第5章(1)-黑客攻防与检测防御

5.2 5.2 黑客攻击的目的及过程黑客攻击的目的及过程 2 5.3 5.3 常见黑客攻防技术常见黑客攻防技术 3 5.4 5.4 网络网络攻击的防范策略和措施攻击的防范策略和措施 4 5.1 5.1 黑客的概念及入侵方式黑客的概念及入侵方式 1 5.5 5.5 入侵检测与防御系统概述入侵检测与防御系统概述 5 *5.6 5.6 Sniffer网络检测实验网络检测实验 6 5.7 5.7 本章小结本章小结 7教教 学学 目目 标标 了解黑客攻击的目的及攻击步骤了解黑客攻击的目的及攻击步骤 熟悉熟悉黑客常用的攻击方法黑客常用的攻击方法 理解防范黑客的措施理解防范黑客的措施 掌握掌握黑客攻击过程，并防御黑客攻击黑客攻击过程，并防御黑客攻击 掌握掌握入侵检测与防御系统的概念、功能、特入侵检测与防御系统的概念、功能、特点和应用方法点和应用方法5.1 黑客概述黑客概述5.1.1 5.1.1 黑客概念危害及类型黑客概念危害及类型 n 1.1.黑客的概念及类型黑客的概念及类型 黑客黑客（Hacker）一词源于一词源于Hack，其起初本，其起初本意为意为“干了一件可以炫耀的事干了一件可以炫耀的事”，原指一群专业，原指一群专业技能超群、聪明能干、精力旺盛对计算机信息系技能超群、聪明能干、精力旺盛对计算机信息系统进行非授权访问的人员。统进行非授权访问的人员。“骇客骇客”是英文是英文“Cacker”的译音的译音,意为意为“破破译者和搞破坏的人译者和搞破坏的人”.把把“黑客黑客”和和“骇客骇客”混混为一体为一体.黑客黑客分为分为红客、破坏者和间谍红客、破坏者和间谍三种类型三种类型,红客红客是指是指“国家国家利益利益至高无上至高无上”的正义的正义“网络大侠网络大侠”;破坏者破坏者也称也称“骇骇客客”;间谍间谍是指是指“利益至上利益至上”情报情报“盗猎者盗猎者”。美军网络战的分司令部美军网络战的分司令部多达多达541个个,未来未来4年将扩编年将扩编4000人人.为强化美为强化美国对网络攻击的防御能力国对网络攻击的防御能力,计划将约计划将约900人人规模的网络战司令部在今后规模的网络战司令部在今后4年扩编年扩编4000人人,为此将投入为此将投入230亿美元。亿美元。案例案例5-15-12.2.黑客的产生与发展黑客的产生与发展 20 世纪世纪60 年代，在美国麻省理工学院的人工智年代，在美国麻省理工学院的人工智能实验室里，有一群能实验室里，有一群自称为黑客的学生们以编制复杂的程序自称为黑客的学生们以编制复杂的程序为乐趣为乐趣，当初并没有功利性目的。此后不久，连接多所大学，当初并没有功利性目的。此后不久，连接多所大学计算机实验室的计算机实验室的美国国防部实验性网络美国国防部实验性网络APARNET建成，黑建成，黑客活动便通过网络传播到更多的大学乃至社会。后来，有些客活动便通过网络传播到更多的大学乃至社会。后来，有些人利用手中掌握的人利用手中掌握的“绝技绝技”，借鉴盗打免费电话的手法，擅，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统，干起隐蔽活动。随着其逐步发展自闯入他人的计算机系统，干起隐蔽活动。随着其逐步发展成为因特网，黑客活动天地越来越广，形成鱼目混珠的局面。成为因特网，黑客活动天地越来越广，形成鱼目混珠的局面。案例案例5-25-25.1 黑客概述黑客概述3.3.黑客的黑客的危害及现状危害及现状 黑客猖獗其产业链年获利上百亿黑客猖獗其产业链年获利上百亿.黑客利用木马程序盗取银行账号黑客利用木马程序盗取银行账号,信用卡账号信用卡账号,QQ,网络游戏等个人机密信息网络游戏等个人机密信息,并从中牟取金钱利益的产业链每年可达并从中牟取金钱利益的产业链每年可达上百亿上百亿.黑客地下产业链极其庞大且分工明确黑客地下产业链极其庞大且分工明确,黑客产业链大致分为老板黑客产业链大致分为老板,编程者编程者,流流量商量商,盗号者和贩卖商等多个环节盗号者和贩卖商等多个环节,产业链如图产业链如图5-1所示所示.互联网资源与服务滥用地下互联网资源与服务滥用地下产业链产业链,如图如图5-2所示所示.图5-1 黑客产业链示意图 案例案例5-35-35.1 黑客概述黑客概述5.1.2 5.1.2 黑客攻击的入侵方式黑客攻击的入侵方式 n 1.1.系统漏洞产生的原因系统漏洞产生的原因 系统系统漏洞漏洞又称又称缺陷缺陷。漏洞漏洞是在是在硬件、软件、协议硬件、软件、协议的具体的具体实现实现或或系统安全策略系统安全策略上上存在存在的的缺陷缺陷，从而，从而可使可使攻击者攻击者能够能够在未授权的情况下在未授权的情况下访问访问或或破坏破坏系统。系统。产生漏洞产生漏洞的主要的主要原因原因：1）计算机网络协议本身的缺陷。）计算机网络协议本身的缺陷。2）系统开发的缺陷。）系统开发的缺陷。3）系统配置不当。）系统配置不当。4）系统安全管理中的问题。）系统安全管理中的问题。其他其他:协议、系统、路由、传输、协议、系统、路由、传输、DB、技术、管理及法规等、技术、管理及法规等5.1 黑客概述黑客概述2.2.黑客攻击入侵通道黑客攻击入侵通道 端口端口 计算机计算机通过通过端口端口实现实现与外部通信的与外部通信的连接连接/数据交换数据交换,黑客攻击黑客攻击是是将将系统和网络设置中的各种系统和网络设置中的各种(逻辑逻辑)端口端口作为作为 入侵通道入侵通道.其其是指是指网络中网络中面向面向连接连接/无连接服务无连接服务的的通通信协议端口信协议端口,是一种抽象的是一种抽象的软件结构软件结构,包括一些包括一些数据结构数据结构和和I/OI/O缓冲区缓冲区。端口号：端口号：端口端口通过通过端口号标记端口号标记（只有整数）（只有整数）,范围范围：065535（216-1）目的端口号目的端口号:用于用于通知通知传输层协议将传输层协议将数据数据送给送给具体处理软件具体处理软件源端口号：源端口号：一般是由操作系统一般是由操作系统动态生成动态生成的号码：的号码：1024 65535 5.1 黑客概述黑客概述 3.3.