什么是网络操作系统(NOS)? (1)
什么是网络操作系统Netware? (2)
什么是SMB? (3)
什么是MIB (4)
什么是Sniffer (4)
网管软件 (5)
工具名称:SolarWinds Engineer Edition (5)
工具名称:NetWatch套件 (5)
工具名称:WhatsUp Gold (5)
工具名称:Etherpeek NX、Sniffer Distributed (5)
工具名称:Packeteer PacketShaper (6)
工具名称:NMIS(网络管理信息系统) (6)
工具名称:Observer (6)
工具名称:xsight (6)
工具名称:MRTG (7)
工具名称:PingPlotter、FREEPing (7)
工具名称:OpenView (7)
工具名称:NetScout (7)
工具名称:Servers Alive (7)
工具名称:SNMPc Enterprise (8)
工具名称:NexVu (8)
工具名称:Qcheck、Chariot (8)
IP Monitor的操作规范 (8)
ipMonitor 6.0 功能简介: (9)
ipMonitor 6.0 监控状况摘要: (9)
ipMonitor 6.0历史事件记录情况概览: (10)
1.LOG文件: (10)
2.历史配置文件: (10)
3.历史事件总结(Report的配置和输出) (10)
PING 和HTTP的监控: (11)
安全宝典五大入侵检测系统对黑客说不 (11)
1.Snort (11)
2.OSSEC HIDS (12)
3.Fragroute/Fragrouter (13)
4.BASE (13)
5.Sguil (13)
什么是网络操作系统(NOS)?
网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统。它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。例如像前面已谈到的当在LAN上使用字处理程序时,用户的PC机操作系统的行为像在没有构成
LAN时一样,这正是LAN操作系统软件管理了用户对字处理程序的访问。网络操作系统运行在称为服务器的计算机上,并由联网的计算机用户共享,这类用户称为客户。
NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。一般情况下,NOS是以使网络相关特性达到最佳为目的的,如共享数据文件、软件应用,以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。一般计算机的操作系统,如DOS和OS/2等,其目的是让用户与系统及在此操作系统上运行的各种应用之间的交互作用最佳。
为防止一次由一个以上的用户对文件进行访问,一般网络操作系统都具有文件加锁功能。如果系统没有这种功能,用户将不会正常工作。文件加锁功能可跟踪使用中的每个文件,并确保一次只能一个用户对其进行编辑。文件也可由用户的口令加锁,以维持专用文件的专用性。
NOS还负责管理LAN用户和LAN打印机之间的连接。NOS总是跟踪每一个可供使用的打印机,以及每个用户的打印请求,并对如何满足这些请求进行管理,使每个端用户感到进行操作的打印机犹如与其计算机直接相连。
NOS还对每个网络设备之间的通信进行管理,这是通过NOS中的媒体访问法来实现的。什么是网络操作系统Netware?
鉴于Novell公司的Netware是目前使用最普遍的一种网络操作系统,下面将对这种操作系统进行讨论。
Novell公司的Netware 3.X和4.X是32位的NOS,可运行在Intel80386和Intel 80486处理器上。这种NOS支持所有的主流台式机操作系统,其中包括DOS,Microsoft Windows,Apple Macintosh,OS/2和Unix,如图5所示。Novell公司从1983年公布Netware第一个版本以来,
已逐渐演变成一种十分完善的NOS。从技术角度来说,Netware 的成功应归功于其体系结构设计的特点:图5
(1)支持所有的主流台式机操作系统,并保留了台式工作站具有的交互操作方式。每个工作站看到的诸如打印机和硬盘之类的网络资源犹如是与本地资源进行交写的一种扩充。例如,网络驱动器可看作是DOS工作的另一个硬盘,同时又可看作是UNIX工作站的可安装的文件系统。
(2)Netware具有的灵活性表现在它可利用范围广泛的第三方的硬件设备和元件,其中包括文件服务器,磁盘存储系统、网络接口卡、磁带备份系统和其它元件。
(3)支持所有主流局域网标准,如Ethernet(IEEE 802.3)、令牌环(IEEE 802.5)、ARCnet 和Local Talk等。
(4)将高效和高速的机制建在所有NOS组成部分的核心结构中,其中包括文件系统,高速缓冲系统和协议堆栈中
(PS:从这开始是本人自己写的~另外netware当初在世界可以说是现在微软的地位可以说更高那个时期基本上都称局域网为novell网局域网操作系统netware占据了主
导地位,但是不得不佩服比尔盖茨这个计算机和商业上的天才他通过购买16位微机操作系统和成功投标
于IBM公司的IBM-PC发家以来,采取了培养客户群的策略并且决定性的采用苹果公司的首先开发的视窗系统笔者(不是我书上的)曾总结了用户的大特点1懒2笨3急性子的特点
迅速获得市场(看出来了把盖茨老大抓住我们的弱点。。。。)在windowsNT4。0面世以后
一个性能优良的网络操作系统就这样击败了(netware为什么会被击败个人感觉太注重局域网没有注重当时人们需要局域网和互联网铰链而盖茨老大看准了这一点IT界不光要有技术
商业头脑很重要)
什么是SMB?
