Archive for 四月, 2005

木馬及其常用port對照表

Add comment 四月 26th, 2005

木馬及其常用端口對照表
0=Reserved
1=tcpmux
2=compressnet
3=compressnet
4=Unassigned
5=Remote Job Entr 6=Unassigned
7=Echo
8=Unassigned
9=Discard
10=Unassigned
11=Active Users
12=Unassigned
13=Daytime
14=Unassigned
15=Unassigned
16=Unassigned
17=Quote of the Day
18=Message Send Protocol
19=Character Generator
20=FTP (Data)
21=FTP (Control)
22=Unassigned
23=Telnet
24=Private mail-system
25=SMTP
26=Unassigned
27=NSW User System FE
28=Unassigned
29=MSG ICP
30=Unassigned
31=MSG Authentication
32=Unassigned
33=Display Support Protocol
34=Unassigned
35=Private printer server
36=Unassigned
37=Time
38=Route Access Protocol
39=Resource Location Protocol
40=Unassigned
41=Graphics
42=Host Name Server
43=Who Is
44=MPM FLAGS Protocol
45=Message Processing Module (recv)
46=mpm-snd, MPM (default send)
47=ni-ftp
48=Digital Audit Daemon
49=login, Login Host Protocol
50=re-mail-ck, Remote Mail Checking Protocol
51=IMP Logical Address Maintenance
52=xns-time, XNS Time Protocol
53=domain, Domain Name Server
54=xns-ch, XNS Clearinghouse
55=ISI Graphics Language
56=XNS Authentication
57=Private terminal access
58=XNS Mail
59=Private file service
60=Unassigned
61=NI MAIL
62=ACA Services
63=Unassigned
64=Communications Integrator (CI)
65=TACACS-Database Service
66=Oracle SQL*NET
67=Bootstrap Protocol Server
68=Bootstrap Protocol Client
69=Trivial File Transfer
70=Gophergopher
71=Remote Job Service
72=Remote Job Service
73=Remote Job Service
74=Remote Job Service
75=any private dial out service
76=Distributed External Object Store
77=any private RJE service
78=vettcpvettcp
79=Finger server
80=HTTP
81=HOSTS2 Name Server
82=XFER Utility
83=MIT ML Device
84=Common Trace Facility
85=MIT ML Device
86=Micro Focus Cobol
87=Private terminal link
88=Kerberos
89=SU/MIT Telnet Gateway
90=DNSIX Securit Attribute Token Map
91=MIT Dover Spooler
92=Network Printing Protocol
93=Device Control Protocol
94=Tivoli Object Dispatcher
95=SUPDUPsupdup
96=DIXIE Protocol Specification
97=Swift Remote Vitural File Protocol
98=TAC Newstacnews
99=Metagram Relay
100=newacct [unauthorized use]
101=NIC Host Name Server
102=ISO-TSAP
103=Genesis Point-to-Point Trans Net
104=ACR-NEMA Digital Imag. & Comm. 300
105=Mailbox Name Nameserver
106=3COM-TSMUX3com-tsmux
107=Remote Telnet Service
108=SNA Gateway Access Server
109=Post Office Protocol - Version 2
110=Post Office Protocol - Version 3
111=SUN RPC
112=McIDAS Data Transmission Protocol
113=Authentication Service
114=Audio News Multicast
115=Simple File Transfer Protocol
116=ANSA REX Notify
117=UUCP Path Service
118=SQL Servicessqlserv
119=Network News Transfer Protocol
120=CFDPTKTcfdptkt
121=Encore Expedited Remote Pro.Call
122=SMAKYNETsmakynet
123=Network Time Protocol
124=ANSA REX Trader
125=Locus PC-Interface Net Map Ser
126=Unisys Unitary Login
127=Locus PC-Interface Conn Server
128=GSS X License Verification
129=Password Generator Protocol
130=cisco FNATIVE
131=cisco TNATIVE
132=cisco SYSMAINT
133=Statistics Service
134=INGRES-NET Service
135=Location Service
136=PROFILE Naming System
137=NETBIOS Name Service
138=NETBIOS Datagram Service
139=NETBIOS Session Service
140=EMFIS Data Service
141=EMFIS Control Service
142=Britton-Lee IDM
143=Interim Mail Access Protocol v2
144=NewSnews
145=UAAC Protocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED 512 Emulation Service
150=SQL-NETsql-net
151=HEMShems
152=Background File Transfer Program
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQL Service
157=KNET/VM Command/Message Protocol
158=PCMail Serverpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMP TRAP
163=CMIP/TCP Manager
164=CMIP/TCP Agent
165=Xeroxxns-courier
166=Sirius Systems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=Network PostScript
170=Network PostScript
171=Network Innovations Multiplex
172=Network Innovations CL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=X Display Manager Control Protocol
178=NextStep Window Server
179=Border Gateway Protocol
180=Intergraphris
181=Unifyunify
182=Unisys Audit SITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KIS Protocolkis
187=Application Communication Interface
188=Plus Five’s MUMPS
189=Queued File Transport
189=Queued File Transport
