编者按:Sniffer是很多网络工程师常用的网络管理工具,其实,通过其流量监控和管理的功能,还能对网络入侵进行分解,并解决网络安全问题,本文就系统地说明了这个问题。
分解网络入侵:攻击前、攻击中和攻击后
传统方式:您所能采取的预防措施
优异网络攻击以及如何发现和消除它们
Sniffer与网络入侵检测系统(NIDS)有何不同
案例1:Sniffer检测可能的非法网络入侵
案例2:如何用Sniffer管理访问受限资源
案例3:如何用Sniffer解决过多重发和无响应工作站问题
利用Sniffer进行事后跟踪分析
在当今全球经济中,电子商务已经占据了30%的份额,在这种情况下,对网络的攻击也愈发频繁和多样化,对信息的维护代价更高。对保护存储、传输以及使用过程中的信息资产的需求使得公司更多寄希望于供应商,来提供能够真正保护他们隐私的产品。
一般来说,网络入侵可以分为三个阶段——攻击前、攻击中和攻击后。对此,我们可以采用网络流量监测管理工具Sniffer来进行应对。Sniffer可以通过对您现有安全工具进行补充,从而帮助您更加有效地抵御攻击和进行事后分析。一旦配置到网络中,Sniffer就可以帮助识别网络入侵并捕获攻击过程中的重要数据来进行事后分析。
本文解释了Sniffer网络性能工具是如何用来补充和增强传统安全监视技术的,从而使你对网络管理有一个更深层次的认识,从而更加有效地抵御网络入侵和加强网络管理。
分解网络入侵:攻击前、攻击中和攻击后
网络入侵可以简单地分为三个阶段:攻击前、攻击中和攻击后。按照这种方式划分当然很容易,但是如何防止别人非法使用您的网络就不那么容易了。事实上,根据FBI和其他安全研究组织的调查,有50%到75% 的入侵是来自于贵公司所“信任”的网络。此外,如果入侵只是为了收集信息或资源的使用情况,而不是为了实施拒绝服务或搞破坏的话,攻击者是很容易把自己隐藏起来的。这使得对您网络环境的监测和追踪变得更加困难。
传统方式:您所能采取的预防措施
当前,大多数公司都采取了一些安全措施,比如防火墙和基于网络的入侵检测系统 (IDS)。同时还有一些工具可以帮助您在“攻击中”做出反应,比如基于主机的入侵检测。最后,公司将会使用混合工具来帮助对入侵进行法律和事后分析。下图显示了这些技术在攻击的三个阶段中所起到的作用。 
Sniffer Technologies利用Sniffer系列产品,可以通过向管理员通报入侵、根据特定标准对通讯进行过滤以及捕获数据/证据来重建系统实际受影响或危害的记录来对这些工具进行补充。就像隐藏的安全摄像机可以记录一次银行抢劫一样, Sniffer日志同样可以提供重要数据来进行法律分析。
优异网络攻击以及如何发现和消除它们
SANS协会和FBI合作,在2001年10月共同发布了威胁最大的前二十个计算机漏洞。 我们根据工具类型,对这些数据进行了汇编(参见下表),来帮助您发现和了解最常见的网络入侵 (SANS 列表)以及这些工具的用途。此外,我们还增加了Sniffer能够被用来检测和抵御常见入侵的领域,以及可以从哪几个方面对您网络中的现有安全工具进行补充。
攻击类型
|
防火墙
|
网络IDS
|
主机 |
漏洞 |
Sniffer
|
|
操作系统和应用的默认安装
|
|
|
|
X
|
|
|
无口令或口令保密性差的帐户
|
|
|
|
X
|
X
|
|
不存在或不完整的日志
|
|
|
|
|
|
|
开放端口过多
|
X
|
X
|
|
X
|
X
|
|
不存在或不完整的记录
|
|
|
|
|
X
|
|
存在缺陷的CGI 程序
|
|
X
|
|
X
|
X
|
|
Unicode漏洞 (Web服务器文件夹遍历)
|
|
X
|
X
|
X
|
X
|
|
ISAPI扩充缓冲器溢出
|
|
|
|
|
X
|
|
使用IIS RDS (Microsoft 远程数据服务)
|
|
|
|
|
X
|
|
NETBIOS – 无保护的Windows网络共享
|
|
|
|
X
|
X
|
|
空会话连接导致的信息泄漏
|
|
|
|
|
|
|
SAM中的弱散列法 (LM序列)
|
|
|
|
|
|
|
RPC服务中的缓冲器溢出
|
|
X
|
|
X
|
X
|
|
Sendmail服务中的漏洞
|
|
|
|
X
|
X
|
|
Bind 服务的缺陷
|
|
|
|
X
|
X
|
|
R 命令 (Rlogon, rsh, rcp)
