ID入侵侦测系统课件.ppt

1、王振生彙編Intrusion Detection Systems(IDS:入侵偵測系統)駭客攻撃手段 掃瞄：資訊蒐集 Tracert Telnet 廣播要求 代理程式 竊聽駭客攻撃手段 漏洞利用 Buffer Overflow(緩衝區溢位)SQL Injection(SQL指令注入)Cross Site Scripting(跨站腳本)Cross-Site Request Forgery(跨站冒名請求)駭客攻撃手段 通行碼破解 利用系統漏洞入侵取得密碼檔 利用字典攻擊攻擊系統的弱密碼 社交工程 安置後門 利用漏洞入侵後，安置隱藏的系統控制權功能程式 可不經正常的安全認證程序即可取得系統控制權 E

2、mail 隱藏木馬程式駭客攻撃手段 拒絕服務消耗系統或網路資源，使其無法正常運作暴力式封包溢流SYN 溢流攻擊Ping 到死Smurf攻擊駭客攻撃手段防火牆防不到的攻擊 緩衝區溢位攻擊(Buffer Overflows)通訊埠掃瞄攻擊(Port Scans)木馬程式攻擊(Trojan Horses)碎片封包攻擊(IP Fragmentation)蠕蟲攻擊(Worms)系統與應用程式漏洞攻擊(System&Application Vulnerabilities)防毒軟體防不了的攻擊 緩衝區溢位攻擊(Buffer Overflows)通訊埠掃瞄攻擊(Port Scans)系統與應用程式漏洞攻擊(S

3、ystem&Application Vulnerabilities)阻斷服務與分散式阻斷服務攻擊(DoS/DDoS)入侵偵測系統 入侵偵測(Intrusion Detection)就是對電腦網路和電腦系統的關鍵節點的資訊進行收集分析，偵測其中是否有違反安全策略的事件發生或攻擊跡象，並通知系統安全管理員。一般把用於入侵偵測的軟體，硬體合稱為入侵偵測系統。IDS的功能 監控網路(NIDS型)和系統(HIDS型)發現入侵企圖或異常現象 主動告警，通知系統管理者現在網路狀況 將網路封包紀錄下來以為未來辨識或作為證據之用需要IDS的原因 防火牆功能不足 無法阻擋合法網路連結自身可以被攻破 對於某些攻擊的

4、保護很弱 不是所有的威脅均來自防火牆外部 入侵很容易 入侵教學隨處可見 各種駭客工具垂手可得 入侵偵測系統之種類 網路型入侵偵測系統Network-based IDS,簡稱NIDS 主機型入侵偵測系統Host-based IDS,簡稱HIDS 網路節點入侵偵測系統Network Node IDS,簡稱NNIDSNIDS 安裝於被保護的網段中 雜亂模式(promiscuous)監聽 分析經過這網段的所有封包 不會增加網段中主機的負載 產品：eTrust、SnortNIDS範例NIDS安裝的位置 放在防火牆外：優點是IDS能夠看到所有來自Internet的攻擊者對系統的各種攻擊手段；缺點就是IDS

5、的負荷會加重。放在防火牆內：也有人認為應該把偵測器放在防火牆內，這樣可以用設置良好的防火牆把大部分的“幼稚腳本”阻止在防火牆外，而讓IDS把注意力集中在高水準的攻擊上。而且這樣可以把IDS保護在防火牆內，免於遭受攻擊。NIDS安裝的位置 防火牆內外都放IDS：如果組織的經費充足的話，可以在防火牆的內外都放IDS，這樣就可以得到以上兩種方法的優點。這種情況下，一般放在防火牆內部的IDS是用來作為緊急告警的裝置。HIDS 安裝於被保護的主機中 主要分析主機內部活動 系统LOG 系统Process 文件完整性檢查 佔用一定的系統資源 產品：Enterasys Dragon Host Sensor、T

6、ripwireHIDS範例HIDS的優勢 可確認攻擊是成功的 監控系統特定的活動 可偵測加密封包及交換網路環境中的攻擊 監控系統關鍵部份 不須新增額外硬體NNIDS 也稱作StackStack-BasedBased IDSIDS，安裝於網路節點的主機中，結合了NIDS及HIDS的技術 適合於高速網路環境：NIDS因為效能的關係，在高速網路下是不可靠的，因為有很高比例的封包會被丟棄，而且交換型網路經常會妨礙NIDS看到的封包。NNIDS將NIDS的功能委托給單獨的主機，進而解決了高速網路和交換網路的問題。產品：BlackICE Agent、Tiny personal firewall with

7、CMDS、ISS RealSecure Desktop Protector NNIDS範例IDS的偵測技術 基於特徵（Signature-basedbased）維護一個入侵特徵的資料庫 準確性較高 基於異常（Anomaly-basedbased）統計模型 專家系統 誤報較多 IDS的限制 沒有主動防禦的能力：IDS只有告警的能力，無法主動防禦入侵行為。誤報率偏高：目前多數的IDS利用特徵資料庫以判斷是否為入侵行為，但有些正常封包的特徵和入侵行為的特徵十分類似，但修改特徵資料庫之後又造成漏報。漏報率偏高：目前的IDS系統還無法有效的識別出未知的入侵，也就是造成安全假象。IDS的限制 性能普遍不足

