史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-12-06, 02:54 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 IDS(入侵檢測系統)術語

第一部分: A - H
by A. Cliff last updated July 3, 2002
Translated by Mad,last updated July 9, 2002
雖然入侵檢測技術還不是很成熟,但是其發展卻是很迅速。與IDS相關的新名詞也日新月異。

這裡按字母順序羅列了相關的術語,有的可能很普遍了,但是有的卻很少見,或者定義不明確。IDS的迅速發展以及一些IDS生產廠商的市場影響力使得一些名詞的含義混亂:同一個名詞,不同廠商卻用它表示不同的意義。
術語增加或者需要解釋, Pls mailto:talisker@networkintrusion.co.uk
中文解釋的問題,Pls mailto:mad@email.com.cn

警報(Alerts)

警報是IDS向系統操作員發出的有入侵正在發生或者正在嘗試的消息。一旦偵測到入侵,IDS會以各種方式向分析員發出警報。

如果控制台在本機,IDS警報通常會顯示在監視器上。

IDS還可以通過聲音報警(但在繁忙的IDS上,建議關閉聲音)。

警報還可以通過廠商的通信手段傳送到遠端控制台,除此之外,還有利用SNMP傳輸協定(安全性有待考慮)、email、SMS/Pager或者這幾種方式的組合進行報警。

異常(Anomaly)

大多IDS在檢測到與已知攻擊特徵匹配的事件就會發出警報,而關於異常的IDS會用一段時間建立一個主機或者網路活動的輪廓。

在這個輪廓之外的事件會引起IDS警報,也就是說,當有人進行以前從沒有過的活動,IDS就會發出警報。

比如一個用戶突然獲得管理員權限(或者root權限)。


一些廠商把這種方法稱為啟髮式IDS,但是真正的啟髮式IDS比這種方法有更高的智能性。

硬體IDS(Appliance )
現在的IDS做成硬體放到機架上,而不是安裝到現有的操作系統中,這樣很容易就可以把IDS嵌入網路。

這樣的IDS產品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。


網路入侵特徵資料庫(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)
由白帽子住持Max Vision開發維護的ArachNIDS是一個動態更新的攻擊特徵資料庫,適用於多種關於網路的入侵檢測系統。

(白帽子成員相繼入獄, Max Butler還未出獄,Max Vision又被判18月監禁,但願白帽子能夠好好維持)

URL: http://www.whitehats.com/ids/


攻擊註冊和信息服務(ARIS - Attack Registry & Intelligence Service )
ARIS是SecurityFocus推出的一項安全信息服務,允許用戶向SecurityFocus匿名報告網路安全事件。

SecurityFocus整理這些資料,並和其它信息綜合,形成詳細的網路安全統計分析和趨勢預測。


攻擊(Attacks )
攻擊可以定義為試突滲透系統或者繞過系統安全原則獲取信息,更改信息或者中斷目標網路或者系統的正常執行的活動。


下面是一些IDS可以檢測的一般攻擊的列表和解釋:

攻擊1:拒絕服務攻擊(Attacks: DOS - Denial Of Service attack )
DOS攻擊只是使系統無法向其用戶提供服務,而不是通過黑客手段滲透系統。

拒絕服務攻擊的方法從緩衝區溢出到通過洪流耗盡系統資源,不一而足。

隨著對拒絕服務攻擊的認識和防範不斷加強,又出現了分佈式拒絕服務攻擊。

攻擊2:

分佈式拒絕服務攻擊(Attacks: DDOS - Distributed Denial of Service )
分佈式拒絕服務攻擊是一種標準的拒絕服務攻擊,通過控制多台分佈的遠端主機向單一主機傳送大量資料,並因此得名。

攻擊3:
Smurf攻擊(Attacks: Smurf )
Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名。

這種攻擊方法通過欺騙方法向「Smurf放大器」的網路傳送廣播位址的ping,放大器網路向欺騙位址——攻擊目標系統返回大量的ICMP回復消息,引起目標系統的拒絕服務。

這裡有每5分鐘更新一次的可用的「放大器」:

http://www.powertech.no/smurf/ (但願你的網路不在此列…)
攻擊4:
特洛伊木馬(Attacks: Trojans )

