)摘 要: 入侵檢測系統(tǒng)能發(fā)覺入侵行為并且采取相應(yīng)的措施。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析, 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該文通過對 WIN 2000 下的 入侵檢測的一個(gè)實(shí)例進(jìn)行分析, 總結(jié)了幾點(diǎn)應(yīng)對入侵的具體措施, 旨在為網(wǎng)絡(luò)管理員提供借鑒。關(guān)鍵詞: 入侵檢測系統(tǒng); 網(wǎng)絡(luò)安全; 端口; 網(wǎng)絡(luò)通信量中圖分類號(hào): TP393.08文獻(xiàn)標(biāo)識(shí)碼: B文章編號(hào): 1004- 9045( 2006) 03- 0035- 03入侵檢測系統(tǒng)( IDS

2、) 處于防火墻之后對網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測。許多情況下, 由于可以記錄和禁止網(wǎng)絡(luò) 活動(dòng), 所以入侵檢測系統(tǒng)是防火墻的延續(xù), 可以同防火 墻和路由器配合工作。IDS 掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng), 監(jiān)視 和記錄網(wǎng)絡(luò)的流量, 根據(jù)定義好的規(guī)則來過濾從主機(jī) 網(wǎng)卡到網(wǎng)線上的流量, 提供實(shí)時(shí)報(bào)警1。這與系統(tǒng)掃描條件。( 2) 目錄和文件中的不期望的改變。目錄和文件中 的不期望的改變, 包括修改、創(chuàng)建和刪除等行為。( 3) 程序執(zhí)行中的不期望行為。網(wǎng)絡(luò)系統(tǒng)上, 有很 多程序在執(zhí)行, 一般有操作系統(tǒng), 網(wǎng)絡(luò)服務(wù)和特定目的 的應(yīng)用。在執(zhí)行中出現(xiàn)了不期望的行為可能表明黑客 正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行 分

3、解, 從而導(dǎo)致它失敗, 或者是以非用戶或管理員意圖 的方式操作。( 4) 物理形式的入侵信息。這包括兩方面的內(nèi)容, 一是未授權(quán)的對網(wǎng)絡(luò)硬件連接; 二是對物理資源的未 授權(quán)訪問。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi), 如 果其能在物理上訪問內(nèi)部網(wǎng), 就能安裝他們自己的設(shè) 備和軟件。依此, 黑客就可以知道網(wǎng)上的由用戶加上去 的不安全( 未授權(quán)) 設(shè)備, 然后利用這些設(shè)備訪問網(wǎng)絡(luò)。 入侵檢測的第二步是信號(hào)分析。對上述四類收集到的 有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信 息, 一般通過模式匹配、統(tǒng)計(jì)分析和完整性分析三種技 術(shù)手段進(jìn)行分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測, 而完整性 分析則用于事

4、后分析。入侵檢測作為一種積極主動(dòng)的 安全防護(hù)技術(shù), 提供了對內(nèi)部攻擊、外部攻擊和誤操作 的實(shí)時(shí)保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入 侵。器 system scanner 不同,系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞的, 它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出計(jì)算機(jī)的流量。在遭受攻擊的主機(jī)上, 即 使正在運(yùn)行著掃描程序, 也無法識(shí)別這種攻擊。系統(tǒng)掃描器檢測主機(jī)上先前設(shè)置的漏洞,而 IDS 監(jiān)視和記錄網(wǎng)絡(luò)流量, 根據(jù)定義好的規(guī)則過濾、切斷網(wǎng)絡(luò)攻擊。1 入侵檢測的步驟入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全 閘門, 在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測, 及時(shí)做出響應(yīng), 包括切斷網(wǎng)絡(luò)連

