Ⅰ 什麼是IDS/IPS產品
入侵檢測系統(IDS):
IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專版業上講就是依照一定權的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
2. 入侵防禦系統(IPS):
IPS是英文「Intrusion Prevention
System」的縮寫,中文意思是入侵防禦系統。
3、IPS與IDS的區別:
IPS對於初始者來說,是位於防火牆和網路的設備之間的設備。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。而IDS只是存在於你的網路之外起到報警的作用,而不是在你的網路前面起到防禦的作用。
Ⅱ IDS的主要功能有哪些
幾乎所有當前市場上的網路入侵檢測系統都是基於一種被動數據收集方式的協議分析
,我們可以預見,這種方式在本質上是有缺陷的。
毫無疑問,這樣的入侵檢測系統會監視整個網路環境中的數據流量,並且總是與一種
預定義的可疑行為模式來進行對照,甚至所謂的入侵行為分析技術也只是簡單地從單位時
間狀態事件技術上做了些組合工作,事實上離真正實用的復雜黑客入侵行為的剖析和理解
還有很遠的距離。
對於這種檢測技術的可靠性,我們可以通過自定義的三種可行性很強的攻擊方式來驗
證――插入攻擊、逃避攻擊和拒絕服務攻擊。我們可以看到,當一個入侵者實施了這樣的
入侵策略以後,所謂的入侵檢測系統便妥協了。我們的結論是這種入侵檢測系統不是放之
四海而皆準的,除非它們從根本上被重新設計過。
入侵檢測系統的作用及其功能
真正實用的入侵檢測系統的存在價值就是能夠察覺黑客的入侵行為並且進行記錄和處
理,當然,人們也會根據自己的需求提出需要強大的日誌記錄策略、黑客入侵誘導等等。
不同的入侵檢測系統存在不同的入侵分析特徵。一個企圖檢測Web入侵的系統可能只會
考慮那些常見的惡意HTTP協議請求;同樣道理,一個監視動態路由協議的系統可能只會考
慮網路是否存在RIP欺騙攻擊等等。目前國內市場上的大部分入侵檢測系統使用同一個入侵
行為定義庫,如著名的SNORT特徵庫,這說明我們在技術挖掘方面的投入還不夠,事實上我
國在基礎研究設施的投入上也存在嚴重不足。
入侵檢測系統現在已經成為重要的安全組件,它有效地補充和完善了其他安全技術和
手段,如近乎快過時的基於協議和埠的防火牆。入侵檢測系統為管理人員提供相應的警
告信息、報告可能發生的潛在攻擊,從而抵擋了大部分「只是對系統設計好奇」的普通入
侵者。
世界上已經開發出了很多種入侵檢測系統,我們可以用通用的入侵檢測體系結構(CI
DF:Common Intrusion Detection Framework)來定義常見的入侵檢測系統的功能組件。這
些功能組件通常包括事件產生器、分析引擎、存儲機制、攻擊事件對策。
許多入侵檢測系統在設計之時就僅僅被考慮作為警報器。好在多數商業化的入侵檢測
系統配置了可用的防禦性反攻擊模塊,起碼可以切斷TCP連接或動態地更改互動防火牆過濾
規則。這樣就可以阻止黑客沿著同一路徑繼續他的攻擊行為。一些入侵檢測系統還配置了
很好的攻擊誘騙模塊,可以為系統提供進一步的防護,也為進一步深入研究黑客行為提供
了依據。
IDS到底有那些不足
IDS的基本原理
對於比較普遍的兩種入侵檢測模式--基於網路的入侵檢測和基於主機的入侵檢測,我
們可以這樣考慮:基於主機的入侵檢測系統對於特定主機給予了定製性的保護,對於發生
在本地的、用戶級的、特徵性比較明顯的入侵行為有防範作用。但是,這種模式對於發生
在網路傳輸層的入侵通常是無可奈何的,想讓應用級特徵比較強的系統同時把系統級和網
絡底層技術實現得比較完善是不太現實的。雖然我們可以看到在偉大的Linux系統上實現了
Lids,畢竟象Solaris,NT這樣的系統,我們能夠了解的只是皮毛。
基於網路的入侵檢測系統需要監視整個網路的流量,匹配可疑行為特徵。它的技術實
現通常必須從網路和系統的底層入手,而且它同時保護的是網路上的一批主機,無論它們
使用的什麼系統。基於網路的入侵檢測系統顯然不會關心某一台主機之上正在進行著什麼
操作,只要這些操作數據不會擴散到網路上來。因為網路入侵檢測系統是以行為模式匹配
為基礎的,我們可以斷定它有匹配失誤的可能,有因為不能確定某種行為是入侵而將其放
行的可能。那麼當一個「聰明」的入侵者騙過了這種系統,順利地進入一台主機,該系統
的厄運開始了。
被動的網路監視器通常利用網路的混雜模式工作,它們直接從網路媒介獲得網路中數
據包的拷貝,而不考慮這些包本來是不應該被它們接收的。當然,這種被動的網路底層協
議分析總是「安靜地」存在於網路的某個地方,它只是根據網路媒介提供的這種特徵,在
其他主機不知不覺的時候將網路數據拷貝一份。同時,需要考慮到,根據引擎端實現平台
的不同,各平台實現的網路數據包捕獲機制的不同,在混雜模式下丟包的程度是不同的。
事實上,對於大多數還需要從內核讀取數據的應用級包過濾系統,只能考慮以更快的方式
把數據讀取到用戶空間,進而發送給其它進程。 這樣處理的化,要求從技術上增加用戶空
間的緩沖區尺寸,如在BSD(BPF)的系統上,能夠利用BIOCSBLEN ioctl調用來增加緩沖區尺
寸。
攻擊IDS的原理
入侵檢測系統地最重要的特徵莫過於其檢測的「精確性」。因此IDS要對捕獲到的數據
包進行詳細的分析,所以對IDS的攻擊就是針對IDS在分析數據時的弱點和漏洞。
網路IDS捕獲到網路上傳輸的數據包並進行分析,以便知道一個對象對另一個對象做了
什麼。IDS總是通過網路上交換的數據包來對終端系統上發生的信息行為進行判斷。假設一
個帶有錯誤UDP校驗和的IP數據包,大多數操作系統會丟棄這樣的數據。某些比較陳舊的系
統也可能會接受。IDS需要了解每一個終端系統的具體情況,否則IDS按照自己的方式構造
出來的邏輯在終端系統上的應用會有不同。某些操作系統有可能會接受一個明顯存在問題
的數據包,如允許一個有錯誤的校驗和的IP包。當然,IDS如果不進行分辨,必然會丟掉這
些本來終端系統會接受的數據。
就算IDS系統知道網路都有些什麼操作系統,它也沒有辦法通過查看一個包而知道是否
一個終端系統會接受這個包。原因很簡單,CPU耗盡、內存不足都可能導致系統發生丟包現
象。
IDS全部的信息來源就是它捕獲到的數據包。但是,IDS應該多了解一些關於終端系統
的網路行為,應該了解終端系統如何處理各種網路數據。但是,實際上,這是不可能的。
