一、反攻擊技術的核心問題
反攻擊技術(入侵檢測技術)的核心問題是如何截獲所有的網(wǎng)絡信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡偵聽的途徑(如Sniffer，Vpacket等程序)來獲取所有的網(wǎng)絡信息(數(shù)據(jù)包信息，網(wǎng)絡流量信息、網(wǎng)絡狀態(tài)信息、網(wǎng)絡管理信息等)，這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。
二、黑客攻擊的主要方式
黑客對網(wǎng)絡的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經(jīng)有相應的解決方法，這些攻擊大概可以劃分為以下六類:
1. 拒絕服務攻擊:
一般情況下，拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統(tǒng)關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
2. 非授權訪問嘗試:
是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權限所做的嘗試。
3. 預探測攻擊:
在連續(xù)的非授權訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡內部的信息及網(wǎng)絡周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
4. 可疑活動:
是通常定義的“標準”網(wǎng)絡通信范疇之外的活動，也可以指網(wǎng)絡上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等。
5. 協(xié)議解碼:
協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡或安全管理員需要進行解碼工作，并獲得相應的結果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。
6. 系統(tǒng)代理攻擊:
這種攻擊通常是針對單個主機發(fā)起的，而并非整個網(wǎng)絡，通過RealSecure系統(tǒng)代理可以對它們進行監(jiān)視。
三、黑客攻擊行為的特征分析與反攻擊技術
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進行分析，并提出相應的對策。
1. Land攻擊
攻擊類型：Land攻擊是一種拒絕服務攻擊。
攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。
檢測方法：判斷網(wǎng)絡數(shù)據(jù)包的源地址和目標地址是否相同。
反攻擊方法：適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包)，并對這種攻擊進行審計(記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址)。
2. TCP SYN攻擊
攻擊類型：TCP SYN攻擊是一種拒絕服務攻擊。
攻擊特征：它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當被攻擊主機接收到大量的SYN數(shù)據(jù)包時，需要使用大量的緩存來處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的IP地址，并一直等待ACK數(shù)據(jù)包的回應，最終導致緩存用完，不能再處理其它合法的SYN連接，即不能對外提供正常服務。
檢測方法：檢查單位時間內收到的SYN連接否收超過系統(tǒng)設定的值。
反攻擊方法：當接收到大量的SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進行系統(tǒng)審計。
3. Ping Of Death攻擊
攻擊類型：Ping Of Death攻擊是一種拒絕服務攻擊。
攻擊特征：該攻擊數(shù)據(jù)包大于65535個字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時，就會造成內存溢出、系統(tǒng)崩潰、重啟、內核失敗等后果，從而達到攻擊的目的。
檢測方法：判斷數(shù)據(jù)包的大小是否大于65535個字節(jié)。
反攻擊方法：使用新的補丁程序，當收到大于65535個字節(jié)的數(shù)據(jù)包時，丟棄該數(shù)據(jù)包，并進行系統(tǒng)審計。
4. WinNuke攻擊
攻擊類型：WinNuke攻擊是一種拒絕服務攻擊。
攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標端口，被攻擊的目標端口通常是139、138、137、113、53，而且URG位設為“1”，即緊急模式。
檢測方法：判斷數(shù)據(jù)包目標端口是否為139、138、137等，并判斷URG位是否為“1”。
反攻擊方法：適當配置防火墻設備或過濾路由器就可以防止這種攻擊手段(丟棄該數(shù)據(jù)包)，并對這種攻擊進行審計(記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址MAC)。
5. Teardrop攻擊
攻擊類型：Teardrop攻擊是一種拒絕服務攻擊。
攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包(IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息)，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。
檢測方法：對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量(Offset)是否有誤。
反攻擊方法：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。
6. TCP/UDP端口掃描
攻擊類型：TCP/UDP端口掃描是一種預探測攻擊。
攻擊特征：對被攻擊主機的不同端口發(fā)送TCP或UDP連接請求，探測被攻擊對象運行的服務類型。
檢測方法：統(tǒng)計外界對系統(tǒng)端口的連接請求，特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。
反攻擊方法：當收到多個TCP/UDP數(shù)據(jù)包對異常端口的連接請求時，通知防火墻阻斷連接請求，并對攻擊者的IP地址和MAC地址進行審計。
對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法，還需要利用狀態(tài)轉移、網(wǎng)絡拓撲結構等方法來進行入侵檢測。
四、入侵檢測系統(tǒng)的幾點思考
從性能上講，入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷，即對數(shù)據(jù)進行全面復雜的檢驗構成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。
從技術上講，入侵檢測系統(tǒng)存在一些亟待解決的問題，主要表現(xiàn)在以下幾個方面:
1. 如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復雜的攻擊手法，使入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術。
2. 網(wǎng)絡入侵檢測系統(tǒng)通過匹配網(wǎng)絡數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設攻擊信息是明文傳輸?shù)?，因此對信息的改變或重新編碼就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。
3. 網(wǎng)絡設備越來越復雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制，以適應更多的環(huán)境的要求。
4. 對入侵檢測系統(tǒng)的評價還沒有客觀的標準，標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術，隨著技術的發(fā)展和對新攻擊識別的增加，入侵檢測系統(tǒng)需要不斷的升級才能保證網(wǎng)絡的安全性。
5. 采用不恰當?shù)淖詣臃磻瑯訒o入侵檢測系統(tǒng)造成風險。入侵檢測系統(tǒng)通?？梢耘c防火墻結合在一起工作，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，過濾掉所有來自攻擊者的IP數(shù)據(jù)包，當一個攻擊者假冒大量不同的IP進行模擬攻擊時，入侵檢測系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是造成新的拒絕服務訪問。
6. 對IDS自身的攻擊。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，若對IDS攻擊成功，則導致報警失靈，入侵者在其后的行為將無法被記錄，因此要求系統(tǒng)應該采取多種安全防護手段。
7. 隨著網(wǎng)絡的帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡的檢測器(事件分析器)仍然存在很多技術上的困難。
入侵檢測系統(tǒng)作為網(wǎng)絡安全關鍵性測防系統(tǒng)，具有很多值得進一步深入研究的方面，有待于我們進一步完善，為今后的網(wǎng)絡發(fā)展提供有效的安全手段。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001