1.介绍
-入侵者如何进入系统?
-入侵者为什么要侵入系统?
-入侵者如何获得口令?
-典型的入侵过程?
-一般的侵入类型有哪些?
-什么是漏洞(exploits)?
-什么是侦察(reconnaisance)[译注:原文如此,疑为reconnaissance?]
-什么是拒绝服务(DoS)?
-现在的攻击有多危险?
-哪里可以找到现在攻击行为的统计?
2.架构
-入侵如何被检测?
-NIDS如何分辨流入数据?
-检测到被攻击后NIDS作些什么?
-除了NIDS还有什么类似的措施?
-我应该在网络的什么地方安装NIDS?
-如何让IDS适合安全架构的其他部分?
-如何检测是否运行了IDS?
3.对策
-如何提高WinNT下的入侵检测和预防?
-如何提高Win95/98下的入侵检测和预防?
-如何提高Unix下的入侵检测和预防?
-如何提高Macintosh下的入侵检测和预防?
-如何提高企业的入侵检测和预防?
-怎样在企业内实现入侵检测?
-被攻击后我应该作什么?
-有人说他们从我这里被攻击,我应怎么作?
-如何收集足够多的关于入侵者的证据?
4.产品
-有哪些自由软件(freeware)或者共享软件(shareware)的入侵检测系统?
-有哪些商业的入侵检测系统?
-什么是"网络查找"(network grep)系统?
-入侵者使用什么工具进入我的系统?
-我应该关心的其他的入侵检测系统?
6.资源
-哪里可以发现新的系统漏洞的更新?
-其他的有关安全和入侵检测的资源?
-有哪些值得注意的站点?
7.IDS和防火墙(firewall)
-为什么有了防火墙还需要IDS?
-有了入侵检测,还需要防火墙么?
-IDS从哪里取得信息?防火墙么?
8.实现指南
-我应该问IDS提供商哪些问题?
-我如何在持续(on-going)的基础上维护系统?
-我如何制止不适当的网络浏览?
-我如何建立我自己的IDS(写代码)?
-NIDS合法么(既然这是一种窃听)?
-如何保护日志文件不被篡改证据?
9.NIDS的局限
-交换网络(固有的局限)
-资源局限
-NIDS攻击
-简单原因
-复杂原因
-工具
10.杂项
-哪些标准/互操作的努力
11.蜜罐和欺骗系统
-什么是蜜罐?
-蜜罐有哪些优点?
-蜜罐有哪些不利?
-如何设置我自己的蜜罐?
-蜜罐有哪些类型?
-建立一个可被攻击的系统的正反作用?
-有人们使用蜜罐的例子么?
-有哪些蜜罐的产品?
-什么是欺骗对策?
<正文>
1.介绍
1.1 什么是网络侵入检测系统(NIDS)?
入侵是指一些人(称为'黑客', '骇客')试图进入或者滥用你的系统。词语'滥用'的范围是很广泛的,可以包括从严厉的偷窃机密数据到一些次要的事情,比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢,这个是主要的)。
侵入检测系统(IDS)是用来检测这些入侵的系统。根据这个FAQ的打算,IDS可以有如下的分类:
网络侵入检测系统(NIDS) 监视网线的数据包并试图是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器, 路由器, 探测器[probe])。注意一个"网络"IDS监视很多主机,然而其他的只是监视一个主机(他们所安装的)。
系统完整检验(SIV) 监视系统文件试图发现是否有侵入者更改了文件(可能留个后门)。这样系统最著名的就是Tripwire。一个SIV也应该能监视其他的组件,比如Windows的注册表和chron的配置, 目的是发现知名的迹象。他也应该能检测到一个一般用户偶然获得root/Administrator级别权限。这个领域更多的产品应该被认为是工具而不是一个系统:比如Tripwire类似的工具检测临界系统组件的更改,却不能产生实时的告警。
日志文件监视器(LFM) 监视网络设备产生的日志文件。同NIDS类似,这些系统通过对日志文件的模式匹配提出是否有入侵者攻击的建议。一个典型的例子就是分析HTTP日志文件来发现入侵者试图一些知名漏洞(比如phf攻击)实例有swatch。
诱骗系统(包括decoys,lures,fly-traps,honeypots) 还有一些伪服务,目的是模拟一些知名 洞来诱陷黑客。参见掌