IDS6基于网络的入侵检测技术.ppt

第6章基于网络的入侵检测技术 第6章基于网络的入侵检测技术 分层协议模型与TCP IP协议网络数据包的捕获包捕获机制BPF模型基于Libpcap库的数据捕获技术检测引擎的设计网络入侵特征实例分析检测实例分析 TCP IP协议分层结构 数据报文的分层封装 局域网和网络设备的工作原理 HUB工作原理网卡工作原理局域网工作过程 全双工 两台设备在发送和接收数据时 通信双方都能在同一时刻进行发送或接收操作 这样的传送方式就是全双工 而处于半双工传送方式的设备 当其中一台设备在发送数据时 另一台只能接收 而不能同时将自己的数据发送出去 由于集线器采取的是 广播 传输信息的方式 因此集线器传送数据时只能工作在半双工状态下 比如说计算机1与计算机8需要相互传送一些数据 当计算机1在发送数据时 计算机8只能接收计算机1发过来的数据 只有等计算机1停止发送并做好了接收准备 它才能将自己的信息发送给计算机1或其它计算机 半双工 集线器的工作原理很简单 一个具备8个端口的集线器 共连接了8 集线器是一种 共享 设备 集线器本身不能识别目的地址 当同一局域网内的A主机给B主机传输数据时 数据包在以集线器为架构的网络上是以广播方式传输的 由每一台终端通过验证数据包头的地址信息来确定是否接收 HUB工作原理 由于以太网等很多网络 常见共享HUB连接的内部网 是基于总线方式 物理上是广播的 就是当一个机器发给另一个机器的数据 共享HUB先收到然后把它接收到的数据再发给其他的 来的那个口不发了 每一个口 所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据 HUB工作原理 交换式HUB的内部程序能记住每个口的MAC地址 以后就根据地址将数据发到相应的端口 而不是像共享HUB那样发给所有的口 所以交换HUB下只有应该接收数据的机器的网卡能接收到数据 当然广播包还是发往所有口 HUB工作原理 显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了 所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信 而交换HUB两个机器传输数据的时候别的口没有占用 所以别的端口之间也可以同时传输 HUB工作原理 这就是共享HUB与交换HUB不同的两个地方 共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收 而交换HUB同一时间可以有多端口间进行数据传输 交换机 交换机也叫交换式集线器 它通过对信息进行重新生成 并经过内部处理后转发至指定端口 具备自动寻址能力和交换作用 由于交换机根据所传递信息包的目的地址 将每一信息包独立地从源端口送至目的端口 避免了和其他端口发生碰撞 广义的交换机就是一种在通信系统中完成信息交换功能的设备 交换机的工作原理 交换机是针对共享工作模式的弱点而推出的 集线器是采用共享工作模式的代表 如果把集线器比作一个邮递员 那么这个邮递员是个不认识字的 傻瓜 要他去送信 他不知道直接根据信件上的地址将信件送给收信人 只会拿着信分发给所有的人 然后让接收的人根据地址信息来判断是不是自己的 交换机的工作原理 而交换机则是一个 聪明 的邮递员 交换机拥有一条高带宽的外部总线和内部交换矩阵 交换机的所有的端口都挂接在这条外部总线上 当控制电路收到数据包以后 处理端口会查找内存中的地址对照表以确定目的MAC 网卡的硬件地址 的NIC 网卡 挂接在哪个端口上 通过内部交换矩阵迅速将数据包传送到目的端口 目的MAC若不存在 交换机才广播到所有的端口 接收端口回应后交换机会 学习 新的地址 并把它添加入内部地址表中 可见 交换机在收到某个网卡发过来的 信件 时 会根据上面的地址信息 以及自己掌握的 常住居民户口簿 快速将信件送到收信人的手中 万一收信人的地址不在 户口簿 上 交换机才会像集线器一样将信分发给所有的人 然后从中找到收信人 而找到收信人之后 交换机会立刻将这个人的信息登记到 户口簿 上 这样以后再为该客户服务时 就可以迅速将信件送达了 Sniffer Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具 Sniffer要通知网卡接收其收到的所有包 该模式叫作混杂模式 指网络上的设备都对总线上传送的所有数据进行侦听 并不仅仅是针对它们自己的数据 在共享HUB下就能接收到这个网段的所有数据包 但是在交换HUB下就只能接收自己的包和广播包 Sniffer Sniffer的正当用处主要是分析网络的流量 以便找出所关心的网络中潜在的问题 Sniffer作用在网络基础结构的底层 通常情况下 用户并不直接和该层打交道 有些甚至不知道有这一层存在 共享和交换网络环境下的数据捕获 要想捕获流经网卡的但不属于自己主机的所有数据流 就必须绕开系统正常工作的处理机制 直接访问网络底层 首先需要将网卡的工作模式设置为混杂模式 使之可以接收目标地址不是自己的MAC地址的数据包 然后直接访问数据链路层 获取数据并由应用程序进行过滤处理 共享和交换网络环境下的数据捕获 在UNIX系统中可以用Libpcap包捕获函数库直接与内核驱动交互操作 实现对网络数据包的捕获 在Win32平台上可以使用Winpcap 通过VxD虚拟设备驱动程序实现网络数据捕获的功能 常用的包捕获机制 BPF的模型及其接口 Libpcap介绍 Libpcap的英文意思是PacketCapturelibrary 即数据包捕获函数库 它是UNIX平台上的一个包捕获函数库 其源代码可从网上获得 它是一个独立于系统的用户层包捕获的API接口 为底层网络监测提供了一个可移植的框架 Windows平台下的Winpcap库 Libpcap过去只支持Unix 现在已经可以支持Win32 这是通过在Wiin32系统中安装Winpcap来实现的 Winpcap的主要功能在于独立于主机协议而发送和接收原始数据报 主要提供了四大功能 