经常英语网上聊天天好吗
点击联系发帖人
时间:2017-12-18 00:53
扫二维码下载作业帮
1.75亿学生的选择
下载作业帮安装包
扫二维码下载作业帮
1.75亿学生的选择
入侵检测系统的分类及功能
扫二维码下载作业帮
1.75亿学生的选择
据其采用的技术可以分为异常检测和特征检测.(1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为.通过检测系统的行为或使用情况的变化来完成 (2)特征检测:特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式. (3)协议分析:利用网络协议的高度规则性快速探测攻击的存在. 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统.(1)基于主机的入侵检测系统:通过监视与分析主机的审计记录检测入侵.能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统. (2)基于网络的入侵检测系统:基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据,分析可疑现象.这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构. (3)分布式入侵检测系统:目前这种技术在ISS的RealSecure等产品中已经有了应用.它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法.即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面.黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息.集中安全管理中心是整个分布式入侵检测系统面向用户的界面.它的特点是对数据保护的范围比较大,但对网络流量有一定的影响. 根据工作方式分为离线检测系统与在线检测系统.(1)离线检测系统:离线检测系统是非实时工作的系统,它在事后分析审计事件,从中检查入侵活动.事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复.事后入侵检测是管理员定期或不定期进行的,不具有实时性. (2)在线检测系统:在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析.其工作过程是实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复.这个检测过程是不断循环进行的.
为您推荐:
其他类似问题
扫描下载二维码您所在的位置:
& 湖北3C媒体库 & 正文
ISSRealsecure对CGI攻击的检测可被绕过
日09:55
受影响系统:
Internet Security Systems RealSecure 3.2.1999
Internet Security Systems RealSecure 3.2
Internet Security Systems RealSecure 3.1
Internet Security Systems RealSecure 3.0
- Microsoft Windows NT 4.0SP6
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP5
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP4
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP3
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP2
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0
描述:
某些版本的ISS(Internet Security Systems) RealSecure网络入侵检测软件(NDIS)存在一些
问题。攻击者可以进行CGI攻击,而RealSecure并不能检测出这种攻击。
rain.forest.puppy开发了一个新的CGI检测软件:Whisker 。它针对大多数IDS的设计上的弱
点,采用多种方法来绕过IDS的监测。利用最新的Whisker v1.3.0a并使用HEAD方式来进行CGI
检测,RealSecure就不能发现这种CGI攻击。另外,使用传统的GET方式(-M 2)也可能绕过
Realsecure,只是必须采用evading mode(逃避方式)0,6或者两种都用.
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
./whisker.pl -h xxx.yyy.zzz.ttt -I 1246
./whisker.pl -h xxx.yyy.zzz.ttt -I 0 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 6 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 60 -M 2
whisker的有关内容可以在这里找到:
http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2
[] [] [] []上海电信某处服务配置不当导致一系列问题_黑客技术
记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
http://116.228.171.57:8090/ismp/spportal/http://116.228.171.57:8090/ismp/cnlportal/http://116.228.171.57:8090/ismp/euportal/http://116.228.171.57:8090/ismp/opportal/Jboss 弱口令admin/admin然后封装个war包上传就行了然后提权了 漏洞证明:然后连上数据库看看还可以内网渗透哦Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at
12:17 CSTInteresting ports on 192.168.231.1:Not shown: 1675 closed portsPORT
SERVICE22/tcp
filtered ssh23/tcp
telnet80/tcp
filtered http179/tcp filtered bgp646/tcp filtered unknownMAC Address: 00:E0:FC:5A:F2:E8 (Huawei Technologies CO.)Interesting ports on 192.168.231.5:Not shown: 1678 closed portsPORT
STATE SERVICE23/tcp open
telnet80/tcp open
httpMAC Address: 00:12:80:69:6E:C0 (Cisco)Interesting ports on 192.168.231.10:Not shown: 1667 closed portsPORT
STATE SERVICE21/tcp
