《計算機網(wǎng)絡安全第三》第章計

第七章黑客攻擊與入侵檢測1本章導言

知識點：●黑客定義●黑客攻擊●入侵檢測

難點：●黑客攻擊原理與防范●入侵追蹤技術◆要求熟練掌握以下內容：●熟知黑客攻擊手段●熟知入侵檢測技術●熟練掌握黑客攻擊防范措施了解以下內容：●了解入侵檢測的分類與工具使用27.1黑客攻擊-1.什么是黑客黑客的發(fā)展黑客的分類網(wǎng)絡黑客計算機朋客網(wǎng)絡駭客3-7.1黑客攻擊-2.黑客常用的攻擊方法和防范措施黑客攻擊黑客攻擊的原因黑客攻擊的一般過程黑客攻擊防范措施協(xié)議欺騙類的攻擊與防范拒絕服務類的攻擊與防范網(wǎng)絡嗅探攻擊與防范緩沖區(qū)溢出攻擊與防范SQL注入式攻擊與防范木馬攻擊與檢查防范4黑客攻擊的原因由于少數(shù)高水平的黑客可以隨意入侵他人電腦，唄在被攻擊者毫不知情的情況下竊取電腦中的信息后悄悄退出，于是，很多人對此產(chǎn)生較強的好奇心和學習黑客技術的欲望，并在了解了黑客攻擊技術后不計后果地進行嘗試，給網(wǎng)絡造成極大的安全威脅。黑客常見攻擊的理由如下：想在別人面前炫耀自己的技術，如進入別人電腦修改一下文件和系統(tǒng)，算是打個招呼，也會讓對方對自己更加崇拜；看不慣他人的某些做法，又不方便當面指責，于是攻擊他的電腦教訓一下；好玩，惡作劇，這是許多人或者學生入侵或破壞的主要原因，除了有練功的效果外還有探險的感覺；竊取數(shù)據(jù)，偷取他人的QQ、網(wǎng)游密碼等，然后從事商業(yè)活動；對某個單位或者組織表示抗議。5黑客攻擊的一般過程第一步，收集被攻擊方的有關信息。第二步，建立模擬環(huán)境。第三步，利用適當?shù)墓ぞ哌M行掃描。第四步，實施攻擊。第五步，清理痕跡。為了達到長期控制目標主機的目的，黑客災區(qū)的管理員權限之后會立刻在其中建立后門，這樣就可以隨時登錄該主機。為了避免被目標主機管理員發(fā)現(xiàn)，在完成入侵之后需要清楚其中的系統(tǒng)日志文件、應用程序日志文件和防火墻日志文件等，清理完畢即可從目標主機中退出。達到全身而退的效果是經(jīng)驗老到的黑客的基本技能。6協(xié)議欺騙類的攻擊與防范-1.源IP地址欺騙攻擊與防范-許多應用程序認為如果數(shù)據(jù)包能夠使其自身沿著路由到達目的地，而且應答包也可回到源地址，那么源IP地址一定是有效的，而這恰恰使得源IP地址欺騙成為可能的前提。假定同一網(wǎng)段內兩臺主機A和B，另一網(wǎng)段內有主機X。X為了獲得與A、B相同的特權，所做的欺騙攻擊如下：首先，X冒充A向主機B發(fā)送一個帶有隨機序列號的SYS包。主機B相應，回送一個應答包給A，該應答號為原序列號加1?？墒牵藭r的主機A已經(jīng)被X用拒絕服務攻擊給“淹沒”了，導致主機A的服務失效。結果，主機A將B發(fā)來的包丟棄。為了完成傳輸層三次握手的協(xié)議，X還需向B回送一個應答包，其應答號為B向A發(fā)送的數(shù)據(jù)包的序列號加1。此時，主機X并不能檢測到主機B的數(shù)據(jù)包，因為二者不在同一網(wǎng)段內，只有利用TCP順序號估算法來預測應答的順序號并將其發(fā)送給目標主機B。如果猜測正確，B則認為收到的ACK是來自內部主機A。此時，X即獲得了主機A在主機B上享有的特權，并開始對這些服務實施攻擊。7-1.源IP地址欺騙攻擊與防范為防止源端IP地址欺騙，可以采取以下措施來加以防范，盡可能地保護系統(tǒng)免受這類攻擊。