什么是入侵检测?
原文作者:IT Security
译文作者:冰血封情 [E.S.T]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
什么是入侵检测?
如果您翻阅最近的一些关于入侵检测的文档,你就会发现很多核心理论都是上溯到公共因特网之前的八十年代。当时,大多数入侵者可能都是一些发泄不满的高中或者大学的学生。一般都是黑进某个网络后修改一些文件,或者留下一些脏话。通常,他们不会做什么危害很大的事情,除非在电影里。
到了九十年代,公共因特网开始商业化,情况就开始转变了。在安全威胁日趋严重的今天,加强入侵检测的研究和执行已经逐渐开始变得很重要。
入侵检测(Intrusion Detection,ID),是一种检测IT信息安全威胁的技术,比如:计算机,数据库,以及其他设备。本文的主要目的是了解一下入侵检测,以及其相关技术。
攻击和误操作?
当黑客声称他将对某一目标每39秒发动一次攻击时候,他们一定掌握了不少能威胁到您公司IT安全的手段。
1:经济利润
如果黑客可以威胁到您的系统安全,他们将可以通过访问电子银行帐户获得一定经济利益,比如偷窃客户的信用卡帐号,或者干脆在黑市上专卖您的数据。这种黑客很可能是受到了非法组织的雇用。
2:商业间谍
有的时候,竞争对手也会为得到您公司的机密,数据,或者是顾客信息而雇用赏金猎手。
3:精神主义者(Hacktivism)
有些人做这种事情是因为他们立场不同,比如出于宗教、Po1itics、技术见解不同,或者其他的一些分歧。(最典型的要算是恐怖分子和中国的红客了。)
4:无聊者
有些黑客这样做仅仅是为了保护其他的黑客。(比如,当米特尼克被捕的时候,他的伙伴们曾做过一些要求释放米特尼克的网络抗议活动。)
5:怨恨者
一些愤懑不满的在职雇员或者被解雇的雇员,他们可能由于在公司或者工作中受到不好的对待,从而产生报复心理。这个群体的黑客里,有时还可能会有一些是公司内鬼。
6:炫耀者
有些入侵者只是觉得这样做很爽。这种是比较原始的黑客,虽然占的比例比较小,但是这些黑客仍然可以造成比较严重的安全威胁。
7:安全检测
当一个安全组织想证实某个漏洞的存在,或者安全公司想拓展新的客户时,他们可能策划一次渗透或攻击以便向客户展示问题的存在。
您需要指导性防御
没有任何一款软件是完美的,因此您也可以依靠黑客们来发现并测试这些漏洞。值得庆幸的是,多数攻击都基本是沿用长期以来的方法,这样的话,也很方便我们对攻击手法做总结:
1:缓冲溢出
通过过载的手法让系统缓冲区溢出,额外的数据包就可以绕过类似入侵检测系统的安全监视措施,并且终止或弄脏其他的数据。缓冲溢出经常是因为程序编写不严格而产生的内部问题,并且可以由外部人工的增加系统和网络负载而触发。
2:CGI攻击
这类攻击一般是通过利用服务器上的CGI脚本缺陷。比较有代表的攻击方式包括利用服务器上标准安装的脚本程序和第三方web程序员编写的脚本程序。
3:DoS和DDoS
拒绝服务攻击(Denial of Service,DoS)和分布式拒绝服务攻击(Distributed Denial of Service,DDoS)其实本质上是类似的东西:一种尝试过载网络或者服务器(比如web服务器)从而使之拒绝服务的手法。DDoS则是使用多个分布式攻击源代替单一攻击源。DoS攻击经常以SYN洪水的形式出现。
4:内部误操作
误操作包括雇员或者不满的解雇者对数据库的访问或文件篡改。这种攻击的实施者可能也包含受别有用心的竞争对手所雇用的内鬼。
5:OS指纹识别
通过探测您的网络中的机器所安装的操作系统类型,黑客们可以更轻易确定您的网络可能有哪些漏洞。这些通常是使用TCP/IP栈指纹识别来实现的。
6:TCP/IP欺骗
通过伪造IP地址,使它们看起来更像受信任的页面、服务器或者主机。这种手法通常也配合DoS攻击一起使用。
7:SMB探针
服务器信使块(Server Message Block,SMB)探针可以确认哪些文件是共享的。内部使用,探针可以提供特定共享资源警报。外部使用的话,通常是蠕虫所利用,探针可以确认文件系统的缺陷。探针也可以用在OS指纹识别中。
8:被动端口扫描
被动端口扫描用于检测系统的常见端口(echo, ftp, ssh, telnet, domain, http)是否有安全问题。这种技术同样被应用在安全技术和黑客技术中,比如nmap扫描器。 (下一页)
网友评论