一、防护体系性能模拟分析法

所谓黑客入侵防范体系，安全防护性能模拟分析法是指采用如下4种检测方式对体系的安全防护性能进行模拟分析，给出体系对被保护网络受到外部攻击、内部攻击以及被保护网络发起的对外攻击三大类攻击的防护性能分析，以帮助分析和检测黑客入侵防范体系的实际安全防护性能。

（1）在搭建的实验环境中，使用典型攻击技术和手段从外部对该体系所保护的网络进行模拟攻击，了解和观察体系对这些外部攻击行为的反应，给出体系对外部攻击的防护过程描述。

（2）通过分析该体系在解放军报社等单位试用过程中发现攻击并做出的实际反应，给出体系的防护效果描述。

（3）在搭建的实验环境中，使用典型攻击技术和手段从内部对该体系所保护的网络进行模拟攻击，了解和观察体系对这些内部攻击行为的反应情况，给出体系具体防护过程描述。

（4）从被保护网络发起对外模拟攻击，观察体系对这些对外攻击行为的反应情况，给出体系防护性能的简单描述。

在本节中将对被保护网络采用9种典型外部攻击技术（参见本书2.4.2节“黑客攻击行为分类方法”中的相关内容）进行模拟攻击测试，分析黑客入侵防范体系对这些模拟攻击行为做出的响应和防护效果，从而对体系的安全防护性能进行模拟分析。本文采用的分析方法是从这9种典型的攻击技术中，每类选取一种代表性的攻击工具对体系所保护的网络进行模拟攻击，分析体系的安全防护性能并给出相关描述，具体模拟分析结果描述如下。

2.1  nmap扫描攻击的防护

现在黑客网站上关于扫描类的攻击工具非常多，其中一个较为有名的、具有代表性的扫描攻击工具叫nmap（Network Mapper），是Linux系统环境下的网络扫描和嗅探工具包，其基本功能有：

（1）探测一组主机是否在线。

（2）扫描主机端口，分析被扫描主机对外提供的网络服务。

（3）推断主机所使用的操作系统类型。扫描网络是黑客实施入侵攻击的前奏。通过使用扫描器（如nmap）扫描网络，寻找存在漏洞的目标主机。一旦发现了有漏洞的目标，就开始对目标实施进一步的攻击行动。

黑客使用nmap软件通过Internet对被保护网络中的节点A进行扫描攻击。 该攻击行为首先被基于网络的IDS检测到，当IDS检测到nmap攻击行为的攻击信息后，立即向体系管理平台报告。

体系管理平台在收到IDS的报警信息后，根据nmap扫描攻击的性质和危险级别，管理平台会通知防火墙和陷阱机，将该攻击行为引入陷阱机，进行进一步观察和跟踪分析，同时，通知取证机进行取证记录。

陷阱机和防火墙合作，将攻击引入陷阱机。

陷阱机模仿节点A给黑客返回相关信息，诱骗攻击者进一步表现自己，进行记录分析，同时取证机进行取证。

陷阱机、防火墙和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者IDS。

体系管理平台会及时将这次nmap攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行处理，如调动安全事件响应队伍进行相关处理、对该地址进行封锁、警告或跟该主机的管理员取得联系。

2.2  Xavior远程口令攻击的防护

Xavior是一种在线口令破解器，是一个远程口令攻击程序，类似于Brutus和wwwhack。它可被管理员用于对基于口令保护机制的网络服务（如POP3、WWW验证、路由器、FTP）进行口令暴力破解攻击。破解过程的第一步是定义登录程序（如登录提示符、应该发送什么、预期的响应等），然后用预先准备好的用户口令或完全使用暴力法试图破解口令。虽然该工具的免费版本只支持基于字典的暴力破解，但它仍然具有强大的功能，如保存当前破解状态以便以后继续破解，支持基于WWW认证的代理服务器，多线程破解等。
如图9-3所示，防范体系对从外部来的Xavior口令攻击的防护过程如下所述：