在處理所謂的拒絕服務攻擊時,存在兩種常見的情況:某些IDS系統在自己處於停機狀
態時,可以保持網路正常的信息流通,這種屬於「fail-open」型;另一種則是「fail-cl
osed」型,即當IDS系統出現問題時,整個網路也隨之癱瘓了。
網路檢測系統是被動的。它們不控制網路本身,也不會以任何方式維護網路的連接。
如果一個IDS系統是fail-open的,入侵者通過各種手段使IDS資源不可用了,那時IDS就沒
有任何防範入侵的作用了。正是因為這樣,IDS系統加強自身抗拒絕服務攻擊的能力顯得極
為重要。
當然,許多攻擊方式討論的都是針對基於嗅探模式的IDS系統。這些類型的攻擊都企圖
阻止協議分析,阻止特徵模式匹配,阻止IDS獲得足夠信息以得出結論。
針對入侵檢測系統弱點的攻擊探討
有時IDS系統會接受終端系統丟棄了的數據包。因為IDS認為終端系統接受並且處理了
這些數據,而事實上終端系統由於種種原因丟棄了這些數據包。一個入侵者就可以利用這
一點,製造那種他所想要入侵的主機會丟棄而IDS系統將接受並作出判斷的數據包,以使I
DS與終端系統得到不同的結論。
我們可以把這種攻擊稱為「插入式」攻擊。道理很簡單,假設一個入侵者發往終端系
統的數據是attack,但是,他通過精心構造在數據流中加入了一個多餘的t。對於終端系統
而言,這個t是被丟掉不被處理的;而對於IDS系統而言,它得到的最終上下文關系是attt
ack,這個結論使IDS認為這次行為並沒有對終端系統形成攻擊而不作處理,事實上,終端
系統已經接受了attack數據。
現在讓我們來分析一下這種方式的攻擊如何阻止特徵分析。特徵分析通常的方式是根
據固定模式判斷某個特定的字串是否被存在於一個數據流中,例如,對待一個phf的HTTP攻
擊,IDS通常檢查這個字串的存在與否,「GET /cgi-bin/phf?」, IDS系統判斷這種情況很
容易,只需要簡單的子串搜索功能便可以做到,然而,但是,如果一個入侵者通過插入式
攻擊的思想在這次HTTP請求中增加了這樣的內容,GET /cgi-bin/pleasedontdetectthisf
orme?,裡面同樣包含了phf,但是在IDS看來,味道已經不一樣了。
插入式攻擊的的結果就是IDS系統與終端系統重組得到了不一樣的內容。通常,插入式
攻擊在IDS沒有終端系統處理數據那麼嚴格的時候都存在。可能好的解決方法就是讓IDS系
統在處理網路中需要重組的數據的時候,作出嚴格的判斷和處理,盡可能地與終端系統處
理地效果一個樣。可是,引來了另外一個問題,這便是另一種攻擊方式,相對地叫做「逃
避式「攻擊模式。
相對的,有些數據包是IDS不會接受的,而終端系統卻會對這些數據作出處理。當然,
IDS由於不接受某些包,而會導致與這些數據相關的上下文關系無法了解。
問題的現象是因為IDS在對數據包進行審核處理的時候過於嚴格,使得往往某些數據在
終端系統而言,是要進行接受重組處理的,而在IDS本身,僅僅是不作處理,導致許多攻擊
在這種嚴格的分析引擎的鼻子地下躲過。
逃避式攻擊和插入式攻擊都有效地愚弄了模式匹配引擎系統。結果都是入侵者使得ID
S與終端系統接受處理了不同的數據流,在逃避式攻擊中,終端系統比IDS接受了更多的內
容而遭受攻擊。
還是上面的phf的例子,入侵者發送了一個HTTP請求,使得原本的GET /cgi-bin/phf?
在IDS處理的結論中變成了GET /gin/f,當然,這個結論對於大多數IDS系統來說,幾乎沒
有任何意義。
從技術上來看, 插入式和逃避式這兩種對付檢測系統的方式也不是這容易就被入侵者
所利用,因為實現這種攻擊要求入侵具備相當的知識面和實踐能力。
現在的許多網路協議是簡單的並且容易分析的。比如一個普通的網路分析器就能夠容易的
判斷一個UDP DNS請求的目的。
其它的一些協議則復雜的多,在得出實際傳輸的內容之前,需要對許多單個的數據包
進行考慮。這樣的話,網路監視器必須總是監視內容的數據流,跟蹤包含在數據流中的信
息。例如,為了解析出一個TCP連接中發生了什麼,必須重組這次連接中的整個數據流。
象TCP這樣的協議,允許在IP最大包尺寸范圍內的任意大小的數據被包含於每一個分散
的數據包中,數據可以無序地到達目的地,每個數據包都具有一個序列號來表明自己在數
據流中的位置。TCP數據流的接受者有責任重新按照序列號進行數據包的重新排序和組合,
並解析出數據發送者的意思。這有一套TCP的數據重組機制來完成。在IP層,IP也定義了一
種自己的機制,叫做「碎片「,這種機制允許主機把一個數據包切分為更小的數據分片。
每一個片都有一個標記,標記自己原來屬於原始數據包的什麼相對位置,叫做」偏移值「
。IP實現允許接受這樣的IP碎片包,並且根據偏移值來重組原始數據包。插入式攻擊通過
增加一些數據包到數據流中導致終端系統重組很困難。被插入的數據包能夠改變數據流的
先後順序,進而阻止IDS正確地處理緊跟著的正確的數據包。包的插入重疊了老的數據,在
IDS系統上重寫了數據流。某些情況下,插入數據包,改變了數據流原來的意思。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
「插入式」和「逃避式」IDS攻擊都不是很容易防範的,除非IDS通過了第二信息源的配合
,能夠對當前監視的網路拓撲結構以及對作為被監視對象的終端系統所能夠接收什麼樣的
數據包進行跟蹤分析,否則問題依然存在,這是目前必須要提出來的對被檢測網路的詮釋
技術,盡可能通過配合第二信息源的方式,讓IDS對它所檢測的網路中的終端系統以及網路
實際環境有一個成熟的了解。如果一個攻擊能夠造成實現插入任意的IP數據包,那麼,插
入一個UDP或者ICMP也是沒有問題的。所以可以看出IDS系統在IP層實現對這兩種入侵手段
的免疫將是很重要的。一個最容易的讓終端系統丟棄IP數據包的方式是讓數據包具有不正
確的IP頭部信息。如RFC731定義。入侵者所使用的這些頭部信息有問題的數據包在現實中
可能會遇到問題,除非攻擊對象IDS系統處在同一個區域網之內,例如如果version域不是
4,而是其他的值,這種數據包實際上是不會被路由的。當然,對於其他的一些域值,比如
IP包長度或者IP頭長度,一個不規范的長度將阻止IDS系統正確定位IP中的傳輸層的位置等
。
在IP頭域信息中,最容易被忽略的是校驗值。似乎對於一個IDS系統去校驗每一個捕獲的I
P數據包的校驗是沒有必要的。然而,一個帶有病態的校驗值的數據報對於大多數IP實現來
說都是不會被處理的。一個IDS系統在設計的時候考慮到有問題的校驗了么?如果沒有考慮
