IDS6基于网络的入侵检测技术PPT教学课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
由于以太网等很多网络(常见共享HUB连接 的内部网)是基于总线方式,物理上是广播 的,就是当一个机器发给另一个机器的数据, 共享HUB先收到然后把它接收到的数据再发 给其他的(来的那个口不发了)每一个口,所 以在共享HUB下面同一网段的所有机器的网 卡都能接收到数据。
HUB工作原理
交换式HUB的内部程序能记住每个口的MAC 地址,以后就根据地址将数据发到相应的端 口,而不是像共享HUB那样发给所有的口, 所以交换HUB下只有应该接收数据的机器的 网卡能接收到数据,当然广播包还是发往所有 口。
全双工
两台设备在发送和接收数据时,通信双方都能 在同一时刻进行发送或接收操作,这样的传送 方式就是全双工。而处于半双工传送方式的设 备,当其中一台设备在发送数据时,另一台只 能接收,而不能同时将自己的数据发送出去。
由于集线器采取的是“广播”传输信息的方 式,因此集线器传送数据时只能工作在半双工 状态下,比如说计算机1与计算机8需要相互传 送一些数据,当计算机1在发送数据时,计算 机8只能接收计算机1发过来的数据,只有等计 算机1停止发送并做好了接收准备,它才能将 自己的信息发送给计算机1或其它计算机。
常用的包捕获机制
包捕获机制
系统平台
BPF DLPI NIT SNOOP
BSD系列 Solaris, HP-UNIX, SCO UNIX SunOS 3
IRIX
SNIT
SunOS 4
FTP
SMTP
Telnet
DNS
N M
7
P
传输层
TCP
UDP
4
IP, ICMP (RIP, OSPF)
网络层
3
ARP, RARP
W
2
链路层
Ethernet
Token Bus
Token Ring
FDDI
L A
N
1
数据报文的分层封装
局域网和网络设备的工作原理
HUB工作原理 网卡工作原理 局域网工作过程
Sniffer
Sniffer是利用计算机的网络接口截获目的 地为其他计算机的数据报文的一种工具。
Sniffer要通知网卡接收其收到的所有包 (该模式叫作混杂模式:指网络上的设备都 对总线上传送的所有数据进行侦听,并不仅 仅是针对它们自己的数据),在共享HUB下 就能接收到这个网段的所有数据包,但是在 交换HUB下就只能接收自己的包和广播包。
HUB工作原理
显然共享HUB的工作模式使得两个机器传输 数据的时候其他机器别的口也占用了,所以共 享 HUB决定了同一网段同一时间只能有两个 机器进行数据通信,而交换HUB两个机器传 输数据的时候别的口没有占用,所以别的端口 之间也可以同时传输。
HUB工作原理
这就是共享HUB与交换HUB不同的两个地 方,共享HUB是同一时间只能一个机器发数 据并且所有机器都可以接收,而交换HUB同 一时间可以有多端口间进行数据传输。
半双工
集线器的工作原理很简单,一个具备8个端口 的集线器,共连接了8。集线器是一种“共 享”设备,集线器本身不能识别目的地址,当 同一局域网内的A主机给B主机传输数据时, 数据包在以集线器为架构的网络上是以广播方 式传输的,由每一台终端通过验证数据包头的 地址信息来确定是否接收。
HUB工作原理
可见,交换机在收到某个网卡发过来的“信 件”时,会根据上面的地址信息,以及自己掌 握的“常住居民户口簿”快速将信件送到收信 人的手中。万一收信人的地址不在“户口簿” 上,交换机才会像集线器一样将信分发给所有 的人,然后从中找到收信人。而找到收信人之 后,交换机会立刻将这个人的信息登记到“户 口簿”上,这样以后再为该客户服务时,就可 以迅速将信件送达了。
交换机
交换机也叫交换式集线器,它通过对信息进行 重新生成,并经过内部处理后转发至指定端 口,具备自动寻址能力和交换作用,由于交换 机根据所传递信息包的目的地址,将每一信息 包独立地从源端口送至目的端口,避免了和其 他端口发生碰撞。广义的交换机就是一种在通 信系统中完成信息交换功能的设备。
交换机的工ห้องสมุดไป่ตู้原理
Sniffer
Sniffer的正当用处主要是分析网络的流 量,以便找出所关心的网络中潜在的问 题。
Sniffer作用在网络基础结构的底层。通 常情况下, 用户并不直接和该层打交 道,有些甚至不知道有这一层存在。
共享和交换网络环境下的数据捕获
要想捕获流经网卡的但不属于自己主机的所 有数据流,就必须绕开系统正常工作的处理 机制,直接访问网络底层。
第6章 基于网络的入侵检测技术
第6章 基于网络的入侵检测技术
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
TCP/IP协议分层结构
TCP/IP分层
协议
OSI 分层
应用层
S
交换机是针对共享工作模式的弱点而推出的。 集线器是采用共享工作模式的代表,如果把集 线器比作一个邮递员,那么这个邮递员是个不 认识字的“傻瓜”。
要他去送信,他不知道直接根据信件上的地址 将信件送给收信人,只会拿着信分发给所有的 人,然后让接收的人根据地址信息来判断是不 是自己的!