黑客使用Xavior软件通过Internet对被保护网络中的节点A进行口令暴力攻击。

该攻击行为首先被节点A上的主机型IDS检测到，当该主机IDS检测到该攻击信息后，立即向体系管理平台报告。

体系管理平台在收到节点A的主机IDS的报警信息后，管理平台会通知防火墙和陷阱机，由防火墙将该攻击连接切断，在攻击再次来临时，由防火墙将攻击信息引入陷阱机，由陷阱机进行节点A的模仿，让攻击者获得一个陷阱机的普通账号，对攻击者的进一步动作进行观察调查和跟踪分析，同时，通知取证机进行取证记录，通知实时监控机和监控员进行实时监控分析。

陷阱机和防火墙合作，将攻击引入陷阱机。

陷阱机模仿节点A给黑客使用，诱骗攻击者进一步表现自己，进行记录分析，同时取证机进行取证。

陷阱机、防火墙、实时监控机和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库并将处理结论反馈给节点A上的主机型IDS。

体系管理平台会及时将Xavior口令攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行进一步处理（如调动安全事件响应人员进行响应，用扫描系统对节点A的口令设置情况进行扫描评估并进行处理，或者对攻击者发出必要的警告信息等）。

2.3  尼姆达病毒攻击的防护

恶意代码包括蠕虫、病毒、特洛伊木马等，本节以尼姆达病毒为例对黑客入侵防范体系的安全防护性能进行分析。
尼姆达是通过电子邮件等方式传播的蠕虫病毒恶意代码。具有感染速度快、扩散面广、传播形式复杂多样等特点。通过系统漏洞、局域网共享、电子邮件和文件等四种途径传播，能感染装有各类Windows操作系统的服务器和个人电脑。 防范体系对尼姆达病毒攻击的防护过程如下所述：

黑客或被利用的用户使用尼姆达病毒攻击被保护网络中的节点A。

若该攻击行为首先被防病毒系统首先发现，则防病毒系统直接杀毒，然后，将结果报告管理平台（步骤3），体系

响应过程结束。若该攻击行为首先由网络型IDS首先检测到，则它立即向体系管理平台报告。

在收到报警信息后，体系管理平台会通知防病毒系统进行查杀病毒处理。

防病毒系统对主机A进行病毒查杀并向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给IDS。

管理平台通知安全管理员，由安全管理员进行进一步处理，如调动安全事件响应队伍进行相关处理工作，对网络中的所有主机进行病毒查杀，以防止尼姆达病毒的扩散和破坏等。

2.4  SunOS dtspcd缓冲区溢出攻击的防护

这个远程缓冲区溢出攻击利用了SunOS系统程序dtspcd的漏洞（据Sun公司发布的安全公告称，受该漏洞影响的系统包括：SunOS（含_x86）5.8, 5.7, 5.6及5.5.1）。

CDE是Sun Solaris或其他Unix系统缺省的X-Windows GUI环境，当一个CDE客户端试图在主机上创建一个进程时，Dtspcd守护进程会被inetd启动来处理这种请求。但是Dtspcd守护进程存在缓冲区溢出漏洞，远程攻击者能利用此漏洞取得系统特权（在缺省状态下Dtspcd是以root权限运行于6112/TCP端口的后台服务进程）。

下面对缓冲区溢出过程做一简单描述：正常命令调用（如command –r1 ref1 – r2 ref2）时的缓冲区状态如图9-5所示。而在异常命令调用时的缓冲区状态如图9-6所示。缓冲区溢出攻击程序首先分配一块暂存区buff，然后在buff前面填满空指令NOP，后面部分放Shell代码，最后部分是希望程序返回的地址（由栈地址加偏移得到）。当以buff为参数调用一个命令时，将造成该命令程序的堆栈溢出，其缓冲区被buff覆盖，而返回地址将指向NOP中任一位置，执行完NOP指令后程序将激活Shell进程，然后，程序将返回指定的具有suid位的命令地址。 防范体系对dtspcd缓冲区溢出攻击的防护效果示意如下:

黑客利用dtspcd缓冲区溢出攻击工具对节点A进行攻击。

当网络型IDS或主机A上的主机型IDS检测到该攻击行为后，立即向体系管理平台报告。

体系管理平台在收到该攻击行为的报警信息后，会通知防火墙切断该连接。

防火墙将攻击连接切断。

管理平台通知扫描软件对节点A进行隐患评估扫描，检查是否存在该缓冲区溢出漏洞，若有，进行清除工作（该步骤有时需要调动安全事件响应队伍，分析后若发现主机A有缓冲区溢出漏洞，则需要打补丁或取消该服务）。

防火墙、评估扫描系统向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台将处理结果记录入库，并将处理结论反馈给节点A上的基于主机的IDS或网络型IDS。

体系管理平台会及时将该攻击发起者的IP地址等相关信息通知安全管理员，由安全管理员据具体情况进行处理，如调动事件响应队伍对节点A进行系统加固和补丁添加等安全优化工作或向该攻击者IP发出警告信息等。

2.5  hunt欺骗攻击的防护

源地址欺骗攻击过程如下所述：

选定目标主机。

发现信任模式，找到一个被目标主机信任的主机。

通过SYN flood等拒绝服务攻击手段使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。

伪装成被信任的主机，同时基于地址验证，与目标主机建立起应用连接。

如图9-9所示，防范体系对源地址欺骗攻击的防护过程如下所述：

黑客使用源地址欺骗攻击方式，通过Internet对被保护网络中的节点A进行攻击（节点A信任节点B）。

该攻击行为首先被防火墙检测到（外部网络中自称源地址为内部网络地址的IP包），防火墙立即向体系管理平台报告。

防火墙与路由器配合，将该攻击行为阻断。

防火墙向体系管理平台报告处理结果信息，由体系管理平台记录存档。

体系管理平台向安全管理员提示警告信息。安全管理员根据情况进行相应的处理（如对节点A进行安全优化处理，放弃以地址为基础的验证，不允许r*类远程调用命令的使用，删除.rhosts文件，清空/etc/hosts.equiv文件等）。

2.6  BO2000后门攻击的防护

BO2000是一个有名的后门程序，它可以搜集信息，执行系统命令，重新设置机器及重定向网络。只要远程机器执行了BO2000 Server程序，攻击者就可以连接这部机器，执行上述动作。虽然BO2000可以当做一个简单的监视工具，但它主要的目的还是控制远程机器和搜集资料。BO2000匿名登录和可能恶意控制远程机器的特点，使它成为在网络环境里一个极其危险的黑客攻击工具。 防范体系对BO2000后门攻击的防护过程如下：

黑客使用BO2000的客户端软件通过Internet对被保护网络中的节点A进行操作。

该攻击行为首先被基于网络的IDS检测到，或者由节点A上的基于主机的IDS或网络隐患扫描评估软件发现该后门端口。当网络IDS或该主机IDS或隐患扫描系统检测到BO2000攻击行为信息后，立即向体系管理平台报告。

体系管理平台在收到相关报警信息后，会通知防火墙，由防火墙将该连接切断。

防火墙将攻击连接切断。

体系管理平台通知节点A的抗毁系统启动，进行信息完整性检查，并使用防病毒软件清除该后门程序（该步骤一般需要调动安全事件响应队伍进行响应工作，可使用查杀病毒软件来清除该后门），并调用主机A的取证机上的相关记录来分析后门的安装原因和攻击来源。

防火墙、抗毁系统和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者。

通知网络安全评估系统对经过上述处理的节点A进行扫描评估。

扫描评估系统将扫描结果向管理平台报告，若仍有问题，进入下一个处理流程，若没有问题，则将扫描评估系统的扫描结果存档即可。

体系管理平台及时将这次攻击处理的相关信息通知安全管理员，由安全管理员根据具体情况进行处理。

2.7  Hijack会话劫持攻击的防护

Hijack是一个会话劫持程序，利用TCP/IP协议中允许对分组流进行欺诈的漏洞、向其中插入一个分组、从而达到在远程主机执行命令的目的。攻击者可用该工具尝试观察并接管一个连接，但这类攻击要在共享式网络环境中才能使用。

