网络入侵检测全攻略
1. 网络入侵检测概述
攻击者常常利用应用程序的漏洞来非法访问系统。在发动攻击之前,他们需要先了解目标系统的存在。为了保护网络环境,我们可以采用多种方法,同时也需要掌握检测非法访问的技术。
2. 了解网络流量并调整防火墙
在标准网络环境中,应用程序和用户通过网络协议(如 TCP/IP、ICMP 和 UDP)进行通信,每个协议都需要预定义的端口。文件/etc/services包含了许多知名的协议 - 端口对以及它们所支持的应用程序。如果我们清楚环境中运行的应用程序,就可以列出所需的端口。
限制网络流量仅通过这些选定的端口,可以降低整体风险。此外,对需求进行适当审查后,可能会发现有些服务可以限制特定客户端访问,进一步约束网络流量。
部分应用程序在特定端口发起对话,握手完成后,通信可能会转移到不同(有时是随机)的端口。完成应用程序 - 端口映射后,我们会得到一个支持应用程序所需的有效客户端/服务器/端口关系列表。同时,像 DHCP、DNS 和 NNTP 等协议也不能被忽略,否则可能导致关键应用程序失败,而这些关系可以通过配置合适的防火墙来控制。
了解网络中使用的端口,有助于我们更容易识别未经授权的流量。例如,键盘记录器和密码窃取木马常使用 IRC 通道向远程服务器报告信息,如果网络不允许聊天流量,就能快速识别出可能被感染的机器。
一个配置良好的防火墙不仅要监控传入流量,还要能够监控和控制内外向数据包的端口和内容,这是减轻成功攻击的第一步。
3. 网络入侵检测系统(NIDS)
配置良好的防火墙结合状态包检测(