众元教育2020-0603班IDS和IPS学习笔记
一、IDS入侵检测系统
定义:IDS(Intrusion Detection Systems,即入侵检测系统)是对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或 者攻击结果。
工作原理:特征识别,记录攻击行为,以备审计,无法做到实时响应丢弃可疑数据包。
后期改进:对于恶意的TCP连接,防火墙会向黑客和服务器同时发送TCPRST数据包,用来重置连接,即断开连接。但还是无法防范ICMP、UDP等攻击形式。
特点:被动检测,响应速度慢。
部署方式:一般为旁路部署,如下:
二、IPS入侵防御系统
定义:IPS(Intrusion Prevention Systems,即入侵防御系统)可对网络、系统的运行状况进行监视,并可发现阻止各种攻击企图、攻击行为。
IPS常见攻击手段如下:
1.worm蠕虫(恶意程序)
-
扫描方式:端口扫描、地址扫描、密码猜测、账号猜测;
-
攻击方式:恶意邮件、自动安装程序、利用已知后门或者漏洞、利用Active X控件。
-
寄生方式:创建新文件、修改已有文件、修改注册表、创建服务、建立后门。
-
传播方式:邮件、web、FTP、文件共享。
-
发作方式:修改删除文件、网络瘫痪、拒绝访问。
2.网络设备,服务器漏洞。
3.后门、木马、间谍软件等。
4.口令暴力** -
字典法:黑客通过各种手段所获取一些网络用户所经常使用的密码,集合在一起的的一个文本文件。
-
规则**:规则法是通过账号或者用户的个人信 息进行**,如生日、电话等信息。
特点:主动检测,响应速度快。
部署方式:一般为串联部署(路由、透明模式),如下:
三、IPS防护
1.防护原理:深度内容检测(DPI技术),通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规划库(攻击或入侵行为特征:蠕虫、木马后门、系统漏洞、网络设备漏洞、口令**)进行对比,如果匹配则拒绝该数据包,从而实现应用层IPS防护(滥用检测)。
2.防护方式
防护方式分为IPS的保护对象和IPS的规则识别分类。
保护对象:
- 保护客户端:用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。
- 保护服务器:用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而 受到攻击;还用于阻止用户频繁登录指定协议服务器,防止暴力**攻击。
规则识别分类:
- 保护服务器和客户端(一般是病毒、木马等): 防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
- 保护服务器软件(如应用服务器提供的应用): 防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力**。
- 保护客户端软件(如OA、IE等) :防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。