黑客入侵防范体系对Hijack攻击的防护方式如图9-11所示，主要通过黑客入侵防范体系保护整体网络的安全，防止黑客侵入网络中的薄弱主机节点后再通过Hijack会话劫持工具进行攻击，并通过安全政策和管理规范的规定将被保护网络中的共享式HUB用交换机代替，从而避免该类攻击行为的发生，保护网络免受该类攻击。

2.8  Sniffer网络监听攻击的防护

黑客要想迅速获得大量的账号（包括用户名和密码），一个最为有效的手段就是使用Sniffer程序。这种方法要求运行Sniffer程序的主机和被监听的主机在同一个以太网段上（信息必须流经监听机），故而在外部主机上运行Sniffer很难取得效果。同时，Sniffer程序必须以root身份使用才能监听到同以太网段上的数据流。Sniffer攻击原理示意如下：

大多数Sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使系统管理员很难发现运行的Sniffer程序（如rootkit攻击工具）。Sniffer程序将系统的网络接口设定为混杂模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接收者或发送者是不是运行Sniffer的主机。程序将用户名，密码和其他黑客感兴趣的数据存入log文件。黑客会等待一段时间（如一周后）回到这里来下载该log文件。

如图9-13所示，防范体系对Sniffer网络监听攻击的防护过程如下所述：

黑客使用各种手段并成功入侵节点A后，在被控制的节点A上安装Sniffer软件，进行口令的捕获和相关信息的窃取。

该攻击行为首先被节点A上的主机型IDS或tripwire之类的抗毁软件检测到，或者由网络隐患扫描评估软件发现该节点的网络接口被设置成混杂模式。当该主机型IDS或隐患扫描系统或tripwire检测到攻击信息后，立刻向体系管理平台报告。

体系管理平台在收到节点A或隐患扫描系统的报警信息后，体系管理平台会通知防火墙，由防火墙将该地址封锁，以防止该Sniffer软件捕获到的信息传回给攻击者，被攻击者利用。

防火墙与路由器配合，将攻击者的IP地址封锁住。

管理平台通知节点A的抗毁系统启动，进行信息完整性检查并进行Sniffer软件的清除工作（本步骤一般需要调动安全事件响应队伍对节点A进行善后处理工作），调用主机A的取证系统的记录进行分析，找出Sniffer的安装原因。

防火墙、抗毁系统和取证系统向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者。

通知评估扫描系统对经过上述处理的节点A进行扫描评估。

扫描评估系统将扫描结果向管理平台报告，若仍有问题，进入新的处理流程，若没有问题，则将扫描评估系统的扫描结果存档即可。

体系管理平台及时将这次攻击处理的相关信息通知安全管理员，由安全管理员根据具体情况进行处理。

2.9  拒绝服务攻击的防护

ICMP/SMURF攻击利用的是网络广播的原理来发送一个ICMP请求到大量的地址（通过广播地址或其他机制发送到整个网络中的机器），而包的源地址就是黑客要攻击的目标主机的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包，最终导致该网络的所有主机都对此ICMP应答请求做出答复，比ping of death洪水的流量高出一或两个数量级，从而导致网络阻塞，最终导致第三方雪崩。攻击效果示意图如图9-14所示。使用网络发送一个包而引出大量回应的方式也被叫做“放大器”，目前，仍有很多Web服务器具有这种漏洞。 防范体系对smuff攻击的防护过程如下所述：

黑客使用smuff攻击软件通过Internet对被保护网络中的节点A进行攻击。

该攻击行为首先被防火墙检测到（防火墙策略配置不允许ICMP协议通过）。

防火墙将该攻击阻断。

防火墙向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台会及时将这次拒绝服务攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行处理（如对该地址进行封锁等）。

若是其他拒绝服务攻击，如tfn2k、SYNflood等，会首先由IDS发现攻击行为，IDS将探测到的攻击行为通知体系管理平台（若情况紧急，IDS会直接通知防火墙，由防火墙和路由器配合，进行阻断），体系管理平台通知防火墙和路由器调整配置策略，阻断该攻击行为。防火墙向体系管理平台报告处理结果。体系管理平台将该处理结果存档并将处理结论反馈给IDS。若是分布式拒绝服务攻击，需要调动安全事件响应队伍进行紧急响应处理工作，防止造成不良后果。