对于网络渗透的防范比较复杂,但不管哪种攻击方式都会攻击系统中最薄弱的环节,因为系统中防护最弱的地方,常常存在有不易发现的系统漏洞。
寻找攻击目标的扫描器
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器,黑客可以不留痕迹地发现目标主机的各种TCP端口的分配及提供的服务和它们的软件版本等,根据不同的扫描目的,扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。
扫描器的工柞原理。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息,如是否能用匿名登录、是否有可写的FTP目录、是否能用telnet等。
扫描的工作平台。扫描器可支持各种平台,大大方便了单机用户,但同时也带来了更多的网络安全问题。
易受攻击的端口。一个端口就是一个潜在的通信通道,也是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。
专业漏洞扫描工具Shadow Security Scanner
安全漏洞扫描软件Shadow Security Scanner可扫描服务器各种漏洞,包括很多漏洞扫描、账号扫描、DOS扫描等,而且漏洞数据可以随时更新,保证扫描出最新的漏洞信息。
使用Shadow Security Scanner扫描系统漏洞的具体步骤如下。
下载并安装Shadow Security Scanner软件后,打开“Shadow Security Scanner”主窗口,在左边功能列表中可以看到相应的功能,13-1。
单击工具栏栏上“New Session”按钮或单击左侧按钮,打开“New Session”窗口,在右面蓝色框中选择扫描规则,如选择“Complete Scan”规则,即对目标计算机进行全面扫描,13-2。
如果需要创建扫描规则,则单击“Add rule”按钮,打开“Create new rule”对话框,13-3。选择“Create default rule”单选项,存文本框中可以直接输入一个新名称,可以复制某个已存在的扫描规则进行修改。
单击“OK”按钮,打开“Security Scanner Rules”对话框,在其中设置扫描的端口范围、漏洞类型等各种选项,13-4。
单击“New Session”窗口中“Next”按钮,打开“New Session Wizard”对话框,在其中可以设置扫描的目标计算机,13-5。
在“New Session Wizard”窗口中单击“Add host”按钮,打开“Add host”对话框,选中Host”单选按钮,用户可单个加入目标计算机:选中“Hosts range”单选按钮,用户可以指定所要扫描的lP地址段;选择“Hosts from file”单选按钮,用户可以通过指定已经存在的目标计算机列表文件来添加目标计算机。此外,用户还可以通过添加计算机组的方式添加计算机,并设置登录名称和密码。13-6,
单击“添加”按钮,返回“New Session Wizard”窗口在“Host”列表中可看到新添加的主机,13-7。在选中所要扫描的计算机之后,单击“NexT”按钮,完成本次探测,13-8。
单击工具栏上的“Start scan”按钮或在选中的目标主机上右击,在弹出的快捷菜单中选择“Start scan”选项,即可对选中的计算机进行扫描,在窗口右面将显示扫描情况,任务栏的左下角会显示扫描的进度,l3-9。
在“Shadow Security Scanner”窗口如果选择“Vulnerabililies”选项卡,在其中可以查看目标主机所存在的漏洞,13 -10。如果选择“Statistics”选项卡,在打开的界面中可以查看扫描的进程列表,13-11。
在选取需要查看的扫描结果之后,Shadow Security Scanner还将在信息窗口中显示该结果的说明、危险程度、补救办法等内容。如果对方是NT系统,Shadow Security Scanner还会探测它的共享以及用户,13-12。.
