返回
安全防护与入侵检测

安全防护与入侵检测

ID:39338188

大小:1.57 MB

页数:70页

时间:2019-07-01

安全防护与入侵检测_第1页
安全防护与入侵检测_第2页
安全防护与入侵检测_第3页
安全防护与入侵检测_第4页
安全防护与入侵检测_第5页
资源描述:

《安全防护与入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章 安全防护与入侵检测【本章要点】本章主要从网络安全的防护和入侵检测入手,详细介绍了嗅探软件Sniffer的功能、对报文的捕获与解析及高级应用。在入侵检测系统中,介绍了入侵检测系统的原理、类型和入侵防护技术及蜜罐、密网和密场等知识。5.1SnifferPro网络管理与监视5.2入侵检测系统5.3蜜罐、密网和密场SnifferPro网络管理与监视Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置

2、在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。1.网络技术与设备简介数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成

3、型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。网络监听原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式

4、,它就能接收传输在网络上的每一个信息包普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF。但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。

5、Sniffer产品的基本功能包括功能1)网络安全的保障与维护2)面向网络链路运行情况的监测3)面向网络上应用情况的监测4)强大的协议解码能力,用于对网络流量的深入解析5)网络管理、故障报警及恢复实时监控统计和告警功能根据用户习惯,Sniffer可提供实时数据或图表方式显示统计结果,统计内容包括:网络统计:如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。协议统计:如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。差错统计:如错误的CRC校验数、发生的碰撞数、错误帧数等。站统计:如接收和发送的帧

6、数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。帧长统计:如某一帧长的帧所占百分比,某一帧长的帧数等。当某些指标超过规定的阈值时,Sniffer可以自动显示或采用有声形式的告警。Sniffer可根据网络管理者的要求,自动将统计结果生成多种统计报告格式,并可存盘或打印输出。Sniffer实时专家分析系统Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(ExpertSystem)。简单地说,Sniffer能自动实时监视网络,捕捉数据,识别网络配置,自动发现网络故障并进行告警,它能指出:网络故障发生的位置,以及出现在OSI第几层。网络故障的性

7、质,产生故障的可能的原因以及为解决故障建议采取的行动。Sniffer还提供了专家配制功能,用户可以自已设定专家系统判断故障发生的触发条件。SnifferPro的登录与界面SnifferPro报文的捕获与解析基本捕获条件基本的捕获条件有两种:1)链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。2)IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉,如图5.3所示。高

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。