到校驗的必要性,那麼很難避免「插入式「攻擊。TTL域表示了一個數據包在到達目的系統
的過程中需要經過多少路由器。每一次,一個路由器轉發一個數據包,數據包所帶的TTL信
息將會被消耗。TTL消耗盡時,包也被丟棄了。所以,入侵者可以構建一個TTL的值,使得
發送的數據包剛好可以到達IDS系統,但是TTL剛好耗盡了,數據本來應該到達的目標卻沒
有到。相類似的另一個問題與IP頭部的DF標志有關。DF標志置位使得轉發設備即便是在包
超出標准大小尺寸的時候也不要對數據進行IP分片,緊緊通知簡單的丟棄掉這些包。
這兩個不明確的問題的解決要求IDS系統能夠了解它所監視的網路拓撲結構。
IP校驗和問題很好解決;一個IDS系統可以假設如果校驗和是錯誤的,那麼數據包將會被目
標系統所不接受。而IP的選項域的存在又導致一些不同的可能性。許多操作系統可以配置
為自動拒絕源路由數據包。除非IDS了解是否一個源路由數據包的目標主機拒絕這樣的數據
包,否則不可能正確處理這樣情況。
對IP數據包中的源路由項進行檢查或許是一個明顯的必要。然而,其他的一些選項也是必
須應該考慮的。例如,「timestamp「選項要求特定的數據包的接受者在數據包里放置一個
時間戳標記。如果這個選項出現問題,處理事件戳選項的代碼將強迫丟棄這個包。如果ID
S沒有如同終端系統那樣核實時間戳選項的話,便存在問題。
同一個LAN上的入侵者能夠指引鏈路層的數據幀到IDS系統,不必允許作為IP目標的主機看
到這個包。如果一個入侵者知道了IDS的MAC地址,他便能將他的欺騙包發往IDS系統,LAN
上的其他系統不會處理這個數據包,但是,如果IDS不檢查接受到的數據包的MAC地址,它
是不會知道發生了什麼情況的。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
因為終端系統將重組IP碎片,所以IDS系統能夠進行IP碎片重組也是重要的。一個不能正確
的重組碎片的IDS系統將是容易受到攻擊的,入侵者僅僅通過人工生產碎片便可以愚弄IDS
。IP碎片的數據流通常有序到達。但是,協議允許碎片以任何次序到達。一個終端系統必
須能夠重組無序到達的數據包分片。 IDS系統如果不能處理IP碎片無序到達這種情況的話
,也是存在問題的;一個入侵者能夠故意搗亂他的碎片來逃避IDS檢測。而且IDS必須在全
部的碎片都被接收到以後才進行碎片重組。當然了,接收到的分片必須被存儲下來,直到
分片流可以被重組為一個完整的IP數據包。一個入侵者如果利用分片的形式來對網路進行
flooding攻擊,那麼IDS系統通常會資源耗盡。
每個終端系統也必須處理這個問題。許多系統根據TTL來丟棄分片,而避免這種由於大量碎
片請求造成的內存不足。許多入侵者能夠刻意地通過構造病態的IP分片躲避傳統的包過濾
器,他們使用的是盡可能小的分片包,因為單個的分片所包含的數據不足以達到過濾規則
的長度。另外,出現的問題是重疊的分片處理問題,可能性是這樣的,具有不同尺寸和分
片先後到達系統,並且分片的數據位置處於重疊狀態,既是說,如果一個分片遲於另外一
個分片達到系統,兩個分片對於重組參數來說是同一個,這時新到的數據可能會覆蓋掉已
經先到達的老的一些數據。這便又提出了一個問題,如果一個IDS系統沒有能夠以它所監視
和保護的終端系統處理分片的方式處理分片包的話,可能面對同一個數據分片流,IDS系統
將重組出於終端系統得到的安全不同的數據包。一個了解這種IDS與終端系統之間矛盾的入
侵者可能會採用這種入侵方式。對於重疊分片的取捨是更加復雜的,對於這些又沖突的分
片數據是否被採納往往取決於他們所在的位置,而根據不同的操作系統的對IP碎片重疊情
況的不同處理也不一樣。有些情況,新的數據被承認而有的時候是舊的被承認,而新的被
丟棄。當然,IDS不能正確分析這種情況,將面臨「逃脫」式攻擊。
IDS系統並不是處理這種重疊分片出現問題的唯一IP實現,終端系統的IP驅動程序同樣會有
問題。或許正是因為IP碎片重組的困難和復雜才使得出現了那麼多不正確的處理。所以,
除非一個IDS系統准確的知道它所監視的系統都是什麼不同的IP驅動,否則精確地重組每一
個系統接受地數據是不可能的。
例如:Windows NT在處理重疊分片時,總是保留已有的數據。這與BSD4.4剛好相反。
IP包的選項域是應該考慮到的。當一個IP包被分片時,來自於原始數據包的選項是否應該
被攜帶到全部的分片中去。RFC791聲明某些IP選項如(security)將出現在每一個分片里
,而其它的一些必須只出現在第一個分片中。對於嚴格的IP實現將丟棄那些具有不正確選
項的分片。但是IDS許多系統不是這樣的。如果IDS沒能象終端系統那樣精確的處理這種情
況的話,將面臨前面提到的兩類攻擊。
對於IP第四代協議,現實是任何人都可以進行IP地址偽造。使IDS系統判斷出來好像是來自
多處的攻擊。對於無連接的協議來說,更為嚴重。
在面向連接的協議中,關於一次連接回話的起源問題基於是否一個可用的連接被產生了;
象TCP這樣的連接協議使用了序列號機制,這種機制提供了一種確認方法, 可是,對於無
連接協議,這種相對嚴格的確認機制卻是沒有的;可以看到,一個入侵DNS的破壞者其實可
以是來自任何地方。看來,IDS系統的管理者對於IDS系統給出的網路地址的准確性是應該
仔細考慮的。事實上,被IDS檢測到的大部分攻擊是通過TCP連接的。所以,IDS對TCP會話
數據流的重組能力成為關鍵。而假如IDS沒有能夠使用與它所檢測的網路中的終端系統同樣
的重組規則的話,將是脆弱的。對於正常的TCP連接,就像一次由遠程登錄發起的連接,這
很容易做到的。也存在許多實現TCP連接監視的方法。對於IDS而言,沒有一個對捕獲到的
TCP數據流如何進行處理的標准規范成了最主要的問題。
IDS系統為了能夠重建TCP連接的信息,TCP片段使用的序列號信息是必須知道的。我們可以
把這種IDS去判斷當前連接的可用序列號的過程叫「同步」。當然,在判斷序列號時出現問
題,可以叫「失去同步」。當IDS系統在一次TCP連接中失去序列號同步了,就不能夠對這
次連接的信息數據進行有效的重組了。在許多情況下,IDS系統由此變得不再處理這一次連
接中的任何數據信息。所以,入侵者通常把讓IDS系統失去同步作為一個主要目標。
TCP標準定義了一個流控制機制,用來阻止建立連接的一方發送過多的數據到連接的另外一
方;IDS追蹤TCP連接的每一方的window域的值。TCP也允許數據流中發送所謂的OOB數據(
