網絡入侵的名詞解釋
入侵檢測方法很多,如基於專家系統入侵檢測方法、基於神經網絡的入侵檢測方法等。目前壹些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式並向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸並自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網絡提供安全。
入侵檢測系統目前存在的問題:
1. 現有的入侵檢測系統檢測速度遠小於網絡傳輸速度, 導致誤報率和漏報率
2. 入侵檢測產品和其它網絡安全產品結合問題, 即期間的信息交換,***同協作發現攻擊並阻擊攻擊
3. 基於網絡的入侵檢測系統對加密的數據流及交換網絡下的數據流不能進行檢測, 並且其本身構建易受攻擊
4. 入侵檢測系統體系結構問題
發展趨勢:
1. 基於agent(註:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2. 入侵檢測標準的研究, 目前缺乏統壹標準
3. 寬帶高速網絡實時入侵檢測技術
4. 智能入侵檢測
5. 入侵檢測的測度
2,在1998年,Martin Roesch先生用C語言開發了開放源代碼(Open Source)的入侵檢測系統Snort.直至今天,Snort已發展成為壹個多平臺(Multi-Platform),實時(Real-Time)流量分析,網絡IP數據包(Pocket)記錄等特性的強大的網絡入侵檢測/防禦系統(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公***許可(GPL——GUN General Pubic License),在網上可以通過免費下載獲得Snort,並且只需要幾分鐘就可以安裝並開始使用它.snort基於libpcap。
snort系統組成:snort由三個重要的子系統構成:數據包解碼器,檢測引擎,日誌與報警系統。
Snort有三種工作模式:嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式僅僅是從網絡上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網路入侵檢測模式是最復雜的,而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的壹些規則,並根據檢測結果采取壹定的動作。
3,SPAN技術主要是用來監控交換機上的數據流,大體分為兩種類型,本地SPAN和遠程SPAN.
----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN),實現方法上稍有不同。
利用SPAN技術我們可以把交換機上某些想要被監控端口(以下簡稱受控端口)的數據流COPY或MIRROR壹
份,發送給連接在監控端口上的流量分析儀,比如CISCO的IDS或是裝了SNIFFER工具的PC. 受控端口和
監控端口可以在同壹臺交換機上(本地SPAN),也可以在不同的交換機上(遠程SPAN)。
二、名詞解釋
SPAN Session--SPAN會話
SPAN會話是指壹組受控端口與壹個監控端口之間的數據流。可以同時對多個端口的進入流量或是壹個端
口的外出流量進行監控,也可以對VLAN內所有端口的進入流量進行監控,但不能同時對多個端口的外出
流量及VLAN的外出流量進行監控,可以對處於關閉狀態的端口設置SPAN,但此時的SPAN會話是非活動,
但只要相關的接口被打開,SPAN就會變為活動的。
監控端口最好是>=受控端口的帶寬,否則可能會出現丟包的情況。
SPAN Traffic--SPAN的流量
使用本地SPAN可以監控所有的網絡流量,包括multicast、bridge protocol data unit (BPDU),和CDP、
VTP、DTP、STP、PagP、LACP packets. RSPAN不能監控二層協議。
Traffic Types--流量類型
被監控的流量類型分為三種,Receive (Rx) SPAN 受控端口的接收流量,Transmit (Tx) SPAN 受控端口
的發送流量,Both 壹個受控端口的接收和發送流量。
Source Port--SPAN會話的源端口(也就是monitored port-即受控端口)
受控端口可以是實際的物理端口、VLAN、以太通道端口組EtherChannel,物理端口可以在不同的VLAN中,
受控端口如果是VLAN則包括此VLAN中的所以物理端口,受控端口如果是以太通道則包括組成此以太通道組
的所有物理端口,如果受控端口是壹個TRUNK幹道端口,則此TRUNK端口上承載的所有VLAN流量都會受到監
控,也可以使用filter vlan 參數進行調整,只對filter vlan 中指定的VLAN數據流量做監控。
Destination Port--SPAN會話的目的端口(也就是monitoring port-即監控端口)
監控端口只能是單獨的壹個實際物理端口,壹個監控端口同時只能在壹個SPAN會話中使用,監控
端口不參與其它的二層協議如:Layer 2 protocols
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP).