特洛伊密碼來自於古希臘著名的木馬攻擊特洛伊城的故事。在電腦術語中最初指的是貌似合法但其中包含惡意軟體的程序。

當合法程序執行時,惡意軟體在用戶毫無察覺的情況下被安裝。

後來大多數的這類惡意軟體都是遠端控制工具,特洛伊木馬也就專指這類工具,如BackOrifice, SubSeven, NetBus 等。

自動回應(Automated Response )
如對攻擊發出警報,一些IDS 能夠自動對攻擊作出防禦性反應,可以通過以下途徑實現:

1 重新配置路由器或者防火牆,拒絕來自相同位址的流量;

2 傳送reset包切斷連接。


這兩種方法都有問題。

攻擊者可以通過信任位址欺騙實施攻擊,引起設備重新配置,使得設備拒絕這些信任位址,達到拒絕服務的目的。


發包需要有一個活動的網路接頭,又使得其本身易受攻擊。

解決辦法是可以把活動網路卡放在防火牆內,或者使用專門的發包程序,避開標準IP棧的需求。

CERT電腦應急回應組(CERT - Computer Emergency Response Team )
CERT來自成立於Carnegie Mellon University的第一支電腦安全事件回應隊伍的名稱。

今天許多組織都有自己的CERT(電腦安全事件處理隊伍)。

同CIRT(電腦事件回應組)相區別,CERT側重於緊急事件的快速反應,而不是長期監視。


通用入侵檢測框架:

(CIDF - Common Intrusion Detection Framework )

CIDF是為了在某種程度上對入侵檢測進行標準化,開發了一些傳輸協定和應用程式接頭,使得入侵檢測研究項目的軟體能夠共享信息和資源,同樣入侵檢測系統元件也可以被其他系統套用。

電腦事件回應組(CIRT - Computer Incident Response Team )
源自CERT, CIRT的不同在於對安全事件的處理方式。


CERT的目標是特殊的電腦緊急事件。

而CIRT中的事件並不都是緊急事件,還包括其它安全事件。


通用入侵描述語言(CISL - Common Intrusion Specification Language )
CISL是為了在CIDF元件之間進行通信而描述入侵的通用語言。

同CIDF的標準化工作一樣,CISL也是試突對入侵檢測研究的描述語言進行標準化。

通用漏洞披露(CVE - Common Vulnerabilities and Exposures )
關於漏洞一個問題就是當設計漏洞掃瞄或者採取應對原則時,不同廠商對漏洞的稱謂完全不同。

此外有的廠商用幾種特徵去描述一條漏洞,並解釋為可以檢測更多的攻擊。MITRE建設了CVE,對漏洞名稱進行了標準化,加入CVE的廠商都使用標準化漏洞描述。

URL: www.CVE.mitre.org.

構造資料包(Crafting Packets )

不遵循通常的資料包結構,通過構造自己的資料包,能夠進行資料包欺騙,或者使接收者無法處理這樣的資料包。

Nemesis就是這樣一個工具,最新版本1.32(當然你可以自己用libnet寫). URL:

http://jeff.chi.wwti.com/nemesis/

同步失效(見「躲避」)( Desyncronization (see also Evasion) )
最初,同步實效是指利用序列號的躲避IDS的方法。

一些IDS無法確定期望的序列號,從而對這種資料包無能為力,無法重構資料包。這種技術98年產生,現在已經過時。

有的文章用來指代其他IDS躲避方法。


Eleet

黑客們在寫漏洞開發程序時,經常會留上標記,最一般的就是「elite」 (精華,精銳),通常是elite = eleet,轉換為數字就是31337. 31337 經常被用作連接埠號或者序列號等。現在流行的詞是"skillz".
列舉(Enumeration )
在經過被動探測和社會工程學的工作之後,攻擊者開始列舉網路資源。


列舉就是當攻擊者主動探測一個網路來發現有哪些漏洞可以利用。

由於這個活動是主動的,並且可以被探測到,但是攻擊者的活動仍會盡可能地隱蔽,避免被探測到。

躲避(見「同步失效」)(Evasion (see also Desynchronization) )
躲避是實施攻擊計劃,避開IDS檢測的程序。

躲避的技巧就是使IDS只看到攻擊的一面,而目標卻在其它。

一種躲避的形式就是為不同的資料包設定不同的TTL值。

因此經過IDS的信息看上去並沒有什麼問題,然而,這些並不影響攻擊到達目標。

一旦到達目標,就只有有用的攻擊了。

這裡大大簡化了實際躲避的複雜性。

Ptacek and Nesham的文章《嵌入、逃避和拒絕服務:
如何躲避網路入侵檢測》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)講述了實施躲避的基本原理和方法。


http://www.robertgraham.com/mirror/P...vasion-98.html

漏洞利用(Exploits )