第一，放棄基于地址的信任策略。抵御這種攻擊的一種簡易方法就是拋棄以地址為基礎的驗證。不允許remote類別的遠程調用命令的使用，這將迫使所有用戶使用其它遠程通信手段。第二，數(shù)據(jù)包加密。在數(shù)據(jù)包發(fā)送到網(wǎng)絡之前對數(shù)據(jù)包加密，能在很大程度上保證數(shù)據(jù)的完整性和真實性。第三，數(shù)據(jù)包過濾。利用網(wǎng)絡設備的配置來進行數(shù)據(jù)包過濾，比如配置路由器，使其能夠拒絕來自網(wǎng)絡外部但具有網(wǎng)絡內部IP地址的數(shù)據(jù)包的連接請求。8-協(xié)議欺騙類的攻擊與防范2.源路由器欺騙攻擊與防范-一般情況下，信息報從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只是知道從哪里出發(fā)，到達目的地是哪里，不知道也不關心沿途經(jīng)過的具體路徑。源路由可以使信息包的發(fā)送者將此信息包經(jīng)過的路徑寫在數(shù)據(jù)包里，是數(shù)據(jù)包沿著一個對方不可預料的途徑到達目的主機。仍以上面源IP地址欺騙例子說明如下：9-2.源路由器欺騙攻擊與防范-主機A享有主機B的某些特權，主機X想冒充主機A從主機B獲得某些服務，主機B的IP地址為。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的地址的數(shù)據(jù)包以主機X的所在的網(wǎng)絡為目的地；然后，攻擊者X利用IP欺騙向主機B發(fā)送源路由（制定最近的路由器）數(shù)據(jù)包。當B回送數(shù)據(jù)包時，就傳送到被更改過的路由器，這就使得入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護的服務和數(shù)據(jù)。10-2.源路由器欺騙攻擊與防范為防范路由器欺騙攻擊，一般采用的措施如下。第一，配置好網(wǎng)絡互聯(lián)設備——路由器。使得它能拋棄那些來自外部網(wǎng)絡卻冒充內部網(wǎng)絡來的報文，這是對付這種攻擊的最好的辦法。第二，在路由器上關閉源路由使用。源路由默認是被開啟的，可以在路由器上用全局配置命令noipsource-route來關閉。11拒絕服務類的攻擊與防范1拒絕服務攻擊，顧名思義，就是攻擊者加載過多的服務將被攻擊者資源全部耗盡，使其沒有多余的資源來供其他用戶使用，從而實現(xiàn)不了服務。SYNFlood攻擊是典型的拒絕服務攻擊。它常常是源IP地址的前奏，也叫做半開式連接攻擊。正常情況下，一次標準的TCP連接，會有一個三次握手的情況。然而這個SYNFlood在其實現(xiàn)過程中，只有前兩個步驟，當服務方收到請求方的SYN并回送SYN-ACKnowledegeCharacter確認報文后，請求方由于采用源IP地址欺騙等手段，使得服務方得不到ACK回應，這樣，服務方會在一定時間內處于等待接收請求方ACK報文的狀態(tài)，一臺服務器可用的TCP連接服務時有限的，如果惡意攻擊方快速連續(xù)的發(fā)送此類請求，則服務器的系統(tǒng)可用資源、網(wǎng)絡可用帶寬將急劇下降，導致無法向用戶提供正常的網(wǎng)絡服務。12拒絕服務類的攻擊與防范2為防范拒絕服務攻擊,可采用如下措施：第一，對于信息淹沒攻擊，采取措施是關掉可能產(chǎn)生無限序列的服務。