单击“DoS Checker”按钮,打开“DoS Checker l.03”对话框,在其中选择需要DoS检测的探测方法,在“Hosi”文本框中输入目标计算机的IP地址,在“Threads”栏目中设置检测的线程数量,在“Delay(sec)栏目”中设置延迟时间,在“Packets size”栏目中设置数据包大小,13 -13。单击“Start”按钮,开始DoS探测,并给出探测的结果,13-14。
选择“Tools”→“Option”菜单项,即可打开“Security Scanner Options”窗口,在“General”选项卡中可以设置扫描线程数、Ping延迟时间、数据延迟时间等选项。13-15。选择“Scanner”选项卡,在其中可以设置与扫描有关的选项,13-16。
选择“Scheduler”选项卡,在其中可以对定时任务进行设置,13-17选择“Auto update”选项卡,在其中可对程序的升级方式进行设置,13 -18。
选择“Sounds”选项卡,在其中对报警声音进行设置,13-19。选择Nmap”选项卡,在其中对Nmap属性值进行设置,包括false和True.13-20。
此外,选择“Tools”→“Reports”菜单项,生成一个扫描报告,以方便用户看到扫描的结果,13-21。在“Shadow Security Scanner”主窗口中单击“Base SDK”按钮,在“Base SDK”对话框中可以自定义漏洞,增加了sss的可扩展性,13-22。此外,还有一个( History)历史功能,用户可在此查看以前扫描的结果。总之,Shadow Security Scanner是一款功能非常强大的专业漏洞扫描器。
扫描器中的佼佼者Nmap
Nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取哪台.主机正在运行以及提供什么服务等信息。还可了解运行主机的操作系统是什么以及使用了哪些类型的过滤器或防火墙等。
使用Nmap扫描主机的操作步骤如下。
在“命令提示符”窗口中输入“nmap”命令,即可看到所有nmap的帮助信息,包括namp很多命令参数,13-23。
如果想要扫描目标上机开放的TCP端口,则可以使用Nmap的“-sT”参数。在“命令提示符”窗口中输入“nmap - sT 192,168,0.10”命令,即可扫描出本地计算机中开放的TCP端口,13-24。
如果想要查看目标上机开放的UDP端口’则可以使用Nmap的“-sU”参数。在“命令提示符”窗口中输入“nmap - sU 192.168.0.10”命令,即可扫描出本地计算机中开放的UDP端口,13-25。
Zenmap是一个多平台的、图形化的Nmap前端以及扫描结果查看器,其功能非常强大,其目的在于使初学者使用Nmap时更容易上手,同时为高端用户提供更高级的实现功能。使用Zenmap扫描主机漏洞的操作步骤如下。
下载并解压缩Nmap压缩包,打开Nmap文件夹,在其中双击Nmap可执行文件,打开“License Agreement(许可证协议)”对话框,13-26。
单击“I Agree(同意)”按钮,打开“Choose Components(选择组件)”对话框,在其中勾选“Zenmap (GUIFrentend)”复选框,这样在安装完成Nmap之后,在桌面和开始菜单上就会产生新的Zenmap快捷方式,13-27。
依次单击“Next”按钮,直至完成安装Nmap程序,双击桌面上的Zenmap快捷图标,打开Nmap的图形化操作界面,13-28。
在Nmap的图形化操作界面中的“Target”文本框中输入要扫描的主机lP地址或主机名,也可以设置要扫描主机的lP地址段,如需要扫描192.168.0.1-192,168.0.100范围内的所有主机,则可以在其中输入“192.168.0.1-100”,13-29。
Nmap与普通扫描器不同,在输入lP地址段时,不能以“192.168.0.1-192.168.0.100”的方式输入。而要使用通配符“*”实现一个地址范围内的扫描,如输入“192.168.0.*表示要扫描“192.168.0.1-255”整个地址段的主机。