为了进行通信,我们人类需要同一种语言,如汉语或英语,计算机可不一样了,它们使用的语言规则不能称之为语言,而要称为协议。TCP/IP,NETBEUI,和Appletalk等都是协议。我们现在大家都知道什么TCP/IP,听说西安出租车司机都在谈这个东西。但是还有另外一种使用十分广泛的协议称为服务器信息块(Server Message Block)标准,它可以用户共享文件,磁盘,目录,打印机,在某些情况下甚至可以共享COM端口。Microsoft总希望把好东西叫成自己的,它希望将基于SMB的网络称为Windows网络,把这种协议叫CIFS,但我们在本文中还是称为SMB吧。
一个SMB客户或服务器可以和许多种机器和网络相互连接,这里就不一一说明了。下面是它们的名称:Warp Connect,Warp 4,LAN Server,Lan Server/400,IBM PC Lan和IBM 的Warp Server,在SMB模式下的LANtastic,MS-Client,Windows for Workgroups,Windows 95,LAN Manager和Windows NT Workstation & Server,DEC的Pathworks,LM/UX,AS/UX,Syntax 和Samba,这里面的东西,我们很多都没有使用过。因此不能加以详细介绍。
既然东西这么多,那它们能不能相互协同工作呢?从短期来看是可以的,但是长期可能就有问题,因此许多生产厂商的修改使得SMB成了对话式的协议,但是用户至少可以使用SMB兼容系统进行打印机和文件的共享,因此不同厂商的产品有所差异,因此在访问异种网时可能有一些麻烦。当说SMB不说NetBIOS和NetBEUI是不可能的,因此基于SMB的网络使用的底层协议虽然不一样,但是最基本的是基于NetBEUI的NetBIOS和基于TCP/IP 的NetBIOS,有时候我们也把后者称为RFC/Netbios或TCPBEUI。
SMB客户或服务器总是希望使用NETBIOS接口,换而言之,无论底层使用什么协议,SMB总希望使用统一的接口和远程系统进行通信。我们可以把NETBIOS想象为乘客,而把它下层的协议想像成随便什么交通工具,这些交通工具载着乘客从A地到达B地,完成通信。那么在使用NetBEUI时会有什么问题呢?NetBEUI的问题我们还可以用上面的例子进行说明,在这种环境下,NetBEUI基本上就是一个NETBIOS,它被直接传上网络,这个乘客本来可以坐车的,现在要自己从A地走到B地。NETBEUI采用一种广播式的发送方式,它象一个在大街上到处大喊着找人的乘客,这样虽然也找到,而且有时候速度还挺快,可是网络(这里我们把网络比喻为大街)会变得十分乱。在默认情况下,Windows和OS/2 Warp
使用NETBEUI作为默认协议,因此这种协议不同任何配置即可使用。
我们上面还提到了在TCP/IP的基础上使用NetBIOS,那么我们为什么要使用TCP/IP呢,我们在什么时候要使用这种协议呢?因为用TCP/IP协议在计算机间进行通信有它的优势,这种方法不采用广播式的发送方法,而采用直接发送的方法,这样可以让网络内的无用噪声减少。而基于TCP/IP使用NetBIOS是一个非常流行的使用方法(当然用户也可以使用别的通信协议传送NETBIOS信息),因为互联网的广泛使用,计算机上一般都安装了TCP/IP,这对使用提供了方便,事实上,Samba甚至要求使用基于TCP/IP的NetBIOS,而根本不支持基于NetBEUI的NetBIOS。
因为基于TCP/IP使用NetBIOS时要使用到TCP/IP,用户必须将安全性考虑在内,这一点十分重要,不然出了问题不好办。如果用户现在使用的是Windows 95,他可能会注意到没有什么基于TCP/IP的NetBIOS,只有一个NetBEUI选项,这是因为用户没有安装TCP/IP 协议,在用户安装了TCP/IP之后,就会自动出现基于TCP/IP的NetBIOS。这时,出于安全性的考虑,在网络配置中的TCP/IP一项上请不要选择文件和打印机共享。能否将OS/2作为SMB客户连接到Windows NT或Windows for Workgroups上呢?这当然是可以的,OS/2 Warp 4和Warp Connect能够和NT以及Workgroup等其它微软产品通信,在OS/2 Warp 4中就内建了TCP/IP,NETBEUI和IPX,随着用户的需要也可以再添加新的协议,OS/2 Warp 4中还内建了一个程序称为“IBM文件和打印客户”请,大家注意这个程序的使用。如果用户没有Warp 4或Warp Connect,那么使用免费的Microsoft LAN Manager Client for OS/2也可以达到同样的目的。最后我们说一下如何使MSIPX协议和NT或NetWare服务器连接。基于IPX的NETBIOS也称为IPXBEUI或MSIPX,在OS/2 Warp 4和Warp Connect中,用户可以找到基于IPX的NetWare NetBIOS仿真,这就可以了。
什么是MIB
网络管理信息库(MIB)是网络管理数据的标准,在这个标准里规定了网络代理设备必须保存的数据项目,数据类型,以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问,就可以得到该网关的所有统计内容。再通过对多个网关统计内容的综合分析即可实现基本的网络管理。
什么是Sniffer
现在人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击。但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用Sniffer进行嗅探攻击。
Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路
由器曾经被黑客攻人,并嗅探到大量的用户口令。
网管软件
工具名称:SolarWinds Engineer Edition
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:有读者说:"在不到一小时的时间内,我从网站上下载并安装了SolarWinds 的授权版本。不久后,我就可以制作线路使用报告了,而且线路使用和基本响应时间功能非常棒,此外,数据还被保存下来,使我可以一个星期、一个月或一年后查看数据。"
工具名称:NetWatch套件
公司名称:Crannog Software
网址:https://www.doczj.com/doc/1215067529.html,/netwatch.html
推荐理由:有读者认为这种软件由简单但却有效的点解决方案构成,这些解决方案在使用和效力上超过了他们所有的更大型的网络管理产品。NetFlow Monitor是另一种解决流量可见性问题的低成本解决方案,但NetWatch使网管员可以通过简捷的点击过程定制创建网络地图。而且,这种软件基本上不需要培训和维护。
工具名称:WhatsUp Gold
公司名称:Ipswitch
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:用户对它的评价是具有非常昂贵的产品才拥有的很多功能,而价格却非常低廉。还有读者称:"我们能够在几分钟之内安装好软件,自动发现大多数网络设备,并开始向我们的文本电话机发送状态报警。此外,我们还监测不应出现问题的服务和Web内容变化。"
另一位用户还利用它"报告简单的服务水平协议状况,让我的用户无法在真正发生了多少次故障上弄虚作假。"
工具名称:Etherpeek NX、Sniffer Distributed 公司名称:WildPackets、NAI
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:一位读者推荐Etherpeek NX 2.0作为一种"价格低廉、功能优秀"的协议分析仪。Etherpeek NX 2.0帮助他解决断续出现的、复杂的应用问题。
另一种读者推荐的工具是来自NAI的Sniffer Distributed。他觉得如果工具包中缺少这种工具,他将无法生存。
工具名称:Packeteer PacketShaper
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:一位读者说:"当用于应用或主机上时,我们对报告和配置的粒度感到满意。它使我们可以找到一条完全拥塞的768K bit/s WAN链路,有效地从它里面得到更多的带宽。"
工具名称:NMIS(网络管理信息系统)
网址:https://www.doczj.com/doc/1215067529.html,.au/nmis/