比如，可以在服務器端拒絕所有的ICMP包，或者在該網(wǎng)段內，對路由器上的ICMP包進行帶寬限制，控制其在一定范圍內。第二，防止SYN數(shù)據(jù)段攻擊。采取措施是對系統(tǒng)設定相應的內核參數(shù)，使得系統(tǒng)強制對超時的SYN請求連接數(shù)據(jù)包復位，同時通過縮短超時常數(shù)和加長等候隊列來使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。第三，調整該網(wǎng)段的路由器配置。比如限制SYN半開數(shù)據(jù)包的流量和個數(shù)。第四，在路由器前端進行TCP攔截。在路由器的前端對TCP做必要攔截，使得只有完成TCP三次握手的數(shù)據(jù)包才可以進入網(wǎng)段，可以有效地保護本網(wǎng)段內的服務器不受此類攻擊。13網(wǎng)絡嗅探攻擊與防范1網(wǎng)絡嗅探對于一般的網(wǎng)絡來說，操作極其簡單但威脅卻是巨大的。很多黑客使用嗅探器進行網(wǎng)絡入侵。網(wǎng)絡嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡嗅探具有很強的隱蔽性，往往讓網(wǎng)絡信息泄密而不易被發(fā)現(xiàn)。嗅探器（Sniffer）就像一個安裝在計算機上的竊聽器，可以竊聽計算機在網(wǎng)絡上的產(chǎn)生的信息。嗅探器的工作原理如下。14網(wǎng)絡嗅探攻擊與防范2以太網(wǎng)的數(shù)據(jù)傳輸都是基于信道共享的原理，所有同一本地網(wǎng)范圍內的計算機共同接收到相同的數(shù)據(jù)包，以太網(wǎng)卡構造了硬件過濾，將與自己無關的網(wǎng)絡信息過濾掉，實現(xiàn)了忽略掉與自身MAC地址不符的信息。網(wǎng)絡嗅探就是利用這個特點將過濾器關閉掉，把網(wǎng)卡設置為混雜模式，成為雜錯節(jié)點，嗅探程序就能接收整個以太網(wǎng)上的包括不屬于本機的數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡的底層，把網(wǎng)絡傳輸?shù)娜繑?shù)據(jù)記錄下來。它可以幫助網(wǎng)絡管理員查找網(wǎng)絡漏洞和監(jiān)測網(wǎng)絡性能，可以分析網(wǎng)絡流量。嗅探器對廣播型網(wǎng)絡可監(jiān)聽能力比較高。15網(wǎng)絡嗅探攻擊與防范3網(wǎng)絡嗅探器一般具有幾個威脅。首先，它能夠捕獲密碼。這是絕大多數(shù)非法使用Sniffer者的原因。其次，它能捕獲專用機密信息。通過攔截數(shù)據(jù)包，可以方便的記錄敏感信息。第三，可以分析網(wǎng)絡數(shù)據(jù)，實現(xiàn)更大威脅的網(wǎng)絡攻擊的前奏。這在前面已經(jīng)提到。16網(wǎng)絡嗅探攻擊與防范4對于網(wǎng)絡嗅探攻擊，可以采用以下措施來實現(xiàn)防范主動檢測嗅探器網(wǎng)絡通信丟包率很高網(wǎng)絡帶寬分配反常被動隱藏數(shù)據(jù)網(wǎng)絡分段加密一次性口令技術禁用雜錯節(jié)點ARP或者IP-MAC映射表用靜態(tài)代替動態(tài)17緩沖區(qū)溢出攻擊與防范1許多程序都是用C語言編寫的，而C語言不做緩沖區(qū)下屆檢查;若用戶輸入數(shù)據(jù)長度超過應用程序給定的緩沖區(qū)，則會覆蓋其他數(shù)據(jù)區(qū)，這就是緩沖區(qū)溢出，也叫做堆棧溢出緩沖區(qū)溢出攻擊時一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其他指令，以達到攻擊的目的。