火龙果黑客攻击与防范技术.ppt

网络安全基础架构 综合安全体系示意图 IDS IDS工作原理 　　IDS是英文术语Intrusion Detection System的缩写，意译为入侵检测系统。 　　如果对入侵检测系统进行功能模块划分，可以分为数据采集、数据分析、控制主体、数据管理四个部分，其各部分通信工作原理大致如下： 　　1）数据在通过防火墙后向IDS传送，IDS内的数据采集模块探测并获取网络中实时流动的数据包信息并进行简单路径与数据包规则等分类，而后向数据分析模块提交相关分类信息； 　　2）数据分析模块将采集来的分类数据信息根据进行规则描述，而后将此描述向数据管理模块发送； 　　3）数据管理模块对数据分析模块传送的数据包行为描述与库存的所有描述进行对照，而后向数据分析模块进行反馈； 　　4）数据分析模块根据数据管理模块反馈的信息，判断此数据包是否合法，而后向控制主体模块传递数据包是否合法的信息； 　　5）控制主体模块根据所接收是否合法的信息执行允许操作确认信息或是向系统发出网络警报的行为，行为执行完毕，同时向数据分析模块与数据管理模块传达已执行动作的反馈。  IPS IPS是英文术语Intrusion Prevention System的缩写，意译为入侵防御系统。 　　入侵防御系统在具备网络数据检测功能的基础上，增加了网络数据包阻断功能，不过它所具备的网络数据检测功能在早期的概念里，仅仅是针对网络流量的简单统计与分析，其内部通信工作原理大致如下： 　　1）数据统计模块对网络通路内一段时间内发送往防火墙的数据流量进行统计，并向统计结果向数据分析模块提交； 　　2）数据分析根据即定的流量大小规则判断统计结果是否正常，并同时将正常与否的信息发送往控制主体模块； 　　3）控制主体模块根据接收的网络流量正常与否的信息，决定并执行将数据包传送向防火墙(早期名为网关)或阻止数据包进入网络的行为。  IDS与IPS 1）两者工作与所处的位置不同，IDS工作于局域网的防火墙内，IPS工作于局域网的路由与防火墙之间，这一点两者并无优劣的差别； 2）两者同时具备网络数据检测功能，但是两者检测功能的目标又有不同： 　　IDS能实时检测每个具体的数据包信息，可以更完整的监测所有数据包信息，但是它不能统计某个时段的流量并给予网络系统全局性的反应。 　　IPS则是在更深的应用层进行网络流量监测与分析，能够判断一个时间段内流量的正常与否以利于系统作出全局性的反应，但是对于单个数据包安全与否，却未作出任何判断； 3）IPS具备更深的应用层阻断数据包功能，这是IDS无法具备的，但是当遭遇系统的误报，却会将所有合法数据包丢弃在网络中，以致给正常网络通信带来毁灭性的打击。  结束语 个人方面：提高警惕，避免End-User端的攻击 ?? 在网络中（特别是一些论坛中），尽量避免泄漏本单位信 息，如单位名称和EMAIL地址等。 ?? 不要随便执行文件 ?? 不要随便打开陌生的电子邮件 ?? 不要连接到未知网站 ?? 不要随意打开未知的URL ?? 密码不要太简单 ?? 关闭文件共享 ?? 不要使用系统默认值 ?? 安装防病毒软件，并经常更新 ?? 定期更新系统补丁 结束语 ?主机方面 ?? 定期进行漏洞扫描 ?? Integrity Check (ex. Tripwire、MD5Sum) ?? 确认每一个在执行的Service用途 ?? 确认每一个在执行的Process用途 ?? 确认每一个监听端口的用途，以及建立连接程序 的用途。(netstat、fport、TCPView) ?? 定期更新防病毒软件规则 ?? 确认安装必威体育精装版的Service Pack及补丁程序 * 1、逻辑炸弹：目前已经没有新的厉害的逻辑炸弹。 2、蠕虫：最好是从网络入口处防，否则一旦进入网络之后，传播很快，需要全网杀毒。 3、内部泄密：危害性最大。 4、特洛伊木马： 5、黑客攻击： 6、后门、隐蔽通道： 7、计算机病毒：与蠕虫可归为一类，与木马不一样。两者都具有传染性，但是木马不会变种，病毒会有变种，病毒是插入线程的! * X—Scan工具：可确定哪些主机是开放的，有哪些用户名，哪些端口是开放的…… * X—Scan工具：可确定哪些主机是开放的，有哪些用户名，哪些端口是开放的…… 确定扫描参数，扫描范围，扫描模块……. * 1、Tracert命令，原理见第27张幻灯 2、试验工具里的图形化路由跟踪工具 3、pathping：与tracert结合在一起使用 * 用X-scan 扫描端口的开放情况，把开放的服务打开，一个服务一个端口 *