指定扫描配置文件。在“Zemap”主界面中单击“Profile”右侧下拉按钮,从下拉列表框中选择不同的扫描配置文件,包括操作系统的探测、快速扫描、服务器扫描和加强扫描等选项,13-30。
单击“Scan”按钮,开始对指定的目标进行扫描。Nmap会扫描执行lP地址范围中的在线主机,依次扫描每个主机开放端口、提供相应服务及存在的一些漏洞和安全问题等,在“Nmap Output”选项卡中可以看出最全面的扫描信息,13-3 l。
选择“PortsFHosts”选项卡,在其中可以查看到在线主机的开放端口信息和相应的服务信息,13-32。选择“Host Details”选项卡,在其中可以看到所选主机的详细信息,如主机名、服务和端口等信息,13-33。
自制简单群Ping扫描工具
群plng扫描工具是一款可以plng好多lP的工具,使用此工具可以快速查看网段的lP地址够不够,在局域网中得到普遍的应用。用群ping扫描工具进行扫描的具体操作步骤如下。
下载并启动群ping扫描工具,打开ping扫描工具主窗口,在“IP地址段”文本框中输入要扫描的IP地址段的前三段,如“192.168.0”,在“时延小于50ms显示为下拉列表中选择相应的颜色,13-34。
单击“开始”按钮,开始对设置的IP地址段进行扫描,待扫描完毕后,会以设定的颜色显示在线的主机,13-35。选择“表单显示”选项卡,可以查看以表单形式出现的扫描结果,13-36。同时可以奁看扫描到的主机名以及状态。
如果想保存扫描结果,则可以单击“保存”按钮,打开“另存为”对话框,13-37。在其中设置保存的位置和文件名后单击“保存”按钮。
代理扫描工具X-WAY
综合扫描器X-WAY主要采用多线程形式对服务器系统进行漏洞扫描和安全测试,还自带猜解机、嗅探器以及一些入侵工具。设置和使用X-WAY的具体操作步骤如下。
下裁并运行X-WAY 2.6,打开其主窗口,在其中可以看出左边为常用工具栏,包括高级扫描、主机搜索、查询器、猜解机等,中间为主机列表,右边的黑色为扫描过程区域,而底部是扫描结果显示区域,13-38。
单击左边工具栏中的“高级扫描”按钮,打开“高级扫描设置”对话框,在其中可以设置扫描选项、扫描范围等属性,13-39。
单击“确定”按钮,即可进行高级扫描。在扫描结束后,在其中可以看出设置的lP地址范围内开放的端口信息,13-40。
单击左边工具栏中的“主机搜索”按钮,打开“主机搜索”对话框,在其中设置要搜索的IP地址范围、搜索条件及线程设置等属性,13-41。
单击“开始”按钮,开始进行主机扫描,待扫描完毕后会在底部显示符合条件的主机及其端口状态,13-42。
单击左边工具栏中的“嗅探器”按钮,打开X-WAY自带的嗅探器,13-43。X-WAY自带的嗅探器可以自动截取主机所在网络的数据包,从而做到窃听。但嗅探器只适于广播网络,而绝大多数局域网就属于广播网络,且由于嗅探器属于被动式的窃听,所以只要处在广播网络中的计算机都可以被嗅探到。
X-WAY还具有扫描某台主机开放的端口的功能,在“X-WAY 2.6”主窗口中选择“工具”→“端口扫描”菜单项,打开“端口扫描”对话框,如13-44。在“主机地址”文本框中输入要扫描的目标主机的lP地址,选中“连续端口”单选按钮,并设置连续端口的范围。单击“确定”按钮,即可对目标主机的端口进行扫描,扫描完毕后会把开放的端口按照端口号大小显示在“x。WAY 2.6”主窗口底部区域,13-45。
系统管理工具
黑客会经常使用一些系统管理工具对目标计算机系统进行管理,系统管理工其可管理目标计算机系统的进程、注册表监视、端口查看等,对目标主机系统日常操作进行设置。
进程查看器:Procexp
Procexp软件可查看系统进程树、系统资源使用情况,奁找并管理进程所加载的文件。还能够基于文件名、文件路径名称进行查找,并反向定位使用这个文件的进程。只要能够结束这个进程,便能够像删除普通文件那样删除系统中的恶意程序。具体的操作步骤如下。
下裁并解压“Procexp”压缩包,双击解压出来的“Pfocexp”应用程序,若是第一次打开,将弹出“Procexp许可协议”对话框,13 -46。认真阅读许可协议,单击“同意”按钮,打开“Procexp”主窗口,在其中查看当前运行的所有程序,13-47。
