不平凡，就不是生活

嗯 前幾天看到了 IK 的疑問

我想應該有很多人對這個玩意兒不太熟悉吧

不熟悉沒關係 不過如果等到哪天你因為這個玩意兒而失手被逮

被那些傻瓜條子架走的時候 你還不知道自己是怎麼栽在它的手裡的話

就不太好了 所以這裡就作個簡單有趣的介紹

也希望一些比較年輕的朋友能對它產生興趣 等你們從學校畢業

和出師了之後 能幫台灣研究設計一些這一類的東西

提升國內的網路安全水準 而你自己也能大賺一筆錢喔 ^^



"入侵偵測與即時防禦系統" 的英文是 "Intrusion Detection and Prevention"

一般簡稱為 "IDP" 它和以前大家所瞭解的 "IDS"

(Intrusion Detection System) 不同的是 早期的 IDS 只有 "偵測" 的功能

就是說它完全無法阻止攻擊者的一切 "掃瞄" 和 "攻擊" 的行為

只能 "被動" 的警告防禦的一方有人 "已經" 對你的系統進行 "掃瞄" 和 "攻擊"

所以很多人 (包括我) 覺得傳統的 IDS 並沒有很大的實用和防禦的價值

後來為瞭解決這個問題 就有人發明了 "IDP"

它和傳統的 IDS 不同的是 它對於它所 "偵測到" 的 "攻擊" 和 "掃瞄" 的

行為 具有 "主動和自動" 的 "阻擋" 功能 並且在 "阻擋" 完成後

會告訴防禦的一方有人 "曾經" 試圖對你的系統進行 "掃瞄" 和 "攻擊"

但是已經被我 (IDP) 成功阻擋了 所以攻擊者沒有得逞

並且 IDP 也會告訴你 (防禦者) 它所知道的關於這個攻擊者的資訊

常見的包括 IP 位址, DNS 名稱, 用哪個 port 連進來的, 連到你 (防禦者) 的哪個

port, 發動攻擊的日期和時間, 攻擊者的電腦名稱 (就是你用 netstat -a 看到的

你的電腦的名稱或是在網芳上的名稱), 攻擊者的網路卡卡號 (這是全世界獨一無二

的 你想賴都賴不掉)


有了這些資訊 防禦的一方就可以考慮對你發動 "反擊" 或是把這些資訊交給

那些傻瓜條子 在台灣有 "電信警察" 和刑事局的 "偵酒隊" 會處理這樣的事

這些條子在看過這些資訊後 就會到你 (攻擊者) 申請寬頻網路的那些電

信公司 (像是 Hinet 和 SeedNet) 或是你的學校

要求他們提供你 (攻擊者) 這幾個月以來的 "所有" 連線記錄

而在絕大多數的情況下 只要那些條子們拿得出正式合法的公文

這些電信公司和你的學校就會照辦

把你的所有資料: 連線記錄, 你的姓名, 電話 (手機), 地址 (申請寬頻網路的地址

或是你的學校宿舍)

還有你如果未滿 18 歲 你老爸老媽是誰

通通告訴這些傻瓜條子 接下來就像電影情節一樣

不用我多說了吧 ^^

而且這些連線記錄並不是你的電腦上或瀏覽器上的記錄 而是你在網路上

通過的那些 "路徑" 就是那些路由器 (Router) 和交換器 (Switch) 上面

的記錄 所以除非你有本事到這些機器上去刪掉你的連線記錄還有

被藏起來的 "備份資料"

不然你從你的電腦或是攻擊的目標上是沒辦法刪掉這些東西的

講了這麼多就是讓大家瞭解一個攻擊者如果在發動 "攻擊" 和 "掃瞄" 時

忽略了 IDP 的存在 是多麼危險的一件事!!!!!!


這裡讓我作兩個有趣的比喻 大家一定都能瞭解

第一個就是大家一定知道現在所有的國家為了防範敵人的飛機入侵進來

都有部署 "雷達" 和 "防空飛彈" 這兩個東西 來把敵人的飛機打下來

而 IDP 就像是一個 "雷達" 和 "防空飛彈" 的完美結合

當 "雷達" (也就是 IDP 的 "偵測引擎" 跟防毒軟體的 "掃毒引擎" 是

很像的東西) 偵測到 "敵機" (攻擊者) 入侵時 它的 "防空飛彈" 就像是 IDP

的各式各樣的阻擋方法 目的就是要把 "敵機" (攻擊者) 打下來

常見的有: 丟掉攻擊者送過來的所有封包

對攻擊者發出 TCP Reset 要求來中斷連線

在被攻擊的系統上關掉攻擊者建立的連線

通知防火牆和路由器 (Router) 從此以後擋掉來自攻擊者這個 IP 位址的所有連線



上面的這些 "阻擋" 方法對於攻擊者都是非常致命的

其中我個人覺得第一種方法最為快速有效 不過要是碰到了第四種方法

那你就要說再見了 因為你再也不能做任何事了

Game is over........

