Unix下如何进行手工入侵检测

时间:2022-05-07 13:53:21 其他范文 收藏本文 下载本文

Unix下如何进行手工入侵检测((精选4篇))由网友“雁渡”投稿提供,下面是小编为大家汇总后的Unix下如何进行手工入侵检测,仅供参考,欢迎大家阅读,希望可以帮助到有需要的朋友。

Unix下如何进行手工入侵检测

篇1:Unix下如何进行手工入侵检测

一个好的网管员不但要管理好网络,能及时排除各种故障,还要注意网络安全,提防 入侵,

Unix下如何进行手工入侵检测

所以熟悉常用手工入侵检测的方法和命令也应该是网管员们的基本技能之一。本文介绍的是一些Unix下常用手工入侵检测方法与命令,网管员们掌握了它不但可以迅速判断出一

篇2:UNIX下入侵检测的方法

因为Unix系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标,于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检查方法

以Linux和Solaris为例:

1、检查系统密码文件

首先从明显的入手,查看一下passwd文件,ls Cl /etc/passwd查看文件修改的日期。

输入命令

awk Cf:’$3==0 {print $1}’ /etc/passwd

来检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来。顺便再检查一下系统里有没有空口令帐户:

awk Cf:

‘length($2)==0 {print $1}’ /etc/shadow

2、查看一下进程,看看有没有奇怪的进程

重点查看进程:ps Caef | grep inetd。inetd是Unix系统的守护进程,正常的inetd的pid都比较靠前,如果你看到输出了一个类似inetd Cs /tmp/.xxx之类的进程,着重看inetd Cs后面的内容。在正常情况下,Linux系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而Solaris系统中也仅仅是inetd Cs,同样没有用inetd去启动某个特定的文件;如果你使用ps命令看到inetd启动了某个文件,而你自己又没有用inetd启动这个文件,那就说明已经有人入侵了你的系统,并且以root权限起了一个简单的后门。

输入ps Caef 查看输出信息,尤其注意有没有以./xxx开头的进程。一旦发现异样的进程,经检查为入侵者留下的后门程序,立即运行kill C9 pid 开杀死该进程,然后再运行ps Caef查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找:find / -name 程序名 Cprint,假设系统真的被入侵者放置了后门,根据找到的程序所在的目录,Unix下隐藏进程有的时候通过替换ps文件来做,检测这种方法涉及到检查文件完整性,一会我们再讨论这种方法。接下来根据找到入侵者在服务器上的文件目录,一步一步进行追踪。

3、检查系统守护进程

检查/etc/inetd.conf文件,输入:

cat /etc/inetd.conf | grep Cv “^#”

输出的信息就是你这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。

输入netstat Crn,查看本机的路由、网关设置是否正确。

输入 ifconfig Ca,查看网卡设置。

5、检查系统日志

命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现syslog被非法动过,那说明有重大的入侵事件。

在Linux下输入

ls Cal /var/log

在Solaris下输入

ls Cal /var/adm

检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的rpc攻击就是通过这种方式,

这种方式有一定的成功率,也就是说它并不能100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core Cexec ls Cl {} ; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法,通常我们通过输入ls Cl 文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在Linux下可以用rpm Cv `rpm Cqf 文件名` 来查询,查询的结果是否正常来判断文件是否完整。在Linux下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man rpm来获得更多的格式。

Unix系统中,/bin/login是被入侵者经常替换作为后门的文件,接下来谈一下login后门 :

Unix里,login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,使用”strings”命令搜索login程序以寻找文本信息。

许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令,使strings命令失效。所以许多管理员利用md5校验和检测这种后门。Unix系统中有md5sum命令,输入md5sum 文件名检查该文件的md5签名。它的使用格式如下

md5sum Cb 使用二进制方式阅读文件;

md5sum Cc 逆向检查md5签名;

md5sum Ct 使用文本方式阅读文件

在前面提到过守护进程,对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较,举个简单的例子,如果你开放了telnet服务,守护进程配置文件中就会有一句:

telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd,检查该文件的完整性,入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。

Linux系统中的/etc/crontab也是经常被入侵者利用的一个文件,检查该文件的完整性,可以直接cat /etc/crontab,仔细阅读该文件有没有被入侵者利用来做其他的事情。