推荐理由:它可以通过开放源代码GPL许可证免费使用,可以运行在Linux上。有读者说,它提供的支持"比我得到的任何支持都好。"该工具受到欢迎的另一个原因在于它带有仪表板的用户友好的Web界面,支持"在一个页面中以一种简要的、分级的和色块方式显示我所有200台网络设备的状态,从而使我可以轻松地找到问题的根源和范围。"
工具名称:Observer
公司名称:Network Instruments
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:这款工具由于"是目前功能最强和最多样化的平台"而成为读者的选择。工具名称:xsight
公司名称:Aprisma Spectrum
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:有读者喜欢用Aprisma Spectrum公司的xsight来进行故障隔离,他说:"xsight与Attention Software一起使用可以令人信服地解决报警问题并向他人发出寻呼。"他还使用CiscoWorks来管理和维护他们的Cisco网络的防火墙和配置。
工具名称:MRTG
网址:http://www.mrtg.it
推荐理由:据一位读者称,多路由流量图形工具(MRTG)是其最爱,他说:"MRTG在收集有关网络带宽使用的统计数据和服务器监控方面表现非常棒。"MRTG不仅是免费的,而且还是通过GNU(通用公用许可)提供的。
工具名称:PingPlotter、FREEPing
公司名称: Nessoft、Tool4ever
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:PingPlotter是读者推荐的一项价格仅为15美元的Ping和Traceroute工具。一旦出现问题,这位读者就启动该程序来查找问题出在哪里。FREEping是另一项读者推荐的可以免费下载的Ping工具。一位读者反映,这项工具"虽然非常简单,但却在掌握网络对象的可达性方面非常有用。"
工具名称:OpenView
公司名称:HP
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:HP OpenView受到推荐是因为它可以提供"非常好且非常易好用的映像"。另一个原因是"可以对其进行编程,来做你想要做的任何事情",尤其是在出现问题时将相关性信息通过E-mail进行报警。
工具名称:NetScout
公司名称:NetScout
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:一位读者推荐NetScout,是因为它具有良好的故障检测和性能管理功能。这位读者说:"虽然它是软件和硬件的融合体,但却能与大多数的网络元件(交换机和路由器)协调工作,而且,大家从一个视图就能了解企业的运行状况。"
工具名称:Servers Alive
公司名称:Woodstone
网址:http://www.woodstone.nu/salive/
推荐理由:一位读者称,它之所以喜欢Servers Alive,是因为它很简单,能够很好地
完成网络事件任务和进行状态监控,此外,它的安装相对来讲也很容易。他经营着一个小网络,发现这个简单而便宜的工具在他的小网络环境里运行得非常好,并可通过邮件组获得支持。
工具名称:SNMPc Enterprise
公司名称:Castlerock Computing
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:一位用户在推荐SNMPc Enterprise时表示:"与其他的大家伙相比,它更加易用,而且相当便宜。它的可扩展性非常惊人,使用它的新版本更容易管理网络管理系统本身。"他认为该工具的唯一不足就是,它只能在Windows下运行。但你只需花极少的时间就可以习惯这个软件包,一旦习惯了之后,用起来就更加容易了。
工具名称:NexVu
公司名称:NexVu
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:有读者称NexVu"是我们曾使用过的工具之中最有趣的一项工具,它可以是性能监控工具、协议分析工具、RMON探头以及终端服务器......所有这些功能都融为一体"。作为探测工具的备份选择,它非常具有吸引力。此外,它还可以提供有关该读者的Siebel 应用系统的实时性能报告。
工具名称:Qcheck、Chariot
公司名称:NetIQ
网址:https://www.doczj.com/doc/1215067529.html,
推荐理由:有一位读者在推荐NetIQ Qcheck和Chariot时称,Qcheck是一项免费工具,"它超级简单,能够极快地对两个主机之间的网络性能进行检查,与故障检修工具一样棒"。他说他的求助台使用的就是这种工具。它要求在被测主机上安装endpoint代理。这些endpoint 是免费的,而且可供各种各样的系统使用。他说:"我曾要求在我们企业里的每台台式机和服务器上装载这样的endpoint,从而减少了故障检修的次数。"关于Chariot,他说,Chariot"可以对我们所能想象得到的任何网络进行压力测试。它在概念设计和论证方面表现的非常好。添加Sniffer插件之后,就可以使用实际数据对网络进行测试,更不用说它的易用性了。"提醒大家注意的是,在把这种工具交给未经培训的新手之时,你必须格外小心,因为它"几乎可以把任何网络都给踩成碎片"。
IP Monitor的操作规范
ipMonitor 功能简介 2
ipMonitor 6.0 监控状况摘要 3
ipMonitor 6.0 历史事件记录及报告情况4-5
PING 和HTTP的监控 5
IP Monitor的操作规范6-7
ipMonitor 6.0 功能简介:
ipMonitor是安装在Windows NT系统上的Web Server;用HTTP协议通信。我们可以用Web浏览器监测报告情况并进行配置。
ipMonitor 的"monitoring engine" 运用了超过40种不同的监控方式去测试IP设备, NT服务, SQL数据库和系统级服务的可靠性和响应性。
常用监控种类包括:
? HTTP*
? SQL*
? SSL
? ASP
? OP3*
? IMAP4*
? SMTP
? FTP*
? SNMP*
? DNS*
? TRAP*
? LINK*
? LDAP
? Kerberos 5
? Active Directory
? Drive Space
? Notes transport
上述9种划星号的监控类型检测Intranets, Extranets和E-commerce处理情况的质量。
IpMonitor提供组检测功能。
IpMonitor还提供了分级报警功能。
ipMonitor 6.0 监控状况摘要:
"Global (All Monitors)" 包括了经配置后的所有监控项。
监控的状况可直关的由颜色判定:
绿状况良好
黄状况下降或故障
红状况下降或故障已形成,报警和恢复活动已发生。
深红虽被监控资源须维护,但ipMonitor 被配置为忽视故障的发生。
灰暂时放弃监控
ipMonitor 6.0历史事件记录情况概览:
1.LOG文件:
LOG文件依ipMonitor配置的活动
"History Event" 日志列出了所有依ipMonitor配置指定的活动。
Security事件被分为以下几类:
? Monitor failures
? Monitor recoveries
? Failure notifications
? Recovery notifications
所有发生过的事件都以时间先后排序记录在LOG文件中其并供诊断故障用。此LOG 文件将每月导出一次。
当前日志文件的位置:
当前日志文件与ipMonitor的安装文件在同一位置。具体位置并不确定,依安装时的DRIVER不同而不同。LOG文件在以下目录:
c:\ipmonitor\ids\probe.log
另外,成功的历史事件和单项监控历史记录也可被记入日志文件。
(Profiles/Alert: Record to Log File.)Related Topics...
History Events Reporting
History Events Content Selector
2.历史配置文件:
历史配置文件的导出:
导出全部活动日志(CSV file格式输出)
选择数据导出按钮导出。
其中有DataTable.csv和RelationshipsTable.csv两个文件需导出。
大部分图形软件和数据库包支CSV输入.