帶外數據),它利用了定義的緊急指針。
對於網路中的終端系統,與之相關的每次連接的狀態信息的收集處理是沒有問題的,每種
TCP實現必須管理自己的TCB――TCP控制塊,以便理解那一次建立的連接情況。一個網路I
DS系統也必須能夠維護它所監視的每一次連接對應的TCB。
任何網路IDS系統都定義了針對所探測到的新的TCP連接而產生TCB的機制,同時也對那些不
再有關的連接進行釋放和消除工作。在討論IDS的TCP問題中,我們獨立地分析三個方面,
可以看到,在IDS處理這三種情況時可能出現問題。首先是TCP creation,通過它IDS決定對
一個新探測到地TCP連接產生TCB;其次是數據流重組,IDS根據它所維護地TCB信息對數據
流進行重組,當然這一步受到上一步地關聯;再者是TCB拆卸,IDS通過它撤銷一個TCB。通
過分析可以看到,「插入式」攻擊的實現將影響到以上提到的幾個方面,插入式攻擊使得
IDS系統分不清到底什麼數據事實上到達了終端系統。比如在數據流重組上下文關系中,數
據插入式攻擊使得一次可靠的TCP會話監視幾乎成為不可能的事;所以說IDS能夠針對插入
式攻擊做處理是非常重要的也是很難實現的。
對於IP協議,可以有幾種不同的方法可以實現往IDS系統中插入數據包,而對於TCP,問題
會復雜一些,但是同樣有一些手段能夠導致IDS去主動丟棄某些特定的數據包,以達到入侵
者的目的,無論如何,如果一個IDS系統不能夠以它所監視的終端相同的方式來處理TCP包
的話,對待」插入式「將受到威脅。
在一次TCP交互中,如果接收方對應回應了一個信息,那麼一個TCP片段就是被認可的,我
們進一步可能分析回應的是RST信息還是ACK信息。IDS能夠通過對這些認可信息的辨識判斷
一個片段是否是存在問題的。包含在TCP包裡面的數據能夠被提取出來進行重組,而不去考
慮TCP的頭域的某些部分。這種不嚴格的處理情況使得容易做出對於「插入式「攻擊手段顯
得脆弱的TCP會話監視器,所以,在處理TCP數據的時候,先嚴格考慮TCP頭域的信息可用性
顯得很重要了。一個極易被忽略的頭域是「CODE「,這個頭域決定了TCP片段中發送的信息
的類型。這個域是一系列二進制標志位。可以看到,某些標志位的組合是不正常的,通常
在網路中導致包被丟棄掉。另外,許多TCP實現就不去接收沒有ACK位被設置的TCP片段中的
數據信息。
根據TCP的標準定義,TCP實現應該接受包含在SYN類型片段中的數據信息。而對這種定義的
理解卻變成了多種味道,導致一些TCP實現沒有正確地處理這類信息。如果一個IDS系統沒
能考慮SYN數據,那麼一個隨便的「逃避式」攻擊就可以對它進行威脅;反之,如果這個I
DS系統能夠很好地考慮SYN數據了,在針對某些沒有正確實現這種定義的終端系統的時候,
它顯得當不住入侵者刻畫的「插入式」攻擊。
另外的經常被忽略的TCP輸入處理問題是校驗和,全部的TCP實現被強制性地要求驗證網路
校驗,許多IDS系統不能做這種檢查;所以通過構建有錯誤校驗值的TCP片段就可以簡單地
插入數據包到IDS系統。
就像處理IP的選項域一樣,IDS能夠正確的處理TCP的選項域也是十分重要的。可是不幸的
是,由於TCP的選項域某些內容被產生和利用的時間還比較短,如timestamp、windows sc
ale這些選項;另外對於何時TCP的選項能夠出現在連接的上下文中,TCP有專門的規定。某
些選項在某些連接狀態或許就是不可用或者是非法的。RFC1323[13]中介紹了兩個TCP的選
項,這兩個選項被設計來增加TCP在高速環境下的可靠性和性能。但是規定這些選項僅僅可
以出現在非SYN的分段之中。
因為某些TCP實現會拒絕包含了這些沒有見過的選項的非SYN片段,所以IDS也不可盲目的都
接受這些有選項的數據包。另外,也有一些終端系統通過忽略這些選項,繼續處理這些數
據包;所以,可見IDS必須清楚地知道終端系統是如何處理各種數據包的,才能以相對於特
定的終端系統正確的處理方式來進行處理而避免如插入和逃避式攻擊。
RFC1323 定義了的另外一個叫做PAWS的概念,全稱是「protection against wrapped seq
uence numbers」。使用PAWS的系統將會跟蹤分段中的timestamps選項;根據分段中的tim
estamps響應值判斷數據包是否被丟棄,一個入侵者可以很簡單的產生一個人工的timesta
mp值,目的是使得支持PAWS的TCP堆棧不用作出進一步的處理就丟棄這個數據包。IDS不僅
僅需要知道是否終端系統支持PAWS,而且還需要知道終端系統對於timestamps的threshol
d的值是什麼。如果沒有這些信息,IDS將會錯誤地處理不正確地TCP片段,或者對一個片段
的合法性作出錯誤的猜測。如前面提到的三點,其中TCB creation(可以叫作TCB創造)是
第一點。一個IDS系統TCB創造策略決定了IDS如何開始記錄一次給定的TCP連接的數據信息
,比如象序列號等。這使得IDS可以同步一次需要監視的TCP會話。然而TCB創造是個麻煩的
問題。可以用多種方法可以被利用來判斷何時打開一個TCB,但是,這些方法中的每一個似
乎證明都是有問題的。TCB創造建立一次連接的初始化狀態,包括了連接序列號等信息;通
過對IDS的TCB的欺騙行為,入侵者能夠破壞那些與這一次被利用的連
Ⅲ 資料庫總是被攻擊,怎樣解決
所有這些入侵都有可能繞過前台安全系統並對數據來源發起攻擊。 為了對付這類威脅,新一級別的安全脫穎而出,這就是應用安全。這種安全技術將傳統的網路和操作系統級入侵探測系統(IDS)概念應用於資料庫(即應用)。與通常的網路或操作系統解決方案不同的是,應用IDS提供主動的、針對SQL的保護和監視,可以保護數以千計的預先包裝或自行開發的Web應用。例如,應用IDS可以監視和防護關鍵的數據,使那些針對資料庫的攻擊,如緩沖區溢出和Web應用攻擊等無法對資料庫造成真正的損害,而且應用IDS還可以對這些事件進行審查。 應用安全與網路和主機安全之間存在很大的區別。應用是千差萬別的,但攻擊的目標總是相同的,也就是入侵資料庫。由於應用使用SQL與資料庫進行通信,因此好的應用IDS應當能夠解析SQL,並且提供一種能夠理解流量的內容,且又能與應用劃清界線的客觀保護層。 多數應用IDS都有三個組件。第一個是基於網路或主機的感測器。網路感測器連接到交換機上的一個埠上,該埠的配置決定它可以查看到資料庫內的所有流量。相比之下,主機感測器直接駐留在應用上。感測器可以收集SQL交易並對其進行解析,然後決定是否應當針對該流量發出警報。