8、：現在市場上的IDS產品多依賴單一主機，因現今網路流量十分龐大，這種IDS產品已不能適應交換網路技術和高頻寬環境的發展，一旦資源耗盡，就無法運作了。加密封包無法辨識：越來越多攻擊用加密封包，使得IDS監控網路流量的能力產生盲點，因IDS是擷取網路封包進行分析的，如果封包加密，就無法辨識其內容，也就無法進行分析。入侵防禦系統 Intrusion Prevention System 可視為IDS功能的延伸，用以彌補IDS功能之不足 可主動偵測入侵行為並主動防禦 其餘的限制性與IDS相同入侵防禦系統之種類 主機型入侵防禦（HIPS）：用於保護伺服器和主機系統不受入侵行為的攻擊 網路型入侵防禦（NIP

9、S）：透過偵測流經的網路流量，提供對網路的安全保護，一旦辨識出入侵行為，NIPS就阻斷該網路連線 應用型入侵防禦（AIPS）：將主機型的入侵防禦擴展成為位於應用伺服器之前的資訊安全設備，主要針對應用程式的攻擊進行防禦。入侵偵測系統及入侵防禦系統之差異 傳統的網路IDS(NIDS)系統用於被動地監測網路，根據規則資料庫和策略來尋找異常行為並提出告警訊息。如果NIDS突然出現故障，業務並不受影響，網路封包依然繼續流動，只是無法針對異常行為告警而已，故障對用戶是透明的。IPS系統是主動的在線設備，能丟棄攻擊的網路封包，或者在網路封包到達主機前切斷連線，如果出現故障，將影響到整個網路連線。開源IDS系

10、統SNORT Snort是一套免費的、跨平台的NIDS，可用來偵測網路上的異常封包。檢查所有經過的封包，並利用特徵比對的方式判斷是否有可能的入侵行為。規則是使用開放的方式來發展的，所以可以自行加入偵測規則以加強入侵行為的偵測。SNORT官方網站：http:/www.snort.org/Snort執行的模式 Sniffer mode：將封包擷取後顯示在螢幕上 snort vde i1 Packet logger mode：將封包擷取後，存到硬碟中，可存成tcpdump格式。snort vde i1 l.log NIDS mode：讓snort分析擷取到的封包比對特徵資料庫以判別是否為入侵行為並告

11、警。snort vde i1 c.etcsnort.conf Inline mode：將snort當成IPS，從iptable讀取封包比對特徵資料庫後，告訴iptable是否要把它丟掉或是讓它通過。Snort的規則組成回應動作：alert，log，pass，activate，dynamic，drop，reject，sdrop協定：ip，tcp，udp，icmp來源IP，來源連接埠方向運算子：-，目的IP，目的連接埠規則選項 msg:“輸出訊息”;content:“|16進位碼|”;或 content:“文字”;sid:1000001;alert udp$HOME_NET any-$EXTERN

12、AL_NET any(msg:BitComet P2P applications detected;content:|66 69 6e 64 5f 6e 6f 64 65|;sid:1000002;)Snort規則的回應動作 alert：使用所選擇的告警，並將封包記錄下來 log：將封包記錄下來。pass：讓封包通過不做任何事。activate：使用所選擇的方式告警，並啟動另一個dynamic rules。dynamic：保持idle直到被activate rules啟動，然後將封包記錄下來。Snort Rules分類 VRT rules 為snort.org的官方rules，由Sourcef

13、ire Vulnerability Research Team(VRT)提供，每一條rules均經VRT嚴格測試。subscription release 須付費，即時更新 registered user release 只要在snort.org註冊即可下載，比subscription release 晚5天 unregistered user release 不定期發布 Community Rules 由開放原始社群提供，VRT僅提供基本的測試。特殊字串 的偵測 C:snortruleslocal.rules中加入以下一行 alert tcp any any-any 21(msg:Pass

14、detected;flow:to_server,established;content:|50 41 53 53|;sid:1000001;)BitComet 的偵測 C:snortrulesp2p.rules中加入以下一行 alert udp$HOME_NET any-$EXTERNAL_NET any(msg:BitComet P2P applications detected;content:|66 69 6e 64 5f 6e 6f 64 65|;sid:1000002;)SQL Injection 的偵測 C:snortruleslocal.rules中加入以下一行 alert tc

15、p$EXTERNAL_NET any-$HTTP_SERVERS$HTTP_PORTS(msg:SQL Injections detected”;uricontent:.asp;pcre:/w/w*(%27)(%27)|()(%6F)|o|(%4F)(%72)|r|(%52)/ix|()(%6F)|o|(%4F)(%72)|r|(%52)/ix;sid:1000003;)Cross Site Scripting 的偵測 C:snortruleslocal.rules 中加入以下一行 alert tcp$EXTERNAL_NET any-$HTTP_SERVERS$HTTP_PORTS(msg:

16、SQL Injections detected;uricontent:.asp;pcre:“/(%3C)|)n+(%(%3C)|)/I3E)|)/I;sid:1000004;)37Nessus 網路型弱點檢測工具，採 Client-Server 架構 採用 plug-in 的新增弱點測試項目 可呼叫外部程式以增強測試的能力 Nmap 可用 NASL(Nessus Attack Scripting Language)語言所撰寫，只有一小部分是以 C 來撰寫 plugin 檔案：.nasl 註冊免費的更新版本是在最新 plugins 公布後七天才能提供我們更新使用，而若真的要取得最新的plugins則需要花錢購買