|
X
|
X
|
X
|
X
|
X
|
|
LPD (远程打印协议程序)
|
X
|
|
|
X
|
X
|
|
Sadmind与mountd
|
|
|
|
X
|
X
|
|
默认SNMP串
|
|
|
|
X
|
X
|
|
无过滤包被用来更正进出的地址
|
X
|
|
|
|
X
|
攻击前:
大多数公司都会努力采取积极的预防措施来阻止网络入侵,但是入侵还是会发生,还是会造成损失。而且,如果对手花费大量时间并拥有相当的技术知识,如果他们工作努力的话,同样还是可以进入您的网络。如前所述,大多数网络入侵是从受信任的网络中发起的,这使得攻击可以完全避开防火墙。大多数公司都利用一个基于网络的入侵检测系统,该系统是一个分布式的探测器,可以监视内部网段并查询未授权的通讯或请求。
“入侵检测”是一种网络安全,如其名所示,可以检测、识别以及隔离各种试图入侵或非法、不适当使用计算机的行为。攻击一般通过外部网络连接或在被攻击组织的内部发起。目标系统通常是服务器或工作站系统,但是攻击者也有可能瞄准网络设备,比如集线器、路由器以及交换机。
网络入侵检测系统(NIDS)可以帮助您识别入侵是否正在发生。它可以检测、监视并记录潜在的安全漏洞。目前,网络IDS产品通常采用比较流行的被动方法,通过监视网络中的通讯,生成一个协议分析报告来收集数据。一个IDS负责监视某一个特定网段的通讯。它可以获得该网段通讯的副本,从而通过“监听混杂模式”或查看流经网络接口卡的每一个信息包来进行检查。它可以检查这些信息包,可以通过将这些信息包与已知的攻击特征进行对比来判断入侵是否发生。IDS可以通过检查信息包中是否包含已知攻击模式的特征标记,也就是说,信息包中所包含的一串字符是否与特定模式相匹配,或者通过设定已知攻击类型的规则来进行判断。
尽管网络入侵检测系统很有用也值得推荐,但它并非不会出错,因此您不能被这种虚假的安全感所蒙蔽。目前一些已经公布的可以避开NIDS系统的技术(嵌入、规避以及拒绝服务:躲开网络入侵检测, Thomas H. Ptacek, Secure Networks, 第1-63页,1998年1月),已经早已被那些内外部的高级黑客所利用了。而且,目前还没有 NIDS产品可以灵活到能够完全应对当今大型网络所采用的高速和大量分布式拓扑结构。而这正是Sniffer Technologies和Sniffer Distributed产品系列能够弥补传统技术缺陷的地方。Sniffer Distributed不应该被视为NIDS的替代品,而是对现有NIDS的有益补充。在本文的后半部分,我们会有一个章节来专门讨论NIDS与Sniffer Distributed的不同,从而使您可以了解如何使用Sniffer产品来增强目前已经配置的技术。
攻击中
当有人试图入侵或渗透您的网络时,通常他们会采取如下行为:访问未对社会公众公开的数据;视图改变或篡改公司信息(网站、文件等);非法使用您服务器中的存储器;以及试图通过制造拒绝服务攻击来影响特定设备,从而使其无法为合法用户提供服务。
目前有很多工具可以帮助网络管理员来判断他们公司是否正在遭受攻击。基于主机的入侵检测系统对关键服务器非常有益,它可以帮助识别您什么时候遭受到了攻击。它配置在公司需要保护的主机上,如果未授权用户试图访问受限制数据时就会发出警报,这有助于保护那些未对公众公开的服务器,可以有效抵御对其数据的非法访问或对关键信息的篡改。基于主机的入侵检测系统最大的不足在于其平台覆盖率有限。
另一种能够引发严重后果的常见攻击是拒绝服务(DoS)攻击。这种攻击会利用数目众多的服务器向您的关键服务器发出请求,从而产生大量通讯,使您的设备过载,以至于对正常请求也无法作出回应。对网站和关键文件服务器而言,这是一种非常常见的攻击。一旦您的服务器遭受攻击,您的设备资源就会被用于对其它的您根据就无从知晓的目标进行拒绝服务攻击。这里就是Sniffer 能够为您提供帮助的地方。我们在本文后面举了这样一个范例,从而使您了解如何使用Sniffer技术,在特定服务器收到大量请求时或您网络中的某个特定设备发送大量请求时触发警报。这样IT支持团队就能够采取必要的措施来保护您的设备。Sniffer Distributed同样可以发现来自于未授权终端用户的重复请求,这样就可以将该用户“踢出”关键服务器。可以设置很多触发器和警报来补充公司基于网络或基于主机的入侵检测系统的警报结构。一个公司可以使用Sniffer来检查潜在的网络安全隐患,比如Nimda蠕虫。在本文中,我们将向您展示一个过滤器的范例,它可以轻松创建并阻止Nimda蠕虫的传播,同时还可以快速发现受感染的服务器,直到管理员采取修复措施为止。该过滤器可以为公司节省大量被用于搜索和识别恶意代码的人力和时间。