當然，普通的緩沖區(qū)內容是達不到攻擊的目的的。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶Shell，再通過Shell執(zhí)行其他命令。如果該程序具有root權限，攻擊者就可以對系統(tǒng)就行任意操作了18緩沖區(qū)溢出攻擊與防范2要有效防止該種攻擊，應做到以下幾點

程序指針完整性檢查--在程序指針被引用之前，檢測它是否改變。即使一個攻擊者成功改變了程序指針，由于系統(tǒng)實現(xiàn)檢測到了指針改變，因此指針也不會被使用。

保護堆棧--這是一種提供程序指針完整性檢查的編譯器技術。通過檢查函數(shù)活動記錄中的返回地址來實現(xiàn)。在堆棧中函數(shù)返回地址后面增加了附加的字節(jié)，在函數(shù)返回時，首先檢查附加的字節(jié)是否被改動過。如果發(fā)生過緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測到。

數(shù)組邊界檢查--所有對數(shù)組的讀寫操作都應當被檢查以確保對數(shù)組的操作在正確的范圍內。最直接的方法是檢查所有的數(shù)組操作，通常可以采用一些優(yōu)化的技術來減少檢查單次數(shù)。19SQL注入式攻擊與防范SQL注入式攻擊是目前比較流行，也是研究最多的一種黑客攻擊技術。它主要是針對網(wǎng)頁進行的一種攻擊。詳細的描述見本書關于Web的安全一章介紹。20木馬攻擊愿與檢查防琴范1木馬——又稱特洛堂伊木馬，益是一種用述于竊取用古戶的密碼箏資料、破標壞硬盤內同的數(shù)據(jù)或襲程序的軟房誠件。其入蓄侵方式與院《荷馬史太詩》中記伸載的特洛內伊木馬及結其類似。黑客的往主要攻弟擊手段省之一，亮就是使醉用木馬存技術滲帖透到對哄方的主臂機系統(tǒng)排中，從瘡而實現(xiàn)且對遠程唉目標主甘機的控扣制。凡究是在表者面上偽訴裝成正獸常的程椅序，而牙實際上巾卻偷偷器把正常施的程序食換掉，莖并留下榜一些特康殊的系愛統(tǒng)后門袖，以方裹便以后該可以控煎制主機曲運行或誼者執(zhí)行鮮破壞行娛為的程欄序，就抄是一種巾特洛伊紋木馬程草序，俗煤稱后門沸（Back非door）程序背或者木翅馬（Troj疏an）程序。21木馬攻擊攝與檢查防證范2黑客利來用木馬追入侵網(wǎng)兩絡中的參電腦，布從而達血到操作應被入侵撫電腦的辱目的。奴功過控較制被入靠侵的電噴腦，黑共客可以葬任意在遇其中瀏逆覽信息喊，上傳紛下載文露件以及謠竊取密低碼信息囑等，而成且還可茂以通過晉該電腦窄向其他郵電腦進嫂行攻擊天，達到縱既能攻叨擊更多伸主機又稱能隱藏雄自身信紹息的目夾的，所芝以木馬穗已經(jīng)成蝴為黑客搭攻擊電示腦的首勉選工具瞧。22木馬攻擊憲與檢查防警范3黑客常南將已經(jīng)閱被木馬比入侵的替主機成掉為服務脅器，而釀將用于賤接收或賽控制木捆馬運行泉的電腦為稱為客槍戶端，計因此一趨個完整殖的木馬柿軟件一記般是由撐兩部分德組成，路即入侵截軟件和蟻控制軟傍件，它肆們的關禁系如圖7-1所示。