190=Gateway Access Control Protocol
190=Gateway Access Control Protocol
191=Prospero Directory Service
191=Prospero Directory Service
192=OSU Network Monitoring System
193=srmp, Spider Remote Monitoring Protocol
194=irc, Internet Relay Chat Protocl
195=DNSIX Network Level Module Audit
196=DNSIX Session Mgt Module Audit Redir
197=Directory Location Service
198=Directory Location Service Monitor
199=SMUX
200=IBM System Resource Controller
201=at-rtmp AppleTalk Routing Maintenance
202=at-nbp AppleTalk Name Binding
203=at-3 AppleTalk Unused
204=AppleTalk Echo
205=AppleTalk Unused
206=AppleTalk Zone Information
207=AppleTalk Unused
208=AppleTalk Unused
209=Trivial Authenticated Mail Protocol
210=ANSI Z39.50z39.50
211=Texas Instruments 914C/G Terminal
212=ATEXSSTRanet
213=IPX
214=VM PWSCSvmpwscs
215=Insignia Solutions
216=Access Technology License Server
217=dBASE Unix
218=Netix Message Posting Protocol
219=Unisys ARPsuarps
220=Interactive Mail Access Protocol v3
221=Berkeley rlogind with SPX auth
222=Berkeley rshd with SPX auth
223=Certificate Distribution Center
224=Reserved (224-241)
241=Reserved (224-241)
242=Unassigned#
243=Survey Measurement
244=Unassigned#
245=LINKlink
246=Display Systems Protocol
247-255 Reserved
256-343 Unassigned
344=Prospero Data Access Protocol
345=Perf Analysis Workbench
346=Zebra serverzserv
347=Fatmen Serverfatserv
348=Cabletron Management Protocol
349-370 Unassigned
371=Clearcaseclearcase
372=Unix Listservulistserv
373=Legent Corporation
374=Legent Corporation
375=Hasslehassle
376=Amiga Envoy Network Inquiry Proto
377=NEC Corporation
378=NEC Corporation
379=TIA/EIA/IS-99 modem client
380=TIA/EIA/IS-99 modem server
381=hp performance data collector
382=hp performance data managed node
383=hp performance data alarm manager
384=A Remote Network Server System
385=IBM Application
386=ASA Message Router Object Def.
387=Appletalk Update-Based Routing Pro.
388=Unidata LDM Version 4
389=Lightweight Directory Access Protocol
390=UISuis
391=SynOptics SNMP Relay Port
392=SynOptics Port Broker Port
393=Data Interpretation System
394=EMBL Nucleic Data Transfer
395=NETscout Control Protocol
396=Novell Netware over IP
397=Multi Protocol Trans. Net.
398=Kryptolankryptolan
399=Unassigned#
400=Workstation Solutions
401=Uninterruptible Power Supply
402=Genie Protocol
403=decapdecap
404=ncednced
405=ncldncld
406=Interactive Mail Support Protocol
407=Timbuktutimbuktu
408=Prospero Resource Manager Sys. Man.
409=Prospero Resource Manager Node Man.
410=DECLadebug Remote Debug Protocol
411=Remote MT Protocol
412=Trap Convention Port
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBM Operations Planning and Control Start
424=IBM Operations Planning and Control Track
425=ICADicad-el
426=smartsdpsmartsdp
427=Server Location
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp, Thomas Obermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=Simple Network Paging Protocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=AS Server Mapper
450=TServertserver
512=exec, Remote process execution
513=login, remote login
514=cmd, exec with auto auth.
514=syslog
515=Printer spooler
516=Unassigned
517=talk
519=unixtime
520=extended file name server
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpc courier
531=chatconference
532=readnewsnetnews
533=for emergency broadcasts
539=Apertus Technologies Load Determination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan 9 file service
565=whoami
566-569 Unassigned
570=demonmeter
571=udemonmeter
572-599 Unassigned ipc server
600=Sun IPC server
607=nqs
606=Cray Unified Resource Manager
608=Sender-Initiated/Unsolicited File Transfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=Doom Id Software
704=errlog copy/server daemon
709=EntrustManager
729=IBM NetView DM/6000 Server/Client
730=IBM NetView DM/6000 send/tcp
731=IBM NetView DM/6000 receive/tcp
741=netGWnetgw
742=Network based Rev. Cont. Sys.
744=Flexible License Manager
747=Fujitsu Device Control
748=Russell Info Sci Calendar Manager
749=kerberos administration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=Central Point Software
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=network blackjack
1030=BBN IAD
1031=BBN IAD
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man