交换机的工作原理
而交换机则是一个“聪明”的邮递员--交换机拥有一 条高带宽的外部总线和内部交换矩阵。交换机的所有 的端口都挂接在这条外部总线上,当控制电路收到数 据包以后,处理端口会查找内存中的地址对照表以确 定目的MAC(网卡的硬件地址)的NIC(网卡)挂接 在哪个端口上,通过内部交换矩阵迅速将数据包传送 到目的端口。目的MAC若不存在,交换机才广播到 所有的端口,接收端口回应后交换机会“学习”新的 地址,并把它添加入内部地址表中。
首先需要将网卡的工作模式设置为混杂模 式,使之可以接收目标地址不是自己的MAC 地址的数据包,然后直接访问数据链路层, 获取数据并由应用程序进行过滤处理。
共享和交换网络环境下的数据捕获
在UNIX系统中可以用Libpcap包捕获函数库 直接与内核驱动交互操作,实现对网络数据 包的捕获。
在Win32平台上可以使用Winpcap,通过VxD 虚拟设备驱动程序实现网络数据捕获的功 能。
HUB工作原理
交换式HUB的内部程序能记住每个口的MAC 地址,以后就根据地址将数据发到相应的端 口,而不是像共享HUB那样发给所有的口, 所以交换HUB下只有应该接收数据的机器的 网卡能接收到数据,当然广播包还是发往所有 口。
全双工
两台设备在发送和接收数据时,通信双方都能 在同一时刻进行发送或接收操作,这样的传送 方式就是全双工。而处于半双工传送方式的设 备,当其中一台设备在发送数据时,另一台只 能接收,而不能同时将自己的数据发送出去。
由于集线器采取的是“广播”传输信息的方 式,因此集线器传送数据时只能工作在半双工 状态下,比如说计算机1与计算机8需要相互传 送一些数据,当计算机1在发送数据时,计算 机8只能接收计算机1发过来的数据,只有等计 算机1停止发送并做好了接收准备,它才能将 自己的信息发送给计算机1或其它计算机。
常用的包捕获机制
包捕获机制
系统平台
BPF DLPI NIT SNOOP
BSD系列 Solaris, HP-UNIX, SCO UNIX SunOS 3
IRIX
SNIT
SunOS 4
FTP
SMTP
Telnet
DNS
N M
7
P
传输层
TCP
UDP
4
IP, ICMP (RIP, OSPF)
网络层
3
ARP, RARP
W
2
链路层
Ethernet
Token Bus
Token Ring
FDDI
L A
N
1
数据报文的分层封装
局域网和网络设备的工作原理
HUB工作原理 网卡工作原理 局域网工作过程
Sniffer
Sniffer是利用计算机的网络接口截获目的 地为其他计算机的数据报文的一种工具。
Sniffer要通知网卡接收其收到的所有包 (该模式叫作混杂模式:指网络上的设备都 对总线上传送的所有数据进行侦听,并不仅 仅是针对它们自己的数据),在共享HUB下 就能接收到这个网段的所有数据包,但是在 交换HUB下就只能接收自己的包和广播包。
HUB工作原理
显然共享HUB的工作模式使得两个机器传输 数据的时候其他机器别的口也占用了,所以共 享 HUB决定了同一网段同一时间只能有两个 机器进行数据通信,而交换HUB两个机器传 输数据的时候别的口没有占用,所以别的端口 之间也可以同时传输。
HUB工作原理