23木馬攻饅擊與檢駱查防范4根據(jù)木馬泰的原理和因危害，可僚知木馬具淹有偽裝性潤、隱蔽性倒和頑固性所的特點。偽裝性——由于人們襖對于病毒蓮以及木馬活警覺性的毛提高，木閃馬通常需奸要將自己壇偽裝成其特他程序才舟能消除用獎戶的戒心界，使用戶怎不會認為棚它是來歷社不明的程銀序，達到響不知不覺竟進入主機媽的目的。隱蔽性——目前不壘少木馬殲在傳播巨時，大鵲多會與紡一些常善見的軟毒件一起壩被用戶肉存儲到擱電腦中漏，很難爽被發(fā)現(xiàn)考，當用墊戶使用攪該軟件飽時，木閘馬就自津動運行虹了。頑固性——某些木馬雞會在系統(tǒng)痰文件中留羞下備份文斜件，當用敏戶用殺毒小軟件清除呈木馬時，悅備份文件斷很難被清劑除掉，使耗這些病毒甜具有了“依死灰復燃臥”的能力臟。另外，憶木馬一般屋都隨系統(tǒng)峽啟動而啟誓動，并且季有進程保終護設置，選所以查殺級木馬非常罩麻煩。24木馬攻擊竿與檢查防優(yōu)范5防治木馬煎，常用簡蠻單使用措掌施如下：安裝殺毒嗽軟件和個拆人防火墻欲，并及時笨升級；將個人慮防火墻茂設置好坑安全等葛級，防斗治未知鉆程序向怎外傳送熔數(shù)據(jù)；考慮使用撈安全性比交較好的瀏服覽器和電墳子郵件客其戶端工具蓬；如果使興用IE瀏覽器，哄應該看裝于一些安全王助手，防麥止惡意網(wǎng)泥站在自己臭的電腦上踢安裝不明涌軟件和瀏繞覽器插件伶，以免被痛木馬乘機撓侵入。25木馬攻擊壤與檢查防掙范6進一步懂幫助判瘦斷是否找被植入帥木馬的方法軟件Has嚼h值校驗——此方法就架是檢驗文橫件是否被傭篡改。無疾論何時，習當用戶從茶網(wǎng)站上下港載一個軟演件的時候既，都應該頃生成相應算文件的Hash值，之柔后與發(fā)冬布廠商洽網(wǎng)站上短的Has贏h值進行桿比較。削如，從占某網(wǎng)站閑下載軟蛙件時，洞軟件連自接旁邊巷看到軟消件的MD5值，下載溪之后，利累用MD5工具生成強下載文件倚的MD5散列值，怪兩個散列馳值進行比皆較，若相損等說明軟賭件沒有被佩篡改，若蓋不等則要螺懷疑軟件票的真實性組。進程和滿端口監(jiān)徑控——監(jiān)控端眠口指監(jiān)庭控系統(tǒng)撒當前哪短些端口照是處于賠監(jiān)聽、治連接狀懼態(tài)，哪叉些進程醒在使用伙哪些端課口，即貧進行進紹程與端脈口的關黃聯(lián)。通辜過監(jiān)視姑計算機沖上打開卵的非常飼用端口包，能夠罪檢測出努等待建藍立連接拿的木馬浩。常用璃的nets扔tat崇–na命令就可首以實現(xiàn)這算一功能。267.2入侵檢酸測1.入侵檢強測的定樓義2.入侵響應3.入侵追早蹤4.入侵檢股測工具果介紹27（1）入侵檢測隆的定義入侵檢測傭（Int贊rus嗎ion罰De倦tec于tio升n）——就是對嘗入侵行能為的發(fā)克覺。它蟻通過對旬計算機戶網(wǎng)絡或概計算機櫻系統(tǒng)中竟若干關慰鍵點收指集信息冠并對其魯進行分聲析，從偶中發(fā)現(xiàn)驚網(wǎng)絡或仔系統(tǒng)中邀是否有查違反安繪全策略貪的行為阻和被攻燥擊的跡熄象。防火墻之后的第韻二道安全姻閘門，在費不影響網(wǎng)勤絡性能的助情況下能構對網(wǎng)絡進暈行監(jiān)測。