(关于配置的历史数据将每月导出一次,以备份。)
3.历史事件总结(Report的配置和输出)
1)点击左侧的Report按钮进入
2)点击左上方的ADD REPORT按钮进入
3)键入Report Name――》
选择按组生成report或按Monitor(s)生成report――》
选择不同的报告模式及时间范围――》
选择趋势报告或详细报告及3D或2D模式――》
勾选想生成的monitor名――》Done
PING 和HTTP的监控:
关于PING:
工作原理:发送ICMP包,检测有效回应。
注:大多防火墙不准ICMP包的收发,所以除非防火墙配置准许特定地址PING, PING服务不能实现。
关于HTTP:
工作原理:检测接收到的信息流和处理情况以决定WEB服务是否良好。对默认页的请求时时发出并依接收情况判定HTTP协议的良好状况。
注:因需避免在检测某WEB时对该WEB造成流量增加的副面影响。我们应选择”Head requst 而不是Get选项。但WEB在计算访问量时仍然会将其记录在内。
安全宝典五大入侵检测系统对黑客说不
更新时间:2007-11-27 09:32
关键词:IDS攻击黑客
阅读提示:入侵检测系统(IDS)检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。
入侵检测系统(IDS)检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时,评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲,IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。
1.Snort:这是一个几乎人人都喜爱的开源IDS,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处
理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。如图:
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS 的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行OSSEC HIDS,以监视和分析其防火墙、IDS、Web 服务器和身份验证日志。如图展示的是Windows平台的OSSEC:
3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从Snort/barnyard 提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS
警告的事件驱动分析。如图:
網路管理員的崗位職責 1、負責公司資料維護、電腦維護、網路維護、網站建立 2、負責網路及資料安全性原則的實施 3、負責公司網路安全進行設置、管理以及維護 4、負責公司業務系統、辦公系統的維護及業務資料的管理 5、服從上司的工作分配 IT基礎設施管理職責 主要職責描述:負責管理和保證公司網路、伺服器、桌上型電腦等基礎設施的安全性、穩定性運行,規劃、設計、記錄、日常管理、服務監控、知識培訓等工作,為公司資訊方面的決策、採購提供所需資訊,為確保公司工作流程制定相關網路使用規定和建議,並監督及確保相關人員對規定和制度的執行;必要時仍會兼顧公司分配的其他任務,但主要以IT基礎設施管理為主。辦公室管理主要為三個方面:①網路維護管理;②系統維護管理;③常用設備管理 一、網路維護管理 總體方面,監測公司網路系統的運行狀態,並進行維護,確保其正常運作,包括路由器、交換機,VOIP設備等等; 網路設備管理;建立拓撲圖,設備維護文檔,包括設備使用情況、升級記錄等; 網路安全管理;病毒公告、防禦、檢測、清除,網路反病毒軟體統一部
署、升級,網路防火牆的配置管理; 網路運行管理;包括網路設備使用規劃、配置、升級,網路使用、頻寬監測; 二、系統維護管理 1、硬體方面; 硬體設備(伺服器、工作機、印表機、移動存放裝置)安裝、配置、運行; 常規故障處理; 協助硬體資產登記,使用情況記錄; 2、軟體方面; 根據需求規劃、安裝、配置、管理伺服器; 桌面系統支援(關鍵應用軟體統一部署,統一版本控制、區域控制),必要時指導使用者使用相關設備; 常規伺服器、使用者帳戶以及密碼管理(建立、更新、刪除;按需分配); 伺服器、使用者作業系統安全補丁部署升級管理; 關鍵服務/伺服器運行、日誌監控 根據實際需求規劃、實行資料備份/恢復策略。 三、常用設備管理 印表機,影印機缺墨應及時更換硒鼓或墨水匣; 卡紙必須關掉電源後正確取出; 硬體出現問題及時與經銷商聯繫,根據情況進行修理或更換。
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
既然选择了网管这一行就争取把它做好!网管要知道的东西确实很多,首先你得热爱,喜欢,一点点积累,但别心急,一口是吃不了一个馒头的,要精通一两门知识,都应该是自己喜欢的,什么都得学,但要有主要的,主要的一定要通,那就是靠自己不断的努力和积累。又能学到知识,就先学着!然后再多学点自己最喜欢的,工作个两三年,根据形势再做决定了,到那时就争取早一个最喜欢的最能发展自己的行业了! 做一名合格的网管关键在于做人,作一个实在的人.虽然说:"作的不如看的,看的不如说的,说的不如遛的,但我觉得做人是最重要的, 1、做网管,主要是维护服务器,终端,客户端和网络综合布线以及网络规划等等,也许刚刚开始觉得工作量很大,心情很烦,压力挺大,给别人的感觉就是工作浮躁,经过一段时间工作实践和生活的琢磨,可以感觉到主要的问题是自己没有学会调节自己,调节好自己的生活情趣,自然工作中的问题也会游刃而解,并且懂得了生活的美好。 2、做一名合格的网络管理员最需要掌握网络个合理规划,动态管理,静态监视,远程调试维护,包括网络的拓扑结构,网络协议的传输步骤,网络的流量控制,QOs,各种协议的配置与合理使用。 网络管理员本身就是技术性的岗位,所以技术必须第一。至于什么技术最重要,那就要看各个单位的需求,简单的可能只要连通并能互访就行了。复杂的网络可能就是几个人甚至更多人的事了,就有了分工与合作,各人维护与钻研的方向也不一样了。一般中小型单位都不设网管,因为电脑少,不需要专门设岗,有问题外面找人去。超过20台的单位可能就要设专门网管或兼职网管,象这样单位的网管就要求有IT各方面的知识,越广越好。 二:企业网管需要掌握的技能做网管几乎什么都要知道那么点点,不一定要精,当然你也要有自己的强项。 1.做系统是最基本的要求了,从98到2003,从unix到linux都要会玩,不一定都精(这个难度系统很高) 2.能够维护PC硬件及打印机(从针式到喷墨在到激光),如果这部分做的不好,可能每天够你忙上半天的. 3.会MAIL服务及客户端的配置及管理,主要有Exchange,Imail,Qmail,Sendmail等,现在的企业都有自己的MAIL,而且占的地位之高绝对不容忽视. 4.对windows/*nix系统要知道常见的服务配置,最基本当然属DHCP(DHCPD),DNS(BIND),IIS(APACHE),FTP(WUFTPD/VSFTPD),AD(SAMBA),WINS等,如果连这些都不太懂的话,赶紧狠补一下.不然就不要去了. 5.数据库至少要懂SQL SERVER跟MYSQL,如果会ORACLE/SYBASE/DB2/INFORMIX,那工资肯定会高10%的(呵呵有点夸张,要是这些都会,还不做DBA去了?). 6.对交换机及路由器的简单设置及管理一定要的,不然只能去小企业了(主要是CISCO,华为
