|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>黑客技术>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
入侵检测(id)faqhttp://www.iyit.net 日期:2006-10-12 17:36:01 来源: 点击: |
你应该对此有所担心,你可以这么想: 假设有一辆身份不明的汽车在你家的附近穿梭,并且记下了每一个房子的地址。汽车里的人对每一个房子都作了详细的记录。你开始注意到同样的人群,在不同的时间会回来确认你房子周围的情况。这会不会让你觉得烦扰? 我显然会。 对攻击者的采访揭示出两大趋势:他们愿意用大量的时间和经历来对目标进行探测,并且能轻易得到很多的信息。防御者也应该了解许多现代网络复杂的扫描工具,比如nmap。使用nmap,攻击者有可能发现操作系统的类型,预测tcp的序列号,以及运行的服务。这么多的信息被泄露出去,攻击者就会选择相应的代码来对目标进行攻击。 以上所讲的,确实是那些人对你的网络的所作所为。他们试图发现你的网络上有哪些主机,哪些是开机的,那些是关机的,那些主机会对特定的连接请求作出回答。而针对你的网络所作的这些收集信息的行为,其目的就是要用某种方式来窃取信息。 个人来讲,我不希望被攻击并窃取信息,你呢? 在入侵检测中,类似于tripwire的文件完整性检测工具起了什么样的作用? 如果不对系统文件做任何修改,很难真正的损害一个系统,因此文件完整性检测是入侵检测一个重要能力。文件完整性检测,会对每一个需要保护的文件进行校验计算,然后将校验值保存起来。随后,你可以再次对文件的校验值进行计算,并且与原来保存的值进行比较,来确定文件是否有改动。文件完整性校验是每一个商业性的基于主机的入侵检测系统所应该具有的一个功能。 用的最多的校验值计算方法是32位的crc(循环冗余码校验)。但是攻击者确有方法修改文件内容,而不改变文件的crc校验值。因此更强的校验值算法,例如密码学中的哈希函数,更适合于此用途。典型的有md5和snefru(一个埃及法老的名字)算法。 使用文件完整性检验的一个问题是误报。当你更新了一个文件或者为系统打了安全补丁,文件的内容就变了。创建初始的特征数据库是很容易的,但是保持数据库的更新是很难的。虽然如此,即使你只运行检验一次(比如说刚装完系统的时候),也是非常有价值的。如果以后你怀疑你的系统被入侵并篡改,你可以再次运行交验程序,就可以发现哪些文件已经被修改,哪些文件还没有。 使用文件完整性检测的另一个问题,是你得保证创建初始特征参考数据库时,系统必须是干净的(没被攻击过)。否则,你可能在为一个被入侵过的系统创建特征数据库,心里却认为你的系统安全性无懈可击。另外需要强调的是你必须把参考数据库离线保存,否则攻击者有可能在篡改系统以后通过修改参考数据库来掩盖他们的行为。 完整性检测工具,包括tripwire(ftp://coast.cs.purdue.edu/pub/tools/unix或者 www.tripwiresecurity.com),l5,和spi(spi只允许美国政府用户使用, 关于入侵检测,有什么开放的标准存在么? 目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。 internet工程任务组(ietf)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的ids报警格式。该小组已经完成了需求调查的阶段,具体的设计方案已经基本结束,但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似http的连接格式来发送基于xml的ids警告。为了满足ids分析的需要,并且使该协议能够以自然的方式穿越防火墙,人们为此做了许多工作。 我们欢迎更多的人员参与进来。ieft工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出最佳的方法,而不是按照老板的日程来给出答案。 工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html,邮件列表:http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwg 编辑: [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:对iis写权限的利用 下一篇:轻松玩转木马之菜鸟篇 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 相关文章 | |||||
|
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术