如果有必要發出警告,警告會被傳遞給下一個組件,即控制台伺服器。這台伺服器存儲事件信息,並且是策略配置和升級等感測器維護活動的中心點。應用IDS中的第三個組件是Web瀏覽器,管理員可以利用它來修改IDS設置、實時監視事件並生成報告。 以SQL注入攻擊為例,攻擊者會試圖繞過Web伺服器定義的SQL語句,目的就是要注入自己的語句。假設要輸入的用戶名為Bob,口令為Hardtoguess。 當看到這些輸入的內容後,資料庫就會找到WebUsers 行中與之匹配的內容,然後該應用會對用戶進行驗證。為了入侵資料庫,SQL注入攻擊會欺騙應用,並使之相信自己已經提交了正確的證書。例如,攻擊使用的口令是『blah』或『A』=『A』,因此攻擊時創建的SQL語句可能會是:SELECT * FROM WebUsers WHERE Username=『Bob』 AND Password=『blah』 OR『A』=『A』。 從邏輯上來分析『A』=『A』永遠都是TRUE,而WHERE子句也可以匹配所有的行,就這樣,攻擊者在根本沒有正確用戶名或口令的情況下也能矇混過關,得到驗證。應用伺服器會接受輸入的信息並且允許攻擊者通過。接下來,應用伺服器會通過SQL命令從資料庫中請求數據。 這只是應用層攻擊的一個簡單例子,而且今天的許多公司都在面臨這樣的威脅。
Ⅳ ids攻擊是什麼意思(高手回答)
IDS是電腦入侵檢測系統的意思
IDS攻擊就是通過發送大量的ping包(你可以簡單理解為瘋狂發送數據包),導致有ids的電腦系統崩潰,然後進一步可以進行其他入侵,這樣由於ids崩潰就無法防禦了
Ⅳ 入侵檢測系統如何搭建
可以這樣做:給網站加一個防護產品,比如這個:WAF類的,然扣模擬入侵,可以用工具也可以手動。然後,從這個產品的後台查看防護記錄,就可以看到入侵記錄
Ⅵ 漫談如何正確使用「網路入侵檢測系統」求解
隨著網路安全風險系數不斷提高,曾經作為最主要的安全防範手段的防火牆,已經不能滿足人們對網路安全的需求。 作為對防火牆及其有益的補充,IDS(入侵檢測系統)能夠幫助網路系統快速發現網路攻擊的發生,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
IDS被認為是防火牆之後的第二道安全閘門,它能在不影響網路性能的情況下對網路進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 伴隨著計算機網路技術和互聯網的飛速發展,網路攻擊和入侵事件與日俱增,特別是近兩年,政府部門、軍事機構、金融機構、企業的計算機網路頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網路進行攻擊和入侵,如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝後門監聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構和企業帶來了巨大的經濟損失和形象的損害,甚至直接威脅到國家的安全。 一、存在的問題 攻擊者為什麼能夠對網路進行攻擊和入侵呢?原因在於,我們的計算機網路中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,主要表現在操作系統、網路服務、TCP/IP協議、應用程序(如資料庫、瀏覽器等)、網路設備等幾個方面。正是這些弱點、漏洞和不安全設置給攻擊者以可乘之機。另外,由於大部分網路缺少預警防護機制,即使攻擊者已經侵入到內部網路,侵入到關鍵的主機,並從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。 那麼,我們如何防止和避免遭受攻擊和入侵呢?首先要找出網路中存在的安全弱點、漏洞和不安全的配置;然後採用相應措施堵塞這些弱點、漏洞,對不安全的配置進行修正,最大限度地避免遭受攻擊和入侵;同時,對網路活動進行實時監測,一旦監測到攻擊行為或違規操作,能夠及時做出反應,包括記錄日誌、報警甚至阻斷非法連接。 IDS的出現,解決了以上的問題。設置硬體防火牆,可以提高網路的通過能力並阻擋一般性的攻擊行為;而採用IDS入侵防護系統,則可以對越過防火牆的攻擊行為以及來自網路內部的違規操作進行監測和響應。 二、IDS日顯重要 目前,隨著IDS技術的逐漸成熟,在整個安全部署中的重要作用正在被廣大用戶所認可和接受。為了確保網路安全,必須建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。IDS就是安全防護體系中重要的一環,它能夠及時識別網路中發生的入侵行為並實時報警。IDS是繼「防火牆」、「信息加密」等傳統安全保護方法之後的新一代安全保障技術。它監視計算機系統或網路中發生的事件,並對它們進行分析,以尋找危及機密性、完整性、可用性或繞過安全機制的入侵行為。IDS就是自動執行這種監視和分析過程的安全產品。 IDS的主要優勢是監聽網路流量,不會影響網路的性能。雖然在理論上,IDS對用戶不是必需的,但它的存在確實減少了網路的威脅。有了IDS,就像在一個大樓里安裝了監視器一樣,可對整個大樓進行監視,用戶感覺很踏實,用IDS對用戶來說是很值得的。
Ⅶ ips和防火牆有哪些區別
ips和防火牆區別一:
1、基礎防火牆類,主要是可實現基本包過濾策略的防火牆,這類是有硬體處理、軟體處理等,其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略。
2、IDS類,此類產品基本上以旁路為主,特點是不阻斷任何網路訪問,主要以提供報告和事後監督為主,少量的類似產品還提供TCP阻斷等功能,但少有使用。
3、IPS類,解決了IDS無法阻斷的問題,基本上以在線模式為主,系統提供多個埠,以透明模式工作。在一些傳統防火牆的新產品中也提供了類似功能,其特點是可以分析到數據包的內容,解決傳統防火牆只能工作在4層以下的問題。和IDS一樣,IPS也要像防病毒系統定義N種已知的攻擊模式,並主要通過模式匹配去阻斷非法訪問。
4、主動安全類,和前面的產品均不同,主動安全產品的特點是協議針對性非常強,比如WAF就是專門負責HTTP協議的安全處理,DAF就是專門負責資料庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對於不認識的業務訪問全部隔離。
