简介

防火墙是一种主要的周边安全解决方案。虽然防火墙能够在网络级提供访问控制，但好几个通信端口都是开放的。借助这些端口，外部用户能够与机构内的交换机通信。例如，邮件和Web服务器都要求，外部能够访问某些端口。通过这些端口，黑客可以穿过防火墙攻击服务器，将其作为公司网络的入口。

入侵检测系统（IDS）是防火墙的补充解决方案，可以防止网络基础设施（路由器、交换机和网络带宽）和服务器（操作系统和应用层）受到拒绝服务（DoS）袭击。由于问题比较复杂，先进的IDS解决方案一般都包含两个组件：用于保护网络的IDS（NIDS）和用于保护服务器及其上运行的应用的主机IDS（HIDS）。

最近，思科添加了HIDS组件，对其现有NIDS产品进行了扩展。本文将介绍原有NIDS与新HIDS组件在Cisco IDS解决方案中的结合，并探讨整个IDS解决方案应该解决的安全问题。这些问题包括在受到普通袭击时识别黑客执行的操作，以及主要袭击技术的分类和介绍。Cisco IDS解决方案注重两个组件的主要特性。最后，本文还将分析组合解决方案覆盖的范围，并探讨不同组件相互配合的能力。

袭击剖析

黑客侵入系统的目的是获得保密数据，获得其社会圈子的关注（多次损坏Web站点），或者利用DoS技术损坏站点。DoS袭击的目标是联网设备和服务器，目的是阻碍，至少降低，服务器对合法用户的可用性。 在试图穿过系统时，黑客一般都会采用安静而有预谋的方式，步骤如下：

熟悉网络

熟悉网络的目的是尽可能了解受害站点。黑客将使用各种网络映射工具全面了解服务器或设备。确定联网设备后，还将搜索其端口，以便找到端口上的监督程序。一切都完成之后，黑客将掌握地址范围、网络上的各种主机以及其上运行的监督程序。

"拥有"系统

这个阶段的目标是损坏设备。借助警戒程序，借助监督程序，黑客可以集中精力攻克特定监督程序。他们通过执行易损性评估工具寻找可以利用的漏洞。发现易损性之后，黑客将利用自己编写的程序或者互联网上提供的数百种现成"kiddie程序"发起攻击。利用这些程序，黑客可以在设备执行代码，某些情况下，还可以将程序上载到受袭设备中。

接下来，黑客将提交其权限和管理访问权力。借助前面加载的程序，黑客可以利用其它本地易损性获得访问权限。如果不能上载程序，他们将通过搜索配置和记录文件来寻找纯文本密码。他们将执行密码破解工具，寻找管理帐户的用户名和密码对。最后，黑客将隐藏其踪迹，使之能秘密侵入设备。在这个阶段，黑客"拥有了"设备，并可以继续寻找他们更加感兴趣的信息或其它新目标。

利用信任

入侵的目标之一是确定哪些设备相信受袭机器，并充分利用这种关系。例如，黑客可能安装窃听器，寻求与可信方进行通信，获得以纯文本发送的密码。假设受袭机器是Web服务器，黑客将找到后端数据库服务器以及用于与数据库通信的通信程序，并利用它们侵入数据库服务器。

获得访问权限[不使用行话]

接入数据库后，黑客可以访问保密数据，例如信用卡及其它客户记录，或者对数据进行操作。

"拥有"网络

下一个步骤是接管企业内的所有易损系统。在这个阶段，黑客将完全消除防火墙或加密等障碍。他们可以继续熟悉网络，并利用其它薄弱环节。

根据思科安全咨询小组的统计，黑客完全可能至少拥有75%的网络。

袭击技术
袭击技术可分为三类：网络袭击、操作系统（OS）袭击和应用。

网络袭击

网络袭击针对通信基础设施，例如路由器和交换机等联网设备，或者服务器上的联网层协议（第3层及以下层次）。侵入路由器之后，黑客一般都能获得访问和操作配置设置的权力，因而能影响通信流量的路由。第3层（及以下层次）袭击多数为DoS袭击，主要针对服务器的联网模块。在这种情况下，目标是破坏服务器，至少要使之出现流量泛滥，从而阻碍用户与服务器的合法通信。

分布式DoS（Ddos）是一种新的网络袭击技术，即多个代理同时向目标发送大量分组。只需借助普通袭击技术，黑客就可以找到易损机器，进入它们，并安装DdoS代理。接下来，黑客可以激活正在网络上倾听并等待激活命令和目标地址的代理。激活之后，代理将向目标地址发送大量分组，从而达到拒绝访问目标的目的。

OS袭击

主流操作系统的设计思想是相同的：它们支持超级用户概念（UNIX上的根用户、Microsoft Windows上的管理员）。具有这种权限的用户可以超越操作系统（OS）规定的安全规程。例如，根用户可以访问任何文件或设备，生成用户，并分配访问权限。根用户的存在使OS成为黑客的主要攻击目标，因为一旦获得了访问权限，就可以控制服务器。

获得访问权限最有效的技术是利用缓冲器溢出易损性，因为缓冲器溢出非常普遍。例如，50%以上的计算机紧急响应部门（CERT）顾问都遇到过缓冲器溢出易损性问题。 .

