(教学课件)入侵检测系统.ppt

(教学课件)入侵检测系统.ppt

ID:58739098

大小:503.50 KB

页数:31页

时间:2020-10-03

(教学课件)入侵检测系统.ppt_第1页
(教学课件)入侵检测系统.ppt_第2页
(教学课件)入侵检测系统.ppt_第3页
(教学课件)入侵检测系统.ppt_第4页
(教学课件)入侵检测系统.ppt_第5页
资源描述:

《(教学课件)入侵检测系统.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于网络的入侵检测技术6.1分层协议模型与TCP/IP协议簇OSI参考模型:模型本身很通用,但与OSI模型相关的协议已经很少用了.TCP/IP协议模型:模型本身不很有用,但协议却广泛使用TCP/IP网络是采用包交换的网络,分4层:应用层,传输层,网络层,链路层TCP/IP参考模型在TCP/IP参考模型中,去掉了OSI参考模型中的会话层和表示层(这两层的功能被合并到应用层实现)。同时将OSI参考模型中的数据链路层和物理层合并为主机到网络层。TCP/IP各层功能网络接口层:实际上TCP/IP参考模型没有真正描述这一层的实现,只是要求能够提供给其上层-网络互连层一个访问接口,

2、以便在其上传递IP分组。网络互连层:是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机,网络互连层定义了分组格式和协议,即IP协议传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种协议:传输控制协议TCP和用户数据报协议UDP应用层面向不同的网络应用引入了不同的应用层协议TCP报文格式数据报文的分层封装以太网IEEE802.3的帧格式08162432目标主机的以太网地址(第0~3字节)目标主机的以太网地址(第4、5字节)目标主机的以太网地址(第0、1字节)目标主机的以太网地址(第2~5字节)帧类型TCPIPETHTCP数据区

3、TCP报头IP数据区IP报头帧数据区帧头TCP/IP报文格式ARP/RARP报文格式08162432硬件类型协议类型硬件地址长度协议地址长度操作类型源主机硬件地址(第0~3字节)源主机硬件地址(第4、5字节)源主机IP地址(第0、1字节)源主机IP地址(第2、3字节)目的主机硬件地址(第0、1字节)目的主机硬件地址(第2~5字节)目的主机IP地址TCP/IP报文格式IP数据报头格式08162432版本号报头长度服务类型报文总长度报文标识标志分段偏移量生存期协议号报头校验和源IP地址目的IP地址选项+填充数据报文数据TCP/IP报文格式ICMP报文格式08162432IP

4、报头ICMP报文类型ICMP报文说明报文校验和其他信息(一般设为零)ICMP数据区TCP/IP报文格式08162432ICMP报文类型ICMP报文说明报文校验和标识符序号任意数据ICMP回送请求/响应报文格式TCP/IP报文格式UDP报文格式08162432源端口号目的端口号报文长度校验和数据TCP/IP报文格式TCP报文格式08162432源端口号目的端口号序号确认号数据偏移保留URGACKPSHRSTSYNFIN窗口校验和紧急指针选项填充数据6.2网络数据包的捕获网络数据包捕获机制是网络入侵检测系统的基础网络数据包捕获的要求:1.保证采用的捕获机制能捕获到所有网络上

5、的数据包2.数据捕获机制的捕获数据包效率直接影响整个网络入侵检测系统的运行速度Sniffer是一种常用的数据捕获方法局域网和网络设备的工作原理Hub工作原理:共享Hub是基于总线方式,物理上是广播网络;交换式Hub只将数据发送到相应端口网卡工作原理:先接收数据头的目的MAC地址,如果该接收则产生中断信号通知CPU,如果不该接收则丢弃不管局域网工作过程:帧通过网络驱动程序进行封装,通过网卡发送到网线上,到达目的机器,再执行相反的过程.接收端机器的以太网卡捕获到帧并通知操作系统,然后进行存储每个网络接口都有一个硬件物理地址和一个广播地址一个合法的网络接口应该只响应以下两种数

6、据帧:1.帧目标域含有和本地网络接口相匹配的硬件地址2.帧的目标域含有”广播地址”如果某台机器的网络接口处于混杂模式,则可以捕获网络上所有的报文和帧,成为一个SnifferSniffer介绍Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具Sniffer工作原理:通知网卡接收其收到的所有包,在交换HUB下接收别人的数据包,可通过欺骗交换HUB的方法完成大多数嗅探器至少能分析下面的协议:标准以太网,TCP/IP,IPX和DECNetSniffer的应用正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题.由于Sniffer可以捕获网络

7、上的报文数据,所以也常被黑客作为网络监听工具Sniffer的危害:1.嗅探器能够捕获口令,可以记录明文传送的userid和password2.能够捕获专用的或者机密的信息3.窥探低级的协议信息,用来获取更高级别的访问权限共享和交换网络环境下的数据捕获Libpcap和Winpcap使用交换Hub或交换机连接的网络环境中采用以下方法:1.将数据包捕获程序放在网关或代理服务器上,可以捕获整个局域网的数据包2.对交换机实行端口映射,将所有端口的数据包全映射到某连接监控机器的端口上3.在交换机和路由器之间连接一个Hub,以广播的方式发送4.实行AR

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。