入侵檢測技術綜述-蜜罐（1）

1、burpsuite pro 版本下載地址https://pan.baidu.com/s/1pMoBYVh   密碼bq42

2、入侵檢測技術

  一、計算機系統面臨的威脅 拒絕服務 概念---->目標服務器不能提供正常的服務，

     引起原因 服務請求超載，在短期內向服務器發送大量請求，是目標服務器來不及處理，最終致使服務器奔潰，

      SYN洪水，利用TCP協議在短期內向服務器發送大量半開連接服務，即只發送SYN/ACK報文，而不發送最後的ACK報文，使得目標服務器保留連接資源，但願收到可能傳送的報文，致使在但時間內耗盡目標服務器系統資源。形成連接請求沒法獲得響應。

      報文超載通常是向服務器發送大量的響應報文MICMP等，使得目標主機沒法響應大量的報文

  二、欺騙，IP地址欺騙，Internet缺少地址安全認證機制，攻擊者將攻擊數據包的源IP地址假裝成合法的IP地址，欺騙網絡安全設備，進入用戶內聯網路

     一種是基於ICMP的路由欺騙，攻擊者特地假裝路由器將構造的ICMP重定向報文發給目標主機，目標主機修改本身的路由表，將報文按照攻擊者只是的路由發往不可控制的網絡

      一種是基於RIP的路由欺騙，攻擊者經過廣播錯誤的路由信息使得被動接受路由信息的網絡或者主機按照攻擊者的意圖構造錯誤的路由表項

      一種是源路由欺騙 攻擊者利用IP的源路由機制，將正常的數據包重定向到指定的網絡主機上。

三、DNS欺騙  攻擊者先與域名服務器返回給目標主機一個僞造的數據報文，將目標主機連接到受攻擊者控制的非法主機上，或者進行IP地址驗證時進行欺騙服務器。

四、web欺騙 攻擊者建立某個網絡的鏡像，使得用戶訪問鏡像網站，

五、監聽技術 分析網絡數據，得到目標主機的拓撲結構，主機服務提供狀況，將本身的網卡配置成混雜模式就能夠得到整個局域網上的傳遞的明文數據。

六、密碼破解 以前最經常使用的方法就是密碼爆破，可是如今仍是對數據庫的挖掘

七、木馬 利用欺騙手段將木馬程序種植到目標主機上，運行木馬程序開啓後門，將用戶的信息傳遞到指定主機上

八、緩衝區溢出  操做系統爲程序分配數據緩衝區，故意向緩衝區傳遞超出緩衝區數據，數據將覆蓋程序或函數的返回地址，使得指令跳轉到入侵者但願執行的位置繼續執行，即攻擊代碼位置。

九、ICMP祕密通訊 緣由是ICMP的某些字段並不會被安全設備進行檢查，攻擊者能夠利用這些字段進行攻擊

十、TCP會話劫持 攻擊者強行介入已近創建鏈接的TCP，進而達到進入目標系統