對於每一個漏洞,都有利用此漏洞進行攻擊的機制。

為了攻擊系統,攻擊者編寫出漏洞利用程式碼或教本。

漏洞利用:
零時間利用(Exploits: Zero Day Exploit)
零時間漏洞利用指的是還沒有被公佈或者傳播的漏洞利用。

一旦安全界發現一個漏洞,廠商會發佈修正檔,IDS系統會加入相應的攻擊特徵檢測。對攻擊者而言,零時間漏洞利用的價值最大。

漏報(False Negatives )
漏報:攻擊事件沒有被IDS檢測到或者逃過分析員的眼睛。

誤報(False Positives )
誤報:IDS對正常事件識別為攻擊並進行報警。

防火牆(Firewalls )
防火牆作為網路安全的第一道閘門,它與IDS功能不同,但其日誌可以為IDS提供有用的信息。

防火牆依據對IP位址或者連接埠的規則拒絕非法連接。


FIRST - Forum of Incident Response and Security Teams

FIRST是一個由國際上政府或者民間組織建立的聯盟,以進行安全信息交換和協調安全事件回應。FIRST年會總是受到很大關注。


URL: http://www.first.org
分片(Fragmentation )
如果資料包過大,將會被分片傳輸。分片依據是網路最大傳輸單元(MTU)。

例如靈牌環網是4464,而乙太網是1500。

當一個資料包從令牌環網向乙太網傳輸,它將被按照乙太網的MTU進行分片。在有限的網路條件下,分片傳輸是很正常的。

但是黑客們利用分片來逃避IDS檢測,有幾種臭名昭著的DOS攻擊也是利用了分片技術。

黑客規範:
(Hacker Ethics )
儘管每個人的認識不同,對大多數成熟的黑客而言,黑客規範是神聖的,應該受到尊敬並得到遵守。

例如無條件信息共享,不得偷竊、修改和洩漏被攻擊系統的資料信息等。

URL:http://www.tuxedo.org/~esr/jargon/html/entry/hacker-ethic.html

黑客規範1:

黑帽子(Hacker Ethics: Black Hat )
藐視法律,做事不考慮任何約束的反面黑客。一旦發現漏洞他們往往會私下傳播利用,而不是向社會公佈。

黑客規範2:

白帽子(Hacker Ethics: White Hat )
正面黑客:一旦發現漏洞,他們首先通知廠商,在發佈修補修正檔之前,他們不會公佈漏洞。

關於白帽對黑客規範的觀點和一些免費的IDS工具,見Jude Thaddeus的文章Confessions of a white hat hacker.
URL:http://www.idg.net/english/crd_network_480552.html

黑客規範3:

灰帽子(Hacker Ethics: Grey Hat )

灰帽黑客介於前兩者之間,一旦發現漏洞,他們會向黑客群體發佈,同時通知廠商,然後觀察事態發展。他們遵循了黑客守則的兩點道德規範。


許多人認為廠商應該最先得到通知,很多廠商利用這些信息。


Rain Forest Puppy 發佈了一個原則既能保證廠商利益,又不影響安全研究。

URL:http://www.wiretrip.net/rfp/policy.html
啟發(Heuristics )
「啟發「中包含了套用於IDS中的人工智能的思想。

啟髮式IDS已經提出近十年,然而至今仍進展不大,而黑客卻可以「訓練」IDS使其忽視惡意攻擊。

一些IDS使用異常模型來探測入侵攻擊,然而IDS需要大量時間來「學習」以識別正常事件。廠商在市場上把這稱為啟髮式IDS,但至少這種IDS並沒有套用人工智能對輸入資料進行分析。

Honeynet 工程(Honeynet Project )


根據Honeynet 工程的定義:

Honeynet是一個學習工具,是一個被設計含有缺陷的網路系統。

一旦系統安全受到威脅,相關資訊就會被捕捉,並被小組人員分析和學習。

因此Honeynet是一個非常有用的,透視攻擊全程序的資源。

Honeynet小組由30個安全專家組成,每人都設定了一系列的「蜜罐」來引誘攻擊者,通過觀察研究原則、工具和黑客行為。


URL:http://project.honeynet.org/project.html

蜜罐(Honeypot )

蜜罐是模擬存在漏洞的系統,為攻擊者提供攻擊目標。蜜罐在網路中沒有任何用途,因此任何連接都是可能的攻擊。

蜜罐的另一個目的就是誘惑攻擊者在其上浪費時間,延緩對真正目標的攻擊。

儘管蜜罐的最初設計目標是為起訴攻擊者提供證據收集,但是關於套用蜜罐做陷阱的討論很多。

如果蜜罐在網路內部,攻擊者至少要攻陷一個網路設備。有的國家法律規定,蜜罐收集的證據不能最為起訴證據。
IDS術語第二部分。

術語增加或者需要解釋, Pls mailto:talisker@networkintrusion.co.uk
中文解釋的問題,Pls mailto:mad@email.com.cn
IDS分類(IDS Categories)
關於套用的IDS( Application IDS)關於套用的IDS知道針對特殊套用的入侵特徵,比如對web伺服器和資料庫系統的安全等。

但是,許多關於主機的IDS正在從操作系統預警轉向應用程式預警,雖然它們預設不是應用程式預警,但可以通過訓練學習達到。

例如KSE(一種關於主機的IDS)可以通過日誌得到包括應用程式在內的系統的所有執行信息,但是大部分與安全無關的日誌都被過濾掉,涉及安全的信息,例如病毒和訪問失敗等將被按不同等級報警。

Entercept Web伺服器版本是一個關於特殊套用的IDS。
控制台(Consoles)
為了使分佈的IDS探測端協同工作,需要由集中的控制台進行管理。

現代的集中管理控制台可以接收和處理其它信息源,例如其它IDS產品、防火牆產品和路由器的報警或者日誌。

這些相關資訊有助於發現更完整的攻擊計劃。

一些控制台還可以向探測端發放攻擊特徵和實行遠端控制。

產品: Intellitactics Network Security Monitor 、Open Esecurity Platform.
文件完整性檢查(File Integrity Checkers)
系統被黑客入侵,經常會發生一些重要文件的替換。

通過對關鍵文件進行消息摘要,並週期性地對這些文件進行檢查,可以發現文件變化,從而達到一定的保護目的。

一旦發現文件變化,就會觸發文件完整性檢查工具發出警報。系統管理員可以通過同樣的處理確定系統受危害的程度。

以前的文件完整性檢查工具都是事後處理工具,但是現在很多工具都提供即時檢查和報警,因此也算作一種IDS。

產品:Tripwire、Intact.
蜜罐(Honeypots)
蜜罐是可以模擬脆弱性主機,提供攻擊目標。

蜜罐主機不提供其它任何服務,因此所有連線到蜜罐主機的連接都是可能的攻擊。

蜜罐的另一個目的就是誘惑攻擊者在其上浪費時間,延緩對真正目標的攻擊。

儘管蜜罐的最初設計目標是為起訴攻擊者提供證據收集,但是關於套用蜜罐做陷阱的討論很多。

如果蜜罐在網路內部,攻擊者至少要攻陷一個網路設備。有的國家法律規定,蜜罐收集的證據不能最為起訴證據。

產品:Mantrap and Sting.

關於主機的IDS(Host-based IDS,HIDS)

關於主機的IDS監視系統/事件日誌,分析可疑活動,可以用來偵測系統內部信任用戶誤用以及通過逃避一般監測方法的外來滲透。

除此之外,關於主機的IDS對事件/日誌/時間做簽名分析,有的產品還套用啟髮式學習技術。

由於其接近既時探測,能夠很快探測系統錯誤,使得它在技術人員和安全人員中套用的很廣泛。

「關於主機的IDS」指關於伺服器/工作站主機的所有類型的入侵檢測系統。

廠商們為了迷惑用戶提出了網路節點IDS和文件完整性檢查工具等概念,都屬於關於主機的IDS。

產品:Kane Secure Enterprise 、Dragon Squire.
混合IDS(Hybrid IDS)