不過 IDP 就跟現實世界的雷達和防空飛彈一樣 也是有辦法可以躲

避和攻擊的 這些我以後陸續會介紹給大家



第二就是我相信大家一定有很多人都玩過 "魔獸爭霸3" 這個遊戲

其實 IDP 就像是遊戲裡頭的不死族 (undead) 的那些會發出鬼魂來攻擊敵人的

"靈魂之塔" 和主堡 "魔都" 夜精靈族 (ELF) 的那個會拿石頭砸人的 "守護者"

樹人 還有人類的能看隱形敵人, 有個藍色眼睛的 "弓箭塔"

巧的是市面上有一套台灣一般商店還買不到的個人電腦使用的 IDP 軟體

"ISS BlackICE PC Protection" 它在windows系統上右下角的圖示就是

一個藍色的眼睛 這是我的一個用過這軟體的同學告訴我的

大家是不是覺得很巧呢 ^^

不過真正的 IDP 必須把它想像成它並不是每一次都能準確的打到敵人

不過一但它打到敵人 敵人不管血再厚都會立刻掛掉

就是這麼厲害

而在遊戲中 我們常看到很多敵人大軍壓陣 把你蓋的這些防禦

性建築物全部硬生生的拆掉的情形 在真實世界的 IDP 也是這樣

它一樣會被攻擊 一樣會被超級無敵大的封包流量給癱瘓掉

不過就像遊戲裡面一樣 有經驗的玩家會在這些防禦性建築的四週蓋

一些血很厚的建築物來避免它們直接遭到敵人的攻擊 強化這些炮塔的

防禦力 在真實世界的 IDP 也有這種作法

比方說:

使用處理網路封包流量的能力超強的特製硬體晶片

(比你用的螃蟹卡晶片強了幾千幾萬倍以上)

使用改良強化防禦能力和更嚴格的權限管制的作業系統核心

(這就像是遊戲裡你把基地裡的建築物的蓋法仔細設計過 讓敵人一次只有

很少的人能闖進基地內部一樣)

讓 IDP 運作在 OSI 七層的資料鏈結層使攻擊者沒辦法針對 IDP 的

特定的 IP 位址來發動攻擊



其中我個人最喜歡第三種方法 因為它就好比是你蓋了幾個 "隱形" 的炮塔

當敵人來襲時 這些 "隱形" 的炮塔不斷的攻擊敵人 敵人也知道

那裡有個東西一直在打人 可是在螢幕上完全看不到 也不能

命令部隊自動攻擊或是直接把滑鼠點在那裡去攻擊 只能選擇躲避

或直接硬拆其他的建築物 不過這樣下來損失就很大了

等到敵人的部隊被叫回來 你大概就要全軍覆沒了

接著敵人反攻你家 你就要輸掉這一場了

就是這樣



相信介紹到這裡 大家對於 IDP 應該都有基本的認識了

蠻有趣又威力強大的玩意兒 不是嗎? ^^

最後就放個連結讓大家去看看這玩意兒到底長什麼樣子

還有它有什麼功能 能阻擋哪些攻擊

希望大家會喜歡這個東西 然後去學習它運作的原理和它的程式要怎麼

寫 而不要一天到晚都只會去給人家 "改頭換面"

這樣一點意義都沒有 提供給大家參考看看


http://www.broadweb.com.tw/chinese/04_products/01_02_specification.php?ID=18

(外觀蠻威武嚇人的 對不對 ^^)

http://www.broadweb.com.tw/chinese/04_products/01_00_product.php?ID=18

(它的功能 能阻擋哪些攻擊)


PS: 如果大家覺得這篇介紹寫得不錯 就請 IK 站長把它置頂吧

甚至你要把它轉載到其他地方去也是非常歡迎 

但請保持文章的完整性 謝謝