返回
第3章网络监听及防御技术

第3章网络监听及防御技术

ID:5505419

大小:546.50 KB

页数:28页

时间:2017-11-12

第3章网络监听及防御技术_第1页
第3章网络监听及防御技术_第2页
第3章网络监听及防御技术_第3页
第3章网络监听及防御技术_第4页
第3章网络监听及防御技术_第5页
资源描述:

《第3章网络监听及防御技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3章网络监听及防御技术部分来源:国家计算机网络入侵防范中心,张玉清1网络与信息安全沈超刘烃自动化科学与技术系西安交通大学电子与信息工程院tingliu@mail.xjtu.edu.cnchaoshen@mail.xjtu.edu.cn2021/6/10网络入侵与防范讲义2内容介绍3.1网络监听概述3.2监听技术3.3监听的防御3.4小结3.1网络监听概述3.2监听技术3.3监听的防御3.4小结2021/6/10网络入侵与防范讲义32021/6/10网络入侵与防范讲义4案例:观察登录BBS过程设置网卡如果有多个

2、网络接口(网卡),首先在CaptureOptions中设置在哪个网络接口上抓包。勾选Capturepacketsinpromiscuousmode选项,将网卡设置成混杂模式。2021/6/10网络入侵与防范讲义5案例:观察登录BBS过程设置过滤条件:捕获前过滤2021/6/10网络入侵与防范讲义6案例:观察登录BBS过程设置过滤条件:捕获后过滤如果Filter框背景显示为绿色,说明所设定的过滤规则合乎Wireshark支持的语法规则。如果Filter框背景显示为红色,说明所设定的过滤规则不符合语法规则。2021

3、/6/10网络入侵与防范讲义7案例:观察登录BBS过程登录BBS的用户名和密码主机向服务器发送的POST请求2021/6/10网络入侵与防范讲义83.3监听的防御3.3.1通用策略3.3.2共享网络下的防监听3.3.3交换网络下的防监听2021/6/10网络入侵与防范讲义93.3.1通用策略由于嗅探器是一种被动攻击技术,因此非常难以被发现。完全主动的解决方案很难找到并且因网络类型而有一些差异,但我们可以先采用一些被动但却是通用的防御措施。这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的

4、安全防范。2021/6/10网络入侵与防范讲义10安全的拓扑结构网络分段越细,嗅探器能够收集的信息就越少。网络分段:将网络分成一些小的网络,每一个网段的集线器被连接到一个交换器(Switch)上,所以数据包只能在该网段的内部被网络监听器截获,这样网络的剩余部分(不在同一网段)便被保护了。网络有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。划分VLAN:使得网络隔离不必要的数据传送,一般可以采用20个工作站为一组,这是一个比较合理的数字。网络分段只适应于中小

5、的网络。网络分段需要昂贵的硬件设备。2021/6/10网络入侵与防范讲义11数据加密数据通道加密:正常的数据都是通过事先建立的通道进行传输的,以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH、SSL(SecureSocketLayer,安全套接字应用层)和VPN。数据内容加密:主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如PGP(PrettyGoodPrivacy)等。2021/6/10网络入侵与防范讲义123.3监听的防御

6、3.3.1通用策略3.3.2共享网络下的防监听3.3.3交换网络下的防监听2021/6/10网络入侵与防范讲义133.3.2共享网络下的防监听虽然共享式局域网中的嗅探很隐蔽,但也有一些方法来帮助判断:检测处于混杂模式的网卡网络通讯丢包率非常高检测技术网络和主机响应时间测试ARP检测(如AntiSniff工具)2021/6/10网络入侵与防范讲义143.3.2共享网络下的防监听1.网络和主机响应时间测试这种检测已被证明是最有效的,它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。2021/6/10网络入

7、侵与防范讲义153.3.2共享网络下的防监听1.网络和主机响应时间测试测试原理是处于非监听模式的网卡提供了硬件底层过滤机制,即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。而处于混杂模式下的机器则缺乏底层的过滤,骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。2021/6/10网络入侵与防范讲义163.3.2共享网络下的防监听1.网络和主机响应时间测试实现方法是利用ICMP

8、ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。在得到这个数据后,立刻向本地网络发送大量的伪造数据包,与此同时再次发送测试数据包以确定平均响应时间的变化值。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会有1~4个数量级。2021/6/10网络入侵与防范讲义173.3.2共享网络下的防监听2.ARP检测地址解析协议(AddressResolu

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。