現代交換式網路不允許網路卡完全工作在混雜模式,為傳統的關於網路的IDS工作帶來了困難(然而有的交換機允許在跨越連接埠或者連接模式終端訪問點-TAP監聽交換機的所有流量),同時網路帶寬的增加使得NIDS的抓包率大大降低。

一種解決方式就是混合IDS:把NIDS向上擴展一層,結合網路節點IDS和HIDS,形成混合形式的入侵檢測系統。

雖然這種IDS覆蓋範圍增大了,但是需要考慮由此帶來的巨大流量和成本問題。

很多網路為關鍵伺服器保留混合IDS。


一些廠商把不僅完成一種概念的IDS都成為混合IDS;然而,我認為這更多是因為市場原因。

混合IDS只是在2000年中期一個在市場上流行的詞彙,現在很多人已經開始放棄。

產品: CentraxICE 、 RealSecure Server Sensor.

關於網路的IDS( Network IDS (NIDS)

NIDS監視探測器所在網段的所有流量,對包含攻擊特徵或者可疑的異常行為作出反應。

傳統上,NIDS是具有IDS特徵過濾器的混雜模式包嗅探器,然而今天的NIDS具有更高的智能性,能夠進行傳輸協定分析和狀態保持。

NIDS有關於套用的產品,可以直接安裝在套用主機上。NIDS可以分析每一個資料報尋找攻擊特徵,但是當流量過大時,會出現丟包現象。

許多NIDS有對攻擊的回應功能(見第一部分的「自動回應」)。

在2000年後期很多NIDS宣傳進入高速和交換網路的時代,更有的廠商宣傳NIDS能夠處理G比特的網路,通過交換機的監聽斷口或者TAP連接埠可以克服交換網路帶來的不便。

例如Shomiti交換機就支持這種功能。


產品:SecureNetPro 、Snort.
網路節點IDS( Network Node IDS (NNIDS))

交換網路和高速網路給NIDS帶來問題:
一些NIDS在高速網路下工作不可靠,丟包率升高。

交換網路不允許混雜模式網路卡監聽到網路內所有流量。

而網路節點IDS將NIDS的功能分佈到單個的網路節點,從而解決了高速和交換網路的問題。

雖然網路節點IDS與個人防火牆相近,但它們也有區別。

對個人防火牆歸類為NNIDS,在對連接企圖將套用事件分析。


例如在個人防火牆上報警"attempted connection to port *****" ,NNIDS將根據「whatever」攻擊特徵識別為「whatever」探測。

NNIDS將收集到的事件向中央控制台匯報。儘管有這些區別,但是有的個人防火牆廠商還是將其作為網路節點IDS推出。

產品: BlackICE Agent 、Tiny CMDS.
個人防火牆 Personal Firewall

個人防火牆安裝在個人操作系統上防止非法連接進出。

它們能否有效保護主機免受攻擊並不可靠。

不要將它與網路節點IDS混淆。
例如: ZoneAlarm 、 Sybergen.

關於目標的IDS(Target-Based IDS )
這類IDS的概念不是很明確,不同的人有不同的理解。

一種定義指的是文件完整性檢查工具,而另一種是關於網路的IDS,可以偵測攻擊特徵保護網路。

後一種定義的目標是避開不必要的檢測,加速IDS。

我個人希望瞭解每一種攻擊而不考慮其成功與否。由於這個術語有太多的含義,應該避免使用它,以免混淆。

入侵檢測工作組-IDWG(Intrusion Detection Working Group (IDWG))
IDWG的工作目標是定義入侵檢測和回應系統進行信息共享和交換,以及與管理系統交互所需的資料格式。IDWG與IETF其它工作組協同工作。


URL:http://www.ietf.org/html.charters/idwg-charter.html
事件處理Incident Handling

探測到入侵只是開始。更多的情況是,控制台操作員會經常接到警報,因此沒有時間親自跟蹤每個事件,他們會對感興趣的事件做下標志,以利於事件處理小組深入調查事件。

經過最初回應之後,接下來需要處理的問題是深入調查、取證和法庭起訴工作。Chris Jordan的論文 "Analyzing IDS Data" 論述了IDS警報分析的前兩個階段。

