返回
入侵检测系统idsfaq

入侵检测系统idsfaq

ID:9745760

大小:79.00 KB

页数:17页

时间:2018-05-07

入侵检测系统idsfaq_第1页
入侵检测系统idsfaq_第2页
入侵检测系统idsfaq_第3页
入侵检测系统idsfaq_第4页
入侵检测系统idsfaq_第5页
资源描述:

《入侵检测系统idsfaq》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、入侵检测系统IDSFAQ~教育资源库  1.问:都有哪些重要的IDS系统?  根据监测对象不同,IDS系统分为很多种,以下是几种很重要的IDS系统:  1、NIDS  NIDS是的缩写,即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通讯信息,另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。  2、SIV  SIV是systemintegrityverifiers的缩写,即系统完整性检测,主要用于监视系

2、统文件或者通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索sail</etc/passail送信,实在是高!  (3)不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。  (4)Raceconditions:多任务多线程的程序越来越多,在提高运行效率的同时,也要注意Raceconditions的问题。比如说:程序A和程序B都按照读/改/写的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完读/改/写的全部

3、工作,这时A继续执行写工作,结果是A的操作没有了表现!入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。  1.4.2、系统配置不当  (1)默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为easytouse。但遗憾的是,easytouse还意味着easytobreakin。所以,一定对默认配置进行扬弃的工作。  (2)管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空值,而且随后不进行修改。要知道,入侵者首先要做的事情就是搜索网络

4、上是否有这样的管理员为空口令的机器。  (3)临时端口:有时候为了测试之用,管理员会在机器上打开一个临时端口,但测试完后却忘记了禁止它,这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是:除非一个端口是必须使用的,否则禁止它!一般情况下,安全审计数据包可用于12345下一页友情提醒:,特别!发现这样的端口并通知管理者。  (4)信任关系:网络间的系统经常建立信任关系以方便资源共享,但这也给入侵者带来借牛打力、间接攻击的可能,例如,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全

5、联盟。  1.4.3、口令失窃  (1)弱不禁破的口令:就是说虽然设置了口令,但却简单得再简单不过,狡猾的入侵者只需吹灰之力就可破解。  (2)字典攻击:就是指入侵者使用一个程序,该程序借助一个包含用户名和口令的字典数据库,不断地尝试登录系统,直到成功进入。毋庸置疑,这种方式的关键在于有一个好的字典。  (3)暴力攻击:与字典攻击类似,但这个字典却是动态的,就是说,字典包含了所有可能的字符组合。例如,一个包含大小写的4字符口令大约有50万个组合,1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者,一般的计算机要花费大

6、约几个月的时间才能试验一遍。看到了长口令的好处了吧,真正是一两拨千斤啊!  1.4.4、嗅探未加密通讯数据  (1)共享介质:传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据,但是如果采用交换型以太网结构,嗅探行为将变得非常困难。  (2)服务器嗅探:交换型网络也有一个明显的不足,入侵者可以在服务器上特别是充当路由功能的服务器上安装一个嗅探器软件,然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如,虽然不知道用户的口令,但当用户使用Tel软件登录时就可以嗅探到他输入的口令了。  (3)远程

7、嗅探:许多设备都具有RMON(Remotemonitor,远程监控)功能以便管理者使用公共体字符串(publicmunitystrings)进行远程调试。随着宽带的不断普及,入侵者对这个后门越来越感兴趣了。  1.4.5、设计存在缺陷  (1)TCP/IP协议的缺陷:TCP/IP协议现在已经广为应用、但是它设计时却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此,存在许多不足造成安全漏洞在所难免,例如smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而,最大的问题在于IP协议是非常容易

8、轻信的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在Ipsec协议已经开发出来以克服这个不足,但还没有得到广泛的应用。  1.5问:入侵者如何获取口令?  (1)、监听明文口令信息大量的通讯协议比如Tel、Ftp、基本HTTP都使用明

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。