恐這些都通跪過它執(zhí)行乘以下任務婆來實現(xiàn)：監(jiān)視、分租析用戶及溜系統(tǒng)活動錦；系統(tǒng)構房誠造和弱妨點的審凝計；識別反映孕已知進攻陶的活動模鮮式并向相嫌關人士報史警；異常行聯(lián)為模式蠻的統(tǒng)計罰分析；評估重要宮系統(tǒng)和數(shù)煩據(jù)文件的先完整性；操作系統(tǒng)舊的審計跟冊蹤管理，俯并識別用投戶違反安另全策略的桐行為28（2）入侵檢測浴系統(tǒng)入侵檢測濟系統(tǒng)（簡甘稱“IDS員”）——是一種對割網(wǎng)絡傳輸墳進行即時注監(jiān)視，在作發(fā)現(xiàn)可疑宇傳輸時發(fā)錦出警報或也者采取主都動反應措津施的網(wǎng)絡小安全設備萍。它與其而他網(wǎng)絡安駱全設備的挽不同之處脂便在于，IDS是一種積脆極主動的險安全防護驕技術。29（3）入侵檢抖測的分鉛類1）按照對分析方絕法（檢霉測方法祝）異常檢躬測（Anom消aly辯Dete累ctio閣n)誤用檢橋測（Mis坐use匯De名tec劇tio控n)2）按照肉數(shù)據(jù)來叉源基于主機基于網(wǎng)乏絡混合型3）按系統(tǒng)晝各模塊的維運行方式集中式分布式4）根據(jù)算時效性脫機分析聯(lián)機分騙析302.入侵響室應入侵響應（Intr牌usio始nRe恢spon歲se）——是指當纏檢測到傅入侵或華攻擊時觀，采取敲適當?shù)挠洿胧┳栌乐谷肭舟E和攻擊最的進行基；入侵膨響應系箏統(tǒng)（Int凝rus仰ion題Re畏spo族nse殿Sy名ste網(wǎng)m）是指穿實施入呼侵響應勻的系統(tǒng)脹。31入侵響應系系統(tǒng)的分旦類1）按響氏應類型駕分類報警型響欲應系統(tǒng)人工響準應系統(tǒng)自動響應辦系統(tǒng)2）按響應支方式分類基于主域機的響叔應基于網(wǎng)絡身的響應3）按照響然應范圍分信類本地響應殖系統(tǒng)網(wǎng)絡協(xié)棕同響應返系統(tǒng)32入侵響應燥的方式入侵響應煎的方式，蘿根據(jù)嚴厲槽程度不同木，可以分洽為以下幾榴個級別第一級孤別，較勻溫和的眉被動響拋應方式裙，包括額以下幾盯種響應相：記錄安蜜全事件產(chǎn)生報警枝信息記錄附擔加日志激活附加鮮入侵檢測醫(yī)工具第二，介冰于溫和與伴嚴厲之間戚的主動響膜應方式：隔離入侵姥者IP禁止被攻歷擊對象的喜特定端口填和服務隔離被礙攻擊對占象第三級令別，較買為嚴厲慮的主動息響應方似式：警告攻虎擊者跟蹤攻既擊者斷開危險凍連接攻擊攻擊勒者33自動入破侵響應入侵預取防、入型侵檢測須和容忍個入侵在抖解決網(wǎng)以絡入侵妥問題上進都發(fā)揮弊了很大惰的作用真，但這暮些方法炕都是被晚動地解做決入侵喚問題。鈴而入侵要響應系屠統(tǒng)在入克侵發(fā)生鐵后能夠便主動?？嶙o受害峰系統(tǒng)，脾阻擊入邊侵者。虧目前，痰入侵防恥范研究狐的重點轟還是在今入侵預販防和入踢侵檢測鋤上，入?yún)⑶猪憫B還大都改只是在IDS系統(tǒng)中棵實現(xiàn)，案其響應形方式和虹響應能飼力受到掘一定限扎制。3435自動入爽侵響應龍系統(tǒng)的謎模型如陳圖7-2所示，系倦統(tǒng)的輸入貧是入侵檢閑測系統(tǒng)輸俯出的安全寒事件；棋響應決策盜模塊依據(jù)素響應決策記知識庫，妹決定對于映輸入的安英全事件做線出什么響派應，產(chǎn)生竹響應策略博響應某種宴中間語言脹描述，然部后由響應遠執(zhí)行模塊膠解釋執(zhí)行沉，并調用繡響應工具磁庫中預先別編制好的雀響應工具苦；響應評窮估模塊對翼作出的響炭應進行評狹估，評估罵結果再反考饋到響應催決策模塊恩，調整和糕改進響應泥決策機制藍。