帮助我们审核网络安全的十大工具 一、Nessus:这是一款UNIX平台的漏洞评估工具,可以说它是最好的、免费的网络漏洞扫描程序。其更新速度很快,有超过11000个插件。其关键特性包括安全和本地的安全检查,拥有GTK图形接口的客户端/服务器体系结构,还有一个嵌入式脚本语言(可以编写我们自己的插件或理解现有的插件)。Nessus 3现在是闭源软件,不过仍是免费的,除非你需要最新的插件。 二、Wireshark:这是一款奇特的开源网络协议分析程序,它支持Unix和Windows两种平台。以前它也被称为Ethereal,后因商标问题的争端而改名。它允许用户从一个活动的网络或磁盘上的捕获文件来检查数据。用户可以交互地浏览捕获的数据,深入地探究你需要理解的数据包的祥细信息。此软件拥有几大特性,包括丰富的显示过滤程序语言和查看一次TCP会话的结构化数据流的能力。它还支持大量的协议和媒体类型,包括一个类似于tcpdump的控制台版本,称为tethereal。不过需要注意的是,它饱受大量的远程安全漏洞之苦,因此一定要保持及时更新,并提防在不信任或敌对的网络上运行之。 三、Snort:这是一个很多人都十分喜爱的开源性质的入侵检测系统。这个轻量级的网络入侵检测和预防系统对IP网络中的通信分析和数据包的日志记载都表现出色。通过协议分析、内容搜索以及各种各样的预处理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和其它的许多可疑行为。它使用一种十分灵活的基于规则的语言来描述通信。此外,它还检查免费的基本分析和安全引擎,即一个分析Snort警告的Web界面。 开源的Snort对于许多个人、小型企业和部门布景言,运行起来很出色。SourceFire公司免费提供了一个产品线,可以使企业级的特性和实时的规则实现更新。当然,用户还可以在Bleeding Edge Snort找到许多功能强大的免费规则。 四、Netcat:这款被为网络上的瑞士军刀的实用程序能够在TCP或UDP网络连接上读写数据。它被设计为一种可靠的后端工具,能够直接地、简单地被其它程序和脚本驱动。同时,它还是一款网络调试和探测工具,因为它能够创建你需要的几乎任何类型的连接,包括端口绑定以便于接收进入的连接。最早的Netcat由Hobbit在1995年发布,虽然非常流行,却没有得到真正的维护。有时甚至很难找到nc110.tgz。不过,这款工具的灵活性和实用性促使人们开发了大量的Netcat实现代码,许多现代化的特性在原始的版本中并不存在。最为有趣的一个实现程序是Socat,它对Netcat进行了扩展,以支持许多其它的套接字类型,SSL加密,SOCKS代理等等。还有Chris Gibson’s Ncat,它提供了更多的特性,同时又保持灵活性和简洁性。现在有许多支持Netcat的软件,如OpenBSD’s nc, Cryptcat, Netcat6, PNetcat, SBD, 和所谓的GNU Netcat 等。 五、Hping2:这个小巧实用的应用程序能够组装并发送定制的ICMP、UDP、TCP的数据包,并可以显示任何的应答。它的开发产生于ping命令,不过却提供了对发出去的探测信息的更多控制。它还拥有一个方便的路由跟踪模式,并支持IP数据包的分块。在试图跟踪/ping/探测防火墙背后的主机时,这个工具就相当有用,因为防火墙能够阻止其它标准的应用程序的连接请求,对此工具则不然。这通常允许我们形成防火墙的规则集。如果你要学习更多的TCP/IP以及用IP协议做试验,Hping2也是不错的选择。 六、Kismet:这是一款非常强大的无线网络嗅探工具。Kimset是一个基于802.11第二层的无线网络检测程序、嗅探器和入侵检测系统。它可以通过被动地嗅探(这与主动的嗅探工具如NetStumbler正相反),甚至可以发现那些在用的隐藏网络。它能够通过嗅探TCP、UDP、ARP、和DHCP数据包来自动地检测网络IP块,并能够以Wireshark/TCPDump的兼容格式记录通信。这个工具还可以用于warwalking,warflying,warskating等。 七、Tcpdump:这是一款经典的网络监视和数据获取嗅探程序。在Ethereal (Wireshark)登上历史舞台之前,Tcpdump是被广泛采用的IP嗅探程序,网管员中的许多人还有继续使
网络管理中需要用到的工具介绍 对于网络管理员来说,故障诊断工具多种多样,这些工具难于掌握,但是对它们的需要却是勿庸置疑的.缺乏合适的工具往往会阻碍工作的正常进行.本节将讨论一些工具以及它们的特征,你应该将这些工具添加到 你的“箭筒”中以支持你的技术故障检修工作. 1、管理信息库浏览器(MIB browsers) 如第一章所阐述,管理信息库(MIB)一个存储网络设备特征的数据库.这些数据库由厂商发布,管理员可以对其中的网络设备的配置和状态信息进行读、写操作.管理信息库浏览器是一种特殊的工具,使用该工具能观察到管理信息库中的数据并提取相关的对象ID(OID)信息.需要注意的是,OID不仅仅是用于表示设 备数据唯一地址的一串数字.一个设计良好的管理信息库浏览器应该包含一个预存的已知OID和相关数据 的数据库.管理信息库浏览器还具有“走访管理信息库树”的能力,能够收集管理信息库所有的已知数据并将 其呈现给管理员. 一个有效的管理信息库浏览器的强大之处在于,它能够观察和搜索管理信息库的相关信息并使得管理员能够根据需要修改和定制这些信息.一个设计良好的管理信息库浏览器一般包含以下功能: 支持远程设备 已知OID的大型数据库 通过树型视图观察/搜索/遍历功能 编辑功能 支持读/写功能 支持多个设备 管理信息库浏览器主要是作为一种定制工具将基于SNMP的设备嵌入到你的网络管理系统中. 2、远程登陆(Telnet)和安全命令行解释(SSH) Telnet,原本是“TELetype NETwork”的缩写,现在成了一个适合自己的名称,这是一种最常见的将一个系统的命令行控制台会话转发到一个远程主机的机制.Telnet是完全文本式的和命令行驱动的,对新的网络管理员来说,使用起来会有一定的难度.Telnet几乎被所有的UNIX主机和网络设备用于设备配置和管理. SSH或者“安全命令行解释(Secure Shell)”是一种类似的协议,用于实现和Telnet相同的目标,但是具有内在的安全因素.SSH使用公共密钥加密算法来对系统用户进行验证,并为SSH客户端和服务器之间的数据传输提供了机密和完整性机制.由于协议附加的内在安全性,SSH迅速成为了远程终端应用的标准. 对于任何一种协议,Telnet或者SSH客户端软件都是你的故障检修工具箱中必不可少的一种工具.当前存在很多的客户端软件,而且其中一些客户端软件比其它的软件具有更多的特征.当你寻找一个好的Telnet 或者SSH客户端软件时,可能需要考虑的一些功能有: 文本色化处理功能 函数密钥映射 远程文件复制支持 服务器连接配置 警报生成功能 脚本记录和重现功能 会话监视功能 安全密码缓存 通常,如果你的网络设备支持,总是优先选择SSH而非Telnet.Telnet以纯文本方式在网络中发送数据和密 码,这样就使得网络攻击者可以很容易地“监听”到你的通信.当你通过互联网进行设备连接时,情况尤其如此. 串口工具(Serial port tools)
网络入侵检测系统在电力行业的应用(解决方案) 电力行业关系到国计民生,是我国经济快速发展的重要基石。信息安全建设作为保障生产的一个重要组成 部分,越来越多地受到重视并被提到议事日程上来。 电力行业关系到国计民生,是我国经济快速发展的重要基石。电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提到议事日程上来。 据来自有关部门的资料,目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定,,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施,是电力行业当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。 榕基入侵检测系统(RJ-IDS)是榕基网安公司除了漏洞扫描系统外的一条全新产品线,该产品是一种动态的入侵检测与响应系统,除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外,还具有强大的行为和事件统计分析功能,能够自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接,帮助企业最大限度的保护公司内部的网络安全。 网络构架描述 国内电力行业某省级公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足应用需求,从保障业务系统高效、稳定和安全运行等方面考虑,必须升级优化现有系统,其中提高网络的安全性 是重中之重。 该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台,局域网是该公司内部日常办公的主要载体,外部信息的获取和发 布通过互联网来完成。 该公司的局域网于2001年建成并投入运行,核心交换机为Cisco Catalyst 6509。以千兆下联十多台设在各部门的百兆交换机,均为Cisco Catalyst 3524XL/3550系列交换机,并划分了多个VLAN;在网络出口处,该公司通过Cisco 7401交换机与Internet连接,Internet接入边界有最基本的安全设备,一台硬件 防火墙和一台VPN设备。 公司提供包括WWW、SMTP、FTP等互联网应用服务,目前开设了一个内部信息发布、员工交流站点和一个对外展示企业形象的站点,公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多的重要应用系统,其中包括企业OA系统和各种信息管理系统。 目前大流量的应用主要集中在局域网内,因此局域网的压力很大;大部分的应用必须跨广域网,但由于应用刚刚起步,因此跨广域网的流量不很大,随着信息化建设的逐步深入,广域网潜在的瓶颈将会严重影 响应用的普及;公司与各个子公司之间以VPN相连。 安全需求分析