端口分类端口分类 按端口号分布可分为三段：按端口号分布可分为三段：1）公认端口公认端口(01023),又称又称常用端口常用端口,为已经或将要公认定为已经或将要公认定义的软件保留的义的软件保留的.这些端口紧密绑定一些服务且明确表示了某种这些端口紧密绑定一些服务且明确表示了某种服务协议服务协议.如如80端口端口表示表示HTTP协议协议(Web服务服务).2）注册端口注册端口(102449151),又称又称保留端口保留端口,这些端口松散绑这些端口松散绑定一些服务。定一些服务。3）动态动态/私有端口私有端口(4915265535).理论上不为服务器分配理论上不为服务器分配.按协议类型将端口划分为按协议类型将端口划分为TCP和和UDP端口：端口：1）TCP端口端口需要需要在客户端和服务器之间在客户端和服务器之间建立连接建立连接,提供可靠的提供可靠的数据传输数据传输.如如Telnet服务的服务的23端口端口,SMTP默认默认25。2）UDP端口端口不需要不需要在客户端和服务器之间在客户端和服务器之间建立连接建立连接.常见的端口有常见的端口有DNS服务的服务的53端口。端口。FTP服务服务通过通过TCP传输传输,默认默认端口端口20数据数据传传输输,21命令命令传输传输5.1 黑客概述黑客概述n 5.2.1 5.2.1 黑客攻击的目的及种类黑客攻击的目的及种类5.2 黑客攻击的目的及过程黑客攻击的目的及过程 最大网络攻击案件幕后黑手被最大网络攻击案件幕后黑手被捕捕.2013年荷兰男子年荷兰男子SK因涉嫌有史以来最大因涉嫌有史以来最大的网络攻击案件而被捕的网络攻击案件而被捕.SK对国际反垃圾邮对国际反垃圾邮件组织件组织Spamhaus等网站等网站,进行了前所未有的进行了前所未有的一系列的大规模分布式拒绝服务攻击一系列的大规模分布式拒绝服务攻击,在高峰在高峰期攻击达到每秒期攻击达到每秒300G比特率比特率,导致欧洲的某导致欧洲的某些局部地区互联网缓慢些局部地区互联网缓慢,同时致使成千上万相同时致使成千上万相关网站无法正常运行服务。关网站无法正常运行服务。黑客攻击其目的黑客攻击其目的：一是为了一是为了得到得到物质利益物质利益；是指；是指获取获取金钱财物金钱财物；二是为了二是为了满足满足精神需求精神需求。是指。是指满足满足个人个人心理欲望心理欲望.黑客行为黑客行为：盗窃盗窃资料；资料；攻击攻击网站；网站；进行进行恶作剧；恶作剧；告知告知漏洞；漏洞；获取获取目标主机系统的非法访问权等。目标主机系统的非法访问权等。从攻击方式上可以将黑客攻击大致分为主动攻击和被动攻击两大从攻击方式上可以将黑客攻击大致分为主动攻击和被动攻击两大类。常见的黑客攻击方法，主要包括以下类。常见的黑客攻击方法，主要包括以下6类：网络监听。计类：网络监听。计算机病毒及密码攻击。网络欺骗攻击。拒绝服务攻击。应算机病毒及密码攻击。网络欺骗攻击。拒绝服务攻击。应用层攻击。缓冲区溢出。用层攻击。缓冲区溢出。案例案例5-45-45.2.2 5.2.2 黑客攻击的过程黑客攻击的过程 黑客攻击过程黑客攻击过程不尽一致不尽一致,但其整个但其整个攻击过程攻击过程有一定规律有一定规律,一般一般可分为可分为“”。隐藏隐藏IP踩点扫描踩点扫描黑客黑客利用利用程序的程序的漏洞漏洞进入进入系统后系统后安安装装后门程序后门程序，以便以便日后可以不被察日后可以不被察觉地觉地再次进入系统再次进入系统。就是就是隐藏隐藏黑客的黑客的位置位置，以免被发现。，以免被发现。通过通过各种各种途径途径对对所要所要攻击目标攻击目标进行进行多方了多方了解解,确保确保信息准确信息准确,确定确定攻击时间和地点攻击时间和地点.篡权攻击篡权攻击种植后门种植后门隐身退出隐身退出即即获得获得管理管理/访问权限访问权限,进行进行攻击攻击。为为避免避免被发现被发现,在入侵完后在入侵完后及时清除及时清除登录日志和其他相关日志登录日志和其他相关日志,隐身退出隐身退出.5.2 黑客攻击的目的及过程黑客攻击的目的及过程 黑客对企业局域网黑客对企业局域网实施网络攻击的具体过程实施网络攻击的具体过程，如图，如图5-5-4 4所示。所示。（1）黑客攻击的目的与种类有哪些？）黑客攻击的目的与种类有哪些？（2）黑客确定攻击目标后）黑客确定攻击目标后,将采用哪些攻击过程？将采用哪些攻击过程？（3）建立说明黑客攻击的具体步骤？）建立说明黑客攻击的具体步骤？用用PingPing查询企业内部网站服务器的查询企业内部网站服务器的IPIP 用用PortScanPortScan扫描企业内部局域网扫描企业内部局域网PORTPORT 用用WWW hackWWW hack入侵局域网络入侵局域网络E-mailE-mail 用用LegionLegion扫描局域网扫描局域网 植入特洛伊木马植入特洛伊木马 破解破解InternetInternet账号与口令（或密码）账号与口令（或密码）用用IP Network Browser IP Network Browser 扫描企业内部局域网扫描企业内部局域网IPIP图图 5-4 黑客攻击企业内部局域网的过程示意框图黑客攻击企业内部局域网的过程示意框图5.2 黑客攻击的目的及过程黑客攻击的目的及过程案例案例5-55-55.3.1 5.3.1 端口扫描攻防端口扫描攻防 端口扫描端口扫描是管理员是管理员发现发现系统的系统的安全漏洞安全漏洞，加强加强系统的安全系统的安全管理，管理，提高提高系统安全性能的有效方法。系统安全性能的有效方法。端口扫描端口扫描成为成为黑客黑客发现发现获得获得主机信息的一种主机信息的一种最佳手段最佳手段。1.1.端口扫描及扫描器端口扫描及扫描器 （1 1）端口扫描端口扫描.是是使用使用端口扫描工端口扫描工 具具检查检查目标主机目标主机在哪些端口可在哪些端口可建建 立立TCPTCP连接连接,若可连接，则表明若可连接，则表明 主机主机在那个在那个端口被监听端口被监听。（2 2）扫描器扫描器。