在自動布入侵響應位中，響應遍決策模塊抽是整個系著統(tǒng)的核心火，因為及寇時、有效總、合理的因響應策略寧是提高系泡統(tǒng)響應性抄能的關鍵漏。36常見自動匯入侵響應囑有以下幾息種類型基于代草理自適胳應響應勒系統(tǒng)AAI杜RS（Ada印pti莖ve蛋Age深nt-含bas素ed怕Int伙rus沙ion氏Re祝spo豪nse密Sy紋ste裂m）基于移動哥代理（Mobi姿leA逐gent書)的入侵獻響應系懶統(tǒng)基于IDI魄P協(xié)議的創(chuàng)響應系然統(tǒng)（IDIP——Intr熱uder地Det椒ecti男ona您ndI勻sola振tion溜Pro原toco落l）基于主巾動網(wǎng)絡(Act舉ive文Netw皆ork)的響應糕系統(tǒng)373.入侵追棚蹤網(wǎng)絡攻擊左的追蹤是舉對網(wǎng)絡攻員擊做出的導正確響應憑的前提。發(fā)一旦網(wǎng)絡歉遭到攻擊楊，如何追毀蹤入侵者琴并將其繩處之以法，斯是十分必侮要的。入劍侵追蹤一美般包括兩匪個各方面毫的工作。第一，撿發(fā)現(xiàn)入否侵者的IP地址、MAC地址或是頭認證的主弟機名。第二，追俘蹤攻擊源驢，確定入譜侵者的真米實位置。38(1)蹄IP地址追蒸蹤使用net梁sta用t命令：發(fā)現(xiàn)舅入侵者倒的IP地址是很絮基礎的一蠻項追蹤技螞術。使用nets謹tat命令可本以獲得爽所有連鎖接被測意主機的毯網(wǎng)絡用致戶的IP地址。Win遇dow斜s系列系統(tǒng)汪、Unix系統(tǒng)、Lin目ux系統(tǒng)等常脊用操作系紐奉統(tǒng)都可以嘆使用該命杯令。日志數(shù)岔據(jù)：系統(tǒng)捕的日志柳數(shù)據(jù)提抖供了詳繳細的用瞎戶登錄取信息。舒在追蹤應網(wǎng)絡攻至擊時，怨這些數(shù)睛據(jù)是最冤直接最幅有效的紗證據(jù)。原始數(shù)據(jù)汁報文：由于蹈系統(tǒng)主臂機有被澡攻陷的汗可能，貞因此，講利用系物統(tǒng)日志嘗獲取攻便擊者信爺息有時常候就不茅可靠。言捕獲原辜始數(shù)據(jù)件報文并平對數(shù)據(jù)餡進行分娛析，是哨確定攻棟擊源的脅另一個覺比較重但要的可六靠方法劣。搜索引擎：此方頂法是人郊為因素泛較多。嗎黑客們江經(jīng)常可修能在論驕壇等網(wǎng)稼絡社區(qū)駁炫耀自美己的攻暗擊成果說，借助缺搜索引刃擎，可盤以搜集濱這些信獎息，獲鑄取被攻置擊證據(jù)主。39(2)攻擊源時追蹤在追蹤網(wǎng)贊絡攻擊中失，大部分染網(wǎng)絡攻擊具者都采用IP地址欺騙究技術，這覺樣，采用IP地址追來蹤方法齊難以實針現(xiàn)追蹤誤目的。喜因此，謎網(wǎng)絡攻漿擊追蹤綁技術研短究重點渾就轉為幣如何重毫構攻擊介路徑，單或者說誤如何真決實定位授攻擊源誤地址和艙攻擊路獲徑。攻擊源賴追蹤技征術大致穗可以分周為兩類被動追永蹤技術寒：只在倚被攻擊幫的主機滿或網(wǎng)絡璃嗅探到感攻擊現(xiàn)非象發(fā)生寇后才啟耽動追蹤真。主動追僻蹤技術撤：在攻阿擊尚未梯發(fā)生時墨，轉發(fā)焰數(shù)據(jù)報撤文的節(jié)甘點將自找身的標底識信息凍發(fā)送給振報文的搏接收方漂。被攻處擊方在株檢測到伏被攻擊碌時，利鏡用這些蔑報文重絞構攻擊養(yǎng)路徑。40入口過蟲濾——通過配置航路由器來峰組織那些殘具有非法攔源地址的狀報文。鏈路測挑試——鏈路測刃試又包漲含輸入化檢測和車受控泛葡洪兩種虎措施。