欢迎来到天天文库
浏览记录
ID:22839082
大小:79.00 KB
页数:14页
时间:2018-10-31
《nids的局限性》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、NIDS的局限性~教育资源库 网络入侵探测系统不是非常可靠,公认只能做主要安全系统的一个补充; 主系统如防火墙,加密和授权是非常可靠的,一些bug或者错误的设置可能会导致这些系统出问题;但是它们最底层的原理都经验证是准确的。但NIDS底层的原理就不是完全准确的; 所有的入侵探测系统都会有这两个问题:为什么正常的工作会有许多的错误告警; 为什么仔细的hacker可以躲开IDS或者使IDS无效;当然,可以找出很多的例子来表明NIDS是不准确的。 但这并不表示入侵探测系统就是没用的。在当今的网络中,攻击如此普遍,以致人们在第一次安装这样的系统时,通常都会大吃一惊(无论是在防火墙外还是防火
2、墙内); 一个好的IDS系统可以很好的提高一个站点的安全性;有一点必须提醒的就是IDS只是一个补充;一个证实为正确的系统通常由于人为的错误会出故障;而证实为不正确的系统却能很好的工作。 下面将讨论NIDS的一些局限性: 1.交换式的网络(天生的缺陷) 交换式的网络(如:100mbps,千兆位的以太交换机)对NIDS来说,将会造成戏剧性的问题;如果要插入一个sensor来监视所有的数据包是绝不容易的; 已有一些这个问题的解决方案,但不是所有的都令人满意; 嵌入在交换机内的IDS: 一些厂商(Cisco,ODS)内置了IDS在交换机里面。我只能说,这些IDS系统没有商用的NIDS系
3、统那样好的检测范围; 监控端口 许多交换机有一个监控端口可以连接网络分析器;NDIS也可以很容易的加到这个端口;一个明显的问题就是这个端口的速度比交换机的底板要慢很多,以致在高负荷的交换机上,NIDS就不能监测所有的数据。此外,这种端口多是为网络管理做sniffer用,所以就经常会被切换掉; 线缆分流(交换机之间或交换机到接点) 监控台可以直接连在线缆上监控数据报,这可以是交换机之间的线缆,也可以是从交换机到主机的线缆。可以有不同的技术来实现: 线内分流 线内分流就是一种直接插入到通信流中,并拷贝一份相同数据的设备。一个典型的例子就是ShomitiCenturyTap(produ
4、ctsf/tapfamilyf.html) 它直接插入到100mbps全双工的线路中,可以允许一台配有2个网络适配器的计算机 同时读取这2个通道的数据; 吸血鬼分流 在过去的一些日子里,吸血鬼分流是同轴电缆以太网的主要手段, 也是连接末端接点到网络的一个行之有效的方法。 自感应分流 大多数的分流都可以用TDR(TimeDomainReflectometer:时域反射计)检测到; 而自感应分流无需改变线缆,只要安放在线缆的外面,就可以监听线缆的发射的 电磁波。一般,只有间谍才会使用的这种方法。 线缆分流的问题,就在于他们产生了大量的数据流,大多数的NIDS在未能处理这么
5、高负载之前,就已经瘫痪了。特别是在交换机间的情况,尤其突出。 感谢ChristopherZarcone提供的以上的资料。 基于主机的sensors 从原理上来说,解决交换网络的资源限制的唯一方法就是分布式的基于主机的入侵 探测。象BlackICE和CyberCopMonitor,就是一些个基于主机的Agent包含一个基于 网络的监视本主机的网络的组件,其他的则进行传统的日志和审计功能; 2资源局限性 NIDS位于网络中心位置,他们一定要能坚持不断的分析,和储藏 由可能成千上万的机器所产生的信息,仿效所有机器的连接 发送数据;显然,它并不能完全做到,只有投机取巧了。 下面列
6、出一些典型资源问题. 2.1网络负载流量 当前的NIDS在满负荷的情况下,都很难保持正常功能;平均的情况下一个网站 每帧的大小大约有180字节,在100mbps的以太网上,能以50,000个 数据报/秒的速率传输;但大多数的IDS产品都不能跟上这速度. 绝大部分顾客的实际情况比这个速度相比要慢,但是这仍然是一个值得关心的问题. 当你购买一个IDS产品时,可以问销售商:系统每秒能处理多少个数据报.很多销售商 将设法告诉你每秒能处理多少位。但是真正性能的瓶颈是数据报的数目.实际上所有 的IDS系统能在每数据报1500字节的情况下处理100mbps的流量,却很少有能在 每数据报6
7、0字节的情况下处理100mbps的流量的. 2.2TCP连接 IDS必须为许多TCP连接保持连接状态.这就要求大容量的内存.一些逃避技术将使 问题进一步恶化,它们常常要求IDS甚至在客户/服务器已经关闭它之后,保持连接 信息。 当你购买一个IDS产品时,问销售商:系统能同时处理多少TCP连接. 2.3其他状态信息 在IDS要保存在内存里的状态信息中,TCP只是最简单的例子; 但是还有其它的信息
此文档下载收益归作者所有