扫描器扫描器也称也称扫描工具扫描工具或或扫描软件扫描软件,是一种是一种自动检测自动检测远程或本地主机安全性弱点的程序。远程或本地主机安全性弱点的程序。5.3 常用黑客攻防技术常用黑客攻防技术5.3.1 5.3.1 端口扫描攻防端口扫描攻防n 2.2.端口扫描方式及工具端口扫描方式及工具 端口扫描的方式端口扫描的方式有有手工命令行方式手工命令行方式和和扫描器扫描方式扫描器扫描方式。手工扫描手工扫描,需要熟悉各种命令需要熟悉各种命令,对命令执行后的对命令执行后的输出进行分析输出进行分析.如如命令命令:Ping,Tracert,rusersPing,Tracert,rusers和和finger(finger(后两个是后两个是UnixUnix命令命令).).扫描器扫描扫描器扫描，许多扫描软件都有，许多扫描软件都有分析数据的功能分析数据的功能。如，。如，SuperScanSuperScan、Angry IP ScannerAngry IP Scanner、X-ScanX-Scan、X-ScanX-Scan、SAINTSAINT (Security Administrators Integrated Network Tool,(Security Administrators Integrated Network Tool,安全管理员安全管理员集成网络工具集成网络工具)、NmapNmap、TCP connect TCP connect、TCP SYNTCP SYN 等等.5.3 常用黑客攻防技术常用黑客攻防技术 图5-5 用X-scan的扫描结果图 5-6 用Nmap扫描主机开放的端口n 5.3.1 5.3.1 端口扫描攻防端口扫描攻防n 3 3端口扫描攻击类型端口扫描攻击类型n 端口扫描攻击端口扫描攻击采用采用探测技术探测技术，可将其用于寻找可以成功攻击，可将其用于寻找可以成功攻击的应用及服务。常用端口扫描攻击类型包括：的应用及服务。常用端口扫描攻击类型包括：n 秘密扫描。秘密扫描。SOCKSSOCKS端口探测。端口探测。n 跳跃扫描。跳跃扫描。UDP UDP 扫描。扫描。n 4.4.防范端口扫描的对策防范端口扫描的对策 端口扫描的防范端口扫描的防范又称又称系统系统“加固加固”.网络的网络的关键处关键处使用使用防火防火墙墙对来源不明的有害数据对来源不明的有害数据进行过滤进行过滤,可有效减轻端口扫描攻击可有效减轻端口扫描攻击,防范端口扫描防范端口扫描的主要的主要方法方法有有两种两种：(1)(1)关闭闲置及有潜在危险端口关闭闲置及有潜在危险端口 方式一：方式一：定向定向关闭指定服务的端口关闭指定服务的端口。计算机的一些网络服。计算机的一些网络服务为系统分配默认的端口，应将闲置服务务为系统分配默认的端口，应将闲置服务-端口关闭。端口关闭。5.3 常用黑客攻防技术常用黑客攻防技术 操作方法与步骤操作方法与步骤：n 1 1）打开）打开“控制面板控制面板”窗口。窗口。n 2 2）打开）打开“服务服务”窗口。窗口。“控制面板控制面板”“”“管理工具管理工具”“”“服务服务”,选择选择DNSDNS。n 3 3）关闭）关闭DNSDNS服务服务 在在“DNS Client DNS Client 的属性的属性”窗口窗口.启动类型项启动类型项:选择选择“自动自动”服务状态项服务状态项：选：选-。在服务选项中选择关闭掉一些。在服务选项中选择关闭掉一些没使用的服务，如没使用的服务，如FTPFTP服务、服务、DNSDNS服务、服务、IIS AdminIIS Admin服务等，对应服务等，对应的端口也停用。的端口也停用。5.3 常用黑客攻防技术常用黑客攻防技术n 方式二：方式二：只开放允许端口只开放允许端口.可用系统的可用系统的“TCP/IPTCP/IP筛选筛选”功能功能实实现现,设置时设置时只允许只允许系统的一些基本网络通讯需要的端口系统的一些基本网络通讯需要的端口.(2)(2)屏蔽出现扫描症状的端口屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。检查各端口，有端口扫描症状时，立即屏蔽该端口。关闭关闭DNS端口服务端口服务n 5.3.2 5.3.2 网络监听及攻防网络监听及攻防 2.2.嗅探器的功能与部署嗅探器的功能与部署5.3 常用的黑客攻防技术常用的黑客攻防技术 嗅探器（嗅探器（Sniffer）是利用计算机的网络接口截获目的地主机及其他是利用计算机的网络接口截获目的地主机及其他数据报文的一种工具。起初也是一种网络管理员诊断网络系统的有效工具，数据报文的一种工具。起初也是一种网络管理员诊断网络系统的有效工具，也常被黑客利用窃取机密信息。也常被黑客利用窃取机密信息。嗅探器的嗅探器的主要功能主要功能包括包括4个方面：一是可以解码网络上传输的报文；二个方面：一是可以解码网络上传输的报文；二是为网络管理员诊断网络系统并提供相关的帮助信息；三是为网络管理员是为网络管理员诊断网络系统并提供相关的帮助信息；三是为网络管理员分析网络速度、连通及传输等性能提供参考，发现网络瓶颈；四是发现网分析网络速度、连通及传输等性能提供参考，发现网络瓶颈；四是发现网络漏洞及入侵迹象，为入侵检测提供重要参考。络漏洞及入侵迹象，为入侵检测提供重要参考。常用的嗅探软件常用的嗅探软件：Sniffer Pro、Wireshark、IRIS等。等。捕获后的数据包和明文传送的数据包，分别如图捕获后的数据包和明文传送的数据包，分别如图5-9和和5-10所示。所示。图5-9 捕获后的数据包 图5-10明文传送的数据包n 5.3.2 5.3.2 网络监听及攻防网络监听及攻防 3 3检测防范网络监听检测防范网络监听5.3 常用的黑客攻防技术常用的黑客攻防技术 针对运行监听程序的主机可以针对运行监听程序的主机可以采用多种方法防范采用多种方法防范。一是用正。一是用正确的确的IP地址和错误的物理地址地址和错误的物理地址ping，运行监听程序的主机具有相应，运行监听程序的主机具有相应的响应信息提示。