入侵检测技术综述-蜜罐（1）

1、burpsuite pro 版本下载地址https://pan.baidu.com/s/1pMoBYVh   密码bq42

2、入侵检测技术

  一、计算机系统面临的威胁 拒绝服务 概念---->目标服务器不能提供正常的服务，

     引起原因 服务请求超载，在短期内向服务器发送大量请求，是目标服务器来不及处理，最终致使服务器奔溃，

      SYN洪水，利用TCP协议在短期内向服务器发送大量半开连接服务，即只发送SYN/ACK报文，而不发送最后的ACK报文，使得目标服务器保留连接资源，但愿收到可能传送的报文，致使在但时间内耗尽目标服务器系统资源。形成连接请求没法获得响应。

      报文超载通常是向服务器发送大量的响应报文MICMP等，使得目标主机没法响应大量的报文

  二、欺骗，IP地址欺骗，Internet缺少地址安全认证机制，攻击者将攻击数据包的源IP地址假装成合法的IP地址，欺骗网络安全设备，进入用户内联网路

     一种是基于ICMP的路由欺骗，攻击者特地假装路由器将构造的ICMP重定向报文发给目标主机，目标主机修改本身的路由表，将报文按照攻击者只是的路由发往不可控制的网络

      一种是基于RIP的路由欺骗，攻击者经过广播错误的路由信息使得被动接受路由信息的网络或者主机按照攻击者的意图构造错误的路由表项

      一种是源路由欺骗 攻击者利用IP的源路由机制，将正常的数据包重定向到指定的网络主机上。

三、DNS欺骗  攻击者先与域名服务器返回给目标主机一个伪造的数据报文，将目标主机连接到受攻击者控制的非法主机上，或者进行IP地址验证时进行欺骗服务器。

四、web欺骗 攻击者建立某个网络的镜像，使得用户访问镜像网站，

五、监听技术 分析网络数据，得到目标主机的拓扑结构，主机服务提供状况，将本身的网卡配置成混杂模式就能够得到整个局域网上的传递的明文数据。

六、密码破解 以前最经常使用的方法就是密码爆破，可是如今仍是对数据库的挖掘

七、木马 利用欺骗手段将木马程序种植到目标主机上，运行木马程序开启后门，将用户的信息传递到指定主机上

八、缓冲区溢出  操做系统为程序分配数据缓冲区，故意向缓冲区传递超出缓冲区数据，数据将覆盖程序或函数的返回地址，使得指令跳转到入侵者但愿执行的位置继续执行，即攻击代码位置。

九、ICMP秘密通讯 缘由是ICMP的某些字段并不会被安全设备进行检查，攻击者能够利用这些字段进行攻击

十、TCP会话劫持 攻击者强行介入已近创建链接的TCP，进而达到进入目标系统