选中某个当前正在运行的程序并右击,从弹出的快捷菜单中选择“终止进程”子菜单项,弹出“Process Explorer”消息框,询问“你确定要终止stormliv.exe吗?”信息。单击“是”按钮,成功杀掉进程:
若单击“否”按钮,将取消此操作,13-48。
使用Procexp工具除可以终止系统中打开的进程外,还可以用来识别木马程序,其具体的操作步骤如下。
看到可疑进程时右击,从弹出的快捷菜单中选择“属性”菜单项,打开“进程属性”对话框,或双击可疑进程打开“进程属性”窗口,13-49。
选择“映像”选项卡,即可看到该程序的描述信息,微软程序捕迷信息和版本信息一般都很详细,若没有版本信息则可能是木马程序,也有一些木马写了跟微软类似的信息,此时可以使用验证功能,单击“验证(v)”形成按钮,若是微软的程序会提示(己验证)信息,13-50。否则将会提示(无法验证)信息,即为木马程序,13-51。
网络监测工目: Capsa Professional
Capsa ProFessional是一款基于TCP/1P协议的网络监测、嗅探、分析工具。使用此程序可以捕获本地和网络中的IP数据包,并进行分析、监测,非常容易使用。
利用Capsa Professional'工具进行网络监测、嗅探、分析的具体操作步骤如下。
下载并安装Capsa Professional应用程序后,双击桌面上的“Capsa Professional”应用程序图标,即可打开“Capsa Professional”主窗口,13-52。
单击“Start Capture Now”按钮,弹出“程序设置(proj ect settings)”对话框,在其中设置捕获的条件,13-53。
切换到“适配器( Adapter)”选项卡,选中本机所使用的网卡,13-54。
切换到“过滤器( Filter)”选项卡,在其中可根据需要添加过滤的条件,13-55。
分别切换到“日志( Log)”、“诊断(Diagnosis)”选项卡,可以选择所要监测的日志的类型以及诊断的项目,13-56和图13-57。
单击“确定”按钮返回“Capsa Professional”主窗口,即可看到网络监测的信息,
13-58。单击“Capsa Prof'essional”主窗口右侧的“诊断(Diagnosis)”选项卡,在“事件( Events)"列表中列出了局域网内所有主机的事件信息。13-59。
切换至“端点( Endpoints)”选项卡,在其中显示了局域网中所有主机所接收的lP数据包,13-60。最后切换至“包(Packets)”选项卡,在其中可以查看整个局域网主机的接包信息,13-61。
注册表检测工具:Regmon
注册表数据监视软件Regmon将与注册表数据相关的。一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理。
使用Regmon监视注册表的操作步骤如下。
下载并双击Regmon安装程序图标,打开“Regmon”的安装窗口,在其中显示了该软件的版本信息等,13-62。
单击“下一步”按钮,进入“Regmon的安装许可协议”窗口,在其中阅读相关许可协议,并查看相关信息,如软件名称、软件版本、应用平台等,13-63。
如果对安装协议无异议,则选择“我同意此协议”单选项,单击“下一步”按钮,打开“安装信息”对话框,在其中可阅读安装信息,13-64。
在认真阅读安装前的重要信息后,单击”下一步”按钮,打开“选择目标位置”对话框,在其中选择程序安装的位置,13-65。
单击“下一步”按钮,打开“选择开始菜单文件夹”对话框,在其中选择放置程序快捷方式的位置,13-66。单击“下-一步”按钮,打开“选择附加任务”对话框,在其中选择安装Regmon时要执行的附加任务,13-67。
单击“下一步”按钮,进入“准备安装”对话框,将会开始准备安装程序,13-68。单击“下一步”按钮,弹出“Regmon安装向导完成”对话框,单击“完成”按钮,成功完成安装,13-69。
在Regmon安装成功之后,双击桌面上的Regmon应用程序图标,当是第一次打开时,将会弹出“Regrnon许可协议”对话框,在其中可阅读相关信息,13-70。阅读完毕后,单击“Agree”按钮,进入“Regmon”主窗口,13-71。