入侵監測存在的三個問題和未來發展方向

Add comment 四月 26th, 2005

最近觀測到辦公室裡的server有異常log,所以去查了些資料

入侵監測存在的三個問題和未來發展方向

作者:譚崇暢 發文時間:2005.01.20

入侵檢測系統往往被認為是保護網路系統的“最後一道安全防線”。今天的網路駭客已經學會將真正的攻擊動作隱藏在大量虛假報警之中,這使得用戶質疑。

近年來,針對網路系統發起的攻擊技術大有水漲船高之勢,入侵檢測系統的開發者正在面臨一個兩難選擇:發現異常現象時,是報警,還是不報警?不報警,擔心有漏網之魚;報警,則有可能正中攻擊者的圈套。 入侵監測統存在的三個問題

根據國外權威機構近來發佈的入侵檢測產品評測報告,目前主流的入侵檢測系統大都存在三個問題:

一、存在過多的報警資訊,即使在沒有直接針對入侵檢測系統本身的惡意攻擊時,入侵檢測系統也會發出大量報警。

二、入侵檢測系統自身的抗強力攻擊能力差。我們知道,入侵檢測系統的智慧分析能力越強,處理越複雜,抗強力攻擊的能力就越差。目前入侵檢測系統的設計趨勢是,越來越多地追蹤和分析網路資料流程狀態,使系統的智慧分析能力得到提高,但由此引起的弊端是系統的健壯性被削弱,並且,對高帶寬網路的適應能力有所下降。

三是缺乏檢測高水準攻擊者的有效手段。現有的入侵檢測系統一般都設置了閥值,只要攻擊者將網路探測、攻擊速度和頻率控制在閥值之下,入侵檢測系統就不會報警。鑒於以上三點,許多用戶質疑:按照入侵檢測系統目前的技術現狀,它值得投資部署嗎?