借助缓冲器溢出易损性，黑客可以将恶意代码注入到另一个程序的地址空间，并以受袭程序为掩护执行这个程序。当袭击过程以管理员的名义执行时，恶意代码就会执行管理操作。一般情况下，注入的代码会用某个密码添加新的权限用户。这样，黑客就能获得以后侵入机器所需的权限帐户。

应用袭击

随着互联网的发展，出现了几种流行应用，例如Web服务器、电子邮件服务器和域名系统（DNS）服务器。这些监督程序是最容易暴露的目标，因为它们一直等待着接收通信信息，而且外部用户无需通过防火墙就能访问它们。基于此种原因，黑客非常注重寻找并利用这些应用中的易损点。

首要目标是Web服务器。最近进行的IIS Web服务器调查表明，每个月都会出现若干新易损点。在袭击Web服务器时，黑客将看似无害的恶意HTTP请求发送到防火墙，在此过程中利用Web服务器中的易损点，进而获得保密数据，或者在Web服务器上执行其恶意程序。

能够对Web服务器带来安全威胁的其它严重袭击是通用网关接口（CGI）程序。CGI程序是在Web上实施用户应用的主要手段。当Web服务器获得CGI请求时，将询问CGI程序，然后向它传递相关参数。许多定制应用的实施都不够完善，缺乏合理的参数输入检查。这些原因使黑客得以执行恶意操作，例如获得保密信息，或者将可执行程序上载到服务器等。

另一个易损监督程序是Berkeley 互联网名称域（BIND）DNS程序，它80%以上的UNIX DNS服务器软件都在互联网上运行 。DNS是互联网上的一项主要服务，为用户提供名称解析。例如，请用户请求访问www.cisco.com 域时，DNS服务器将返回用户请求的域的IP地址。众所周知，BIND容易受到许多远程袭击的攻击，包括缓冲器溢出。虽然人们在多年以前就意识到了这个问题，而且开发了许多补丁程序，但到目前为止，互联网上仍然有许多BIND服务器都没有获得补丁程序，因而很容易遭到袭击。

Cisco IDS解决方案

考虑到企业站点非常复杂，袭击技术多种多样，黑客数量只增不减，必须采用全面的解决方案才有有效预防黑客的袭击。这种解决方案应该能对抗多种袭击技术，并防止在典型袭击过程中执行恶意操作。由于Cisco IDS解决方案提供包含NIDS和HIDS组件的组合解决方案，因而能满足这个要求。NIDS主要预防网络袭击，HIDS则主要防止服务器遭受OS和应用袭击。

NIDS检测器安装在多个位置上。最重要的位置是防火墙前面，负责监控进入机构的通信信息。另外，每个重要的网段都安装一个检测器。HIDS首先部署在面对互联网的服务器上，例如Web、邮件和DNS服务器。由于面向互联网的服务器与后端服务器相连，因此，HIDS也部署在公司防火墙内的所有其它主要服务器上。

Cisco IDS网络检测器

网络检测器能够为网络设备及服务器上的通信模块提供全面保护。其主要特性包括：

积极响应--系统包含对检测器设备的主动响应功能，用户只需修改Cisco路由器上的访问控制表（ACL）就能让系统自动回避或取消特定连接。回避功能可以临时启用，也可以长久保留。其它网络流量正常流动，只快速、有效地删除来自内部用户或外部入侵者的非法流量。这样，安全操作员就能够快速终止误操作，并防止入侵者访问网络。 全面检测网络袭击--包括检测对路由器和交换机的恶意袭击，检测面向服务器通信模块的第3层（或更低层次）袭击，检测探听或映射映射等企图，例如通常作为实际袭击前兆的呼叫清除和端口清除。

全面检测应用袭击--系统支持多种应用协议，例如HTTP、DNS、文件传输协议（FTP）及其它协议。另外，它还能检测针对易损CGI程序发起的多种通信袭击。

以独特的方式预防DoS--检测DdoS代理与黑客之间的通信，寻找知名的DdoS工具，例如Trin00和Tribe Flood Network（TFN）。

先进的IP分片重装和"Whisker"反IDS检测功能支持--许多产品已经能够预防用于穿越典型NIDS技术的分组分片及其它编码技巧技术， 但效果都不如Cisco IDS网络检测器。