二是运用虚拟局域网的响应信息提示。二是运用虚拟局域网VLAN技术，可以将以太网技术，可以将以太网通信变为点到点通信，防范绝大部分基于网络监听的入侵攻击。三通信变为点到点通信，防范绝大部分基于网络监听的入侵攻击。三是以交换式集线器代替共享式集线器，这种方法使单播包只限于在是以交换式集线器代替共享式集线器，这种方法使单播包只限于在两个节点之间传送，从而防止非法监听，当然，交换式集线器只能两个节点之间传送，从而防止非法监听，当然，交换式集线器只能控制单播包而无法控制广播包控制单播包而无法控制广播包(Broadcast Packet)和多播包和多播包(Multicast Packet)。四是对于网络信息安全防范的最好的方法是使。四是对于网络信息安全防范的最好的方法是使用加密技术。五是利用防火墙技术、六是利用用加密技术。五是利用防火墙技术、六是利用SATAN等系统漏洞检等系统漏洞检测工具，并定期检查测工具，并定期检查EventLog中的中的SECLog记录，查看可疑情况，记录，查看可疑情况，防止网络监听与端口扫描；七是利用网络安全审计或防御新技术等。防止网络监听与端口扫描；七是利用网络安全审计或防御新技术等。5.3.2 5.3.2 网络监听及攻防网络监听及攻防 1.1.网络监听网络监听 网络监听网络监听是网络管理员监测网络传输数据是网络管理员监测网络传输数据,排除网络故障排除网络故障的管理工具。的管理工具。5.3 常用的黑客攻防技术常用的黑客攻防技术 美国全球监听引发网络空间深刻变化美国全球监听引发网络空间深刻变化。2013年年10月，月，随着美国国安局监听门事件不断升级，众议院情报委员会举行公开随着美国国安局监听门事件不断升级，众议院情报委员会举行公开听证会。最近，西方媒体披露，美国国家安全局在全球约听证会。最近，西方媒体披露，美国国家安全局在全球约80个地点个地点的驻外使馆都设有监听站，的驻外使馆都设有监听站，35国首脑的电话被监听。其中包括德国国首脑的电话被监听。其中包括德国总理默克尔。其他国家也纷纷谴责美国的监听行动。墨西哥内政部总理默克尔。其他国家也纷纷谴责美国的监听行动。墨西哥内政部长称将自行调查美方的间谍行为。法国总统奥朗德称，长称将自行调查美方的间谍行为。法国总统奥朗德称，“我们不能我们不能接受以朋友关系干涉法国公民的私人生活接受以朋友关系干涉法国公民的私人生活”。案例案例5-65-6n 5.3.3 5.3.3 密码破解攻防方法密码破解攻防方法n 1.1.密码破解攻击的方法密码破解攻击的方法 （1 1）通过）通过网络监听网络监听非法窃取密码。非法窃取密码。（2 2）利用钓鱼网站）利用钓鱼网站欺骗欺骗 （3 3）强行强行破解破解用户密码用户密码 （4 4）密码密码分析分析攻击攻击 （5)5)放置放置木马木马程序程序 5.3 常用的黑客攻防技术常用的黑客攻防技术n 2.2.密码破解防范对策密码破解防范对策 计算机用户计算机用户必须注意的要点必须注意的要点“5不要不要”：一定不要将密码写下来，以免泄露或遗失；一定不要将密码写下来，以免泄露或遗失；一定不要将密码保存在电脑或磁盘文件中；一定不要将密码保存在电脑或磁盘文件中；切记不要选取容易猜测到的信息作为密码；切记不要选取容易猜测到的信息作为密码；一定不要让别人知道密码，以免增加不必要的损失或麻烦；一定不要让别人知道密码，以免增加不必要的损失或麻烦；切记不要在多个不同的网银等系统中使用同一密码。切记不要在多个不同的网银等系统中使用同一密码。误入购买机票钓鱼网站，损失近百万。2013年10月上海市的林先生通过浏览网络查到一个可以“低价购买机票的网站”，不仅被欺骗打开了钓鱼网站，还不慎通过点击“客服咨询”打开不明链接激活木马程序，致使电脑被黑客远程控制，眼看着个人账户内的96万元被洗劫一空。案例案例5-75-75.3.4 5.3.4 木马攻防对策木马攻防对策n 1 1木马的特点和组成木马的特点和组成 特洛伊木马特洛伊木马（Trojan horseTrojan horse）简称简称“木马木马”。其名称源于。其名称源于希腊神话希腊神话木马屠城记木马屠城记。现指一些具备破坏和删除文件、发。现指一些具备破坏和删除文件、发送密码、记录键盘和攻击等远程控制特殊功能的后门程序。送密码、记录键盘和攻击等远程控制特殊功能的后门程序。木马特点：木马特点：通过伪装、引诱用户将其安装在通过伪装、引诱用户将其安装在PCPC或服务器上或服务器上,并具有进行远程控制和破坏功能特点。一般木马的执行文件较并具有进行远程控制和破坏功能特点。一般木马的执行文件较小，若将其捆绑到其他文件上很难发现。木马可以利用新病毒小，若将其捆绑到其他文件上很难发现。木马可以利用新病毒或漏洞借助工具一起使用，时常可以躲过多种杀毒软件，尽管或漏洞借助工具一起使用，时常可以躲过多种杀毒软件，尽管现在很多新版的杀毒软件，可以查杀木马，仍需要注意世上根现在很多新版的杀毒软件，可以查杀木马，仍需要注意世上根本不存在绝对的安全本不存在绝对的安全.n 木马系统木马系统组成组成：一是服务器程序，二是控制器程序。一是服务器程序，二是控制器程序。n 木马种类大体可分为：破坏型、密码发送型、远程访问型、键木马种类大体可分为：破坏型、密码发送型、远程访问型、键盘记录木马、盘记录木马、DoSDoS攻击木马、代理木马等。有些木马具有多种攻击木马、代理木马等。有些木马具有多种功能，如灰鸽子、冰河木马等。功能，如灰鸽子、冰河木马等。5.3 常用的黑客攻防技术常用的黑客攻防技术5.3.4 5.3.4 特洛伊木马攻防特洛伊木马攻防n 2 2木马攻击途径及过程木马攻击途径及过程 木马攻击途径木马攻击途径：在客户端和服务端通信协议的选择上，绝：在客户端和服务端通信协议的选择上，绝大多数木马使用的是大多数木马使用的是TCP/IPTCP/IP协议，但是，也有一些木马由于特协议，但是，也有一些木马由于特殊的原因，使用殊的原因，使用UDPUDP协议进行通讯。协议进行通讯。