Windows平台下的Winpcap库 1 捕获原始数据报 包括在共享网络上各主机发送 接收的以及相互之间交换的数据报 2 在数据报发往应用程序之前 按照自定义的规则将某些特殊的数据报过滤掉 3 在网络上发送原始的数据报 4 收集网络通信过程中的统计信息 Winpcap结构示意图 检测引擎的设计 网络检测引擎必须获取和分析网络上传输的数据包 才能得到可能入侵的信息 检测引擎首先需要利用数据包截获机制 截获引擎所在网络中的数据包 经过过滤后 引擎需要采用一定的技术对数据包进行处理和分析 从而发现数据流中存在的入侵事件和行为 检测引擎的设计 有效的处理和分析技术是检测引擎的重要组成部分 检测引擎主要的分析技术有模式匹配技术和协议分析技术等 模式匹配技术 从网络数据包的包头开始和攻击特征比较 如果比较结果相同 则检测到一个可能的攻击 如果比较结果不同 从网络数据包中下一个位置重新开始比较 模式匹配技术 直到检测到攻击或网络数据包中的所有字节匹配完毕 一个攻击特征匹配结束 对于每一个攻击特征 重复1步到4步的操作 直到每一个攻击特征匹配完毕 对给定数据包的匹配完毕 协议分析技术 网络通信协议是一个高度格式化的 具有明确含义和取值的数据流 如果将协议分析和模式匹配方法结合起来 可以获得更好的效率 更精确的结果 协议分析的功能是辨别数据包的协议类型 以便使用相应的数据分析程序来检测数据包 协议分析技术 可以把所有的协议构成一棵协议树 一个特定的协议是该树结构中的一个结点 可以用一棵二叉树来表示 协议分析技术 一个网络数据包的分析就是一条从根到某个叶子的路径 在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能 协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在 他的高效使得匹配的计算量大幅度减小 特征 signature 的基本概念 IDS中的特征就是指用于判别通讯信息种类的样板数据 通常分为多种 以下是一些典型情况及识别方法 来自保留IP地址的连接企图 可通过检查IP报头的来源地址识别 特征 signature 的基本概念 带有非法TCP标志组合的数据包 可通过对比TCP报头中的标志集与已知正确和错误标记组合的不同点来识别 含有特殊病毒信息的Email 可通过对比每封Email的主题信息和病态Email的主题信息来识别 或者通过搜索特定名字的附近来识别 特征 signature 的基本概念 查询负载中的DNS缓冲区溢出企图 可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图 还有另外一个识别方法是 在负载中搜索 壳代码利用 exploitshellcode 的序列代码组合 特征 signature 的基本概念 通过对POP3服务器发出上千次同一命令而导致的DoS攻击 通过跟踪记录某个命令连续发出的次数 看看是否超过了预设上限 而发出报警信息 特征 signature 的基本概念 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击 通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话 发现未经验证却发命令的入侵企图 典型特征 报头值 一般情况下 异常报头值的来源有以下几种 来自保留IP地址的连接企图 可通过检查IP报头的来源地址识别 许多包含报头值漏洞利用的入侵数据都会故意违反RFC的标准定义 典型特征 报头值 许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据 并非所有的操作系统和应用程序都能全面拥护RFC定义 随着时间推移 执行新功能的协议可能不被包含于现有RFC中 候选特征 只具有SYN和FIN标志集的数据包 这是公认的恶意行为迹象 没有设置ACK标志 但却具有不同确认号码数值的数据包 而正常情况应该是0 候选特征 来源端口和目标端口都被设置为21的数据包 经常与FTP服务器关联 这 种端口相同的情况一般被称为 反身 reflexive 除了个别时候如进行一些特别NetBIOS通讯外 正常情况下不应该出现这种现象 反身 端口本身并不违反TCP标准 但大多数情况下它们并非预期数值 例如在一个正常的FTP对话中 目标端口一般是21 而来源端口通常都高于1023 候选特征 TCP窗口尺寸为1028 IP标识号码在所有数据包中为39426 根据IPRFC的定义 这2类数值应在数据包间有所不同 因此 如果持续不变 就表明可疑 报头值关键元素 IP地址 特别保留地址 非路由地址 广播地址 不应被使用的端口号 特别是众所周知的协议端口号和木马端口号 异常信息包片断 特殊TCP标志组合值 不应该经常出现的ICMP字节或代码 检测实例 数据包捕获 08 19 10 35 22 409202192 168 0 4 137 192 168 0 255 137UDPTTL 128TOS 0 x0ID 19775IpLen 20DgmLen 78Len 50 08 19 10 35 23 152199192 168 0 1 137 192 168 0 255 137UDPTTL 128TOS 0 x0ID 19776IpLen 20DgmLen 78Len 50 08 19 10 35 32 467024192 168 0 2 1221 61 135 153 190 80TCPTTL 128TOS 0 x0ID 4643IpLen 20DgmLen 48 S Seq 0 x811D5ED1Ack 0 x0Win 0 xFFFFTcpLen 28TCPOptions 4 MSS 1460NOPNOPSackOK 检测实例 端口扫描 检测实例 拒绝服务攻击 小结 分层协议模型与TCP IP协议网络数据包的捕获包捕获机制BPF模型基于Libpcap库的数据捕获技术检测引擎的设计网络入侵特征实例分析检测实例分析