本文目录一览:
入侵检测的信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面: 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。
为什么黑客入侵前需要信息收集
因为黑客需要通过信息收集,从而得知目标主机的操作系统类型、运行的有哪些服务、服务的版本信息、对方的网络拓扑、有没有防火墙和入侵检查系统,知道了这些信息之后,才能针对性的确定入侵的方案。比如知道了对方的操作系统类型、运行的服务及其版本,就可以大致了解能进行利用的漏洞是哪个(因为一个漏洞往往只针对特定版本的系统、特定版本的软件);知道了目标主机有防火墙,在入侵渗透时就要加倍小心,或者想办法让入侵绕过防火墙等等。总之一句话就是,知己知彼百战不殆。
学会入侵网站需要会哪些知识
想学网站入侵,首先需要学习基本知识,各种名词,要不然在学习的时候,连讲的基本用语都听不懂,数据库是必须要学习的,开发语言也需要学习。
既然是菜鸟,建议从基础学起,从百度里找个好的论坛。网站入侵主要是找网站的漏洞,漏洞主要来自编程人员的粗心,但是想要找到这些漏洞,你也必须要掌握一定的知识才能掌握的。
以下一些知识是必须掌握的:
HTML
PHP
ASP
ASP.net
SQL
JavaScript
C/C++
Ruby
Python
LUA
前六个是做网站用的,后面都是编程语言,c/cpp是基础就不说了,ruby可以用来编写通用网关接口脚本,还可以被嵌入到HTML里,Python也可以做网站,很多攻击,探测脚本就是Python写的。