木马攻击的基本过程木马攻击的基本过程分为分为6 6个步骤：个步骤：5.3 常用的黑客攻防技术常用的黑客攻防技术5.3.4 5.3.4 特洛伊木马攻防特洛伊木马攻防2.2.木马攻击途径及过程木马攻击途径及过程 灰鸽子（灰鸽子（Hack.HuigeziHack.Huigezi）木马产业链活动猖獗。灰鸽子是一个集）木马产业链活动猖獗。灰鸽子是一个集多种控制功能于一体的木马病毒，可以监控中毒用户的一举一动，并多种控制功能于一体的木马病毒，可以监控中毒用户的一举一动，并可被轻易窃取其账号、密码、照片、重要文件等。甚至还可以连续捕可被轻易窃取其账号、密码、照片、重要文件等。甚至还可以连续捕获远程电脑屏幕，还可监控被控电脑上的摄像头、自动开机（不开显获远程电脑屏幕，还可监控被控电脑上的摄像头、自动开机（不开显示器）并利用摄像头进行录像。到示器）并利用摄像头进行录像。到20062006年底，年底，“灰鸽子灰鸽子”木马就已达木马就已达6 6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。灰鸽子木马产业链，如图客。灰鸽子木马产业链，如图5-115-11所示。所示。5.3 常用的黑客攻防技术常用的黑客攻防技术图5-11 灰鸽子木马产业链5.3.4 5.3.4 特洛伊木马攻防特洛伊木马攻防3.3.木马的防范对策木马的防范对策 防范木马的对策防范木马的对策，采取切实可行的有，采取切实可行的有效措施。一是在打开或下载文件之前，一定要确认文件的来源效措施。一是在打开或下载文件之前，一定要确认文件的来源是否安全可靠；二是阅读是否安全可靠；二是阅读readme.txtreadme.txt，并注意，并注意readme.exereadme.exe；三；三是使用杀毒软件；四是发现有不正常现象出现立即挂断；五是是使用杀毒软件；四是发现有不正常现象出现立即挂断；五是监测系统文件和注册表的变化；六是备份文件和注册表；七要监测系统文件和注册表的变化；六是备份文件和注册表；七要需要特别注意，不要轻易运行来历不明软件或从网上下载的软需要特别注意，不要轻易运行来历不明软件或从网上下载的软件，即使通过了一般反病毒软件的检查也不要轻易运行；八是件，即使通过了一般反病毒软件的检查也不要轻易运行；八是不要轻易相信熟人发来的不要轻易相信熟人发来的E-MailE-Mail不会有黑客程序；九是不要在不会有黑客程序；九是不要在聊天室内公开自身的聊天室内公开自身的E-Mail E-Mail 地址，对来历不明的地址，对来历不明的E-Mail E-Mail 应立应立即清除；十是不要随便下载软件，特别是不可靠的即清除；十是不要随便下载软件，特别是不可靠的FTP FTP 站点；站点；十一是不要将重要密码和资料存放在上网的计算机中，以免被十一是不要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。可以利用破坏或窃取。可以利用360360安全卫士等防范查杀木马。安全卫士等防范查杀木马。5.3 常用的黑客攻防技术常用的黑客攻防技术n 5.3.5 5.3.5 拒绝服务攻防拒绝服务攻防n 1.1.拒绝服务攻击拒绝服务攻击 拒绝服务拒绝服务是指是指通过通过各种手段向某个各种手段向某个WebWeb网站发送巨量的垃网站发送巨量的垃圾邮件或服务请求等圾邮件或服务请求等,干扰该网站系统的正常运行，干扰该网站系统的正常运行，导致导致无法完无法完成成应有网络服务应有网络服务.拒绝服务拒绝服务按入侵方式按入侵方式可分可分：资源消耗型、配置修改型、物资源消耗型、配置修改型、物理破坏型理破坏型以及以及服务利用型服务利用型。拒绝服务攻击拒绝服务攻击（Denial of ServiceDenial of Service，简称，简称DoSDoS）,是指是指黑黑客对攻击目标网站发送大量的垃圾邮件或服务请求抢占过多的客对攻击目标网站发送大量的垃圾邮件或服务请求抢占过多的服务资源，使系统无法提供正常服务的攻击方式。服务资源，使系统无法提供正常服务的攻击方式。5.3 常用的黑客攻防技术常用的黑客攻防技术 美国核武库系统美国核武库系统每天遭受到每天遭受到数以百万计的攻击数以百万计的攻击。据据“美国新闻与世界报道美国新闻与世界报道”2012年年3月援引美国国家核军工管理局月援引美国国家核军工管理局(NNSA)工作人员的话称，该局管理核武库的计算机系统每天遭受工作人员的话称，该局管理核武库的计算机系统每天遭受到数以百万计的电脑攻击，核实验室和能源部也不断遭受攻击。到数以百万计的电脑攻击，核实验室和能源部也不断遭受攻击。案例案例5-105-10n 分布式拒绝服务攻击分布式拒绝服务攻击(Distributed Denial of Service,DDoS),(Distributed Denial of Service,DDoS),指借助于客户指借助于客户/服务器技术，将网络系统中的多个计算机进行联服务器技术，将网络系统中的多个计算机进行联合作为攻击平台，对一个或几个目标发动合作为攻击平台，对一个或几个目标发动DoSDoS攻击，从而成倍地攻击，从而成倍地提高拒绝服务攻击的威力。攻击原理如图提高拒绝服务攻击的威力。攻击原理如图5-135-13所示。所示。DDoSDDoS攻击攻击的的类型类型.带宽型攻击和应用型攻击。带宽型攻击和应用型攻击。DDoSDDoS攻击攻击的的方式方式.通过使通过使网络网络过载过载干扰干扰甚至甚至阻断阻断正常的网络正常的网络通讯通讯；通过通过向服务器向服务器提交提交大量请求，大量请求，使使服务器服务器超负荷超负荷；阻断阻断某某一用户一用户访问访问服务器；服务器；阻断阻断某服务与特定系统或个人的某服务与特定系统或个人的通讯通讯.n 2.2.常见的拒绝服务攻击常见的拒绝服务攻击 1）Flooding攻击。2）SYN flood攻击。3）LAND attack攻击。4）ICMP floods攻击。5）Application level floods攻击。