輸入檢噴測方法狀要求被介攻擊的蜂系統(tǒng)從繭所有報勻文中描盒述出攻自擊報文愛標志。仁管理員界逐層上劈燕流出口健端配置把合適的博輸入檢沾測并檢棄測攻擊猜來源。受控泛依洪方法梳就是制內造泛洪奔攻擊，歲通過觀紋察路由種器的狀辟態(tài)來判巷斷攻擊讀路徑。日志記逃載——在傳輸路殃徑上的一武些重要路脅由器中隊易國王的報勺文做日志閣記錄，并匪使用數(shù)據(jù)凍挖掘的方吐法來分析怕報文傳輸和的真實路今徑。ICM帽P追蹤——I質CMP追蹤技黑術是在顧路由器頃中增加呀追蹤機久制，這只種路由活器成為itra問ce路由器。相發(fā)送特殊ICM球P報文，牛記錄發(fā)妙送它的撿路由器IP地址、前貼一跳和后熟一跳地址鞏。該路由迎器向源和努目的地址殲都轉發(fā)該練特殊報文艷。受害者六收集足夠閱報文，就頂可以找出宋攻擊路由賭。報文標壇記——通過將塞信息寫段入到IP報文頭來煌追蹤泛洪使攻擊。414.入侵檢測專工具1．Fpor淘t2.煩02．win沫dow深s安全基準摩分析器（MBSA）3．Lsof4．Snor怪t5．Namp429、靜夜四鮮無鄰，荒練居舊業(yè)貧失。。4月-2煩34月-與23Thu赤rsd蒙ay,胸Ap唐ril喬27得,2叔02310、雨中柳黃葉樹單，燈下噴白頭人電。。06:壤31:瞇0606:3味1:0606:3舒14/2縣7/2仇023美6:啊31:懷06宰AM11、以我荷獨沈久援，愧君覽相見頻庭。。4月-偉2306:腥31:師0606:3載1Apr-握2327-迅Apr啦-2312、故人江拾海別，幾騰度隔山川隨。。06:3煮1:0606:獻31:絡0606:3惰1Thur置sday懷,Ap壘ril胖27,勺202313、乍見翻緞疑夢，相輔悲各問年攤。。4月-2優(yōu)34月-元2306:3她1:0606:卸31:距06Apri刻l27蓮,20汪2314、他鄉(xiāng)生搶白發(fā)，舊陷國見青山躍。。27四船月20斷236:3盞1:0俊6上警午06:宗31:所064月-屯2315、比不了回得就不比歌，得不到估的就不要殖。。。四月2丹36:3宴1上暈午4月-揪2306:形31Apr顆il怒27,符20猶2316、行動堡出成果芹，工作敵出財富疾。。2023綠/4/2良76:查31:0貨606:移31:果0627它Apr皺il愈202咱317、做前吵，能夠銹環(huán)視四寨周；做宰時，你高只能或捎者最好糠沿著以椒腳為起且點的射哲線向前斷。。6:3雨1:0買6上輛午6:31補上午06:脆31:皆064月-霸239、沒有失干敗，只有委暫時停止嗚成功！。4月-爆234月-旅23Thu白rsd品ay,專Ap旗ril碰27掌,2絮02310、很多膊事情努釋力了未穿必有結妙果，但與是不努鞏力卻什課么改變潤也沒有甜。。06:襯31:傍0606:3瘡1:0606:3評14/27料/202債36:日31:0餃6AM11、成功灑就是日趣復一日鋪那一點歡點小小見努力的擠積累。改。4月-2挪306:斜31:冶0606:芳31Apr-英2327-A炎pr-2降312、世間成沸事，不求細其絕對圓羽滿，留一止份不足，秤可得無限栗完美。。06:3樸1:0606:3岸1:0606:3趨1Thu渡rsd川ay,鋪Ap瘋ril呈27鉆,2目02313、不知香姥積寺，數(shù)叛里入云峰牢。。4月-富234月-2弊306:3伍1:0606:3摔1:06Apr臟il眾27,閘20概2314、意志堅侮強的人能某