在這幾類產品中,就可以分辨出什麼是主動安全,什麼是被動安全。從安全的最基本概念來說,首先是關閉所有的通路,然後再開放允許的訪問。因此,傳統防火牆可以說是主動安全的概念,因為默認情況下是關閉所有的訪問,然後再通過定製策略去開放允許開放的訪問。但由於其設計結構和特點,不能檢測到數據包的內容級別,因此,當攻擊手段到達應用層面的時候,傳統的防火牆都是無能為力的。IDS就不講了,不能阻斷只能是一個事後監督機制,因此在其後出現的IPS,基本上所有的IPS系統都號稱能檢查到數據包的內容,但犯了一個致命的錯誤,就是把安全的原則反過來了,變成默認開放所有的訪問,只有自己認識的訪問,才進行阻斷。從另外一個方面,由於在線式造成的性能問題,也不能像殺毒軟體一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設,通常只是當作一個防DDOS的設備存在。IPS尤其對於未知的,不再其安全庫內的攻擊手段,基本上都是無能為力的。
在主動安全的體系中,徹底改變了IPS 的致命安全錯誤。其工作在協議層上,通過對協議的徹底分析和Proxy代理工作模式,同時,結合對應用的訪問流程進行分析,只通過自己認識的訪問,而對於不認識的訪問,則全部進行阻斷。比如在頁面上的一個留言板,正常人登錄都是填入一些留言,提問等,但黑客則完全可能填入一段代碼,如果伺服器端的頁面存在漏洞,則當另外一個用戶查看留言板的時候,則會在用戶完全不知道的情況下執行這段代碼,標准叫法,這叫做跨站攻擊。當這段代碼被執行後,用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果採用防火牆或者IPS,對此類攻擊根本沒有任何處理辦法,因為攻擊的手段、代碼每次都在變化,沒有特徵而言。而在採用主動安全的系統中,則可以嚴格的限制在留言板中輸入的內容,由此來防範此類跨站攻擊。又如常見的認證漏洞,可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問,這些內容在防火牆或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣,只是沒有經過登錄流程而已,因此不能進行防護,在主動安全體系裡,可以對用戶的訪問進行流程限定,比如訪問一些內容必須是在先通過了安全認證之後才能訪問,並且必須按照一定的順序才能執行。因此,工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
ips和防火牆區別二:
IDS技術
根據採集數據源的不同,IDS可分為主機型IDS(Host-based IDS,HIDS)和網路型IDS(Network-based IDS,NIDS)。
HIDS和NIDS都能發現對方無法檢測到的一些入侵行為,可互為補充。完美的IDS產品應該將兩者結合起來。目前主流IDS產品都採用HIDS和NIDS有機結合的混合型IDS架構。
傳統的入侵檢測技術有:
ips和防火牆區別1、模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,來發現違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關的數據集合就能進行判斷,能減少系統佔用,並且技術已相當成熟,檢測准確率和效率也相當高。但是,該技術需要不斷進行升級以對付不斷出現的攻擊手法,並且不能檢測未知攻擊手段。
ips和防火牆區別2、異常檢測
異常檢測首先給系統對象(用戶、文件、目錄和設備等)創建一個統計描述,包括統計正常使用時的測量屬性,如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網路、系統的行為進行比較,當觀察值在正常值范圍之外時,IDS就會判斷有入侵發生。異常檢測的優點是可以檢測到未知入侵和復雜的入侵,缺點是誤報、漏報率高。
ips和防火牆區別3、完整性分析
完整性分析關注文件或對象是否被篡改,主要根據文件和目錄的內容及屬性進行判斷,這種檢測方法在發現被更改和被植入特洛伊木馬的應用程序方面特別有效。完整性分析利用消息摘要函數的加密機制,能夠識別微小變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要攻擊導致文件或對象發生了改變,完整性分析都能夠發現。完整性分析一般是以批處理方式實現,不用於實時響應。入侵檢測面臨的問題
1、誤報和漏報
IDS系統經常發出許多假警報。誤警和漏警產生的原因主要有以下幾點:
● 當前IDS使用的主要檢測技術仍然是模式匹配,模式庫的組織簡單、不及時、不完整,而且缺乏對未知攻擊的檢測能力;
● 隨著網路規模的擴大以及異構平台和不同技術的採用,尤其是網路帶寬的迅速增長,IDS的分析處理速度越來越難跟上網路流量,從而造成數據包丟失;
● 網路攻擊方法越來越多,攻擊技術及其技巧性日趨復雜,也加重了IDS的誤報、漏報現象。
2、拒絕服務攻擊
IDS是失效開放(Fail Open)的機制,當IDS遭受拒絕服務攻擊時,這種失效開放的特性使得黑客可以實施攻擊而不被發現。
3、插入和規避
插入攻擊和規避攻擊是兩種逃避IDS檢測的攻擊形式。其中插入攻擊可通過定製一些錯誤的數據包到數據流中,使IDS誤以為是攻擊。規避攻擊則相反,可使攻擊躲過IDS的檢測到達目的主機。插入攻擊的意圖是使IDS頻繁告警(誤警),但實際上並沒有攻擊,起到迷惑管理員的作用。規避攻擊的意圖則是真正要逃脫IDS的檢測,對目標主機發起攻擊。黑客經常改變攻擊特徵來欺騙基於模式匹配的IDS。
IDS發展趨勢
在安全漏洞被發現與被攻擊之間的時間差不斷縮小的情況下,基於特徵檢測匹配技術的IDS已經力不從心。IDS出現了銷售停滯,但IDS不會立刻消失,而是將IDS將成為安全信息管理(SIM)框架的組成部分。在SIM框架中,IDS的作用可以通過檢測和報告技術得到加強。分析人士指出,IDS的作用正轉變為調查取證和安全分析。大約5年後,一致性安全管理以及內核級的安全技術將共同結束基於特徵檢測的IDS技術的使命。
美國網路世界實驗室聯盟成員Joel Snyder認為,未來將是混合技術的天下,在網路邊緣和核心層進行檢測,遍布在網路上的感測設備和糾正控制台通力協作將是安全應用的主流。
一些廠商通過將IDS報警與安全漏洞信息進行關聯分析,著手解決IDS的缺陷。SIM廠商在實現安全信息分析的方式上開始採取更加模塊化的方法,將安全漏洞管理、異常檢測、網路評估、蜜罐模塊與IDS模塊搭配在一起,以更好地確定和響應安全事件。IPS主動防護