5.3 常用的黑客攻防技术常用的黑客攻防技术图图5-14 SYN flood攻击示意图攻击示意图图图5-13 DDoS的攻击原理的攻击原理 5.3.6 5.3.6 拒绝服务攻防拒绝服务攻防n 3.3.拒绝服务攻击检测与防范拒绝服务攻击检测与防范 主要检测方法主要检测方法2 2种种：一是异常检测：一是异常检测分析，二是使用分析，二是使用DDoSDDoS检测工具检测工具 主要主要防范策略和方法防范策略和方法：n 定期扫描及时发现并处理漏洞定期扫描及时发现并处理漏洞.要定期扫描现有的网络主节点要定期扫描现有的网络主节点,清查可清查可能存在的安全漏洞能存在的安全漏洞,及时安装系统补丁程序及时安装系统补丁程序,对新出现的漏洞及时处理对新出现的漏洞及时处理.n 利用网络安全设备利用网络安全设备(如防火墙、防御系统如防火墙、防御系统)等加固网络系统的安全性等加固网络系统的安全性,在网络骨干节点配置防火墙以抵御在网络骨干节点配置防火墙以抵御DDoSDDoS和其他一些攻击。和其他一些攻击。n 在网络管理方面，要经常检查系统的物理环境，禁用不必要的网络服在网络管理方面，要经常检查系统的物理环境，禁用不必要的网络服务或端口；务或端口；n 与网络服务提供商合作协调工作，帮助用户实现路由的访问控制和对与网络服务提供商合作协调工作，帮助用户实现路由的访问控制和对带宽总量的限制；带宽总量的限制；n 当发现主机正在遭受当发现主机正在遭受DDoSDDoS时，应当启动应对策略，尽快追踪审计攻击时，应当启动应对策略，尽快追踪审计攻击包，并及时联系包，并及时联系ISPISP和有关应急组织，分析受影响系统，确定涉及的有和有关应急组织，分析受影响系统，确定涉及的有关节点，限制已知攻击节点的流量；关节点，限制已知攻击节点的流量；n 对于潜在的对于潜在的DDoSDDoS隐患应当及时清除，以免后患。隐患应当及时清除，以免后患。5.3 常用的黑客攻防技术常用的黑客攻防技术5.3.6 5.3.6 缓冲区溢出攻防方法缓冲区溢出攻防方法n 1.1.缓冲区溢出缓冲区溢出 缓冲区溢出缓冲区溢出是是指当指当计算机计算机向向缓冲区内缓冲区内填充填充数据时，数据时，超过了超过了缓冲区本身的容量，缓冲区本身的容量，溢出溢出的数据的数据覆盖在覆盖在合法数据上。合法数据上。缓冲区溢出缓冲区溢出的的原理原理.是由于是由于字符串处理函数字符串处理函数(gets,strcpy(gets,strcpy等等)没有对数组的没有对数组的越界监视和限制越界监视和限制,结果结果覆盖了覆盖了老堆栈数据老堆栈数据.n 2.2.缓冲区溢出攻击缓冲区溢出攻击n 指通过向缓冲区写入超长度内容造成缓冲区溢出指通过向缓冲区写入超长度内容造成缓冲区溢出,破坏程破坏程序的堆栈序的堆栈.使程序转而执行其他指令使程序转而执行其他指令/使黑客取得程序控制权使黑客取得程序控制权.n 3 3缓冲区溢出攻击的防范方法缓冲区溢出攻击的防范方法 1 1）编写编写程序程序中应时刻注意的问题。中应时刻注意的问题。2 2）改进改进编译器编译器。3 3）利用人工智能的方法利用人工智能的方法检查检查输入字段输入字段。4 4）程序程序指针指针完整性完整性检查检查。5.3 常用的黑客攻防技术常用的黑客攻防技术5.3.7 5.3.7 其他攻防技术其他攻防技术n 1.WWW1.WWW的欺骗技术的欺骗技术 WWWWWW的欺骗的欺骗是是指指黑客黑客篡改篡改访问站点页面访问站点页面或或将将用户要用户要浏览的网页浏览的网页URLURL改写为改写为指向指向黑客的黑客的服务器服务器。“网络钓鱼网络钓鱼”（PhishingPhishing）是指）是指利用利用欺骗性很强、欺骗性很强、伪造伪造的的WebWeb站点来进行诈骗活动站点来进行诈骗活动,目的目的在于在于钓取钓取用户的账户资料用户的账户资料,假冒假冒受害者受害者进行进行欺诈性金融交易欺诈性金融交易,从而从而获得获得经济利益经济利益.可被可被用作用作网络钓鱼的攻网络钓鱼的攻击技术击技术有：有：URLURL编码结合钓鱼技术，编码结合钓鱼技术，WebWeb漏洞结合钓鱼技术漏洞结合钓鱼技术,伪造伪造EmailEmail地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。防范攻击防范攻击可以可以分为分为两个方面两个方面：其一其一对钓鱼攻击对钓鱼攻击利用利用的资源的资源进行进行限制限制。如。如WebWeb漏洞是漏洞是WebWeb服务提供商可直接修补；邮件服务商可使服务提供商可直接修补；邮件服务商可使用域名反向解析邮件发送服务，用域名反向解析邮件发送服务，提醒提醒用户是否收到匿名邮件用户是否收到匿名邮件;其二其二及时修补及时修补漏洞漏洞.如浏览器漏洞如浏览器漏洞,须打上补丁须打上补丁.5.3 常用的黑客攻防技术常用的黑客攻防技术5.3.7 5.3.7 其他攻防技术其他攻防技术n 2.2.电子邮件攻击电子邮件攻击 电子邮件欺骗电子邮件欺骗是是攻击方式之一，攻击方式之一，攻击者攻击者佯称佯称自己为系统管自己为系统管理员，理员，给给用户用户发送发送邮件要求用户修改口令，或在貌似正常的附邮件要求用户修改口令，或在貌似正常的附件中件中加载加载病毒或其他木马程序病毒或其他木马程序,这类欺骗只要用户提高警惕这类欺骗只要用户提高警惕,一一般危害性不是太大。般危害性不是太大。防范电子邮件攻击的方法：防范电子邮件攻击的方法：1)1)解除解除电子邮件炸弹。电子邮件炸弹。2)2)拒收拒收某用户信件方法。某用户信件方法。n 3 3通过一个节点来攻击其他节点通过一个节点来攻击其他节点 n 4 4利用缺省帐号进行攻击利用缺省帐号进行攻击 5.3 常用的黑客攻防技术常用的黑客攻防技术（1）常用的黑客攻击方法具体有哪些？）常用的黑客攻击方法具体有哪些？（2）针对黑客攻击常用的防范策略是什么？）针对黑客攻击常用的防范策略是什么？5.4.1 5.4.1 防范攻击的策略防范攻击的策略 在在主观上主观上重视重视，客观上客观上积极积极采取采取措施措施。