当网络管理员要懂哪些电脑知识
当网络管理员要懂哪些电脑知识 管必备的基础知识今天,随着计算机的广泛应用和网络的流行,越来越多的单位和部门开始引入计算机网络管理,从而相应的需要更多的优秀网管。已有几年“脑龄"的你是不是也有成为网管的雄心壮志?在你成为一名合格的网管前,你必须先把下面的十个问题弄清楚。如果连这些最基本的网管知识你都不具备的话,那你怎么能不补这堂课呢? ★计算机网络是什么? 这是首先必须解决的一个问题,绝对是核心概念。我们讲的计算机网络,其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式及网络操作系统等)实现网络中资源共享和信息传递的系统。它的功能最主要的表现在两个方面:一是实现资源共享(包括硬件资源和软件资源的共享);二是在用户之间交换信息。计算机网络的作用是:不仅使分散在网络各处的计算机能共享网上的所有资源,并且为用户提供强有力的通信手段和尽可能完善的服务,从而极大的方便用户。从网管的角度来讲,说白了就是运用技术手段实现网络间的信息传递,同时为用户提供服务。 ★计算机网络由哪几个部分组成? 计算机网络通常由三个部分组成,它们是资源子网、通信子网和通信协议。所谓通信子网就是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作;而通信双方必须共同遵守的规则和约定就称为通信协议,它的存在与否是计算机网络与一般计算机互连系统的根本区别。所以从这一点上来说,我们应该更能明白计算机网络为什么是计算机技术和通信技术发展的产物了。 ★计算机网络的种类怎么划分? 现在最常见的划分方法是:按计算机网络覆盖的地理范围的大小,一般分为广域网(WAN)和局域网(LAN)(也有的划分再增加一个城域网(MAN))。顾名思义,所谓广域网无非就是地理上距离较远的网络连接形式,例如著名的Internet网,Chinanet网就是典型的广域网。而一个局域网的范围通常不超过10公里,并且经常限于一个单一的建筑物或一组相距很近的建筑物。Novell网是目前最流行的计算机局域网。 ★计算机网络的体系结构是什么? 在计算机网络技术中,网络的体系结构指的是通信系统的整体设计,它的目的是为网络硬件、软件、协议、存取控制和拓扑提供标准。现在广泛采用的是开放系统互连OSI(Open System Interconnection)的参考模型,它是用物理层、数据链路层、网络层、传送层、对话层、表示层和应用层七个层次描述网络的结构。你应该注意的是,网络体系结构的优劣将直接影响总线、接口和网络的性能。而网络体系结构的关键要素恰恰就是协议和拓扑。目前最常见的网络体系结构有FDDI、以太网、令牌环网和快速以太网等。 ★计算机网络的协议是什么? 刚才说过网络体系结构的关键要素之一就是网络协议。而所谓协议(Protocol)就是对数据格式和计算机之间交换数据时必须遵守的规则的正式描述,它的作用和普通话的作用如出一辙。依据网络的不同通常使用Ethernet(以太网)、NetBEUI、IPX/SPX以及TCP/IP协议。Ethernet是总线型协议中最常见的网络低层
计算机网络管理员(高级) 第1章操作系统的安装、调试与调用 1、什么是用户账号? 答:用户账号是由定义操作系统的用户所有信息组成的记录,包括用户登录所需的用户名和密码、用户具有成员关系的组,以及用户使用计算机和网络及访问它们的资源的权力权限。 2、用户帐号有几种类型?分别是什么? 答:用户账号可分为三种类型,分别是1、本地用户账号2、域用户账号3、内置用户账号。 3、如何添加一个用账号? 答:添加网络操作系统的用户账号方法有两种,第一种方法是在服务器端,在“域管理器”中,选择“域用户”后,进行“添加”操作;第二种方法是在网络中的一台计算机上进行添加用户的账号。1、选择“开始”单击“程序”,在“管理工具”中选择“计算机管理”2、选择“本地用户和组”,然后选择“用户”选择新用户,然后输入新用户的相关信息。3、单击创建按钮,一个用户建立成功。 4、用户名最长为多少字节?不能包含什么字符? 答:用户名最长为20个字节(10个汉字),不能包含“/\[]:;|=,+<>()等字符 5、怎样修改已设置好的用户账号的内容? 答:在窗口中修改用户账号1 在弹出菜单中,选择“重命名”和“设置密码”3 6、删除用户账号的步骤是什么? 答:1、用具有管理员权限的账号登录。2、 7、怎样设置用户账号权限? 8 9 IT信息网络,提供业界领先的开放式、 10、网络应用软件的特点是什么? 答:1、应用范围广2、使用频率高3、各类丰富4、使用效果好5、发展快 11、怎样安装应用软件? 答:1、执行软件目录中的安装程序。2、看到下步或NEXT单击访按钮。看到完成或Finish后,单击即完成。 12、如何安装插件? 一般支持插件的软件,在其安装目录下会有一个名为Plugins的文件夹。安装某个软件的插件时,它会自动安装到宿主软件的Plugins文件夹中;有些插件则不需要安装,直接将插件文件复制到此软件的Plugins文件夹中,即可使用 13、如何卸载应用软件? 答:1、使用软件自带的卸载功能。2、使用系统卸载功能:进入控制面板,双击打开添加或删除程序,然后选择要删除的程序,单击更改/删除按钮,根据提示一步步删除软件。 14、简述快捷方式的定义? 答:是指象一个对象(如文件、程序、文件夹)的指针,它包含了一个为启动程序、编辑一个文档或打开一个文件夹所需的全部信息。 15、如何创建桌面面快捷方式? 答:在我的电脑或资源管理器中,选定要创建快捷方式的应用程序、文件、文件夹、打印机或计算机等。点右键弹出菜单中指向发送到弹出菜单中选择桌面快捷方式单击完成。
无线入侵检测系统的应用及其优缺点 现在随着黑客技术的提高,无线局域网(WLANs)受到越来越多的威胁。配置无线基站(W APs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会(IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述,为什么需要无线入侵检测系统,无线入侵检测系统的优缺点等问题。 来自无线局域网的安全 无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线对等保密(Wired Equivalent Privacy)都很脆弱。在”Weaknesses in the Key Scheduling Algorithm of RC-4” 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中,黑客也能通过解密得到关键数据。 黑客通过欺骗(rogue)W AP得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(W APs),随之而来的一些用户在网络上安装的后门程序,也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。 基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁,从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减,这些威胁包括:树,建筑物,雷雨和山峰等破坏无线通讯的物体。象微波炉,无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外,黑客还能通过上文提到的欺骗W AP发送非法请求来干扰正常用户使用无线局域网。 另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在,并可能导致大范围地破坏,这也正是让802.11标准越来越流行的原因。对于这种攻击,现在暂时还没有好的防御方法,但我们会在将来提出一个更好的解决方案。 入侵检测 入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今,入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。 无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。如今,在市面上的流行的无线入侵检测系统