这就是共享HUB与交换HUB不同的两个地 方,共享HUB是同一时间只能一个机器发数 据并且所有机器都可以接收,而交换HUB同 一时间可以有多端口间进行数据传输。
半双工
集线器的工作原理很简单,一个具备8个端口 的集线器,共连接了8。集线器是一种“共 享”设备,集线器本身不能识别目的地址,当 同一局域网内的A主机给B主机传输数据时, 数据包在以集线器为架构的网络上是以广播方 式传输的,由每一台终端通过验证数据包头的 地址信息来确定是否接收。
HUB工作原理
可见,交换机在收到某个网卡发过来的“信 件”时,会根据上面的地址信息,以及自己掌 握的“常住居民户口簿”快速将信件送到收信 人的手中。万一收信人的地址不在“户口簿” 上,交换机才会像集线器一样将信分发给所有 的人,然后从中找到收信人。而找到收信人之 后,交换机会立刻将这个人的信息登记到“户 口簿”上,这样以后再为该客户服务时,就可 以迅速将信件送达了。
交换机
交换机也叫交换式集线器,它通过对信息进行 重新生成,并经过内部处理后转发至指定端 口,具备自动寻址能力和交换作用,由于交换 机根据所传递信息包的目的地址,将每一信息 包独立地从源端口送至目的端口,避免了和其 他端口发生碰撞。广义的交换机就是一种在通 信系统中完成信息交换功能的设备。
交换机的工ห้องสมุดไป่ตู้原理
Sniffer
Sniffer的正当用处主要是分析网络的流 量,以便找出所关心的网络中潜在的问 题。
Sniffer作用在网络基础结构的底层。通 常情况下, 用户并不直接和该层打交 道,有些甚至不知道有这一层存在。
共享和交换网络环境下的数据捕获
要想捕获流经网卡的但不属于自己主机的所 有数据流,就必须绕开系统正常工作的处理 机制,直接访问网络底层。
第6章 基于网络的入侵检测技术
第6章 基于网络的入侵检测技术
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
TCP/IP协议分层结构
TCP/IP分层
协议
OSI 分层
应用层
S
交换机是针对共享工作模式的弱点而推出的。 集线器是采用共享工作模式的代表,如果把集 线器比作一个邮递员,那么这个邮递员是个不 认识字的“傻瓜”。
要他去送信,他不知道直接根据信件上的地址 将信件送给收信人,只会拿着信分发给所有的 人,然后让接收的人根据地址信息来判断是不 是自己的!
交换机的工作原理
而交换机则是一个“聪明”的邮递员--交换机拥有一 条高带宽的外部总线和内部交换矩阵。交换机的所有 的端口都挂接在这条外部总线上,当控制电路收到数 据包以后,处理端口会查找内存中的地址对照表以确 定目的MAC(网卡的硬件地址)的NIC(网卡)挂接 在哪个端口上,通过内部交换矩阵迅速将数据包传送 到目的端口。目的MAC若不存在,交换机才广播到 所有的端口,接收端口回应后交换机会“学习”新的 地址,并把它添加入内部地址表中。
首先需要将网卡的工作模式设置为混杂模 式,使之可以接收目标地址不是自己的MAC 地址的数据包,然后直接访问数据链路层, 获取数据并由应用程序进行过滤处理。
共享和交换网络环境下的数据捕获
在UNIX系统中可以用Libpcap包捕获函数库 直接与内核驱动交互操作,实现对网络数据 包的捕获。
在Win32平台上可以使用Winpcap,通过VxD 虚拟设备驱动程序实现网络数据捕获的功 能。