制定制定规章制度规章制度和和管理制度管理制度，普及普及网络网络安全教育安全教育，使用户需要，使用户需要掌握掌握网络网络安全知安全知识识和有关的和有关的安全策略安全策略。在管理上在管理上应当应当明确明确安全对象，安全对象，建立建立强强有力的安全保障体系，有力的安全保障体系，按照按照安全等级保护条例对网络实施保安全等级保护条例对网络实施保护与监督。认真护与监督。认真制定制定有针对性的有针对性的防攻措施防攻措施，采用采用科学的方法科学的方法和行之有效的和行之有效的技术手段技术手段，有的放矢有的放矢，在网络中，在网络中层层层层设防设防，使，使每一层都每一层都成为成为一道一道关卡关卡,从而让攻击者无隙可钻、无计可使从而让攻击者无隙可钻、无计可使.在技术上在技术上要注重要注重研发研发新方法新方法，同时还必须，同时还必须做到做到未雨稠缪未雨稠缪，预预防为主防为主，将重要的，将重要的数据数据备份备份（如主机系统日志）、（如主机系统日志）、关闭关闭不用不用的主机服务的主机服务端口端口、终止终止可疑进程和可疑进程和避免避免使用使用危险进程、危险进程、查询查询防火墙防火墙日志日志详细记录、详细记录、修改修改防火墙防火墙安全策略安全策略等。等。5.4 防范攻击的策略和措施防范攻击的策略和措施5.4.2 5.4.2 网络攻击的防范措施网络攻击的防范措施n 提高安全防范意识，注重安全防范管理和措施。提高安全防范意识，注重安全防范管理和措施。n 应当及时下载、更新、安装系统漏洞补丁程序。应当及时下载、更新、安装系统漏洞补丁程序。n 尽量避免从尽量避免从Internet下载无法确认安全性的软件、歌曲、游戏等。下载无法确认安全性的软件、歌曲、游戏等。n 不要随意打开来历不明的电子邮件及文件、运行不熟悉的人给用户不要随意打开来历不明的电子邮件及文件、运行不熟悉的人给用户的程序或链接。的程序或链接。n 不随便运行黑客程序不随便运行黑客程序,不少这类程序运行时会发出用户的个人信息不少这类程序运行时会发出用户的个人信息.n 在支持在支持HTML的的BBS上上,如发现提交警告如发现提交警告,先看源代码先看源代码,预防骗取密码。预防骗取密码。n 设置安全密码。使用字母数字混排，常用的密码设置不同，重要密设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码经常更换。码经常更换。n 使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。n 隐藏自已的隐藏自已的IP地址。可采取的方法有：使用代理服务器进行中转，地址。可采取的方法有：使用代理服务器进行中转，用户上网聊天、用户上网聊天、BBS等不会留下自身的等不会留下自身的IP；使用工具软件，如；使用工具软件，如Norton Intemet Security来隐藏主机地址来隐藏主机地址,避免在避免在BBS和聊天室暴露个人信息和聊天室暴露个人信息n 切实做好端口防范切实做好端口防范.在安装端口监视程序同时在安装端口监视程序同时,将不用端口关闭。将不用端口关闭。n 加强加强IE浏览器对网页的安全防护。浏览器对网页的安全防护。n 上网前备份注册表上网前备份注册表,许多黑客攻击会对系统注册表进行修改许多黑客攻击会对系统注册表进行修改.n 加强管理。将防病毒、防黑客形成惯例，当成日常例性工作加强管理。将防病毒、防黑客形成惯例，当成日常例性工作.5.4 防范攻击的策略和措施防范攻击的策略和措施5.4 防范攻击的策略和措施防范攻击的策略和措施通过对通过对IE属性属性：提高提高IE安全级别。安全级别。操作方法：操作方法：打开打开IE“工具工具”“Internet选选项项”“安全安全”“Internet区域区域”，将安全级别设置为，将安全级别设置为“高高”。禁止禁止ActiveX控件和控件和JavaApplets的的运行运行。操作方法：操作方法：打开打开IE“工工具具”“Intemet选项选项”“安全安全”“自定义级别自定义级别”，在，在“安全设置安全设置”对话框中找到对话框中找到ActiveX控件相关的设置，将其设为控件相关的设置，将其设为“禁用禁用”或或“提示提示”即可。即可。禁止禁止Cookie。由于许多网站利用。由于许多网站利用Cookie记录网上客户的浏览行为及电记录网上客户的浏览行为及电子邮件地址等信息子邮件地址等信息,为确保个人隐私信息的安全为确保个人隐私信息的安全,可将其禁用可将其禁用.操作方法：操作方法：在任一网站上选择在任一网站上选择“工具工具”“Internet选项选项”“安全安全”“自定自定义级别义级别”，在，在“安全设置安全设置”对话框中找到对话框中找到Cookie相关的设置，将其设相关的设置，将其设为为“禁用禁用”或或“提示提示”即可。即可。将黑客网站列入黑名单将黑客网站列入黑名单,将其拒之门外将其拒之门外.操作方法：操作方法：在任一网站上选择在任一网站上选择“工具工具”“Internet选项选项”“内容内容”“分级审查分级审查”“启用启用”，在在“分级审查分级审查”对话框的对话框的“许可站点许可站点”下输入黑客网站地址，并设为下输入黑客网站地址，并设为“从不从不”即可。即可。及时安装补丁程序及时安装补丁程序,以强壮以强壮IE。应及时利用微软网站提供的补丁程序来。应及时利用微软网站提供的补丁程序来消除这些漏洞，提高消除这些漏洞，提高IE自身的防侵入能力。自身的防侵入能力。1.1.为什么要防范黑客攻击？如何防范黑客攻击？为什么要防范黑客攻击？如何防范黑客攻击？2.2.简述网络安全防范攻击的基本措施有哪些？简述网络安全防范攻击的基本措施有哪些？3.3.说出几种通过对说出几种通过对IEIE属性的设置来提高属性的设置来提高IEIE访问网页的安全性具体措施？访问网页的安全性具体措施？5.5.1 5.5.1 入侵检测系统的概念入侵检测系统的概念n 1.1.