盡管IDS是一種受到企業歡迎的解決方案,它還是不足以阻斷當今互聯網中不斷發展的攻擊。入侵檢測系統的一個主要問題是它不會主動在攻擊發生前阻斷它們。同時,許多入侵檢測系統基於簽名,所以它們不能檢測到新的攻擊或老式攻擊的變形,它們也不能對加密流量中的攻擊進行檢測。
而入侵防護系統(Intrution Protection System,IPS)則傾向於提供主動性的防護,其設計旨在預先對入侵活動和攻擊性網路流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中而實現這一功能的,即通過一個網路埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個埠將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的後續數據包,都能夠在IPS設備中被清除掉。
簡單地理解,IPS等於防火牆加上入侵檢測系統,但並不是說IPS可以代替防火牆或入侵檢測系統。防火牆是粒度比較粗的訪問控制產品,它在基於TCP/IP協議的過濾方面表現出色,而且在大多數情況下,可以提供網路地址轉換、服務代理、流量統計等功能。
和防火牆比較起來,IPS的功能比較單一,它只能串聯在網路上,對防火牆所不能過濾的攻擊進行過濾。一般來說,企業用戶關注的是自己的網路能否避免被攻擊,對於能檢測到多少攻擊並不是很熱衷。但這並不是說入侵檢測系統就沒有用處,在一些專業的機構,或對網路安全要求比較高的地方,入侵檢測系統和其他審計跟蹤產品結合,可以提供針對企業信息資源的全面審計資料,這些資料對於攻擊還原、入侵取證、異常事件識別、網路故障排除等等都有很重要的作用。
IPS目前主要包含以下幾種類型:1、基於主機的入侵防護(HIPS),它能夠保護伺服器的安全弱點不被不法分子所利用;2、基於網路的入侵防護(NIPS),它可通過檢測流經的網路流量,提供對網路系統的安全保護,一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話;3、應用入侵防護,它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。IPS面臨的挑戰
IPS 技術需要面對很多挑戰,其中主要有三點。
1、單點故障。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的應用。
2、性能瓶頸。即使 IPS設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。
3、誤報和漏報。誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理36000條警報,一天就是864000條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那麼「誤報」就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時在線的IPS來說,一旦攔截了「攻擊性」數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連接到企業網路的合法訪問都會被「盡職盡責」的IPS攔截。
IDS和IPS將共存
雖然IPS具有很大的優勢,然而美國網路世界實驗室聯盟成員Rodney Thayer認為,在報告、分析等相關技術完善得足以防止虛假報警之前,IPS不可能取代IDS設備。IPS可能將取代外圍防線的檢測系統,而網路中的一些位置仍然需要檢測功能,以加強不能提供很多事件信息的IPS。現在市場上的主流網路安全產品可以分為以下幾個大類:
1、基礎防火牆類,主要是可實現基本包過濾策略的防火牆,這類是有硬體處理、軟體處理等,其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略。
2、IDS類,此類產品基本上以旁路為主,特點是不阻斷任何網路訪問,主要以提供報告和事後監督為主,少量的類似產品還提供TCP阻斷等功能,但少有使用。
3、IPS類,解決了IDS無法阻斷的問題,基本上以在線模式為主,系統提供多個埠,以透明模式工作。在一些傳統防火牆的新產品中也提供了類似功能,其特點是可以分析到數據包的內容,解決傳統防火牆只能工作在4層以下的問題。和IDS一樣,IPS也要像防病毒系統定義N種已知的攻擊模式,並主要通過模式匹配去阻斷非法訪問。
4、主動安全類,和前面的產品均不同,主動安全產品的特點是協議針對性非常強,比如WAF就是專門負責HTTP協議的安全處理,DAF就是專門負責資料庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對於不認識的業務訪問全部隔離。
在這幾類產品中,就可以分辨出什麼是主動安全,什麼是被動安全。從安全的最基本概念來說,首先是關閉所有的通路,然後再開放允許的訪問。因此,傳統防火牆可以說是主動安全的概念,因為默認情況下是關閉所有的訪問,然後再通過定製策略去開放允許開放的訪問。但由於其設計結構和特點,不能檢測到數據包的內容級別,因此,當攻擊手段到達應用層面的時候,傳統的防火牆都是無能為力的。IDS就不講了,不能阻斷只能是一個事後監督機制,因此在其後出現的IPS,基本上所有的IPS系統都號稱能檢查到數據包的內容,但犯了一個致命的錯誤,就是把安全的原則反過來了,變成默認開放所有的訪問,只有自己認識的訪問,才進行阻斷。從另外一個方面,由於在線式造成的性能問題,也不能像殺毒軟體一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設,通常只是當作一個防DDOS的設備存在。IPS尤其對於未知的,不再其安全庫內的攻擊手段,基本上都是無能為力的。