单击“过滤/高亮”审按钮,弹出“Regmon过滤”对话框,在“包含”文本框内输入过滤的对象。若想排除监视的注册表内容,可在“排除”文本框中输入排除的对象。同时也可在“高亮”文本框中输入高亮显示的内容,13-72。
在设置好“Regmon过滤”的对象后,单击“确定”按钮返同“Regmon”主窗口,即可看到过滤后的注册表信息,13-73。
在菜单栏中单击的“历史深度”按钮,弹出“Regmon历史深度”对话框图片3.png,在其中输入限制深度的数目,13-74。这里假设输入限制深度的数目为“2”,单击“确定”按钮返回主窗口,可看到由于历史深度发生了限制,只显示了2条主要注册表信息,其他输出信息都被保留,13-75。
另外,在进行注册表监视的过程中,“Regmon”主窗口将针对各项显示出所有的注册信息,若想查看某项信息,只需要单击“捕获”按钮图片4.png即可。
端口查看器:Active Ports
TCP,tll与UDP端口监视工具Active Ports可显示系统中哪些程序打开了哪些端口,同时显示与本地IP连接的远程lP地址,可用于检测特洛伊木马和其他黑客程序。利用Ac Eive Ports可以终止系统的全部进程程序、端口、进程文件的路径、Pid、本地lP、远程lP、远程端口、连接状态、协议等。利用Active Ports工具对端口进行查看并终止的操作步骤如下。
下载并安装Active Ports应用程序后,双击桌面上的“Active Ports”应用程序图标,打开"Active Ports”主窗口,在其中可看到系统的全部进程、端口、进程文件的路径、PID等信息,13-76。
若想终止某个进程,则需要先选中该项进程,单击“终止程序”按钮,弹出“端口查看器”信息提示框。单击“是”按钮,即可终止该项进程,13-77。
若想查看某个进程的详细信息,可以选中该项进程,单击“查询信息”按钮,将会弹出“地址信息”对话框,在其中可看到该进程的地址信息,13-78
木马检测工具: iceSword
IceSword冰刃(简称IceSword)适用于Windows 2000/XP/2003操作系统,主要用于嗅探系统中的幕后黑手及木马后门并做出相应处理。
1、 lceSword的启动
IceSword的启动方式有两种:第一种是下载并解压IceSword软件,双击“IceSword,exe”程序图标,打开“IceSword”主窗口,如浏13-79;第二种是通过DOS命令启动,如IceSword被存在“C:\setup\lceSword122cn”文件夹下,在命令提示符下运行“C:tsetup \IceSword122cnklceSword/c”命令,也可成功进入“IceSword”主窗口,13-80。
当成功打开“IceSword”主窗口后,不难发现显示在系统任务栏或软件标题栏的都只是一串随机字符串“bfqrr18C733”,而不是常见的软件程序名。这是lceSword独有的随机字符串标题栏,用户每次打开这把冰刃,所出现的字符串都是随机生成、随机出现、都不相同(随机五位/六位字串的),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。
同时,还可修改软件文件名,如改为kinvif.exe,显示的进程名就变为了killvir.exe。如果耍关闭IceSword,将会弹出确认窗口。那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行。使用IceSword冰刃管理系统的操作步骤如下。
进程管理。IceSword的进程管理可关闭顽周、无法用任务管理嚣终止的进程,在‘‘IceSword”主窗口中选择“文件”→“设置”菜单项,弹出“设置”对话框,在就中勾选“禁止进线程创建”复选框,13-81。
单击“确定”按钮返回“IceSword”主窗口,单击窗口左侧“进程”按钮,即可在右侧窗口显示系统当前进程列表,13-82。右击“PnpWMmng.exe”进程,在弹出的快捷菜单中选择“结束进程”菜单项,即可完成结束该进程的操作,13-83。
查看端口。端口的查看方法很简单,只需在“IceSword”主窗口中单击左侧的“端口”按钮,即可在右侧窗口列出所有的端口信息,13·84。
查看开机启动程序。查看开机启动程序与上面端口的查看方法很相似,只需在“IceSword”主窗口中单击左侧窗口中的“启动组”按钮,即可在右侧窗口列出所有开机启动的程序,13-85。
查看消息钩子。如果单击左侧窗口“消息钩子”按钮,即可在右侧窗口列出所有信息钩子,在这里可以查看到盗号木马所使用的钩子,13-86。
网络渗透中的入侵检测防护
通过搜集和分析网络行为、安全日志、审计入侵检测数据、网络上获得的信息及计算机系统中若干关键点信息,可检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
基于网络的入侵检测
基于网络的入侵检测系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的情感器( sensor)组成。基于网络的入侵检测系统结构13-87。
基于网络的入侵检测系统的工作原理是:利用一个工作在“混杂模式”( PromiscuousMode)下的网卡(即传感器),来实时监视、分析通过网络的数据流,并按一定的规则从网络上获取与安全事件相关的数据包,然后把这些数据包传递给分析引擎,分析引擎把从探测器上接收到的数据包结台网络安全数据库进行分析,最后把分析的结果传递给安全配置构造器。
配置构造器再根据分析引擎器的结果构造出探测器所需要的配置规则。依据安全配置器构建出来的规则, 一旦检测到与这些规则相悖的攻击行为,网络入侵系统中的响应模块就做出响应,比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也不同,但通常都包括通知管理员、切断连接、记录相关的信息等。
基于网络的入侵检测优点主要表现在如下几个方面:
成本低、检测速度快:
可以检测到主机型检测系统检测不到的攻击行为;
可以作用在网络的边缘上,即攻击还没能接入网络时就被制止;
不影响操作系统的性能,不占用任何资源:架构网络型入侵检测系统简单。
其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘,无法检测加密的封包,对于直接对主机的入侵无法检测出。
基于主机的入侵检测
基于主机的入侵检测系统保护的一般足所在的主机系统和系统本地用户,是由代理( agent)来实现的,检测原理是根据主机的审计数据和系统日志发现可疑事件,并给出关于怀疑为不安全的行为报告。检测系统可运行在被检测主机或单独主机上,系统结构13-88。
基于主机入侵检测的优点主要体现在如下几个方面:
在主机数量较少时性价比较高:
可很容易检测一些活动,而这些活动很难在基于协议的线索中被发现;
如果得到用户的主机名和密码,基于主机的代理很容易区别正常活动和非法活动:
每个主机有其自己代理,用代理方式一般不会因为网络流量增加而丢掉对网络行为的监视。
基于主机的入侵检测的缺点主要体现在如下几个方面:
由于操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装个别的入侵捡测系统;
如果入侵者通过其他系统漏洞入侵系统并取得管理者的权限,将会致使主机型入侵检测系统失效;
会因分布式( Denail of Service,DoS)攻击而失效;
当监控分析时会曾加该台主机的系统资源负荷,从向_影响被监测主机的效能,甚至成为入侵者利用的工具从而使被监测的.主机因为负荷过重而死机。
实用入侵检测范例
常用的入侵检测系统有萨客嘶入侵检测系统、BlackICE入侵检测系统等。
1、 萨客嘶入侵检测系统
萨客嘶入侵检测系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的变时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。
设置萨客嘶入侵检测系统的操作步骤如下。
下载并安装萨客嘶入侵检测系统,选择“开始”→“所有程序”→“萨客嘶入侵检测系统”菜单项,打开其主界面,包括按节点浏览、运行状态以及统计项目3个部分, 13-89。
选择“监控”→“常规设置”菜单项,打开“设置”对话框,在“常规设置”选项卡中可对数据包缓冲区大小和从驱动程序读取数据包的最大间隔时间进行设置,13-90。
在“设置”对话框中选择“适配器设置”选项卡,在该选项卡中选择相应的网卡,因为该检测系统是通过适配器来捕捉网络中正在传输的数据,并对其进行分析,所以正确选择网卡是能够捕捉到入侵的关键一步,13-91。
选择“设置”→“别名设置”菜单项,打开“别名设置”对话框,在其中对物理地址、lP地址、端口进行各种操作,如添加、编辑、删除、导出等,13-92。
选择“设置”→“安全策略设置”菜单项或单击工具栏中的“安全策略”按钮,打开“安全策略”对话框,可对当前选中的策略进行相应的操作,如衍生、查看、启用、删除、导入、导出和升级等,13-93。
选择“设置”→“专家检测设置”菜单项或单击“专家检测”按钮,打开“专家检测设置”对话框,在其中对网络中的所有通信数据进行专家级智能化分析并报告入侵事件,13-94。
选择“设置”→“选项”菜单项或单击“选项”按钮,打开“选项”对话框,在其中选择“显示”功能项,对是否启用网卡地址、lP地址和端口别名进行设置,I3-95。选择“响应方案设置”功能项,对响应方案进行增加、删除或修改操作。系统提供了“仅记录日志”、“阻断并记录日志”和“干扰并记录日志”三种默认的响应方案,它们是不能被删除的,但可以修改,13-96。
单击“增加”或“修改”按钮,打开“定义响应方案”对话框,对响应方案进行具体设置,包括名称、响应动作和阻断会话方式(只有选择了“阻断会话”才可以设置阻断会话方式),13-97。
选择“响应设置”→“邮件”功能项,对发送邮件所使用的服务器、账号、密码、接收人(多个接收人用分号分隔)和邮件正文等进行设置,13 -98。
选择“响应设置”→“发送控制台消息”功能项,对将接收消息的目标主机的lP地址和消息正文(发送主机和接收主机必须安装“Messenger"服务)进行设置,13-99。选择“响应设置”→“运行外部程序”功能项,对外部程序的完整路径和参数进行设置,13 -100。
选择“分析模块”功能项,对各个分析模块的参数进行个性化的设置,如是否启用该分析模块、检测的端口、日志缓冲区的大小、是否保存日志等,13--101。
选择“策略升级设置”功能项,通过定时和手工两种方式检测策略知识库更新萨客嘶入侵检测系统。如果选择自动更新还必须设置更新的日期和时间,13-102。在所有选项设置完成后,单击“确定”按钮.即可保存设置。
在对萨客嘶入侵检测系统相关功能设置完成后,即可使用该软件来防护网络或本机系统安全了。具体的使用步骤如下。
在萨客嘶入侵检测系统主窗口中单击“开始”按钮或选择“监控”→“开始”菜单项,对本机所在的局域网中的所有主机进行监控,在扫描结果中可对检测到的主机的lP地址、对应的MAC地址、本机的运行状态以及数据包统计、TCP连接情况、FTP分析等信息进行查看,I3-103。
选择“会话”选项卡,在其中可以看到在监控的同时,进行会话的源IP地址、源端口、目标IP地址、目标端口、使用到的协议类型、状态、事件、数据包、字节等信息,13。104。
如果想分类查看会话信息,则在“会话信息”列表中右击某条信息,在弹出的快捷菜单中选择“按目标节点进行过滤”选项,即可按照某个目标lP地址来显示会话信息,13-105。
选择“事件”选项卡,在该选项卡中可对分类统计的各种入侵事件次数、采用日志详细记录的入侵时间、发起入侵的计算机、严重程度、采用的方式等信息进行查看,13-106。
选择“日志”选项卡,在其中记录了HTTP请求、收发邮件信息、FTP传输和MSN和QQ通讯等相关信息,除对这些信息进行查看外,还可以将其保存为日志文件,13-107。在“日志”选项卡下可自行定义日志的显示格式,单击“自定义列”按钮图片5.png即可在打开的快捷菜单中,取消勾选相应的复选框,l3-108。
在左边的节点列表中右击某个物理地址,在弹出的快捷菜单中选择“增加别名”选项,打开“增加别名”对话框,在“别名”文本框中输入名称,l3,109。
单击“确定”按钮,可使该物理地址显示刚才自定义的名称,13-110。在遇到不能解决的问题时,可选择“帮助和技术支持”→“帮助主题”菜单项,在“帮助”窗口中查找所需要的问题解答,13-111。
2、 BlackICE入侵检测系统
BlackICE Server Protection软件(简称BlackICE)拥有强大的检测、分析以及防护功能,可以随时侦察出谁在扫描计算机的端口,在入侵者进入之前进行拦截,以保护电脑不受危害,还可搜集入侵者的lP地址、计算机名称、网络系统地址、硬件地址(MAC地址)等。
使用BlackICE入侵检测系统的操作步骤如下。
下载并安装BlackICE软件和汉化包之后,打开BlackICE程序主界面,可以看到已变成中文界面,13-112。在BlackICE主界面中,选择“工具”→“编辑BlackICE设置”菜单项,打开“BlackICE设置”对话框,选择“防火墙”选项卡,13 -113。在该选项卡中可设置BlacklCE的保护级别和网络文件共享能力,用户可以选择怀疑一切:拦截所有未经请求而入站的信息”项,也可以选择其他三个选项,而软件默认设置是“完全信任;允许所有入站信息”,其安全级别最低。
对于网络文件共享能力的设置,个人用户只需选择“启用拦截”项,局域网用户则需要三个选项都选中,否则将会出现网上邻居无法浏览、无法共享上网等现象。切换到“通告”选项卡,在该界面中的“事件通告”区域中对“可看到的指示”和“可听到的指示”进行设置,其提示信息用红、橙黄、黄和绿4种颜色标识,危险程度依次降低。在“更新通知”设置区域中勾选“启用检查”复选框,可设置检查更新的间隔天数,13-114。
切换到“数据包日志”选项卡,在其中勾选“启用日志”复选框,对所有系统信息日志文件的前缀、最大大小和文件的最大数量进行设置,如阁13-115。
在“提示”选项卡中通过勾选相应的复选框,设置在检测到可疑信息后是否显示确认对话框、显示工具提示以及当服务停止时显示提示进行设置,13-116。
在“证据日志”选项卡中勾选“启用日志”复选框,即可在其下方设置从可疑的入侵者那里搜集过来的同志文件的前缀、最大大小和文件的最大数量, 一般采用默认设置,13-117。在“应用程序控制”选项卡中勾选“启用应用程序保护”复选框,控制运行在该计算机上的应用程序或其他进程,13 -118。
在“回溯”选项卡中设置BlackICE如何以及何时定位关于入侵者的网络信息,有直接追踪和问接追踪两种方法,13-119。切换到“通信控制”选项卡,可根据实际情况对来自于该计算机的网络访问进行设置,13-120。
选择“入侵检测”选项卡,查看BlackICE应该信任或忽略的管理地址和签名,同时通过单击“添加”按钮来添加从报告中排除要信任的地址,13-121。
单击“确定”按钮,在“事件”选项卡中看到入侵检测的效果,13-122,即为在局域网中另一台计算机对安装了BlackjCE的计算机进行连接时,BlackICE立即监控到这一连接的情景。在“事件’’选项卡中可看到尝试连接计算机的lP地址和连接方式。在“历史”选项卡图标中可以看到该连接被认为是“可疑”的入侵,13-123。
总之,BlackICE在保护计算机安全方面是非常精确可靠的,不过,在使用过程中还要及时升级软件,以便使软件即时增加入侵特征数据库中的特征数据,才能有效、即时地过滤掉最新的入侵行为,从而有效保障计算机网络系统的安全。
点拨1:在使用X-WAY时,为什么总会被认为是病毒而被杀除?
解答:出现这种现象的主要原因是:因为X-WAY与许多同类工具比较,既是一款黑客工具,又是一款网络安全工具。黑客可以利用其DoS(Denial of Servtce,拒绝服务攻击)功能来搜集远程网络主机信息。
点拨2:在计算机中安装了萨客嘶入侵检测系统,为什么什么都监控不到?
解答:出现这样的情况,可能是监听的网卡不对。打开萨客嘶入侵检测系统的“配置”界面,选择“监听设备”下拉列表框,如果有两个或两个以上的网卡,请检查现在选中的网卡是不足正在使用的网卡,如果监听设备中没有找到任何网卡或信息不正确,则说明用户安装的萨客嘶入侵检测系统有问题,卸载后重新安装,如果仍然看不到网卡,则有可能该网卡不支持该入侵检测系统。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。