URL:http://www.securityfocus.com/focus/ids/articles/analyzeids.html
事件回應(Incident Response)
對潛在事件的初始反應,然後依據事件處理程序操作。

隔離(Islanding)

隔離是把網路從Internet上隔離開來,這往往是迫不得已採取得辦法,通常在遇到大規模病毒發作或者遇到很嚴重的攻擊的情況下才採取隔離措施。
混雜模式Promiscuous
預設情況下,IDS的網路界面只能看到從主機進出的包——這是非混雜模式。

通過設定網路界面的混雜模式,IDS可以監聽到整個網路內所有的流量。

這是關於網路地IDS工作的必要條件。

交換式HUB防止主機監聽網段內所有流量,但是很多交換機提供跨越連接埠來監視網路內所有的網路活動。


路由器Routers

路由器是連接子網的設備,它在OSI七層模型的傳輸層和網路層工作。路由器的基本職能是為網路資料包到達目的地找到正確路由。

許多路由器都有訪問控制表(Access Control Lists (ACLs))來過濾不期望的資料包。

許多路由器的日誌可以被IDS利用,提供關於阻止網路訪問有價值的信息。
掃瞄器(Scanners)
掃瞄器是一種能夠掃瞄網路或者主機漏洞的自動工具。

像IDS一樣,掃瞄器有很多種類。詳細列表見作者主頁:

http://www.networkintrusion.co.uk/scanners.htm
網路掃瞄器(Network Scanners)
網路掃瞄器用來映射一個網路,找到網路上的所有主機。傳統的方法使用ICMP ping來進行探測,但是這種方法容易被發現。


有多種不同的方法來隱蔽網路掃瞄,像ack掃瞄和fin掃瞄。這些隱蔽掃瞄方法主要是利用不同操作系統對這些掃瞄方式的回應方式不同。

工具:nmap.
網路漏洞掃瞄器Network Vulnerability Scanners
網路漏洞掃瞄器是網路掃瞄器的發展,可以檢查目標主機的漏洞。

攻擊者和安全人員都利用網路漏洞掃瞄器作為探測工具。

它很容易引起網路入侵檢測系統的警報。有的網路漏洞掃瞄器主要掃瞄web伺服器的漏洞,像Whisker 甚至可以有一些的設定方法來避開NIDS的檢測
產品:Retina、 CyberCop Scanner
Scanner Category:

主機漏洞掃瞄器Host Vulnerability Scanners
使用主機漏洞掃瞄器,特權用戶可以從內部掃瞄主機,檢查諸如密碼強度、文件權限的安全原則方面的漏洞。

它的掃瞄可以被IDS,尤其是HIDS探測到。 SecurityExpressions 是一個遠端 Windows 漏洞掃瞄器,甚至可以自動修補系統漏洞。

其它像ISS的資料庫掃瞄器(ISS database scanner)可以掃瞄資料庫漏洞。


指令碼小子Script Kiddies

指令碼小子利用別人開發的漏洞利用指令碼來達到自己的目的,而不是自己努力。有很多人輕視指令碼小子的能力,甚至貶損他們。

但是他們是一股不可小看的力量,像grc.com(http://grc.com/dos/intro.htm)。
他們就像持有槍械的小孩,不需要理解彈道學或者去構築堅固的炮台,但決不能低估他們。


躲避(Shunning )

「躲避」是很多邊緣設備的配置方法,目的是拒絕從不受歡迎的源位址來的各種資料包。有的網路甚至拒絕從某一特定國家來的流量。
特徵(Signatures)
IDS的核心是攻擊特徵,IDS根據攻擊特徵產生事件觸發。攻擊特徵的描述太短容易產生誤報,太長則延緩IDS的回應速度。

有人將IDS識別攻擊特徵的數量作為IDS質量的衡量標準。


有的廠商用一條特徵覆蓋很多種攻擊方法,而有的廠商則將其拆分為幾種特徵,假以宣傳自己的產品可以識別更多的攻擊,實則不然。
隱蔽(Stealth )
隱蔽模式使得IDS在對外界不可見的情況下正常工作。

這種IDS大多數用在DMZ外,在防火牆的保護之外。它有自動回應的缺點。

參考資料:
IDS的標準化
http://www.slime2.com.tw/forums/show...&highlight=IDS
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:40 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1