不替换login等文件而直接使用进程来启动后门的方法有一个缺陷,即系统一旦重新启动,这个进程就被杀死了,所以得让这个后门在系统启动的时候也启动起来。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序。说到这里,另外提一下,如果在某一目录下发现有属性为这样的文件:-rwsr-xr-x 1 root root xxx .sh,这个表明任何用户进来以后运行这个文件都可以获得一个rootshell,这就是setuid文件。运行 find Cperm 4000 Cprint对此类文件进行全局查找,然后删除这样的文件。

8、检查内核级后门

如果你的系统被人安装了这种后门,通常都是比较麻烦的,首先,检查系统加载的模块,在Linux系统下使用lsmod命令,在Solaris系统下使用modinfo命令来查看。这里需要说明的是,一般默认安装的Linux加载的模块都比较少,通常就是网卡的驱动;而Solaris下就很多,没别的办法,只有一条一条地去分析。对内核进行加固后,应禁止插入或删除模块,从而保护系统的安全,否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_module和delete_module()来达到上述目的。另外,对这个内核进行加固模块时应尽早进行,以防系统调用已经被入侵者替换。如果系统被加载了后门模块,但是在模块列表/proc/module里又看不到它们。出现这种情况,需要仔细查找/proc目录,根据查找到的文件和经验来判断被隐藏和伪装的进程,当然目录也可能不是隐藏的。

手工的入侵检测行为对于系统安全来说只是治标而不治本,多半还是依靠管理员的技巧和经验来增强系统的安全性,没有,也不可能形成真正的安全体系,虽然好过没有,可以检测和追踪到某些入侵行为,但如果碰上同样精通系统的入侵者就很难抓住踪迹了。搭建真正的安全体系需要配合使用入侵检测系统,一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系,有效判断和切断入侵行为,真正保护主机、资料。

篇3:高速网络环境下的入侵检测

高速网络环境下的入侵检测

实现高速网络中实时入侵检测与预警已经成为目前网络安全所面临的问题.笔者首先分析了当前入侵检测系统中模式匹配算法,对模式匹配算法作了改进;接着对Rete算法进行了分析,并针对Rete算法的不足,在Rete网算法的基础上引入了FRete网算法,在此基础上建立了一种基于FRete匹配算法的`推理机,对可疑事实进行推理;然后在此基础上设计了一种基于高速网络环境的入侵检测系统;最后建立了对入侵检测系统进行性能测试的仿真实验环境.通过上述的改进,提高了入侵检测系统的运行速度和效率,能较好地适应高速网络环境下的入侵检测.

作 者:徐成 喻飞 李红 朱淼良 XU Cheng YU Fei LI Hong ZHU Miao-liang  作者单位:徐成,李红,XU Cheng,LI Hong(湖南大学计算机与通信学院)

喻飞,YU Fei(湖南大学计算机与通信学院;浙江大学人工智能研究所)

朱淼良,ZHU Miao-liang(浙江大学人工智能研究所)

刊 名:中国安全科学学报  ISTIC PKU英文刊名:CHINA SAFETY SCIENCE JOURNAL 年,卷(期): 15(1) 分类号:X9 关键词:入侵检测   模式匹配   协议分析   网络处理器  

篇4:如何在Linux下实现入侵检测IDS

入侵检测IDS是通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应来保证网络安全的方式,那么,我们能不能够基于Linux系统来实现入侵检测IDS的保护功能呢?

Linux下的实现

在对入侵检测IDS技术研究的基础上,我们在Linux系统下设计并实现了一个基于网络的入侵检测IDS系统。

1 系统的组成结构

该系统的组成结构如图1所示。数据采集模块负责从网络上收集原始的网络数据流,在经过一定的预处理后,这些数据被送到数据分析模块,由数据分析模块进行分析,以便判断是否有违反安全策略的入侵行为发生。并及时将分析结果送到告警模块,由告警模块向控制台产生告警信息。用户可以通过用户界面与控制台交互,通过控制台,一方面可以对各个模块进行配置,另一方面也可以接收告警信息。

图1 系统的组成结构

2 系统的功能描述

该系统实现了入侵检测IDS的主要功能,包括数据采集、数据预处理、入侵分析以及告警。具体来说,可以完成以下功能:

● 捕获符合指定条件的网络数据包。

● 进行IP重组,提供IP包数据。

● 重组TCP流,提供TCP流数据。

● 重组应用层数据流,提供HTTP数据流。

● 实现基于规则的入侵检测IDS方法。

● 向控制台提交分析结果。

● 接受控制台的配置和管理。

由于该系统功能的实现主要体现在数据采集模块和数据分析模块中,所以下面将对这两个模块加以详细说明。

3 数据采集模块

数据采集是入侵检测IDS的基础,入侵检测IDS的效率在很大程度上依赖于所采集信息的可靠性和正确性,

在基于网络的入侵检测IDS系统中,数据采集模块需要监听所保护网络的某个网段或某几台主机的网络流量,经过预处理后得到网络、系统、用户以及应用活动的状态和行为信息。数据采集需要在网络中的若干关键点进行。

具体来说,数据采集模块需要监听网络数据包,进行IP重组,进行TCP/UDP协议分析,同时也要进行应用层协议数据流分析。采集到的数据要经过预处理才能提交给数据分析模块。由于不同的分析方法所需要的数据源是不同的,所以预处理也会有很大的不同。但是,一般来说,分析模块所分析的数据都是基于某个网络协议层的数据信息,或是直接采用这些数据的某些部分。因此在该系统的设计中,数据采集模块除了采集数据外,还要对这些信息进行协议分析。协议分析是指将网络上采集到的基于IP的数据进行处理,以便得到基于某种协议的数据。在本系统中主要是针对TCP/IP协议族的分析。

网络数据采集是利用以太网络的广播特性实现的,以太网数据传输通过广播实现,但是在系统正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其他数据包将被丢弃。为了采集到流经本网段的所有数据,我们需要首先将网卡设置为混杂模式,使之可以接收目标MAC地址不是自己MAC地址的数据包,然后直接访问数据链路层,截获相关数据,由应用程序对数据进行过滤处理,这样就可以监听到流经网卡的所有数据。

在进行数据捕获时,我们采用的是libpcap,libpcap是一个与实现无关的访问操作系统所提供的分组捕获机制的分组捕获函数库,用于访问数据链路层。该库提供的C函数接口可用于需要捕获经过网络接口数据包的系统开发上。这个库为不同的平台提供了一致的编程接口,在安装了libpcap的平台上,以libpcap为接口写的程序,可以自由地跨平台使用。

Libpcap在网上捕获到的是数据帧,我们还需要对数据帧进行协议分析,协议分析的处理过程为:首先根据预先定义的过滤规则从网络上获取所监听子网上的数据包,然后进行TCP/IP栈由下至上的处理过程,主要是IP重组和TCP/UDP层协议处理,最后进行应用层协议分析。

协议分析的工作在每个操作系统里都有,在这里,我们选择了libnids函数库。libnids是在libnet和libpcap的基础上开发的,它封装了开发网络入侵检测IDS系统的许多通用型函数。libnids提供的接口函数除了可以监视流经本地的所有网络通信、检查数据包外,还具有重组TCP数据段、处理IP分片包的功能。而且它同样具有很好的移植性。

FLASHFlash+php+mysql简单留言本制作

网络综合布线实习报告

关于RelaxBSD的简要介绍Unix系统

FC3 下中文输入法的安装Unix系统

FC3 下安装 VMware GSX Server 心得Unix系统

浅析智能光网络技术及发展

德国汉堡大学留学签证申请指南

德国基尔大学申请指南

乘务员自我介绍英语优秀

包装设计专业英文自荐信

Unix下如何进行手工入侵检测
《Unix下如何进行手工入侵检测.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

【Unix下如何进行手工入侵检测(精选4篇)】相关文章:

拟解决的关键技术 范文2022-12-11

包装设计专业英文求职信2023-03-22

包装设计专业面试英文自我介绍参考2022-06-07

包装工程专业的英文自我介绍2023-10-19

写创意简历的方法2022-10-27

我们家的生活变化初二作文650字2023-04-16

如何包装你的求职信2022-07-28

大学应聘生求职自我介绍2022-11-29

黑化肥绕口令带拼音注释2023-07-27

刘畅词汇笔记(13)Part2023-01-08

点击下载本文文档