一、IDS为什么要虚拟化
入侵检测系统(IDS)是用来检测黑客入侵的分析工具。早期的方法是对系统日志进行监测与分析(主机IDS),后来因为日志容易被黑客“抹去”,而直接对流量镜像监测(网络IDS)。随着攻守双方的博弈,IDS的发展出现了两个技术瓶颈:一是由于黑客躲避技术的发展,发现黑客的“踪迹”越来越难了,最常使用的“特征识别”需要建立攻击者的“指纹库”,随着时间的推移,指纹库越来越庞大,比对一遍的时间自然就长了,在线监测设备往往只能捡最常用的特征比对,而忽略“不常用”的特征,入侵者“漏网”就是很平常的事了;二是检测的准确程度,因为单点取样,不能跨引擎分析,信息不足而产生大量的疑似“安全事件”,需要安全维护人员人工处理,因此,深度分析、多线索智能关联, 减少疑似事件的数量是IDS发展的必然之路。小赞’s Blog
要解决这两个难点,大幅度增加IDS的处理能力都是必须的。靠多核CPU是一种方式,但面对网络带宽的日益更新,多核带来的增加是有限的。于是,人们想到了虚拟化:人们可以把多台普通的PC服务器虚拟化,成为一个大的逻辑服务器,能力堪比一台巨型计算机,怎么就不能把多台IDS变成一台巨型IDS呢?
当然,敦促IDS变革是另一个冲击波是云计算的兴起,因为云计算服务模式把不同用户的多种业务集中在一起,这个业务的合法者可能是另一个业务的入侵者,IDS需要根据不同用户的需求进行安全监测,业务边界模糊了,用户对IDS的需要,希望是按需使用。
总之,在云计算中,用户的业务“跑”在虚拟机中,不再对应具体的哪台服务器或存储设备,虚拟机之间的流量不再一定要经过网络设备,网络IDS已经找不到自己的监控位置了。
二、IDS如何虚拟化
虚拟化的目标是如同使用“自来水”一样调用IDS,也就是说根据用户的流量动态调整IDS的处理能力。一种方式,是把IDS变成调用程序(纯软件),嵌入到用户的虚拟机中,象防病毒软件一样运行在用户的操作系统上,这种方式占用虚拟机的资源,并且可以被入侵者“穿透”或“卸载”;另一种方式,就是把用户的流量,在处理前导引导给IDS,净化后再继续业务处理,这就是我们说的虚拟IDS资源池。
虚拟IDS资源池方式,虚拟化分为两步走:
1. 多虚一:也称为“硬虚软”,把多台物理的IDS(可以说不同厂家、不同型号的)虚拟为一个IDS资源池(或称为IDS群)。通过IDS群控制器调度池内的IDS资源,群控制器一般是双机热备方式,用来管理IDS资源池,调度并分配用户流量给后台的物理IDS,完成负载均衡的功能;小赞’s Blog
物理IDS通过高性能交换机连接,这样可以动态增加或卸载物理IDS,由IDS群控制器负责检查其“存活”状态,决定是否分配业务给它处理。
2. 一虚多:IDS虚拟化的门户,根据每个用户流量与安全需求的不同,分配一个虚拟的IDS(若允许直接阻断入侵行为,则称为用户虚拟IPS),并给该用户的流量分配一个用户标签,在虚拟IDS系统中,这个标签就是用户流量的唯一标识;
由于用户的数据包上都包含用户标记,所以IDS群控制器负责分配用户流量后,只检测对应物理IDS的状态,后续数据包直接到达物理IDS,不经过IDS控制器,所以控制器的负载很小,只是控制流,而不是业务流的总和;
一个用户的流量分配给多个物理IDS处理时,建议采用有重复的时间段分割算法,这种可以在IDS缓冲区内完整恢复分段传输的恶意代码。
虚拟IDS检测的结果,同样挂上用户标签送给安全监控平台跟踪处理。
行为检测虚拟IDS:
为了适应IDS的行为匹配模式,跟踪黑客的“慢攻击”行为,特建立一个处理能力超强的行为检测虚拟IDS,对符合特定攻击行为规则的用户行为进行长期跟踪。由于慢攻击需要长期记录用户的行为,所以这个超大型的虚拟IDS,需要相当大的缓存空间。
三、IDS虚拟化的结构设计
该结构设计中IDS虚拟化管理平台是核心部分,其前部分支持用户虚拟化IDS服务,后部分是实现IDS处理能力的动态调配。
负载均衡管理负责虚拟IDS与物理IDS的对应,根据处理能力的不同,可以一对多,也可以多对一;并可以动态加入或卸载物理IDS,所以整个虚拟IDS池的容量变化不影响用户的应用。当整体处理能力不足时,前台的安全策略可以根据用户的流量与安全等级,优先分配资源,保证重点用户的需求。小赞’s Blog
虚拟IDS的镜像与迁移管理,保证虚拟IDS动态的运行在不同的物理IDS上,相互冗余备份,保证在某台物理IDS宕机时,虚拟IDS自动迁移到其他物理机上,不影响用户的业务。
日期: 2011/06/26
分类: 技术杂文
标签: 挂马
原文:http://hi.baidu.com/ymhacker/blog/item/b8c436cfff91d024f9dc610d.html
这里只做技术讨论,不做具体危害的事。如果你要用我的方法去做,我也没办法,呵呵。关于挂马,基本上是在网页原来的代码里加载一个iframe。关于加载iframe,我以前的文章写过几种,这篇文章里再提两个新方法吧。
一、利用htc文件来加载iframe。
百 度百科里对htc文件的解释为:从5.5版本开始,Internet Explorer(IE)开始支持Web 行为的概念。这些行为是由后缀名为.htc的脚本文件描述的,它们定义了一套方法和属性,程序员几乎可以把这些方法和属性应用到HTML页面上的任何元素 上去。Web 行为是非常伟大的因为它们允许程序员把自定义的功能“连接”到现有的元素和控件,而不是必须让用户下载二进制文件(例如ActiveX 控件)来完成这个功能。Web 行为还是推荐的扩展IE对象模型和控件集的方法。微软在它的开发者站点上的DHTML 行为库栏目里提供了几个定制的Web行为。