在主動安全的體系中,徹底改變了IPS 的致命安全錯誤。其工作在協議層上,通過對協議的徹底分析和Proxy代理工作模式,同時,結合對應用的訪問流程進行分析,只通過自己認識的訪問,而對於不認識的訪問,則全部進行阻斷。比如在頁面上的一個留言板,正常人登錄都是填入一些留言,提問等,但黑客則完全可能填入一段代碼,如果伺服器端的頁面存在漏洞,則當另外一個用戶查看留言板的時候,則會在用戶完全不知道的情況下執行這段代碼,標准叫法,這叫做跨站攻擊。當這段代碼被執行後,用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果採用防火牆或者IPS,對此類攻擊根本沒有任何處理辦法,因為攻擊的手段、代碼每次都在變化,沒有特徵而言。而在採用主動安全的系統中,則可以嚴格的限制在留言板中輸入的內容,由此來防範此類跨站攻擊。又如常見的認證漏洞,可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問,這些內容在防火牆或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣,只是沒有經過登錄流程而已,因此不能進行防護,在主動安全體系裡,可以對用戶的訪問進行流程限定,比如訪問一些內容必須是在先通過了安全認證之後才能訪問,並且必須按照一定的順序才能執行。因此,工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
另外,在通常情況下,安全訪問都採用SSL進行通道連接,傳統的IPS根本無法看到用戶的訪問,從而造成形同虛設的安全網關
Ⅷ 防火牆/UTM、USG、IDS、ACE、NPE、EG、WG)在網路安全方面應用的聯系和區別
其實我也不知道.
防火牆主要是防禦/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、Large ICMP報文攻擊、地址掃描攻擊和埠掃描攻擊等多種惡意攻擊.
UTM是統一威脅管理。除了有防火牆的防禦功能,可以通過購買產品服務庫,來做不同的管理應用。說白了就是除了防禦還能有效的控制上網者的行為。比如 對QQ 迅雷等軟體做限制。
USG也是防火牆。除了USG低調的幾款,其他的USG設備都可以購買服務庫,實現UTM的特性。另外USG還有路由安全網關,這個主要是做路由的。但是還帶防火牆功能。
IDS是入侵檢測系統,主要是對依照一定的安全策略,通過軟、硬體,對網路、系統的運行狀況進行監視。說簡單些,防火牆是用來防禦的,IDS就是用來監控的,來發現各類攻擊以保證網路系統資源的機密性、完整性和可用性。
ACE,NPE,EG就不懂了。
WG是銳捷出的防火牆。主要用途是保護門戶網站不受篡改的。就是web防火牆。
防火牆/UTM我是基於H3C出品的來說的。
USG是基於華賽出品來說的。
IDS其實在H3C產品系列裡面是 IPS。
防火牆也好,UTM也好,USG也好並不能百分之百的防護病毒的攻擊。只能通過策略,最大程度的防禦。
Ⅸ 如何防範伺服器被攻擊
不管哪種DDoS攻擊,,當前的技術都不足以很好的抵禦。現在流行的DDoS防禦手段——例如黑洞技術和路由器過濾,限速等手段,不僅慢,消耗大,而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊,防火牆提供的保護也受到其技術弱點的限制。其它策略,例如大量部署伺服器,冗餘設備,保證足夠的響應能力來提供攻擊防護,代價過於高昂。
黑洞技術
黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程,將改向的包引進「黑洞」並丟棄,以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄,所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務,攻擊者因而獲得勝利。
路由器
許多人運用路由器的過濾功能提供對DDoS攻擊的防禦,但對於現在復雜的DDoS攻擊不能提供完善的防禦。
路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊,例如ping攻擊。這需要一個手動的反應措施,並且往往是在攻擊致使服務失敗之後。另外,現在的DDoS攻擊使用互聯網必要的有效協議,很難有效的濾除。路由器也能防止無效的或私有的IP地址空間,但DDoS攻擊可以很容易的偽造成有效IP地址。
基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊,因為uRPF的基本原理是如果IP地址不屬於應該來自的子網網路阻斷出口業務。然而,DDoS攻擊能很容易偽造來自同一子網的IP地址,致使這種解決法案無效。
防火牆
首先防火牆的位置處於數據路徑下游遠端,不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護,從而將那些易受攻擊的組件留給了DDoS攻擊。此外,因為防火牆總是串聯的而成為潛在性能瓶頸,因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。
其次是反常事件檢測缺乏的限制,防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話,然後只接收「不幹凈」一側期望源頭發來的特定響應。然而,這對於一些開放給公眾來接收請求的服務是不起作用的,比如Web、DNS和其它服務,因為黑客可以使用「被認可的」協議(如HTTP)。
第三種限制,雖然防火牆能檢測反常行為,但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到,防火牆能停止與攻擊相聯系的某一特定數據流,但它們無法逐個包檢測,將好的或合法業務從惡意業務中分出,使得它們在事實上對IP地址欺騙攻擊無效。
IDS入侵監測
IDS解決方案將不得不提供領先的行為或基於反常事務的演算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整,而且經常誤報,並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。
作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊,但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器,但正如前面敘述的,這對於緩解DDoS攻擊效率很低,即便是用類似於靜態過濾串聯部署的IDS也做不到。
DDoS攻擊的手動響應
作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該消息來源。對於地址欺騙的情況,嘗試識別消息來源是一個長期和冗長的過程,需要許多提供商合作和追蹤的過程。即使來源可被識別,但阻斷它也意味同時阻斷所有業務——好的和壞的。