安全防护与入侵检测课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
下面通过利用Sniffer Pro检测Code Red Ⅱ这
一实例来了解捕获的完整功能。
•
Code Red II病毒可以利用IIS的缓冲区溢出漏
洞,通过TCP的80端口传播,并且该病毒变种在感
染系统后会释放出黑客程序。
安全防护与入侵检测
•
它攻击的目标系统为安装Indexing services 和
安全防护与入侵检测
• (6)协议分布 • (7)全局统计 • (8)警告日志 • (9)捕获面板 • (10)地址本
安全防护与入侵检测
图5.10 Sniffer Pro协议分布
安全防护与入侵检测
图5.11 Sniffer Pro全局统计
安全防护与入侵检测
图5.12 Sniffer Pro警告日志
图标
高级系统层次名称
OSI模型的层次
服务层(Service)
应用层与表示层
应用程序层(Application)
应用层与表示层
会话层(Session)
会话层
数据链路层(Connection)
数据链路层
工作站层(Station)
网络层
DLC
数据链路层与物理层 安全防护与入侵检测
•
高级系统可以监控网络的运行现状或症状侵检测
表5.3 Sniffer Pro高级系统层次
图标
名称
功能
全局层(Global)
显示与系统和区段整体相关的问题,包括捕获帧的总 数、整体统计信息广播或组播的数量以及发生时间
路由层(Route) 显示网络上的路由问题,如路径更换过于频繁
子网层(Subnet) 在对象栏中会将所有的子网显示出来
➢应用程序层(Application):实际上可以显示TCP/IP的应用层各 种服务的工作状况。
安全防护与入侵检测
➢会话层(Session):检查与注册和安全相关的问 题,如黑客攻击口令破解。
➢数据链路层(Connection):会检查与端到端通 信的效率和错误率有关的问题,如在滑动窗口冻 结、多次重传等现象。
安全防护与入侵检测
• ② 症状(Symptoms):显示高级系统中所有 层事件的症状数量。
• ③ 对象(Objects):显示高级系统中所有层 发生事件的对象数,如路由器、网络工作站、IP 地址或MAC地址。
安全防护与入侵检测
•
当使用高级系统进行故障诊断时,它的层
模型可以提供很好的帮助,实际上它将故障的每
停止按钮
可以停止过程来查看信息,或将信息存为一个文件
停止并显示按钮
已停止捕获并显示捕获的帧
显示按钮
显示一个已经停止捕获过程的结果
定义过滤器按钮
定义用来捕获帧的条件
选择过滤器
从定义好的条件列表中选择一个用于捕获
安全防护与入侵检测
5.1.4 Sniffer Pro的高级应用
表5.2 Sniffer Pro高级系统层次与OSI对应关系
第5章 安全防护与入侵检测
5.1
Sniffer Pro网络管理与监视
5.2
入侵检测系统
5.3
蜜罐系统
安全防护与入侵检测
• 本章学习要点 ➢掌握Sniffer Pro的主要功能与基本组成 ➢掌握Sniffer Pro的基本使用方法和数据的捕获
安全防护与入侵检测
➢了解如何利用Sniffer Pro进行网络优化与故障排除 ➢掌握入侵检测系统的定义与分类以及选择方法 ➢了解蜜罐的定义、分类和应用
安全防护与入侵检测
图5.4 Sniffer Pro主机列表详细资料
安全防护与入侵检测
图5.5 Sniffer Pro矩阵地图
安全防护与入侵检测
图5.6 Sniffer Pro应用程序响应时间表单
安全防护与入侵检测
图5.7 Sniffer Pro应用程序响应时间ART选项
安全防护与入侵检测
图5.8 Sniffer Pro历史抽样
(Symptoms)和相应对象(Objects),并进行诊
断(Diagnoses),如图5.21所示。
安全防护与入侵检测