缺省情況下監控端口不會轉發除SPAN Session以外的任何其它的數據流,也可以通過設置ingress
參數,打開監控端口的二層轉發功能,比如當連接CISCO IDS的時會有這種需求,此時IDS不僅要接
收SPAN Session的數據流,IDS本身在網絡中還會與其它設備有通訊流量,所以要打開監控端口的
二層轉發功能。
Reflector Port--反射端口
反射端口只在RSPAN中使用,與RSPAN中的受控端口在同壹臺交換機上,是用來將本地的受控端口流量
轉發到RSPAN中在另壹臺交換機上的遠程監控端口的方法,反射端口也只能是壹個實際的物理端口,
它不屬於任何VLAN(It is invisible to all VLANs.)。
RSPAN中還要使用壹個專用的VLAN來轉發流量,反射端口會使用這個專用VLAN將數據流通過TRUNK端口
發送給其它的交換機,遠程交換機再通過此專用VLAN將數據流發送到監控端口上的分析儀。
關於RSPAN VLAN的創建,所有參與RSPAN的交換機應在同壹個VTP域中,不能用VLAN 1,也不能用
1002-1005,這是保留的(reserved for Token Ring and FDDI VLANs),如果是2-1001的標準VLAN,
則只要在VTP Server上創建即可,其它的交換機會自動學到,如果是1006-4094的擴展VLAN,則需要
在所有交換機上創建此專用VLAN.
反射端口最好是>=受控端口的帶寬,否則可能會出現丟包的情況。
VLAN-Based SPAN--基於VLAN的SPAN
基於VLAN的SPAN只能監控VLAN中所有活動端口接收的流量(only received (Rx) traffic),如果
監控端口屬於此VLAN,則此端口不在監控範圍內,VSPAN只監控進入交換機的流量,不對VLAN接口上
的路由數據做監控。
(VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs.
For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic
from another VLAN to the monitored VLAN, that traffic is not monitored and is not received
on the SPAN destination port. )
三、SPAN和RSPAN與其它特性的互操作性
Routing--SPAN不監控VLAN間的路由數據;(不好理解)
Routing—Ingress SPAN does not monitor routed traffic. VSPAN only monitors traffic that
enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is
being Rx-monitored and the multilayer switch routes traffic from another VLAN to the
monitored VLAN, that traffic is not monitored and not received on the SPAN destination port.
STP--監控端口和反射端口不會參與STP,但SPAN對受控端口的STP沒有影響;
CDP--監控端口不參與CDP;
VTP--RSPAN VLAN可以被修剪pruning;
VLAN and trunking--可以修改受控端口、監控端口和反射端口的VLAN和TRUNK設置,受控端口的改變
會立即生效,而監控端口和反射端口則要在從SPAN中去除後才會生效;
EtherChannel--整個以太通道組可以做為受控端口使用,如果壹個屬於某個以太通道組的物理端口被
配成了受控端口、監控端口或反射端口,則此端口會自動從以太通道組去除,當SPAN
刪除後,它又會自動加入原以太通道組;
QoS--由於受QoS的策略影響,監控端口上收到的數據流會與受控端口實際的數據流不同,比如DSCP值
被修改等;
Multicast--SPAN可以監控組播的數據流;
Port security--安全端口不能做為監控端口使用;
802.1x--受控端口、監控端口和反射端口上可以設置802.1x,但有些限制。
四、SPAN和RSPAN的配置舉例
SPAN的限制和缺省設置
Catalyst 3550交換機上最多只能設置兩個SPAN Session,缺省SPAN沒有使用,如果做了設置,缺省
情況下,第壹個被設為受控端口的接口進出流量都會受到監控,以後再追加的受控端口只會對接收的
流量進行監控,監控端口的默認封裝類型為Native,也就是沒有打VLAN的標記。