5、接、記錄事件和報(bào)警 等。從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保 護(hù)。入侵檢測的規(guī)模應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全 需求的改變而改變。入侵檢測的第一步是信息收集, 包括系統(tǒng)、網(wǎng)絡(luò)、 數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等各種信息。這除了盡 可能擴(kuò)大檢測范圍的因素外, 還有一個(gè)重要的因素就 是從一個(gè)來源信息有可能看不出疑點(diǎn), 但幾個(gè)來源信 息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。入侵 檢測利用的信息一般來自以下四個(gè)方面2。( 1) 系統(tǒng)和網(wǎng)絡(luò)日志文件。系統(tǒng)和網(wǎng)絡(luò)日志文件信 息中經(jīng)常會(huì)留下黑客的蹤跡, 它們是檢測入侵的必要2基于 WIN2000 的入侵檢測系統(tǒng)實(shí)例分析入侵檢測系統(tǒng)是一個(gè)比較復(fù)雜的安全管

6、理系統(tǒng),也就是發(fā)現(xiàn)網(wǎng)絡(luò)上的入侵行為然后采取相關(guān)的保護(hù)措施, 包括硬件和軟件兩個(gè)方面。在這里用一個(gè)具體的實(shí) 例來說明入侵檢測系統(tǒng)的工作原理和模式, 下面列舉收稿日期: 2006- 04- 28圖 1 網(wǎng)絡(luò)通信量指標(biāo)之一( TCP- Segments /Sec) 的設(shè)定圖 2 網(wǎng)絡(luò)通信量指標(biāo)之二( N etwork Interface- Packets /Sec) 的設(shè)定2006,(3)湖北氣象36的兩個(gè)入侵行為, 實(shí)際上發(fā)生的過程是連貫的, 都存在于一次的網(wǎng)絡(luò)入侵行為當(dāng)中, 在這個(gè)過程中首先要掃 描網(wǎng)絡(luò)中存在的漏洞( 即開放的端口信息, 這是入侵的 前提) , 然后從存在漏洞的機(jī)器上進(jìn)行登陸的試

7、探, 如 果成功, 便實(shí)現(xiàn)了網(wǎng)絡(luò)的入侵, 其所入侵的系統(tǒng)的安全 性將會(huì)受到威脅。如何才能判斷計(jì)算機(jī)的安全是否受到了威脅? 在 這里通過使用 Windows 2000 的內(nèi)置程序來執(zhí)行入侵 檢測。下面給出具體的說明。2.1 假設(shè)入侵行為 1 及應(yīng)對措施要侵入一個(gè)網(wǎng)絡(luò), 首先要盡可能地收集那個(gè)網(wǎng)絡(luò) 信 息 , 這 可 以 通 過 一 系 列 程 序 完 成 , 如 whois、dig、 nslookup、tracert, 還可以使用一些在 Internet 上公開的 信息。假設(shè)通過這些操作, 發(fā)現(xiàn)網(wǎng)絡(luò)中有一小部分沒有 被防火墻所保護(hù), 然后, 通過執(zhí)行端口掃描, 就會(huì)發(fā)現(xiàn) 有 許 多 計(jì) 算 機(jī)

8、的 135、139、389 和 445 端 口 都 是 開 放 的。445 端口是 Win2000 的一個(gè)重要信息端口。要實(shí) 現(xiàn)文件和打印共享服務(wù), 有兩種實(shí)現(xiàn)的途徑, 一種是通 過 NetBIOS over TCP /IP, 它使用 137、138、139 端口, 另一種是直接通過 445 端口實(shí)現(xiàn)。由于有的機(jī)器上不 允許 NetBIOS over TCP /IP, 所以只有通過后一種方式 進(jìn)行網(wǎng)絡(luò)互聯(lián)。一般來說 445 是必須開放的, 否則根本 就不能連接網(wǎng)絡(luò)了。如發(fā)生了端口掃描, 則在掃描的過程中, 網(wǎng)絡(luò)的通 信量會(huì)有一個(gè)突然的增加。端口掃描通常表現(xiàn)為持續(xù) 數(shù)分鐘的穩(wěn)定的通信量增加, 時(shí)

