入侵检测实战之全面问答

问：到哪里寻找关于入侵事件的最新动态信息？

所谓前车之鉴、后车之师，及时地了解最新的入侵事件信息对于自身的安全防范也是十分必要的。下面是我精选的几个这方面的站点，请心系网络安全的读者经常参阅：瑞星、赛迪网-信息安全、Securityfocus、Cert。

问：NIDS系统如何对通讯信息进行特征比较？

通讯信息就是穿越网络的IP数据包流，NIDS系统能够捕获它们并利用其自身的TCP/IP堆栈对它们重新组织进行分析。其中使用到的技术包括：

1、协议栈验证

协议栈就是一些以层次结构组成的协议，例如TCP/IP协议栈。协议栈中的每一层都为它的上层协议提供功能，而向其下层协议要求服务。许多入侵行为比如“死亡之Ping”、“TCP隐蔽扫描”都是以反规则使用底层IP、TCP、UDP和ICMP协议的方式攻击系统的，因此，建立协议栈验证系统对非法数据包进行标记十分必要。

2、应用协议验证

许多入侵还使用非法应用协议进行攻击，比如WinNuke攻击就使用到NetBIOS应用协议。因此，NIDS系统必须有能力重新实现广泛的应用层协议，从而有效地检测可疑或非法行为。

3、创建新日志事件

通过记录一个机器使用的所有应用层协议，NIDS系统就可用于扩展网络管理软件的审计功能。这样，下游事件日志系统例如Win2K事件管理器、UNIX的系统日志、SNMP TRAP等等就能够将它们与其他网络上的其他事件进行关联分析。

问：NIDS检测到一个入侵行为后做什么？

当发现一个入侵行为后，NIDS系统将采取诸多有力措施对付攻击，这主要包括：

* 重新配置防火墙禁止入侵者IP地址进入
* 播放一段.WAV音乐提醒管理者
* 发送SNMP TRAP信息包到管理控制台
* 将事件记录到系统日志文件中
* 给管理员发送电子邮件通知入侵正在发生
* 以寻呼方式（BP机）告知管理员
* 保存攻击信息，如攻击时间、入侵者IP地址、受害者IP地址及端口、协议信息、相关数据包
* 启动特殊程序处理入侵事件
* 伪造TCP FIN信息包强制结束连接，避免悲剧继续上演

问：除了IDS外，还有什么入侵对策？

1、防火墙

有种观点说：防火墙是安全护卫的第一道防线，只要突破它，入侵者将随意驰骋被突破的网络。但是更好的说法应该是：防火墙是安全护卫的最后一道防线，在正确配置机器及良好运行入侵检测系统的前提下，用防火墙来避免script kiddies的幼稚和简单的攻击。有两点要注意：一是现在的许多路由器都可以配置成防火墙的过滤功能；二是防火墙通常只能抵抗外部攻击，对于内部破坏则显得力不从心。

2、口令验证系统

保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略，比如Win2K的Kerberos验证，或者考虑购买单独产品以整合进增强的口令系统，比如RADIUS（远程认定拨号用户服务）或TACACS（TACACS是用于UNIX系统上有历史的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统）。这些验证系统都有助于消除Telnet、ftp、IMAP或POP等协议带来的明文口令问题。

3、虚拟专用网VPN

VPN通过Internet为远程访问创建安全的连接管道环境，其中使用的主要协议有PPTP和Ipsec。PPTP即PPP over TCP，使用它就可以为一台机器分配2个IP地址，一个用于Internet，另一个用于虚拟网。Ipsec是Win2K系统的新协议，它提高了传统IP协议的安全性。然而VPN也有其明显的弱点，虽然管道本身经过验证和加密处理是安全的，但是管道的两端却是开放的，这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。

4、加密系统

随着个人隐私权的不断被重视，加密系统现在越来越“时髦”了。加密邮件可以使用PGP（Pretty Good Privacy）和SMIME（加密专用多用途Internet邮件扩展），加密文件也可以使用PGP，加密文件系统可以使用BestCrypt或者还是PGP。

问：IDS系统应该安放到网络的什么部位？

1、网络主机
在非混杂模式网络中，可以将NIDS系统安装在主机上，从而监测位于同一交换机上的机器间是否存在攻击现象。

2、网络边界
IDS非常适合于安装在网络边界处，例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高，所以IDS系统可以跟上通讯流的速度。

3、广域网中枢
由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高，在广域网的骨干地段安装IDS系统也显得日益重要。

4、服务器群
服务器种类不同，通讯速度也不同。对于流量速度不是很高的应用服务器，安装IDS是非常好的选择；对于流量速度快但又特别重要的服务器，可以考虑安装专用IDS系统进行监测。

5、局域网中枢
IDS系统通常都不能很好地应用于局域网，因为它的带宽很高，IDS很难追上狂奔的数据流、不能完成重新构造数据包的工作。如果必须使用，那么就不能对IDS的性能要求太高，一般达到检测简单攻击的目的就应该心满意足。