图5.21 Sniffer Pro高级系统
安全防护与入侵检测
• ① 诊断(Diagnoses):显示高级系统中所有层发生事件的情 况的诊断结果,如当网络中某一问题或故障多次重复出现时,系 统就会提供该信息。
IIS 4.0 或IIS 5.0的Windows 2000
• 系统、安装Index Server 2.0和IIS 4.0 或IIS
安全防护与入侵检测
➢工作站层(Station):检查网络寻址和路由选择问题,如路由翻 滚、路由重定向以及有没有路由更新等问题。
➢DLC层:显示物理层和数据链路层的工作状况,如网络电压和电 流状况、CRC错误、是否存在帧过短或过长等问题。
安全防护与入侵检测
•
高级系统的层次模型除上述6层以外还有3层,它们的功能
安全防护与入侵检测
5.1 Sniffer Pro网络管理与监视
• 5.1.1 Sniffer Pro的功能
➢它主要具有以下功能。 ➢实时监测网络活动。 ➢数据包捕捉与发送。 ➢网络测试与性能分析。 ➢利用专家分析系统进行故障诊断。 ➢网络硬件设备测试与管理。
安全防护与入侵检测
5.1.2 Sniffer Pro的登录与界面
一个环节分离出来,解决故障就需要对每一层的
功能加以了解。
安全防护与入侵检测
➢ 服务层(Service):显示汇总使用HTTP和 • FTP等协议的对象,通过单击对象按钮 • 深入了解每次连接的详细情况,如图5.22所示。
安全防护与入侵检测
图5.22 Sniffer Pro高级系统服务层对象
安全防护与入侵检测
安全防护与入侵检测
图5.13 Sniffer Pro捕获面板
安全防护与入侵检测
图5.14 Sniffer Pro地址本
安全防护与入侵检测
5.1.3 Sniffer Pro报文的捕获与解 析
开始按钮
名称
表5.1 捕获栏功能介绍
图标
表示可以开始捕获过程
功能
暂停按钮
可以在任何时间停止捕获过程,稍后再继续
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
下面通过利用Sniffer Pro检测Code Red Ⅱ这
一实例来了解捕获的完整功能。
•
Code Red II病毒可以利用IIS的缓冲区溢出漏
洞,通过TCP的80端口传播,并且该病毒变种在感
染系统后会释放出黑客程序。
安全防护与入侵检测
•
它攻击的目标系统为安装Indexing services 和
安全防护与入侵检测
• (6)协议分布 • (7)全局统计 • (8)警告日志 • (9)捕获面板 • (10)地址本
安全防护与入侵检测
图5.10 Sniffer Pro协议分布
安全防护与入侵检测
图5.11 Sniffer Pro全局统计
安全防护与入侵检测
图5.12 Sniffer Pro警告日志
图标
高级系统层次名称
OSI模型的层次
服务层(Service)
应用层与表示层
应用程序层(Application)
应用层与表示层
会话层(Session)
会话层
数据链路层(Connection)
数据链路层
工作站层(Station)
网络层
DLC
数据链路层与物理层 安全防护与入侵检测
•
高级系统可以监控网络的运行现状或症状侵检测
表5.3 Sniffer Pro高级系统层次
图标
名称
功能
全局层(Global)
显示与系统和区段整体相关的问题,包括捕获帧的总 数、整体统计信息广播或组播的数量以及发生时间
路由层(Route) 显示网络上的路由问题,如路径更换过于频繁
子网层(Subnet) 在对象栏中会将所有的子网显示出来
➢应用程序层(Application):实际上可以显示TCP/IP的应用层各 种服务的工作状况。
安全防护与入侵检测
➢会话层(Session):检查与注册和安全相关的问 题,如黑客攻击口令破解。
