网络攻防复习第五章入侵检测

第五章入侵检测

入侵检测：对入侵行为的发觉，并对此做出反应的过程。通过对计算机或者网络系统

中的若干关键点收集信息并对其进行分析，从中发现计算机中或网络中是否存在违反安全策略的行为和被攻击的迹象，根据分析和检查的情况，作出相应的反应。

一、防火墙：网络连接设备，用于强制在网络通信之间执行一种安全策略。

类型：包/会话过滤防火墙、代理网关（应用代理）防火墙、状态检测防火墙

1、包/会话过滤

①包过滤：数据包过滤是指在网络层对数据包进行分析、选择和过滤。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。过滤规则基于模式匹配。

检查的内容：IP源地址和目的地址，端口，协议标识符（TCP, UDP, ICMP等）、TCP

标志（SYN ACK RST PSH FIN）、ICMP 消息类型

优点：速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于路由器上。

缺点：不能检测上下文，不能阻止针对特定应用的攻击，没有用户的身份验证机制。

②会话过滤：在包过滤基础上加了会话上下文，难以过滤无状态协议UDP和ICMP。

依赖于可靠链接、针对语法描述、应用级攻击无效

2、代理网关：所有的流量都进入防火墙，出去的流量看起来来自防火墙

①应用级网关：每一个应用都有代理，连接和传递信息针对特定的应用程序之间的连接

优点：支持用户网关十分验证，可用日志记录和审计所有活动缺点：开销大，对每个应用程序都要建立一个代理

②电路级网关：对应用是透明的，连接和传递信息针对特定的TCP连接

优点：开销小

缺点：不检查TCP段的内容，比应用级网关控制更弱

二、Bastion Host 堡垒主机：

①概念：是通过包过滤来实现应用级网关的加固的系统。一种被强化的可以防御进攻的

计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上

解决，从而省时省力，不用考虑其它主机的安全的目的。

所有不重要的服务都被关闭；对被支持的服务有特定的应用程序代理；支持用户身份认证；所有流量都经过堡垒主机。

②分类：

①Single-Homed Bastion Host单宿主堡垒主机

如果数据包过滤器被攻破，流量可以流动到内部网络。

Single・Homed Bastion Host

②Dual-Homed Bastion Host双宿主堡垒主机

内部和外部网络之间没有物理连接

Dual-Homed Bastion Host

三、网络过滤器

1、保护地址和路由

隐藏内部网络上的主机的IP地址：只有当外部访问该服务时，才揭示它们的IP地址;

保持其他地址保密，来使欺骗更难

使用NAT （网络地址转换）映射，把数据包头的地址映射到内部地址：

1对1或N对1映射

2、结构

①Netfilter/iptables包含在Linux 2.4以后的内核中，可以实现包过滤（无状态或有状态）、防火墙、NAT （网络地址翻译）和数据包的分割等功能。

Netfilter :是一组内核钩子，允许内核模块用网络协议栈注册回调（工作在内核内部），iptables则是让用户定义规则集的表结构。

fih

firing

If packet filter is com prom tsed, traffic

can flow to interma^ network

No physical connection between

internal and external networks

netfilter 的架构：

在IPv4 中定义的5 个钩子：PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT,

POST_ROUTING.]

PRE_ROUTING :刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验_| LOCAL_IN :经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行

FORWARD :要转发的包通过此检测点，FORWARD包过滤在此点进行POST_ROUTING :所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行

LOCAL_OUT :本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行

The Hooks （cont.）

②SNAT :源地址转换，其作用是将ip数据包的源地址转换成另外一个地址。

内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器

或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，

网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。

当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由路由

器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用

于内部服务对外发布。

四、IDS入侵检测系统

1、定义：

入侵：被授权的用户试图获得额外的权限；被授权用户滥用赋予他们的权利

入侵检测：对入侵行为的发觉，并对此做出反应的过程。通过对计算机或者网络系统中的若干关键点收集信息并对其进行分析，从中发现计算机中或网络中是否存在违反安全策略

的行为和被攻击的迹象。根据分析和检查的情况，做出相应的相应。

入侵检测系统：是一个防御系统。依照一定的安全策略，通过软、硬件，对网络、系统

的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

目标：防御攻击；进行取证调查；尽量减少损失；了解攻击是如何进行的，提高系统。

2、结构:

组件：

Host主机：在其上运行IDS软件系统

target目标：被IDS监控的系统

主机-目标托管（协同定位）：在入侵检测系统的初期，大多数的IDS跑在他们保护的系统上。

主机-目标分离：提高了IDS的安全性，使得更容易隐藏IDS的存在，攻击者看不到。

3、控制策略：

①Cen tralized核心式:

A Nthvork

Monitoring

System

Application

inonitfring

Syrttn

IDS Rpoiuc

Links

② Partially Distributed

A IfostBased

A\ monitoring

System '

IDS Reporting Link

Nriwork Links Moritorii is Links

半分布式: