|
有在用win 2003系統(tǒng)的用戶會(huì)涉及到一個(gè)叫IDS的技術(shù)���,在有些時(shí)候這個(gè)技術(shù)的作用是很大的��,當(dāng)然IDS的技術(shù)手段其實(shí)并不很神秘����,接下來(lái)本文會(huì)用一種“順藤摸瓜”的脈絡(luò),給大家介紹一個(gè)較簡(jiǎn)單的IDS入門級(jí)構(gòu)架���。從市場(chǎng)分布���、入手難易的角度來(lái)看,選擇NIDS作為范例進(jìn)行部署����,比較地恰當(dāng)。本文以完全的Windows平臺(tái)來(lái)貫穿整個(gè)入侵檢測(cè)流程�����,由于篇幅所限�,以定性分析角度來(lái)陳述。
預(yù)備知識(shí)
IDS:Intrusion Detection System(入侵檢測(cè)系統(tǒng))����,通過(guò)收集網(wǎng)絡(luò)系統(tǒng)信息來(lái)進(jìn)行入侵檢測(cè)分析的軟件與硬件的智能組合����。
對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織:作為國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者IETF的Intrusion Detection working Group(IDWG,入侵檢測(cè)工作組)和Common Intrusion Detection Framework(CIDF����,通用入侵檢測(cè)框架)���。
IDS分類:Network IDS(基于網(wǎng)絡(luò))、Host-based IDS(基于主機(jī))���、Hybrid IDS(混合式)�����、Consoles IDS(控制臺(tái))���、File Integrity Checkers(文件完整性檢查器)、Honeypots(蜜罐)�����。事件產(chǎn)生系統(tǒng)
根據(jù)CIDF闡述入侵檢測(cè)系統(tǒng)(IDS)的通用模型思想����,具備所有要素����、最簡(jiǎn)單的入侵檢測(cè)組件如圖所示��。根據(jù)CIDF規(guī)范,將IDS需要分析的數(shù)據(jù)統(tǒng)稱為Event(事件)���,Event既可能是網(wǎng)絡(luò)中的Data Packets(數(shù)據(jù)包),也可能是從System Log等其他方式得到的Information(信息)���。
沒有數(shù)據(jù)流進(jìn)(或數(shù)據(jù)被采集),IDS就是無(wú)根之木����,完全無(wú)用武之地。
作為IDS的基層組織����,事件產(chǎn)生系統(tǒng)大可施展拳腳���,它收集被定義的所有事件��,然后一股腦地傳到其它組件里����。在Windows環(huán)境下,目前比較基本的做法是使用Winpcap和WinDump�。
大家知道����,對(duì)于事件產(chǎn)生和事件分析系統(tǒng)來(lái)說(shuō),眼下流行采用Linux和Unix平臺(tái)的軟件和程序;其實(shí)在Windows平臺(tái)中�,也有類似Libpcap(是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備軟件)的工具即Winpcap���。
Winpcap是一套免費(fèi)的���, 基于Windows的網(wǎng)絡(luò)接口API����,把網(wǎng)卡設(shè)置為“混雜”模式,然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包����。其技術(shù)實(shí)現(xiàn)簡(jiǎn)單����,可移植性強(qiáng),與網(wǎng)卡無(wú)關(guān)����,但效率不高,適合在100 Mbps以下的網(wǎng)絡(luò)
相應(yīng)的基于Windows的網(wǎng)絡(luò)嗅探工具是WinDump(是Linux/Unix平臺(tái)的Tcpdump在Windows上的移植版)����,這個(gè)軟件必須基于Winpcap接口(這里有人形象地稱Winpcap為:數(shù)據(jù)嗅探驅(qū)動(dòng)程序)����。使用WinDump,它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示出來(lái)����。你能使用這個(gè)工具去查找網(wǎng)絡(luò)問(wèn)題或者去監(jiān)視網(wǎng)絡(luò)上的狀況����,可以在一定程度上有效監(jiān)控來(lái)自網(wǎng)絡(luò)上的安全和不安全的行為���。
這兩個(gè)軟件在網(wǎng)上都可以免費(fèi)地找到�����,讀者還可以查看相關(guān)軟件使用教程。
下面大略介紹一下建立事件探測(cè)及采集的步驟
1���、裝配軟件和硬件系統(tǒng)。根據(jù)網(wǎng)絡(luò)繁忙程度決定是否采用普通兼容機(jī)或性能較高的專用服務(wù)器系統(tǒng)之家;安裝NT核心的Windows操作系統(tǒng)��,推薦使用Windows Server 2003企業(yè)版���,如果條件不滿足也可使用windows 2000 Advanced Server。分區(qū)格式建議為NTFS格式����。
2、服務(wù)器的空間劃分要合理有效����,執(zhí)行程序的安裝����、數(shù)據(jù)日志的存儲(chǔ)����,兩者空間最好分別放置在不同分區(qū)���。
3、Winpcap的簡(jiǎn)單實(shí)現(xiàn)����。首先安裝它的驅(qū)動(dòng)程序�,可以到它的主頁(yè)或鏡像站點(diǎn)下載WinPcap auto-installer (Driver+DLLs),直接安裝�。
注:如果用Winpcap做開發(fā)�,還需要下載 Developer's pack�����。
WinPcap 包括三個(gè)模塊:第一個(gè)模塊NPF(Netgroup Packet Filter)�,是一個(gè)VxD(虛擬設(shè)備驅(qū)動(dòng)程序)文件���。其功能是過(guò)濾數(shù)據(jù)包���,并把這些包完好無(wú)損地傳給用戶態(tài)模塊。第二個(gè)模塊packet.dll為Win32平臺(tái)提供了一個(gè)公共接口��,架構(gòu)在packet.dll之上,提供了更方便�����、更直接的編程方法��。第三個(gè)模塊 Wpcap.dll不依賴于任何操作系統(tǒng)�����,是底層的動(dòng)態(tài)鏈接庫(kù),提供了高層�����、抽象的函數(shù)���。具體使用說(shuō)明在各大網(wǎng)站上都有涉及�����,如何更好利用Winpcap需要較強(qiáng)的C環(huán)境編程能力�����。
4、WinDump的創(chuàng)建�����。安裝后���,在Windows命令提示符模式下運(yùn)行,用戶自己可以查看網(wǎng)絡(luò)狀態(tài)�,恕不贅述�����。
|
