| date | author | title | url | tags | series | categories | toc | draft | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
2022-04-04 12:52:39 +0800 |
Rustle Karl |
第6章_防火墙IDS逃逸 |
posts/ctf/libraries/tripartite/nmap/第6章_防火墙IDS逃逸 |
|
|
|
true |
false |
-mtu指定偏移大小-DIP欺骗-sl源地址欺骗-source-port源端口欺骗-data-length指定发包长度-randomize-hosts目标主机随机排序--spoof-macMAC 地址欺骗
网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
IDS 是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。作一个形象的比喻:假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
IDS 系统组件之间需要通信,不同厂商的 IDS 系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。IETF 目前有一个专门的小组 IDWG(IntrusionDetection WorkingGroup)负责定义这种通信格式,称作 Intrusion Detection ExchangeFormat。目前只有相关的草案,并未形成正式的 RFC 文档。尽管如此,草案为 IDS 各部分之间甚至不同 IDS 系统之间的通信提供层协议,涉及许多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。