第6章入侵检测系统 ppt课件

协议
2020/11/24
6
TCP报文格式
数据报文的分层封装
TCP报头
TCP数据区
TCP
IP报头
IP数据区
IP
帧头
帧数据区
ETH
以太网IEEE802.3的帧格式
0
8
16
24
32
目标主机的以太网地址（第0~3字节）
目标主机的以太网地址（第4、5字节） 目标主机的以太网地址（第0、1字节）
目标主机的以太网地址（第2~5字节）
2020/11/24
15
每个网络接口都有一个硬件物理地址和一个广播 地址
一个合法的网络接口应该只响应以下两种数据帧: 1. 帧目标域含有和本地网络接口相匹配的硬件地址 2. 帧的目标域含有”广播地址” 如果某台机器的网络接口处于混杂模式,则可以
捕获网络上所有的报文和帧,成为一个Sniffer
2020/11/24
17
Sniffer的应用
正当用处主要是分析网络的流量,以便找出所 关心的网络中潜在的问题.
由于Sniffer可以捕获网络上的报文数据,所以 也常被黑客作为网络监听工具
Sniffer的危害:
1. 嗅探器能够捕获口令,可以记录明文传送的 userid和password
2. 能够捕获专用的或者机密的信息
目的主机IP地址
2020/11/24
ARP/RARP报文格式
8
TCP/IP报文格式
0
版本号
8
16
报头长度 服务类型
24
32
报文总长度
报文标识
标志
分段偏移量
生存期
协议号
报头校验和
源IP地址
目的IP地址
选项+填充数据
报文数据
2020/11/24
IP数据报头格式
9
TCP/IP报文格式
0
8
16
24
IP报头
3. 在交换机和路由器之间连接一个Hub, 以广播的方 式发送
4. 实行ARP欺骗, 即在负责数据包捕获的机器上实现
整个网络的数据包的转发,但会降低整个局域网
2020/11/24
帧类型
7
TCP/IP报文格式
0
8
16
24
32
硬件类型 硬件地址长度 协议地址长度
协议类型 操作类型
源主机硬件地址（第0~3字节）
源主机硬件地址（第4、5字节） 源主机IP地址（第0、1字节）
源主机IP地址（第2、3字节） 目的主机硬件地址（第0、1字节）
目的主机硬件地址（第2~5字节）
0
8
16
24
32
源端口号
目的端口号
报文长度
校验和
数据
UDP报文格式
2020/11/24
12
TCP/IP报文格式
0
8
16
源端口号
序号
确认号
数据 保 留 U A P R S F
偏移
R C SSY I
G K HTNN
校验和
选项
数据
24
32
目的端口号
窗口
紧急指针 填充
2020/11/24
TCP报文格式
13
2020/11/24
2
精品资料
• 你怎么称呼老师？ • 如果老师最后没有总结一节课的重点的难点，你
是否会认为老师的教学方法需要改进？ • 你所经历的课堂，是讲座式还是讨论式？ • 教师的教鞭 • “不怕太阳晒，也不怕那风雨狂，只怕先生骂我
笨，没有学问无颜见爹娘 ……” • “太阳当空照，花儿对我笑，小鸟说早早早……”
4
TCP/IP参考模型
在TCP/IP参考模型中，去掉了OSI参考模型中 的会话层和表示层（这两层的功能被合并到应 用层实现）。同时将OSI参考模型中的数据链 路层和物理层合并为主机到网络层。
2020/11/24
5
TCP/IP各层功能
网络接口层：实际上TCP/IP参考模型没有真正描 述这一层的实现，只是要求能够提供给其上层-网 络互连层一个访问接口，以便在其上传递IP分组。
2020/11/24
16
Sniffer介绍
Sniffer是利用计算机的网络接口截获目的地为 其他计算机的数据报文的一种工具
Sniffer工作原理: 通知网卡接收其收到的所有 包, 在交换HUB下接收别人的数据包,可通过欺 骗交换HUB的方法完成
大多数嗅探器至少能分析下面的协议: 标准以 太网, TCP/IP, IPX和DECNet
3. 窥探低级的协议信息,用来获取更高级别的访 问权限
2020/11/24
18
共享和交换网络环境下的数据捕获
Libpcap和Winpcap
使用交换Hub或交换机连接的网络环境中采用以 下方法:
1. 将数据包捕获程序放在网关或代理服务器上,可以 捕获整个局域网的数据包
2. 对交换机实行端口映射,将所有端口的数据包全映 射到某连接监控机器的端口上
网络互连层：是整个TCP/IP协议栈的核心。它的 功能是把分组发往目标网络或主机，网络互连层 定义了分组格式和协议，即IP协议
传输层的功能是使源端主机和目标端主机上的对 等实体可以进行会话。在传输层定义了两种协议： 传输控制协议TCP和用户数据报协议UDP
应用层面向不同的网络应用引入了不同的应用层
6.2 网络数据包的捕获
网络数据包捕获机制是网络入侵检测系统的基础 网络数据包捕获的要求: 1. 保证采用的捕获机制能捕获到所有网络上的数据
包 2. 数据捕获机制的捕获数据包效率直接影响整个网
络入侵检测系统的运行速度 Sniffer是一种常用的数据捕获方法
2020/11/24
14
局域网和网络设备的工作原理
ICMP报文类型 ICMP报文说明
报文校验和
ቤተ መጻሕፍቲ ባይዱ其他信息（一般设为零）
ICMP数据区
2020/11/24
ICMP报文格式
32
10
TCP/IP报文格式
0
8
16
24
32
ICMP报文类型 ICMP报文说明
报文校验和
标识符
序号
任意数据
ICMP回送请求/响应报文格式
2020/11/24
11
TCP/IP报文格式
第6章
基于网络的入侵检测技术
2020/11/24
1
6.1 分层协议模型与TCP/IP协议簇
OSI参考模型: 模型本身很通用,但与OSI模型相关的协 议已经很少用了.
TCP/IP协议模型:模型本身不很有用,但协议却广泛使用 TCP/IP网络是采用包交换的网络,分4层:应用层,传输层,
网络层, 链路层
Hub工作原理: 共享Hub是基于总线方式,物理 上是广播网络;交换式Hub只将数据发送到相应 端口
网卡工作原理: 先接收数据头的目的MAC地址, 如果该接收则产生中断信号通知CPU,如果不 该接收则丢弃不管
局域网工作过程: 帧通过网络驱动程序进行封 装, 通过网卡发送到网线上,到达目的机器,再执 行相反的过程. 接收端机器的以太网卡捕获到 帧并通知操作系统, 然后进行存储