smtp29/tcp
msg-icp53/tcp
domain80/tcp
http111/tcp
rpcbind427/tcp
svrloc906/tcp
unknown2000/tcp open
callbook2049/tcp open
nfs3128/tcp open
squid-http5800/tcp open
vnc-httpMAC Address: 00:12:79:D8:FF:26 (Hewlett Packard)Interesting ports on 192.168.231.19:Not shown: 1666 closed portsPORT
SERVICE21/tcp
smtp111/tcp
rpcbind623/tcp
filtered unknown707/tcp
unknown2000/tcp open
callbook3128/tcp open
squid-http3306/tcp open
mysql5800/tcp open
vnc-http6000/tcp open
X116001/tcp open
X11:18082/tcp open
blackice-alerts9999/tcp open
abyssMAC Address: 00:0E:0C:08:34:36 (Intel)Interesting ports on 192.168.231.22:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.23:Not shown: 1670 closed portsPORT
STATE SERVICE22/tcp
ssh111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.24:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.25:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on winter (192.168.231.32):Not shown: 1675 closed portsPORT
STATE SERVICE21/tcp
ssh111/tcp
rpcbind609/tcp
npmp-trap1521/tcp open
oracleInteresting ports on 192.168.231.34:Not shown: 1671 closed portsPORT
STATE SERVICE21/tcp
telnet111/tcp
rpcbind512/tcp
exec513/tcp
login514/tcp
shell7070/tcp open
realserver8009/tcp open
ajp13MAC Address: 00:1F:29:E7:80:90 (Unknown)Interesting ports on 192.168.231.40:Not shown: 1676 closed portsPORT
STATE SERVICE80/tcp
http443/tcp
https902/tcp
iss-realsecure-sensor8000/tcp open
http-altMAC Address: 00:16:35:00:D9:E1 (Hewlett Packard)Interesting ports on 192.168.231.41:Not shown: 1670 closed portsPORT
STATE SERVICE22/tcp
http111/tcp
rpcbind915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.58:Not shown: 1671 closed portsPORT
STATE SERVICE22/tcp
telnet111/tcp
rpcbind2020/tcp
xinupageserver2023/tcp
xinuexpansion312000/tcp open
cce4x27000/tcp open
flexlm032774/tcp open
sometimes-rpc1132775/tcp open
sometimes-rpc13MAC Address: 00:17:08:57:77:18 (Hewlett Packard)Nmap finished: 255 IP addresses (13 hosts up) scanned in 46.056 seconds就不深入了. 修复方案:电信业务线长,得加强对运维的要求,弱口令层出不穷,也是能根本的解决的,教育运维叔叔
阅读:69973 | 评论:1 | 标签:无
想收藏或者和大家分享这篇好文章→
? 关注Hackdig微博,点击下方按钮?
? 关注Hackdig微信,学习技术更方便}
1.75亿学生的选择
下载作业帮安装包
扫二维码下载作业帮
1.75亿学生的选择
入侵检测系统的分类及功能
扫二维码下载作业帮
1.75亿学生的选择
据其采用的技术可以分为异常检测和特征检测.(1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为.通过检测系统的行为或使用情况的变化来完成 (2)特征检测:特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式. (3)协议分析:利用网络协议的高度规则性快速探测攻击的存在. 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统.(1)基于主机的入侵检测系统:通过监视与分析主机的审计记录检测入侵.能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统. (2)基于网络的入侵检测系统:基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据,分析可疑现象.这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构. (3)分布式入侵检测系统:目前这种技术在ISS的RealSecure等产品中已经有了应用.它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法.即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面.黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息.集中安全管理中心是整个分布式入侵检测系统面向用户的界面.它的特点是对数据保护的范围比较大,但对网络流量有一定的影响. 根据工作方式分为离线检测系统与在线检测系统.(1)离线检测系统:离线检测系统是非实时工作的系统,它在事后分析审计事件,从中检查入侵活动.事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复.事后入侵检测是管理员定期或不定期进行的,不具有实时性. (2)在线检测系统:在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析.其工作过程是实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复.这个检测过程是不断循环进行的.