攻击后
对网络的攻击总会发生。问题是您是否知道它,而且通过事后分析,您是否能够了解到究竟发生了什么以及如何修复,从而避免这种攻击再次发生。当发生针对您网络的攻击时,很关键的是要采取一切措施来发现它,并捕获相关通讯从而进行分析。在Secure Computing 2001年3月期中,发表了Lllena Armstrong的一篇名为“计算机论坛——追踪线索”的文章,该文章详细介绍了这个问题的复杂性。
“一旦犯罪发生后,分析证据,封堵漏洞,乃至与追究民事或刑事责任都是
一个很复杂的过程,它决不是IT管理员匆匆浏览一下就能解决的。”
一旦您发现正在遭受攻击,或者曾经遭受过攻击后,就再也不可能返回过去来收集原始网络通讯,去拼凑究竟发生了什么。这时唯一的方法就是访问关键设备在遭受攻击时的记录文件,当然前提是您已经具备足够详细的日志文件了的。即使利用这种信息,您仍会丢失重要数据。这就像是在不知道总片数和究竟丢失了多少片的情况下去玩拼图游戏一样。在这种情况下,您根本就不可能知道这幅图究竟是什么样的。
在这样情况下,Sniffer就可以大显身手了。打个比方,它就像银行里隐藏的安全摄像机一样,可以帮助您返回过去来重温以前发生过的事件。Sniffer可以记录或捕获它所连接网络上的所有原始通讯,以供IT人员进行事后分析。Sniffer的优势在于它的专家引擎,它可以允许用户捕获一个巨量追踪文件,并快速剔除不相干数据,来帮助您进行证据收集。根据特定设备或通讯模型来设定过滤器有助于快速识别重要数据,从而能够追踪入侵者的意图和所做的破坏。
Sniffer与网络入侵检测系统(NIDS)有何不同
Sniffer是一个可以配置到整个企业网中的查错和网络性能管理解决方案。它可以为所有的主流网络类型(比如局域网LAN;广域网WAN;异步传输模式ATM和千兆位以太网)提供网络监视、协议解码以及专家分析等功能。基于标准的监视和专家分析功能的强强结合,使得Sniffer成为当今多拓扑、多协议、分布式网络的首选工具。Sniffer可以从一个单一管理控制台对整个企业网络自动实施远程监控 (RMON),兼容网端监视以及问题识别。这也就意味着网络工程组可以对世界范围内的网络进行故障解决,而无需花费与现场诊断和决策相关的差旅费。
网络入侵检测系统(NIDS)善于监听通讯,并能该将这些通讯与数据库中的已知攻击进行比较。Sniffer Technologies执行的是不同的任务,但这并不意味着它不具备其他的用途。Sniffer及其强大的引擎可以捕获通讯并执行下列功能:
* 过滤
Sniffer具备强大的过滤功能。过滤功能允许一个网络管理员将精力集中于网络直至比特层。通过定义过滤器,网络管理员可以快速缩减特定问题的监视范围。
* 捕获
Sniffer不仅可以检查网络中的每一个信息包,还可以存储和捕获追踪文件。当利用这些捕获的追踪文件时,法律技巧就可以提供足够的证据来识别供给者或安全事件是否已经发生。
* 协议解码
Sniffer可以对范围广泛的协议进行解码。Sniffer能够解码OSI模型上所有七层的协议。例如,Sniffer可以对路由协议比如OSPF以及HTTP等应用协议进行解码。广泛的解码覆盖率允许Sniffer处理任何攻击者试图采用的协议类型
过滤、捕获以及协议解码等三个功能还可以与Sniffer的警报功能相结合,从而为网络管理员提供一个强大的安全可视性工具。在最近的Nimda病毒发作期间,事实表明Sniffer technology是非常好的的选择。在 Nimda 病毒的发作中期,Sniffer Technologies可以提供一个Nimda过滤器,来帮助识别网络上受感染的主机 。Nimda病毒的一种传播方式就是通过HTTPP协议。为了检测出Nimda病毒,就需要在Sniffer上定义一个过滤器,来搜索Nimda用于传播自身的特定HTTP文本串。利用该过滤器, Sniffer 就能够隔离已经感染病毒的服务器,而无需等待IDS供应商发布最新的特征库升级来监测网络。
如何用Sniffer来确保网络安全?