IDS需要技術創新

這種質疑不是沒有道理。一個配置合理的防火牆加上完善的網路安全管理策略,完全可以對付低水準的攻擊行為。人們費盡心機構建的“最後的防線”——入侵檢測系統,必須能夠有效防範“高手”攻擊。但是,如果沒有一個全新的設計思路,目前的入侵檢測系統是不能完全勝任此項重任的。究其原因,主要在於以下三點。

首先,現有的入侵檢測系統依賴於一個攻擊特徵庫來識別已知攻擊。從這個角度來看,它並不比一般的病毒檢測方法高明多少。基於攻擊特徵庫的設計有著兩個明顯的缺點。其一,很難發現新的攻擊手段;其二,攻擊者同樣可以利用Internet上公佈的攻擊特徵庫,在一分鐘之內,使一個入侵檢測系統產生上千條報警。

第二,在網路安全體系結構的設計上,入侵檢測系統通常被部署於防火牆之內。這並不是擔心入侵檢測系統會受到直接攻擊,真正原因是,現有的網路攻擊已經非常頻繁,一個放置於防火牆之外的入侵檢測系統會讓安全管理者沒有片刻的安寧。但這卻是一個設計失誤——被防火牆系統阻攔住的外部攻擊包對於入侵檢測系統進行有效網路攻擊智慧分析具有非常重要的價值。實際上,缺乏有效的資訊源是現有的入侵檢測系統表現“低能”的根本原因。

第三,網路中上演的攻擊和反攻擊與人類戰爭有相似之處,都是攻與防的較量,如果防守者不採取積極防禦措施,永遠只能處於被動挨打局面。具體到入侵檢測系統,積極防禦並不是在發現攻擊者時發送警告,甚至回敬幾個攻擊包“打死”對方,而是一種“欺騙戰術”,其基本思想是,建立一個完整的資訊保護體系,使各種虛假資訊和真實資訊混於一體,從而達到資訊保護的目的。就網路入侵檢測而言,當一個攻擊者在全面摸清了目標網路的詳細情況之後,人們要想防止其進攻幾乎是不可能的。一個攻擊高手往往會用很長時間去探查一個網路,在進行一番詳細偵察之後,攻擊者只須靜待一個新的系統漏洞的出現。例如,如果攻擊者獲悉了Windows 2000伺服器存在的一個堆疊溢位漏洞,他就可能在一分鐘之內,佔領目標主機,並在另外一分鐘之內,控制整個目標網路。

從積極防禦的角度看,保護一個網路必須從兩方面入手。一是在入侵者早期網路偵察時及時發現對方,二是通過回應欺騙資訊給窺探者,並在隨後發生的實際攻擊時準確判定入侵者的身份。以上兩點是相輔相成的。需要指出的是,這種基於欺騙戰術的積極防禦,不同于傳統的陷阱系統設計,大多數安全專家認為,一個配置有誤的陷阱系統無疑是一扇敞開的大門,而且一個被攻佔的陷阱系統會給用戶帶來法律上的麻煩,他們不贊成使用。

積極防禦是有益的嘗試

ActiveDefense(積極防禦)技術是由廣州前衛資訊安全技術有限公司自主研發的技術,它應用在其eDefence 2000入侵檢測系統之中,可以使一個實際網路變得真假難辨。部署於防火牆之外的eDefence 2000系統能夠即時檢測網路攻擊,同時還能夠在入侵者前來窺探時施放各種“煙幕彈”。

該系統另一個與眾不同的設計是,它將檢測系統分為前後兩台機器,後臺系統不再是一個簡單的管理終端,而是一個有著豐富知識庫的專家系統。利用專家系統提供的面向分析推理的規則語言,只須編寫幾條規則,而後存入知識庫,就可以一眼看出入侵者的真面目。一前一後的雙機設計從根本上改善了整個入侵檢測系統的抗攻擊能力。

在網路世界中上演的的攻防戰爭將永遠是一場沒有盡頭、“魔高一尺,道高一丈”的鬥爭。 http://tech.ccidnet.com/pub/article/c322_a206563_p1.html

如何構建一個入門級入侵檢測系統

Add comment 四月 26th, 2005

如何構建一個入門級入侵檢測系統
作者: http://www.letjoin.com/ 發文時間:2004.12.15

相關鏈結:
手把手配置Linux透明防火牆
防火牆之父十六年悟出安全之”道”