入侵检测的概念入侵检测的概念 “入侵入侵”是一个广义上的概念，指任何威胁和破坏系统资源是一个广义上的概念，指任何威胁和破坏系统资源的的行为行为。实施入侵行为的。实施入侵行为的“人人”称为称为入侵者或攻击者入侵者或攻击者。攻击攻击是是入侵者入侵者进行入侵进行入侵所所采取采取的的技术手段和方法技术手段和方法。入侵的整个过程入侵的整个过程(包括入侵准备、进攻、侵入包括入侵准备、进攻、侵入)都都伴随着攻击伴随着攻击有时也把有时也把入侵者入侵者称为称为攻击者攻击者。n 入侵检测入侵检测（Intrusion DetectionIntrusion Detection，IDID）是指）是指通过对通过对行为、行为、安全日志、审计数据或其它网络上安全日志、审计数据或其它网络上可获得的可获得的信息信息进行操作进行操作，检检测到对测到对系统的系统的闯入闯入或或企图企图的过程。的过程。5.5 入侵检测与防御系统概述入侵检测与防御系统概述5.5.1 5.5.1 入侵检测系统的概念入侵检测系统的概念n 2.2.入侵检测系统概述入侵检测系统概述n（1 1）入侵检测系统的概念）入侵检测系统的概念 入侵检测系统入侵检测系统(Intrusion Detection System,IDS),(Intrusion Detection System,IDS),是是可对入侵可对入侵自动进行检测自动进行检测、监控监控和和分析分析的软件与硬件的的软件与硬件的组合组合系统系统,是一种是一种自动监测自动监测信息系统内、外入侵的安全信息系统内、外入侵的安全系统系统。IDSIDS通过通过从计算机网络或计算机系统中的若干关键点从计算机网络或计算机系统中的若干关键点收集收集信信息，并对其息，并对其进行分析进行分析，从中，从中发现发现网络或系统中是否有网络或系统中是否有违反违反安全策略的安全策略的行为行为和和遭到袭击遭到袭击的的迹象迹象的的一种安全技术一种安全技术。（2 2）入侵检测系统产生与发展）入侵检测系统产生与发展 （3 3）入侵检测系统的架构）入侵检测系统的架构 5.5 入侵检测与防御系统概述入侵检测与防御系统概述图图5-15 入侵检测系统通用架构入侵检测系统通用架构 5.5.2 5.5.2 入侵检测系统的功能及分类入侵检测系统的功能及分类n 1.IDS1.IDS的构成及分析方法的构成及分析方法 IDS IDS主要由主要由事件产生器、事件分析器、事件数据库、响应单元等事件产生器、事件分析器、事件数据库、响应单元等构成构成.n 常用的入侵检测系统的分析方法主要有三种：常用的入侵检测系统的分析方法主要有三种：n 模式匹配。统计分析。完整性分析。模式匹配。统计分析。完整性分析。n 2.IDS2.IDS的主要功能的主要功能 1 1）对已知）对已知攻击特征攻击特征的的识别识别。2 2）对）对异常行为异常行为的的分析、统计与响应分析、统计与响应。3)3)对网络对网络流量流量的的跟踪与分析跟踪与分析。4 4）实现）实现特征库特征库的的在线升级在线升级。5 5）对）对数据文件数据文件的的完整性检验完整性检验。6 6）系统）系统漏洞漏洞的的预报警预报警功能。功能。7 7）自定义特征自定义特征的的响应响应。5.5 入侵检测与防御系统概述入侵检测与防御系统概述5.5.4 5.5.4 入侵及防御系统概述入侵及防御系统概述n 3.IDS3.IDS的主要分类的主要分类 按照按照检测对象检测对象(数据来源数据来源)分分:基于主机、基于网络基于主机、基于网络和和分布式分布式(混合型混合型)(1)(1)基于主机的入侵检测系统基于主机的入侵检测系统（HIDSHIDS）HIDS HIDS是是以以系统日志、应用程序日志等系统日志、应用程序日志等作为作为数据源数据源，也可以，也可以通过通过其他手段（如监督系统调用）其他手段（如监督系统调用）从从所在的主机收集信息所在的主机收集信息进行进行分析分析。HIDSHIDS一般是一般是保护保护所在的系统，经常所在的系统，经常运行运行在被监测的系统在被监测的系统上，上，监测监测系统上正在系统上正在运行运行的的进程进程是否合法。是否合法。优点优点：对分析对分析“可能的攻击行为可能的攻击行为”有用。与有用。与NIDSNIDS相比通常能够相比通常能够提供提供更详尽的相关信息更详尽的相关信息,误报率低误报率低,系统的复杂性少。系统的复杂性少。弱点：弱点：HIDSHIDS安装在安装在需要保护的需要保护的设备上设备上,会会降低降低应用系统的效率应用系统的效率,也会也会带来带来一些额外的安全问题一些额外的安全问题.另一问题是它另一问题是它依赖于依赖于服务器固服务器固有的日志与监视能力有的日志与监视能力,若服务器没有配置日志功能若服务器没有配置日志功能,则必须重新则必须重新配置配置,这将会给运行中的业务系统带来不可预见的性能影响。这将会给运行中的业务系统带来不可预见的性能影响。5.5 入侵检测与防御系统概述入侵检测与防御系统概述 (2)(2)基于网络的入侵检测系统基于网络的入侵检测系统（NIDSNIDS）NIDSNIDS又称又称嗅探器嗅探器,通过通过在共享网段上在共享网段上对对通信数据的通信数据的侦听侦听采采集数据集数据,分析分析可疑现象可疑现象(将将NIDSNIDS放置在放置在比较重要的网段内比较重要的网段内,不停不停地地监视监视网段中的各种网段中的各种数据包数据包.输入输入数据数据来源于网络的来源于网络的信息流信息流).).该类系统一般该类系统一般被动地被动地在网络上在网络上监听监听整个网络上的信息流，整个网络上的信息流，通过通过捕获捕获网络网络数据包数据包，进行分析进行分析，检测检测该网段上发生的网络该网段上发生的网络入侵入侵，如图如图4-84-8示。示。5.5 入侵检测与防御系统概述入侵检测与防御系统概述图图5-16 基于网络的入侵检测过程基于网络的入侵检测过程 （3 3）分布式入侵检测系统）分布式入侵检测系统 分布式入侵检测系统分布式入侵检测系统DIDSDIDS是将基于主机和基于网络是将基于主机和基于网络的的检测方法检测方法集成集成一起一起,即即混合型入