阅读全文
简要描述:
QQ2011溢出漏洞,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…
详细说明:
QQ2011溢出漏洞代码,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…
漏洞证明:
QQ2011溢出漏洞代码,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…
QQ 0day python exploit: open(‘QQ.txt’, ‘wb’).write(chr(13)*3384+chr(32))
在群内发送文件里的文本,对方QQ版本是2011,那么将会全部崩溃。
While on a penetration test it is sometimes necessary to pull hash files from windows systems to crack weak passwords. You could easily do this with a Metasploit meterpreter session, but sometimes I like to do it without exploiting the box. Also doing it remotely over the network without a user’s knowledge is always a big plus. This method isn’t always usable and available, but in the right situation we can use an NMAP script called pw-dump.nse to do this. The downside is that it requires an account on the box, and right now it needs to be a Windows Server 2000 or Server 2003 OS to be able to pull the local accounts.
First, we obviously need NMAP installed. For this tutorial I’ll be using Backtrack4-R1, which currently has NMAP 5.35DC1 installed. If you look in the directory /usr/share/nmap/scripts you’ll see all sorts of scripts that do some really helpful things on a test.
阅读全文
MySQL 是一个真正的多用户、多线程SQL数据库服务器,它是一个客户机/服务器结构的实现。MySQL是现在流行的关系数据库中其中的一种,相比其它的数据库管理系统(DBMS)来说,MySQL具有小巧、功能齐全、查询迅捷等优点。MySQL 主要目标是快速、健壮和易用。目前,在大中型企业中已经得到了较好的运用,但是由于它是多平台的数据库,不可避免的默认配置也是适合多种情况的需求,因此需要用户需要在自定义的环境下对MySQL的使用进行加固。
假如软件本身有严重安全问题,即使安全配置做的更好,也没有用。因此,要首先了解MySQL的版本。关于MySQL的版本,在MySQL官方文档中是这么描述的:
MySQL 5.2是最新开发的发布系列,是将执行新功能的系列。不久的将来可以使用Alpha发行,以便感兴趣的用户进行广泛的测试。
阅读全文
北京时间5月26日消息,意大利一位名叫罗萨里奥瓦罗塔(Rosario Valotta)的独立互联网安全研究员在微软IE浏览器中发现了一个新漏洞,据说黑客可以利用那个漏洞窃取到记录着用户访问网站所用的用户名和密码等信 息的cookie。他将那种黑客技术称作“cookiejacking”。
瓦罗塔称:“任何网站,任何cookie都可以通过cookiejacking技术窃取。只有你想不到的,没有它做不到的。”
阅读全文
webbench最多可以模拟3万个并发连接去测试网站的负载能力,个人感觉要比Apache自带的ab压力测试工具好,安装使用也特别方便。
1、适用系统:Linux
2、编译安装:
1. wget linux/webbench/webbench-1.5.tar.gz”>http://blog.s135.com/soft/linux/webbench/webbench-1.5.tar.gz
2. tar zxvf webbench-1.5.tar.gz
3. cd webbench-1.5
4. make && make install
3、使用:
1. webbench -c 3000 -t 30 http://192.168.114.155/phptest.php
参数说明:-c表示并发数,-t表示持续时间(秒)
4、测试结果示例:
Webbench – Simple Web Benchmark 1.5
Copyright (c) Radim Kolar 1997-2004, GPL Open Source Software.
Benchmarking: GET