为您推荐:
其他类似问题
扫描下载二维码您所在的位置:
& 湖北3C媒体库 & 正文
ISSRealsecure对CGI攻击的检测可被绕过
日09:55
受影响系统:
Internet Security Systems RealSecure 3.2.1999
Internet Security Systems RealSecure 3.2
Internet Security Systems RealSecure 3.1
Internet Security Systems RealSecure 3.0
- Microsoft Windows NT 4.0SP6
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP5
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP4
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP3
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP2
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0
描述:
某些版本的ISS(Internet Security Systems) RealSecure网络入侵检测软件(NDIS)存在一些
问题。攻击者可以进行CGI攻击,而RealSecure并不能检测出这种攻击。
rain.forest.puppy开发了一个新的CGI检测软件:Whisker 。它针对大多数IDS的设计上的弱
点,采用多种方法来绕过IDS的监测。利用最新的Whisker v1.3.0a并使用HEAD方式来进行CGI
检测,RealSecure就不能发现这种CGI攻击。另外,使用传统的GET方式(-M 2)也可能绕过
Realsecure,只是必须采用evading mode(逃避方式)0,6或者两种都用.
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
./whisker.pl -h xxx.yyy.zzz.ttt -I 1246
./whisker.pl -h xxx.yyy.zzz.ttt -I 0 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 6 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 60 -M 2
whisker的有关内容可以在这里找到:
http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2
[] [] [] []上海电信某处服务配置不当导致一系列问题_黑客技术
记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
http://116.228.171.57:8090/ismp/spportal/http://116.228.171.57:8090/ismp/cnlportal/http://116.228.171.57:8090/ismp/euportal/http://116.228.171.57:8090/ismp/opportal/Jboss 弱口令admin/admin然后封装个war包上传就行了然后提权了 漏洞证明:然后连上数据库看看还可以内网渗透哦Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at
12:17 CSTInteresting ports on 192.168.231.1:Not shown: 1675 closed portsPORT
SERVICE22/tcp
filtered ssh23/tcp
telnet80/tcp
filtered http179/tcp filtered bgp646/tcp filtered unknownMAC Address: 00:E0:FC:5A:F2:E8 (Huawei Technologies CO.)Interesting ports on 192.168.231.5:Not shown: 1678 closed portsPORT
STATE SERVICE23/tcp open
telnet80/tcp open
httpMAC Address: 00:12:80:69:6E:C0 (Cisco)Interesting ports on 192.168.231.10:Not shown: 1667 closed portsPORT
STATE SERVICE21/tcp
smtp29/tcp
msg-icp53/tcp
domain80/tcp
http111/tcp
rpcbind427/tcp
svrloc906/tcp
unknown2000/tcp open
callbook2049/tcp open
nfs3128/tcp open
squid-http5800/tcp open
vnc-httpMAC Address: 00:12:79:D8:FF:26 (Hewlett Packard)Interesting ports on 192.168.231.19:Not shown: 1666 closed portsPORT
SERVICE21/tcp
smtp111/tcp
rpcbind623/tcp
filtered unknown707/tcp
unknown2000/tcp open
callbook3128/tcp open
squid-http3306/tcp open
mysql5800/tcp open
vnc-http6000/tcp open
X116001/tcp open
X11:18082/tcp open
blackice-alerts9999/tcp open
abyssMAC Address: 00:0E:0C:08:34:36 (Intel)Interesting ports on 192.168.231.22:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.23:Not shown: 1670 closed portsPORT