9、間的長短取決于掃描 端口的多少。如何發(fā)現(xiàn)網(wǎng)絡(luò)通信量的突然增加呢? 有許 多程序都可以完成這個(gè)功能, 以下是 3 種 Win2000 內(nèi) 置方法。方法一:Win2000 中, 可以啟動(dòng)“性能”程序, 創(chuàng)建 一個(gè)預(yù)設(shè)定流量限制的性能警報(bào)信息。例如 , 比 較 好 的網(wǎng)絡(luò)通信量指標(biāo)包括 TCP- Seg- ments /Sec( 圖 1) 和 Network Interface- Packets /Sec( 圖 2) 。面板”, 點(diǎn)擊“網(wǎng)絡(luò)和撥號(hào)連接”, 右鍵點(diǎn)擊“本地連接”,選擇“屬性”, 選中“連接后在任務(wù)欄中顯示圖標(biāo)”復(fù)選 框: 這樣, 隨著所有信息進(jìn)出網(wǎng)絡(luò), 將會(huì)有一個(gè)圖標(biāo)點(diǎn) 亮在任務(wù)欄中一

10、閃一閃。方法三:如果系統(tǒng)管理員懷疑自己受到掃描, 還可 以使用一個(gè)內(nèi)置的命令行工具 netstat。鍵入以下命令:Netstat - p tcp - n如果目前正在被掃描, 根據(jù)掃描所使用的工具, 就 會(huì)得到以下結(jié)果:Active ConnectionsProto Local Address Foreign Address StateTCPTIME_WAIT TCPTIME_WAIT TCPSYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP SYN_SENT TCP

11、SYN_SENT127.13.18.201:2572127.199.34.42:135127.13.18.201:2984127.199.34.42:1027127.13.18.201:3106127.199.34.42:1444127.13.18.201:3107127.199.34.42:1445127.13.18.201:3108127.199.34.42:1446127.13.18.201:3109127.199.34.42:1447127.13.18.201:3110127.199.34.42:1448127.13.18.201:3111127.199.34.42:1449127.1

12、3.18.201:3112127.199.34.42:1450127.13.18.201:3113127.199.34.42:1451127.13.18.201:3114127.199.34.42:1452方法二: 在一個(gè)不是很忙碌的計(jì)算機(jī)上還有一個(gè)簡單的網(wǎng)絡(luò)通信量指示器, 那就是為網(wǎng)絡(luò)適配器建立 一個(gè)任務(wù)欄圖標(biāo)。創(chuàng)建步驟是: 選擇“開始 / 設(shè)置 / 控制以上信息中, 系統(tǒng)管理員要重點(diǎn)注意在本地和外部地址上的連續(xù)端口以及大量的 SYN_SENT 信息。有 些 掃 描 工 具 還 會(huì) 顯 示 ESTABLISHED 或 TIME_WAIT圖 3 網(wǎng)絡(luò)通信量變化指示器Web Service- C

13、onnection Attempts /sec 的設(shè)定圖 4 網(wǎng)絡(luò)通信量變化指示器Web Service- N ot Found Errors /sec 的設(shè)定湖北氣象2006,(3)37信息?？傊? 信息的關(guān)鍵在于連續(xù)的端口序列和來自同一主機(jī)的大量連接。2.2 假設(shè)入侵行為 2 及應(yīng)對措施 入侵者若發(fā)現(xiàn)了一些計(jì)算機(jī)沒有被防火墻保護(hù)以及掃描到一些開放端口后, 便可以尋找網(wǎng)絡(luò)中的弱點(diǎn)。 Windows 網(wǎng)絡(luò)口令用于使用 Web 服務(wù)器上的 Web 服 務(wù), 這些網(wǎng)絡(luò)登錄信息對攻擊者來說是最有用的。他可 能首先從一臺(tái)機(jī)器上下載帳號(hào)名列表, 從中選出一個(gè) 很少使用的, 例如 guest 帳號(hào)。如果攻