  通常來說,一個企業或機構準備進軍此領域時,往往選擇從基於網路的IDS入手,因為網上有很多這方面的開放源代碼和資料,實現起來比較容易,並且,基於網路的IDS適應能力強。有了簡單網路IDS的開發經驗,再向基於主機的IDS、分散式IDS、智慧IDS等方面邁進的難度就小了很多。在此,筆者將以基於網路的IDS為例,介紹典型的IDS開發思路。

  根據CIDF規範,我們從功能上將入侵檢測系統劃分為四個基本部分:資料獲取子系統、資料分析子系統、控制臺子系統、資料庫管理子系統,如附圖所示。

  具體實現起來,一般都將資料獲取子系統(又稱探測器)和資料分析子系統在Linux或Unix平臺上實現,我們稱之為資料獲取分析中心;將控制臺子系統在Windows NT或2000上實現,資料庫管理子系統基於Access或其他功能更強大的資料庫,多跟控制臺子系統結合在一起,我們稱之為控制管理中心。本文以Linux和Windows NT平臺為例介紹資料獲取分析中心和控制管理中心的實現。

  可以按照如下步驟構建一個基本的入侵檢測系統。

  第一步 獲取libpcap和tcpdump

  審計蹤跡是IDS的資料來源,而資料獲取機制是實現IDS的基礎,否則,巧婦難為無米之炊,入侵檢測就無從談起。資料獲取子系統位於IDS的最底層,其主要目的是從網路環境中獲取事件,並向其他部分提供事件。目前比較流行的做法是:使用libpcap和tcpdump,將網卡置於“混雜”模式,捕獲某個網段上所有的資料流程。

  libpcap是Unix或Linux從內核捕獲網路資料包的必備工具,它是獨立於系統的API介面,為底層網路監控提供了一個可移植的框架,可用於網路統計收集、安全監控、網路調試等應用。

  tcpdump是用於網路監控的工具,可能是Unix上最著名的sniffer了,它的實現基於libpcap介面,通過應用布林運算式列印資料包首部,具體執行過濾轉換、包獲取和包顯示等功能。tcpdump可以幫助我們描述系統的正常行為,並最終識別出那些不正常的行為,當然,它只是有益於收集關於某網段上的資料流程(網路流類型、連接等)資訊,至於分析網路活動是否正常,那是程式師和管理員所要做的工作。

  libpcap和tcpdump在網上廣為流傳,開發者可以到相關網站下載。

  第二步 構建並配置探測器,實現資料獲取功能

  1. 應根據自己網路的具體情況,選用合適的軟體及硬體設備,如果你的網路資料流程量很小,用一般的PC機安裝Linux即可,如果所監控的網路流量非常大,則需要用一台性能較高的機器。

  2. 在Linux伺服器上開出一個日誌分區,用於採集資料的存儲。

  3. 創建libpcap庫。從網上下載的通常都是libpcap.tar.z的壓縮包,所以,應先將其解壓縮、解包,然後執行配置腳本,創建適合於自己系統環境的Makefile,再用make命令創建libpcap庫。libpcap安裝完畢之後,將生成一個libpcap庫、三個include檔和一個man頁面(即用戶手冊)。

  4. 創建tcpdump。與創建libpcap的過程一樣,先將壓縮包解壓縮、解包到與libpcap相同的父目錄下,然後配置、安裝tcpdump。

  如果配置、創建、安裝等操作一切正常的話,到這裏,系統已經能夠收集到網路資料流程了。至於如何使用libpcap和tcpdump,還需要參考相關的用戶手冊。

  第三步 建立資料分析模組

  網上有一些開放源代碼的資料分析套裝軟體,這給我們構建資料分析模組提供了一定的便利條件,但這些“免費的午餐”一般都有很大的局限性,要開發一個真正功能強大、實用的IDS,通常都需要開發者自己動手動腦設計資料分析模組,而這往往也是整個IDS的工作重點。

  資料分析模組相當於IDS的大腦,它必須具備高度的“智慧”和“判斷能力”。所以,在設計此模組之前,開發者需要對各種網路協定、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究,然後制訂相應的安全規則庫和安全策略,再分別建立濫用檢測模型和異常檢測模型,讓機器類比自己的分析過程,識別確知特徵的攻擊和異常行為,最後將分析結果形成報警消息,發送給控制管理中心。