➢数据链路层(Connection):会检查与端到端通 信的效率和错误率有关的问题,如在滑动窗口冻 结、多次重传等现象。
安全防护与入侵检测
• ② 症状(Symptoms):显示高级系统中所有 层事件的症状数量。
• ③ 对象(Objects):显示高级系统中所有层 发生事件的对象数,如路由器、网络工作站、IP 地址或MAC地址。
安全防护与入侵检测
•
当使用高级系统进行故障诊断时,它的层
模型可以提供很好的帮助,实际上它将故障的每
停止按钮
可以停止过程来查看信息,或将信息存为一个文件
停止并显示按钮
已停止捕获并显示捕获的帧
显示按钮
显示一个已经停止捕获过程的结果
定义过滤器按钮
定义用来捕获帧的条件
选择过滤器
从定义好的条件列表中选择一个用于捕获
安全防护与入侵检测
5.1.4 Sniffer Pro的高级应用
表5.2 Sniffer Pro高级系统层次与OSI对应关系
第5章 安全防护与入侵检测
5.1
Sniffer Pro网络管理与监视
5.2
入侵检测系统
5.3
蜜罐系统
安全防护与入侵检测
• 本章学习要点 ➢掌握Sniffer Pro的主要功能与基本组成 ➢掌握Sniffer Pro的基本使用方法和数据的捕获
安全防护与入侵检测
➢了解如何利用Sniffer Pro进行网络优化与故障排除 ➢掌握入侵检测系统的定义与分类以及选择方法 ➢了解蜜罐的定义、分类和应用
安全防护与入侵检测
图5.4 Sniffer Pro主机列表详细资料
安全防护与入侵检测
图5.5 Sniffer Pro矩阵地图
安全防护与入侵检测
图5.6 Sniffer Pro应用程序响应时间表单
安全防护与入侵检测
图5.7 Sniffer Pro应用程序响应时间ART选项
安全防护与入侵检测
图5.8 Sniffer Pro历史抽样
(Symptoms)和相应对象(Objects),并进行诊
断(Diagnoses),如图5.21所示。
安全防护与入侵检测
图5.21 Sniffer Pro高级系统
安全防护与入侵检测
• ① 诊断(Diagnoses):显示高级系统中所有层发生事件的情 况的诊断结果,如当网络中某一问题或故障多次重复出现时,系 统就会提供该信息。
IIS 4.0 或IIS 5.0的Windows 2000
• 系统、安装Index Server 2.0和IIS 4.0 或IIS
安全防护与入侵检测
➢工作站层(Station):检查网络寻址和路由选择问题,如路由翻 滚、路由重定向以及有没有路由更新等问题。
➢DLC层:显示物理层和数据链路层的工作状况,如网络电压和电 流状况、CRC错误、是否存在帧过短或过长等问题。
安全防护与入侵检测
•
高级系统的层次模型除上述6层以外还有3层,它们的功能
安全防护与入侵检测
5.1 Sniffer Pro网络管理与监视
• 5.1.1 Sniffer Pro的功能
➢它主要具有以下功能。 ➢实时监测网络活动。 ➢数据包捕捉与发送。 ➢网络测试与性能分析。 ➢利用专家分析系统进行故障诊断。 ➢网络硬件设备测试与管理。
安全防护与入侵检测
5.1.2 Sniffer Pro的登录与界面
一个环节分离出来,解决故障就需要对每一层的
功能加以了解。
安全防护与入侵检测
➢ 服务层(Service):显示汇总使用HTTP和 • FTP等协议的对象,通过单击对象按钮 • 深入了解每次连接的详细情况,如图5.22所示。
安全防护与入侵检测
图5.22 Sniffer Pro高级系统服务层对象
安全防护与入侵检测
安全防护与入侵检测
图5.13 Sniffer Pro捕获面板
安全防护与入侵检测
图5.14 Sniffer Pro地址本
安全防护与入侵检测
5.1.3 Sniffer Pro报文的捕获与解 析
开始按钮
名称
表5.1 捕获栏功能介绍
图标
表示可以开始捕获过程
功能
暂停按钮
可以在任何时间停止捕获过程,稍后再继续