(1)确保网络通信传输畅通; (2)掌握主干设备的配置情况及配置参数变更情况,备份各个设备的配置文件; (3)对运行关键业务网络的主干设备配备相应的备份设备,并配置为热后备设备; (4)负责网络布线配线架的管理,确保配线的合理有序; (5)掌握用户端设备接入网络的情况,以便发现问题时可迅速定位; (6)采取技术措施,对网络内经常出现的用户需要变更位置和部门的情况进行管; (7)掌握与外部网络的连接配置,监督网络通信状况,发现问题后与有关机构及时联系; (8)实时监控整个局域网的运转和网络通信流量情况; (9)制定、发布网络基础设施使用管理办法并监督执行情况。 2 操作系统管理 (1)在网络操作系统配置完成并投入正常运行后,为了确保网络操作系统工作正常,网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件,实时监督系统的运转情况,及时发现故障征兆并进行处理。(2)在网络运行过程中,网络管理员应随时掌握网络系统配置情况及配置参数变更情况,对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求,动态调整系统配置参数,优化系统性能。 (3)网络管理员应为关键的网络操作系统服务器建立热备份系统,做好防灾准备。 3 应用系统管理 (1)确保各种网络应用服务运行的不间断性和工作性能的良好性,出现故障时应将故障造成的损失和影响控制在最小范围内。 (2)对于要求不可中断的关键型网络应用系统,除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。 (3)对于用户访问频率高、系统负荷的网络应用服务,必要时网络管理员还应该采取分担的技术措施。 4 用户服务与管理 (1)用户的开户与撤销; (2)用户组的设置与管理; (3)用户可用服务与资源的的权限管理和配额管理; (4)用户计费管理; (5)包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。 5 安全保密管理 (1)安全与保密是一个问题的两个方面,安全主要指防止外部对网络的攻击和入侵,保密主要指防止网络内部信息的泄漏。 (2)对于普通级别的网络,网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击,可以加配入侵检测系统对关键服务提供安全保护。 (3)对于安全保密级别要求高的网络,网络管理员除了应该采取上述措施外,还应该配备网络安全漏洞扫描系统,并对关键的网络服务器采取容灾的技术手段。 (4)更严格的涉密计算机网络,还要求在物理上与外部公共计算机网络绝对隔离,对安置涉密网络计算机和网络主干设备的房间要采取安全措施,管理和控制人员的进出,对涉密网络用户的工作情况要进行全面的管理和监控。 6 信息存储备份管理 (1)采取一切可能的技术手段和管理措施,保护网络中的信息安全。 (2)对于实时工作级别要求不高的系统和数据,最低限度网络管理员也应该进行定期手工操作备份。(3)对于关键业务服务系统和实时性要求高的数据和信息,网络管理员应该建立存储备份系统,进行集中式的备份管理。 (4)最后将备份数据随时保存在安全地点更是非常重要。
1.黑客:早先对计算机的非授权访问称为“破解”,而hacking(俗称“黑”)则指那些熟练 使用计算机的高手对计算机技术的运用,这些计算机高手称为“黑客”。随着个人计算机及网络的出现,“黑客”变成一个贬义词,通常指那些非法侵入他人计算机的人。2.入侵检测(intrusion detection):就是对入侵行为的发觉,它通过从计算机网络或计算机 系统中的若干关键点收集信息,并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。 3.入侵检测系统的六个作用:1)、通过检测和记录网络中的安全违规行为,惩罚网络犯罪, 防止网络入侵事件的发生。2)、检测其他安全措施未能阻止的攻击或安全违规行为。3)、检测黑客在攻击前的探测行为,预先给管理员发出警报。4)、报告计算机系统或网络中存在的安全威胁。5)、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。6)、在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。 4.t P>t D+t Rd的含义:t p:保护安全目标设置各种保护后的防护时间。t D:从入侵者开始发动入 侵开始,系统能够检测到入侵行为所花费的时间。t R:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。公式的含义:防护时间大于检测时间加上响应时间,那么在入侵危害安全目标之前就能检测到并及时采取防护措施。 5.入侵检测原理的四个阶段:数据收集、数据处理,数据分析,响应处理。 6.攻击产生的原因:信息系统的漏洞是产生攻击的根本原因。 7.诱发入侵攻击的主要原因:信息系统本身的漏洞或脆弱性。 8.漏洞的概念:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它 是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备,包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的,,一般是程序员编程时的疏忽或者考虑不周导致的。 9.漏洞的具体表现:存储介质不安全,数据的可访问性,信息的聚生性,保密的困难性, 介质的剩磁效应,电磁的泄漏性,通信网络的脆弱性,软件的漏洞。 10.漏洞iongde分类(按被利用的方式):物理接触、主机模式、客户机模式、中间人模式。 11.入侵检测系统的基本原理主要分四个阶段:数据收集、数据处理、数据分析、响应处 理。 12.常用的5种检测模型:操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列 分析模型。 13.信息系统面临的三种威胁:非人为因素和自然力造成的数据丢失、设备失效、线路阻断; 人为但属于操作人员无意的失误造成的数据丢失;来自外部和内部人员的恶意攻击和入侵。 14.攻击的四个步骤:攻击者都是先隐藏自己;再踩点或预攻击探测,检测目标机器的各种 属性和具备的被攻击条件,然后采取相应的攻击行为,达到自己的目的,最后攻击者会清除痕迹删除自己的行为日志。 Ping扫描:ping是一个DOS命令,它的用途是检测网络的连通状况和分析网络速度。 端口扫描:端口扫描时一种用来查找网络主机开放端口的方法,正确的使用端口扫描,能够起到防止端口攻击的作用。 操作系统识别扫描:黑客入侵过程的关键环节是操作系统的识别与扫描。 漏洞扫描:主要是查找操作系统或网络当中存在什么样的漏洞,并给出详细漏洞报告,引导用户到相关站点下载最新系统漏洞补贴程序,确保系统永远处在最安全的状态下,以减少被攻击的可能性。
高级网络管理员操作题 考试时间:90分钟 分数分配情况: ========================================================= 总题数总分 ========================================================= 01-建立网络连接(拨号/ADSL) 1题2分 02-配置网络协议TCP/IP 1题2分 03-Windows 2000 Server的安装1题2分 04-Windows 2000的配置2题7分 05-Windows 2000 MMC控制台操作4题11分 06-创建和管理用户帐号4题14分 07-配置DNS服务3题15分 08-IIS配置使用2题10分 09-FTP服务2题10分 10-2000 Server 操作题6题27分 ========================================================= 26题100 分 ========================================================= 建立网络连接(拨号/ADSL) 1.创建拨号上网连接,其中电话号码,用户及密码均为169,区号为010,连接名称为“我的连接” 右击IE—属性—连接选项卡—建立连接—手动设置Internet连接—通过电话线和调制解调器连接—电话号码:169—用户名、密码:169—连接名:我的连接—不设置邮件帐号—完成 2.通过调制解调器拨号到互联网,要求如下:(1)手动设置互联网连接,配置代理服务器HTTP:192.168.1.1 端口:80 (2)取消创建邮件帐号。 双击IE—手动设置Internet连接—通过局域网连接—选择“手动配置代理服务器”—输入HTTP代理服务器地址和端口—不设置邮件帐号。 3.你公司利用VPN实现远程办公室对公司总部的访问,(1)公司总部SEVER B配置为远程访问服务器,地址池配为192.168.0.2——192.168.0.10在远程访问服务器上创建远程访问策略,允许REMOTEGROUP进行远程连接,并把它设为第一条策略(2)
