为特征准确的识别出恶意的扫描行为,并及时通知管理员。
本实验通过攻击者常用的portscan12端口扫描工具进行端口扫描攻击,检验RG-IDS对端口扫描攻击的检测能力。 (2)实验步骤 第一步:策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。新的策略中选择“tcp:portscan ”签名,并将策略下发到引擎。 第二步:实施攻击
启动端口扫描攻击程序。 第三步:查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息
5、DoS攻击检测
(1)原理 Web DoS主要是用来攻击Web页面。攻击者向目标主机上开销比较大的CGI页面发起HTTP请求,造成目标主机拒绝服务。攻击者模拟多个用户(多少线程就是多少用户)不停地进行访问,访问那些需要大量数据操作,即需要消耗大量CPU资源的页面。这种攻击和正常的Web访问很类似,因此攻击者可以很好地隐藏自己,也可以绕开防火墙。
Web CC攻击方法较为简单,易被黑客所掌握。因此此类攻击严重威胁用户的正常的Web资源,RG-IDS通过行为特征准确地识别出恶意的行为,并及时产生告警。 (2)实验步骤
第一步:搭建Web服务器
将Webserverv12.exe工具拷贝到被攻击机172.16.5.125中,并运行该软件,使被攻击机不用做任何配置即可当做一台简易的Web服务器。 第二步:策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。新的策略中选择“www2”下的“Webcc”签名,设置该签名的参数:WebHOST为“172.16.5.125”,保存策略,并将策略应用到引擎设备上。 第三步:实施攻击
在MS-DoS下运行Webcc.exe文件,启动Web CC攻击程序。命令格式为:“Webcc 要攻击的Web服务器地址 要刷新的Web页的路径 要攻击的Web服务器端口”。 第四步:查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,
6、密码策略审计
(1)原理 密码攻击是骇客攻击时最常用到的方式之一,利用密码的猜测、暴力破解等方法来掌握关键帐号的密码,已达到控制远程机器的目的。
防范此种攻击最常用的方法是保障密码的强度,即对帐号所使用的密码长度、复杂度(使用大小写、字母、数字、非标准字符等进行组合)进行强制性要求。
本实验通过模拟某FTP服务器登录帐号密码使用简单密码,IDS将及时产生告警。
(2)实验步骤 第一步:策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
第二步:使用弱密码进行登录
在FTP服务器上建立帐户“test01”、“test02”,密码分别是“123456”和“test02”。在FTP客户端机器上分别使用帐户“test01”、“test02”进行登录。 第三步:查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,如下图 第四步:修改策略
在RG-IDS控制台中修改策略参数,将“ALERT PASSWORDS”的值修改为“1”,保存并应用策略到IDS当中。
第五步:重新登录FTP服务器
重复第二、三步骤,观察报警详细信息的差异,告警信息中将显示出不安全的密码。
7、IIS服务漏洞攻击检测
(1)原理 IIS(Internet Information Service)可以让有条件的用户轻易地建立一个本地化的网站服务器,同时提供HTTP访问、文件传输(FTP)服务以及邮件服务等。
但是IIS服务漏洞或缺口层出不穷,黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其漏洞进入到计算机内部,删改主机上的文件。以“扩展UNICODE目录遍历漏洞”为例,黑客就可以利用工具软件(如:IIS Cracker)进入到计算机内部。通过“IIS Cracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。
本实验通过“IIS Cracker”工具攻击开放IIS服务的Web服务器,并获得权限。RG-IDS能及时准确地检测出该类攻击,并将警告上报控制台。 (2)实验步骤
第一步:使用Windows的IIS组件搭建Web服务器
第二步:策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
第二步:实施攻击
启动IIS攻击程序 第四步:查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息
7、缓冲区溢出攻击检测
(1)原理 Win32.Sasser.A是一个通过Windows 2000、Windows XP和Windows Server 2003的系统漏洞(MS04-011)传播的蠕虫病毒,病毒文件长度为15872字节。远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令,利用这个漏洞最有名的攻击就是“震荡波”病毒。
微软的Server服务中的漏洞可能允许远程执行代码,这是一个比较严重的漏洞,从Windows 2000 SP4到Windows XP SP2再到Windows 2003 SP1,还有64位操作系统,无一幸免。这个漏洞的最著名的利用就是“魔波”(MS06-040)蠕虫病毒。
RG-IDS 通过检测该溢出攻击发生时的网络行为特征(基于客户系统已存在的漏洞)。
(2)实验步骤 第一步:策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
第二步:实施攻击
1、MS04-011
选择开始菜单-metasploit 3-metasploit 3 GUI,打开metasploit程序。 2、MS06-040
依次选择exploits-windows-smb,在下面的漏洞列表中双击ms06_040_netapi。 第三步:查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息
入侵检测与防火墙试卷复习题