我们在随后几页举了几个范例,可以帮助您了解Sniffer内置的、可定制的安全功能:
> 过多失效资源登录请求(触发器和警报)
> 访问受限资源 (触发器和警报)
> 拒绝服务攻击 (触发器和警报)
> Nimda病毒 (过滤器和警报)
案例1:Sniffer检测可能的非法网络入侵
范例#1:: Excessive Failed Resource Login Attempts
Sniffer内部的专家系统目前能够在OSI模型中的应用层检测到过多的失败登录请求。Sniffer经常被用来检测可能的非法网络入侵,这只是其中的一个应用而已。当针对特定工作站使用错误口令或用户名进行连续登录的数目超过过多失效资源登录请求的阈值(参见右图)时,Expert就会发出警报,您可以在Sniffer GUI 的Expert UI对象属性窗口中设置这个阈值。不受欢迎的工作站地址会被列入Sniffer总结栏中(参加图3,下页) 
可能原因: 引发这种警报的最常见原因可能是用户忘记了自己的口令,并希望通过反复重试来回忆起它。也有可能是一些破解口令引发的,不论其是通过手工(猜测)还是利用不同的强行自动化口令破解工具。使用我们Sniffer Technologies出品的 CyberCop Scanner做一个试验,该产品的内置功能可以破解设备或数据库的口令,结果发现专家触发器很成功。下图显示了专家触发器在Sniffer界面中的发现。
案例2:如何用Sniffer管理访问受限资源
当工作站在访问受限资源时未能建立SMB会话时,Expert就会发出警报。工作站的名称会列入相应的总结栏中。在这种情况下, SMB是指能够用于处理访问窗口的工作站、服务器和资源的口令及用户权限。您可以在Sniffer GUI 的Expert UI对象属性窗口中配置这个警报。 
可能原因:同样,引发这种警报的最常见原因可能是用户忘记了自己的口令,
并希望通过反复重试来回忆起它。也有可能是一些破解口令引发的,不论其是通过手工(猜测)还是利用不同的强行自动化口令破解工具。我们还是利用CyberCop Scanner 进行试验,结果表明专家警报触发很成功。
案例3:如何用Sniffer解决过多重发和无响应工作站问题
CyberCop Scanner 攻击特征编号8033 Windows NT – 我们针对特定主机进行了分段拒绝服务攻击。在拒绝服务攻击期间,Sniffer内置的专家警报发现了这种情况。“过多重发和无响应工作站”
的Sniffer专家警报被触发。在下一页的图中,Sniffer Expert对连接层的诊断记录了998个警报事件。其中一个是“过多重发”,其余都是无响应工作站。可能原因:当特定连接上的重发次数超过一定阈值时,就会发出“过多重发”的Sniffer专家警报。当发送工作站没收到接收工作站发回的确认时,就会出现这种情况,即反复重新发送该帧。引发这种警报的原因很多,例如,服务器或路由器过载,或者网络通讯量过大。此外,当确认丢失时也会出现这种情况。
当同一连接上无响应的连续重发的次数超出一定阈值时,就会发出“无响应工作站”的Sniffer专家警报。引发这种警报的原因很多,包括服务器过载、硬件发生故障或者软件配置错误。
但是,这情况也很有可能是因为拒绝服务攻击引起的。发动这样的攻击,主要是因为攻击者试图通过向目标服务器发送大量服务请求,使该服务器无法响应正常请求,从而阻止合法用户使用服务器或各种服务。
利用Sniffer进行事后跟踪分析
抢劫或犯罪发生后,很关键的是警察需要经过适当的程序来寻找相关线索并收集证据。对于计算机犯罪而言同样如此。问题在于警察通过拥有犯罪现场遗留的大量物证,而IT管理人员在面对计算机犯罪时就没有那么幸运了。通常警察会获得指纹,如果幸运的话,还可以根据安全摄像机的记录观看实际犯罪是如何发生的。而这正是Sniffer所能提供的。如果在攻击发生的网段配置有Sniffer时,它就会起到安全摄像机或“窃听器”的作用,可以捕获所发生的事实。通过分析追踪文件,您就可以对网络通讯进行快照。绝大多数财富500强公司都配置了Sniffer,并受益于其强大的功能。利用Sniffer的功能,您就可以快速显示攻击者是如何利用您的系统和网络漏洞的,可以追踪入侵者,还可以在以后对这些入侵者提出法律诉讼。
总结
如果您目前已经是Sniffer用户,或者正在考虑购买Sniffer Technologies推出的解决方案的话,您可能没有意识到这些产品的附加安全功能可以对您的安全防御系统进行补充。此外,这些功能可以充分利用现有技术,从新的角度重新提供一个强大方法来增强网络的安全性能,而且不会增加预算。Network General出品的便携式和分布式产品为用户提供的不仅仅是使网络性能和正常工作时间最大化的方法-它们还有助于在攻击的三个阶段保护网络基础设施的安全。在Sniffer Technologies,我们很荣幸能够应用我们的网络分析知识,为用户提供解决方案来满足他们所有的网络管理和安全需求。
