安全防护-入侵检测实战之全面问答(下)

　　入侵检测系统IDS的地位正在逐渐增加，有效实施IDS，才能敏锐地察觉攻击者的侵犯行为，本文对IDS的概念、行为及策略等方面内容以问答形式进行全面介绍……

　　在网络安全领域，随着黑客应用技术的不断"傻瓜化"，入侵检测系统IDS的地位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然!本文对IDS的概念、行为及策略等方面内容以问答形式进行全面介绍，期望帮助管理者更快和更好地使用IDS。

　　问：入侵有哪些方式?

　　1、探测

　　探测方式有很多，包括ping扫描、探测操作系统类别、系统及应用软件的弱帐号扫描、侦探电子邮件、TCP/UDP端口扫描、探测Web服务器CGI漏洞等。

　　2、漏洞利用

　　指入侵者利用系统的隐藏功能或漏洞尝试取得系统控制权。主要包括：

　　CGI漏洞：编写CGI程序需要考虑得非常完善才有可能避免安全威胁。入侵者经常要尝试访问系统中的一些具有知名漏洞的CGI程序，以期寻找到突破口。这些CGI程序有：TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyForm、FormMail。如果我们没有使用这些文件却发现有人正在频繁地访问其中之一，就可以清楚地断明一个入侵行为正在进行了。

　　Web服务器漏洞：比如文件名中包含一系列"../"字符串从而可以访问系统中的任意文件;URL路径后添加上"::$DATA"就可以查看脚本源代码。

　　Web浏览器漏洞：这方面的漏洞涉及面同样很广，冲浪者绝不能掉以轻心。比如可能导致缓冲区溢出或执行.LNK命令的URL、畸形的HTTP header内容、MIME类型溢出(例如Netscape浏览器的命令)、总是有漏可乘的javascript脚本(例如利用文件上传功能创建后门程序)、偶尔犯些错误的Java代码以及现在更为厉害、更为猖獗的ActiveX组件。

　　STMP漏洞：比如利用缓冲区溢出攻击STMP、使用VRFY命令搜索用户名称。

　　IMAP漏洞：IMAP即Internet信息控制协议(Internet Message Access Protocol)，是指从邮件服务器上获取Email信息或直接收取邮件的协议。传统的POP3收信过程中，用户无法得知邮件的具体信息，只有在邮件全部下载到硬盘后，才能慢慢地浏览或删除，用户几乎没有对邮件的控制决定权。IMAP解决的就是这个问题。但是许多流行的IMAP服务器都存在重大漏洞。

　　IP地址欺骗：由于路由选择不需要判断来源地址，因此入侵者就可将IP数据包的来源地址替换为伪造地址以期隐藏其攻击地点。而且，由于是伪造的来源地址，入侵者也不会接收到目标机器的返回通讯信息，真正做到了"攻不还手"。

　　缓冲区溢出：除了前面提及的缓冲区溢出种类外，还有DNS溢出(超长DNS名字发送给服务器)、statd溢出(超长文件名)。

　　3、DoS或DDoS(拒绝服务攻击或分布式拒绝服务攻击)

　　这种攻击是真正的"损人不利己"，不需要别人的数据，只想等别人出错看热闹。这种攻击行为越来越多，是不是因为这种人也越来越 ...... 常见的DoS有死亡之Ping、SYN湮没、Land攻击。

　　问：NIDS检测到一个入侵行为后做什么?

　　当发现一个入侵行为后，NIDS系统将采取诸多有力措施对付攻击，这主要包括：

　　* 重新配置防火墙禁止入侵者IP地址进入

　　* 播放一段.WAV音乐提醒管理者

　　* 发送SNMP TRAP信息包到管理控制台

　　* 将事件记录到系统日志文件中

　　* 给管理员发送电子邮件通知入侵正在发生

　　* 以寻呼方式(BP机)告知管理员

　　* 保存攻击信息，如攻击时间、入侵者IP地址、受害者IP地址及端口、协议信息、相关数据包

　　* 启动特殊程序处理入侵事件

　　* 伪造TCP FIN信息包强制结束连接，避免悲剧继续上演

　　问：除了IDS外，还有什么入侵对策?

　　1、防火墙

　　有种观点说：防火墙是安全护卫的第一道防线，只要突破它，入侵者将随意驰骋被突破的网络。但是更好的说法应该是：防火墙是安全护卫的最后一道防线，在正确配置机器及良好运行入侵检测系统的前提下，用防火墙来避免script kiddies的幼稚和简单的攻击。有两点要注意：一是现在的许多路由器都可以配置成防火墙的过滤功能;二是防火墙通常只能抵抗外部攻击，对于内部破坏则显得力不从心。

　　2、口令验证系统

保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略，比如Win2K的Kerberos验证，或者考虑购买单独产品以整合进增强的口令系统，比如RADIUS(远程认定拨号用户服务)或TACACS(TACACS是用于UNIX系统上有历史的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统)。这些验证系统都有助于消除Telnet、ftp、IMAP或POP等协议带来的明文