常州信息职业技术学院 实习报告 课程名:网络管理工具使用详解 一、实习目的: 对常用、好用的网络管理工具进行全面深入的了解,包括IP/MAC地址工具,IP链路测试工具、网络查看与搜索工具、网络监管诊断工具、网络设备管理工具、Cisco网络设备管理工具、网络性能测试工具、流量监控与分析工具等,能够熟练地使用各种各样的网络常用工具,当遇到网络故障时,能够灵活运用这些工具,将网络故障排除。 二、实习过程: 1、Windows系统内置工具—ipconfig Ipconfig是内置于Windows的TCP/IP应用程序,用于显示本地计算机网络适配器的物理地址和IP地址等配置信息,这些信息一般用来检验手动配置的TCP/IP设置是否正确。当在网络中使用DHCP服务时,ipconfig可以检测计算机中分配到了什么IP地址,是否配置正确,并且可以释放、重新获取IP地址。 2、IP地址管理工具—IPMaster IPMaster是进行ip地址管理的工具软件,它提供可视化的ip地址分配、自动子网计算、掩码计算、子网划分、网段扫描、主机监控、Ping、TraceRoute、Telnet、netsend等功能,可以提高网管人员的工作效率和减少失误,本软件的目的是为了有序和高效地实现大中小型企业网IP地址的分配和管理。 3、MAC地址解析工具—Arp ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。 4、IP网络连通性测试—Ping PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议;回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。 它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。
入侵检测的智能应用 移动代理是一种比较新的技术,在大规模、分布式、跨平台的应用中,移动代理拥有独特的优势。将移动代理技术应用到网络入侵检测系统中能实现全局范围内的入侵检测功能,具有清晰的系统结构和良好的可扩展性,减少了出现瓶颈的可能。 网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患,尤其是Internet和企业Intranet的飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑,不法分子不断试图利用新的技术伺机攻入他人的网络系统,随着网络技术和网络规模的不断发展,网络入侵的风险性和机会也越来越多。这些入侵有的是针对计算系统和软件的漏洞,有的是针对网络系统本身的安全缺陷。但是,它们都对主机和网络造成了破坏,网络安全已经成为人们无法回避的问题。而肩负保护网络重任的系统管理员则要利用最新的网络技术来防范各种各样的非法网络入侵。 结合国内外入侵技术及入侵检测技术的最新发展,分析各种入侵检测系统的缺点和不足,针对当前入侵检测系统的不足,本文分析了一种基于移动代理的入侵检测系统模型,及其在网络入侵检测系统中的实现。该模型把移动代理引入
到入侵检测系统中。 传统的网络入侵技术 入侵检测技术是除了防火墙等以外的另一种安全防御措施。它能够保护网络系统不受外界的攻击与入侵,大大增强了系统安全性。因此,为了保护越来越多的敏感信息,入侵检测技术得到了越来越多的重视。 入侵检测技术是对系统的运行状态进行检测,从而发现各种攻击企图,攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。入侵检测系统(IDS)可以从不同的角度进行分类。根据检测数据来源的不同,可以分为基于主机的入侵检测系统(Host-based IDS)和基于网络的入侵检测系统(Network-based IDS); 根据检测使用的分析方法可以分为异常检测型(Abnormal Detection)和误用检测型(Misuse Detection); 根据IDS的体系结构可以分为集中式入侵检测系统(Centralized Intrusion Detection System)和分布式入侵检测系统(Distributed Intrusion Detection,简称DIDS)。 虽然当前的入侵检测技术种类繁多,但基本体系结构是相似的,如图1所示。 目前许多入侵检测系统基于Denning的入侵检测模型.
入侵检测系统的技术发展及应用前景 摘要 当今世界,人们的日常生活越来越离不开网络。随着网络的发展,人们也越来越重视网络信息安全的问题,特别是网络中涉及商业机密以及国家安全的信息。单纯的采用防火墙已经不足以保护这些重要信息,还要能够及时的发现恶意行为,并在恶意行为实施前做好保护措施,如断开连接,发出警告,过滤IP,甚至发起反击,这就是入侵检测技术。本文主要介绍入侵检测技术的发展概况及其分类的情况,并就入侵检测技术的应用前景及发展趋势作简单分析。 关键字:网络安全; 入侵检测; IDS; 发展趋势; 网络攻击 一、入侵检测技术简介 1、入侵检测的发展概况 入侵检测可追溯到1986年,SRI的Dorothy E.Denning发表的一篇论文《AnIntrusion-Detection Model》,该文深入探讨了入侵检测技术,检索了行为分析的基本机制,首次将入侵检测的概念作为一种计算机安全防御措施提出,并建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前,SRI以及Los Alamos实验室都主要是针对主机IDS 进行研究,分别开发了IDES、Haystack等入侵检测系统。1990年,UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种:一是分析各主机的审计数据,并分析各主机审计数据之间的关系;二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加,系统的互连性已经有了显著提高,于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统(DIDS)最早试图将基于主机的方法和网络监视方法集成在一起。可见,入侵检测系统的发展主要经历了三个阶段:主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。
网管人员必备的命令 如果你玩过路由器的话,就知道路由器里面那些很好玩的命令缩写。 例如,"sh int" 的意思是"show interface"。 现在Windows 2000 也有了类似界面的工具,叫做netsh。 我们在Windows 2000 的cmd shell 下,输入netsh 就出来:netsh> 提示符, 输入int ip 就显示: interface ip> 然后输入dump ,我们就可以看到当前系统的网络配置: # ---------------------------------- # Interface IP Configuration # ---------------------------------- pushd interface ip # Interface IP Configuration for "Local Area Connection" set address name = "Local Area Connection" source = static addr = 192.168.1.168 mask = 255.255.255.0 add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0 set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1 set dns name = "Local Area Connection" source = static addr = 202.96.209.5 set wins name = "Local Area Connection" source = static addr = none popd # End of interface IP configuration 上面介绍的是通过交互方式操作的一种办法。 我们可以直接输入命令: "netsh interface ip add address "Local Area Connection" 10.0.0.2 255.0.0.0" 来添加IP 地址。 如果不知道语法,不要紧的哦! 在提示符下,输入? 就可以找到答案了。方便不方便啊? 原来微软的东西里面,也有那么一些让人喜欢的玩意儿。可惜,之至者甚少啊!Windows网络命令行程序 这部分包括: 使用ipconfig /all 查看配置 使用ipconfig /renew 刷新配置 使用ipconfig 管理DNS 和DHCP 类别ID 使用Ping 测试连接 使用Arp 解决硬件地址问题 使用nbtstat 解决NetBIOS 名称问题 使用netstat 显示连接统计 使用tracert 跟踪网络连接 使用pathping 测试路由器 使用ipconfig /all 查看配置 发现和解决TCP/IP 网络问题时,先检查出现问题的计算机上的TCP/IP 配置。可以