STATE SERVICE22/tcp
ssh111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.24:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.25:Not shown: 1671 closed portsPORT
STATE SERVICE111/tcp
rpcbind443/tcp
https915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on winter (192.168.231.32):Not shown: 1675 closed portsPORT
STATE SERVICE21/tcp
ssh111/tcp
rpcbind609/tcp
npmp-trap1521/tcp open
oracleInteresting ports on 192.168.231.34:Not shown: 1671 closed portsPORT
STATE SERVICE21/tcp
telnet111/tcp
rpcbind512/tcp
exec513/tcp
login514/tcp
shell7070/tcp open
realserver8009/tcp open
ajp13MAC Address: 00:1F:29:E7:80:90 (Unknown)Interesting ports on 192.168.231.40:Not shown: 1676 closed portsPORT
STATE SERVICE80/tcp
http443/tcp
https902/tcp
iss-realsecure-sensor8000/tcp open
http-altMAC Address: 00:16:35:00:D9:E1 (Hewlett Packard)Interesting ports on 192.168.231.41:Not shown: 1670 closed portsPORT
STATE SERVICE22/tcp
http111/tcp
rpcbind915/tcp
unknown2049/tcp
nfs3306/tcp
mysql8000/tcp
http-alt8009/tcp
ajp138080/tcp
http-proxy10005/tcp open
stelMAC Address: 00:0C:29:52:13:3D (VMware)Interesting ports on 192.168.231.58:Not shown: 1671 closed portsPORT
STATE SERVICE22/tcp
telnet111/tcp
rpcbind2020/tcp
xinupageserver2023/tcp
xinuexpansion312000/tcp open
cce4x27000/tcp open
flexlm032774/tcp open
sometimes-rpc1132775/tcp open
sometimes-rpc13MAC Address: 00:17:08:57:77:18 (Hewlett Packard)Nmap finished: 255 IP addresses (13 hosts up) scanned in 46.056 seconds就不深入了. 修复方案:电信业务线长,得加强对运维的要求,弱口令层出不穷,也是能根本的解决的,教育运维叔叔
阅读:69973 | 评论:1 | 标签:无
想收藏或者和大家分享这篇好文章→
? 关注Hackdig微博,点击下方按钮?
? 关注Hackdig微信,学习技术更方便}
我要回帖
更多推荐
- ·龙腾世纪的推荐配置对处理器有玩大型网游什么配置的电脑要求?
- ·目前考虑购买复古木质做音箱用什么木材最好,ALATS和马歇尔哪个品牌更适合中国家庭?
- ·FC24这是什么意思怎么是两个控制器故障代码如何还原?
- ·那种直播间字幕怎么弄烟花改字的视频怎么弄?
- ·立创广场商城最近有什么大活动吗?
- ·个学英语的网站用英语怎么读,可以教我怎么读英文单
- ·被骗了50块钱,在网络上赌博被骗怎么办
- ·求陆贞传奇百度云资源资源
- ·硬件建筑智能化的发展趋势是必然的趋势,而这个领域还是传
- ·三星s7edge充电器参数可以通宵充电吗
- ·我qq等级加速器秒升太阳加速器11级,还要多久才到太阳加速器
- ·2017微信最火的公众号已经发布的动态设置不让人看的权限没有设置标签怎样取消
- ·大王卡能不能大王卡如何注册微信号
- ·12岁女孩经常玩手机,现在性格沉闷很闷,是什么缘故。
- ·全新造纸机一台ct设备多少钱一台台
- ·当年尼康f3 f100100多少钱
- ·创维e5res电视装小米盒子3c 创维t2能上网吗
- ·飘窗改造书桌高度太矮了怎么改造成电脑书桌 飘窗改造书桌台面上加抽屉
- ·我体内还有哪些体液中含乙肝病毒毒吗
- ·查D 二具体唐氏筛查需要空腹吗吗
- ·经常英语网上聊天天好吗
- ·moto z 哈苏模块z模块怎么刷机
- ·为什么我的小米显示流量5老是显示当月流量余额4G,但每天会更新
- ·知道头像上传失败为什么要用这个头像吗
- ·请问一下今天天津天津工业大学国有资产产这个网页无法打开有什么办法
- ·hpv 39hpv阳性怎么治疗疗最快
- ·excel 不同excel表格里怎么查重查重并返回同列不同行的值
- ·charls数据库怎么获得里总收入为0,怎么办?
- ·〖分享〗有没有av网站分享一下z5p可用的好一点的钢化膜
- ·电脑装的w7系统,用的路由器,w7本地连接不见了无法识别网络,显示ip4无网络访问权限,网上的方法都试过了
- ·信融乐私募是金融机构吗机构是干嘛的啊?求解。
- ·接电视的ITX小米主机连接普通电视怎么配
- ·有hpv病毒就一定得初期小疣体图片吗
- ·mc滤镜和卡式mc uv滤镜镜有什么区别,mc和uv是什么
- ·暗影精灵3 i5 i7,i5飞翔版,请问应该选什么内存
- ·现在,联通我有爱心的小伙伴伴有吗
