|
基于网络的入侵检测是用来监视某一网段上的数据流。通常的实现方法是在网络接口上设置杂收模式的网卡,用来捕获网段上的数据流。在其他网段上的数据流不能得到监视。基于网络和基于主机的入侵检测系统互有利弊,你也许会混合使用两者。 基于网络的入侵检测通过探测器监视网段上的数据流。探测器仅能检测自己网段上的数据流。如果数据流和某一攻击模式匹配上,那么它就被引起注意。有三种主要的模式匹配方式:字符串模式匹配、端口模式匹配和数据包头模式匹配。 字符串模式匹配是寻找能表示可能攻击的文本字符串。例如,对UNIX系统运行字符串"cat "+ +" > /.rhosts",如果运行成功将会对UNIX系统的自身安全构成极大的威胁。为减低字符串模式匹配的误报率,需要采用复合的字符串模式匹配,例如常见的Web服务器攻击字符串应包括"cgi-bin" 、"aglimpse" 、"IFS"三种特征。 端口模式匹配是监视经常遭到攻击端口的连接企图。这些端口包括telnet (TCP port 23), FTP (TCP port 21/20), SUNRPC (TCP/UDP port 111), 和 IMAP (TCP port 143)。如果这些端口都被主机禁用,那么企图访问这些端口数据包就被视为可疑。 数据包头模式匹配监视危险和畸形的数据包头。最有名的利用数据包头攻击的方法是Winnuke,数据包发往NetBIOS协议端口,并且数据包的紧急指针、Out of Band指针置位。这会造成Windows系统蓝屏死机。其他攻击方法如SYN Flooding攻击,它是把TCP包的SYN和FIN位都置位,意味着请求端希望在同一时刻开始和结束一条连接,这会使服务器发生混乱。 |
|