14、擊者用這個(gè)賬號(hào) 嘗試多次登錄直到它被鎖住, 這樣就能推測設(shè)置的是 什么賬號(hào)鎖住策略了。然后編寫一個(gè)腳本程序?qū)γ總€(gè) 賬號(hào)都嘗試多次登錄, 但不觸發(fā)鎖住條件( 當(dāng)然, 管理 員賬號(hào)一般是不會(huì)被鎖住的) 。隨后啟動(dòng)腳本程序, 并 運(yùn)行 Whisker 掃描器程序, 之后使用攻擊者為 IIS 服務(wù) 器編寫的一個(gè)腳本程序, 來試探公共代理服務(wù)器信息, 然后等待結(jié)果。在上述探測過程中, 另一端應(yīng)該從一些關(guān)鍵入侵 檢測記數(shù)器指標(biāo)中接收到許多警報(bào)信息。第一個(gè)應(yīng)該 是 Web Service- Connection Attempts /sec ( 圖 3) , 這 個(gè) 指標(biāo)能顯示出 Web 信息量的突然增加。與

15、此同時(shí), 網(wǎng)絡(luò)上也會(huì)有窮舉法攻擊( brute- forceattack) 。在這種情況下, 有幫助的兩個(gè)性能記數(shù)器分別 是 Server- Logon /sec 和 Server- Errors Logon。對每秒兩 個(gè)以上的登錄和五個(gè)以上的登錄錯(cuò)誤設(shè)置警報(bào), 這樣 就能知道是否有窮舉攻擊正在發(fā)生。同時(shí), 對安全事件 日志進(jìn)行檢查, 就能驗(yàn)證出大量的失敗登錄是否來自 同一臺(tái)計(jì)算機(jī)。以上兩種入侵行為都是現(xiàn)實(shí)中可能發(fā)生的, 并且 比較簡單, 但是它展示了一個(gè)基于網(wǎng)絡(luò)的攻擊的許多 要素, 以及如何檢測出這樣的攻擊。理論上而言, 只要 堅(jiān)持跟蹤以下信息, 那么幾乎所有基于網(wǎng)絡(luò)的攻擊都 能被檢測出來3

16、。( 1) 網(wǎng)絡(luò)上擁擠程度和網(wǎng)絡(luò)連接。( 2) Web 擁 擠 程 度 和“pages not found”錯(cuò) 誤 的 發(fā) 生次數(shù)。( 3) 成功及失敗的登錄嘗試。( 4) 對文件系統(tǒng)所做的改變。( 5) 當(dāng)前運(yùn)行的應(yīng)用程序和服務(wù)。( 6) 定時(shí)運(yùn)行的應(yīng)用程序或在啟動(dòng)時(shí)運(yùn)行的應(yīng)用 程序。通過對這些內(nèi)容進(jìn)行跟蹤, 不需要任何外來的入 侵檢測軟件就能阻止許多破壞企圖。當(dāng)然, 其它應(yīng)用 程序也會(huì)很有幫助, 但管理員必須時(shí)刻牢記以上六 條。3 小結(jié)在日常的工作中, 每天都可能發(fā)生許多次攻擊。有 些只是簡單的端口掃描, 而有些則會(huì)對網(wǎng)絡(luò)構(gòu)成全面 威脅。不管是哪種攻擊, 都應(yīng)采取相應(yīng)的應(yīng)對措施。系 統(tǒng)管理員可以通過 Email 或者頁面的方式發(fā)送警報(bào)信 息, 也可以使用定時(shí)服務(wù)來定時(shí)將當(dāng)前運(yùn)行的所有程 序或網(wǎng)絡(luò)連接寫入日志文件。就是說, 編寫一些腳本程 序, 并借助定時(shí)服務(wù)以及少量的免費(fèi)軟件工具, 系統(tǒng)管 理員就可以建立一個(gè)實(shí)用的入侵檢測系統(tǒng), 其性能可 能比市場上的許多入侵檢測軟件都要好得多。發(fā)現(xiàn)入 侵者的關(guān)鍵不在于有多少強(qiáng)有力的軟件, 最重要的是 要了解入侵者是如何行動(dòng)的, 并且比他們搶先一步, 及 時(shí)做出響應(yīng)。另 一 個(gè) 非 常 重 要 的 記 數(shù) 器 是 WebFound Errors /sec (圖 4) 。Service - Not參考文