  設計資料分析模組的工作量浩大,並且,考慮到“道高一尺,魔高一丈”的駭客手法日益翻新,所以,這註定是一個沒有終點的過程,需要不斷地更新、升級、完善。在這裏需要特別注意三個問題:
  ① 應優化檢測模型和演算法的設計,確保系統的執行效率;
  ② 安全規則的制訂要充分考慮包容性和可擴展性,以提高系統的伸縮性;
  ③ 報警消息要遵循特定的標準格式,增強其共用與互操作能力,切忌隨意制訂消息格式的不規範做法。

  第四步 構建控制臺子系統

  控制臺子系統負責向網路管理員彙報各種網路違規行為,並由管理員對一些惡意行為採取行動(如阻斷、跟蹤等)。由於Linux或Unix平臺在支援介面操作方面遠不如常用的Windows產品流行,所以,為了把IDS做成一個通用、易用的系統,筆者建議將控制臺子系統在Windows系列平臺上實現。

  控制臺子系統的主要任務有兩個:
  ① 管理資料獲取分析中心,以友好、便於查詢的方式顯示資料獲取分析中心發送過來的警報消息;
  ② 根據安全策略進行一系列的回應動作,以阻止非法行為,確保網路的安全。

  控制臺子系統的設計重點是:警報資訊查詢、探測器管理、規則管理及用戶管理。

  1.警報資訊查詢:網路管理員可以使用單一條件或複合條件進行查詢,當警報資訊數量龐大、來源廣泛的時候,系統需要對警報資訊按照危險等級進行分類,從而突出顯示網路管理員需要的最重要資訊。

  2.探測器管理:控制臺可以一次管理多個探測器(包括啟動、停止、配置、查看運行狀態等),查詢各個網段的安全狀況,針對不同情況制訂相應的安全規則。

  3.規則庫管理功能:為用戶提供一個根據不同網段具體情況靈活配置安全策略的工具,如一次定制可應用於多個探測器、默認安全規則等。

  4.用戶管理:對用戶許可權進行嚴格的定義,提供口令修改、添加用戶、刪除用戶、用戶許可權配置等功能,有效保護系統使用的安全性。

  第五步 構建資料庫管理子系統

  一個好的入侵檢測系統不僅僅應當為管理員提供即時、豐富的警報資訊,還應詳細地記錄現場資料,以便於日後需要取證時重建某些網路事件。

  資料庫管理子系統的前端程式通常與控制臺子系統集成在一起,用Access或其他資料庫存儲警報資訊和其他資料。該模組的資料來源有兩個:
  ① 資料分析子系統發來的報警資訊及其他重要資訊;
  ② 管理員經過條件查詢後對查詢結果處理所得的資料,如生成的本地檔、格式報表等。

  第六步 聯調,一個基本的IDS搭建完畢

  以上幾步完成之後,一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來,還需要保持各個部分之間安全、順暢地通信和交互,這就是聯調工作所要解決的問題。

  首先,要實現資料獲取分析中心和控制管理中心之間的通信,二者之間是雙向的通信。控制管理中心顯示、整理資料獲取分析中心發送過來的分析結果及其他資訊,資料獲取分析中心接收控制管理中心發來的配置、管理等命令。注意確保這二者之間通信的安全性,最好對通信資料流程進行加密操作,以防止被竊聽或篡改。同時,控制管理中心的控制臺子系統和資料庫子系統之間也有大量的交互操作,如警報資訊查詢、網路事件重建等。

  聯調通過之後,一個基本的IDS就搭建完畢。後面要做的就是不斷完善各部分功能,尤其是提高系統的檢測能力。

相關鏈結:
手把手配置Linux透明防火牆
防火牆之父十六年悟出安全之”道”

http://tech.ccidnet.com/pub/article/c1099_a190223_p1.html