收藏
下载资源

[工学]入侵检测第六章

上传人:tia****nde 文档编号:70374205 上传时间:2019-01-16 格式:PPT 页数:177 大小:5.12MB
返回 下载 相关 举报
[工学]入侵检测第六章_第1页
第1页 / 共177页
[工学]入侵检测第六章_第2页
第2页 / 共177页
[工学]入侵检测第六章_第3页
第3页 / 共177页
[工学]入侵检测第六章_第4页
第4页 / 共177页
[工学]入侵检测第六章_第5页
第5页 / 共177页
点击查看更多>>
资源描述

《[工学]入侵检测第六章》由会员分享,可在线阅读,更多相关《[工学]入侵检测第六章(177页珍藏版)》请在金锄头文库上搜索。

1、基于网络的入侵检测技术,1,第6章 基于网络的入侵检测技术,曹元大主编,人民邮电出版社,2007年,基于网络的入侵检测技术,2,第6章 基于网络的入侵检测技术,基于网络的入侵检测技术: 分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析,基于网络的入侵检测技术,3,为了减少网络协议在设计上的复杂性,大多数的协议采用了层次模型。 国际标准化组织(ISO)于20世纪70年代后期指定了开放系统互连参考模型(OSI),如右图所示。,分层协议模型与TCP/IP协议,基于网络的入侵检测技术,4,该参

2、考模型共分为7层: (1) 应用层 提供用户网络分布信息服务的接口,如文件传送、电子邮件服务等。 (2) 表示层 提供两个应用层协议实体之间数据表示的语法,如加、解密算法等。 (3) 会话层 提供应用层实体会话通道的建立和清除以及会话过程的维护等。,基于网络的入侵检测技术,5,(4) 传输层 提供上面面向应用的高3层和以下面向网络的低3层之间的接口,为会话层提供与具体网络无关的可靠的端对端通信机制。主要有面向连接的服务(字节流)和无连接的服务(数据报)两种服务类型。 (5) 网络层 建立传输层实体之间的网络(WAN或者LAN)连接,包括路由选择等服务。,基于网络的入侵检测技术,6,(6) 数据

3、链路层 建立于特定网络(LAN)的物理连接上,为网络层提供可靠传送通道,提供传输错误检测与数据重发。 (7) 物理层 提供网络端设备接口的物理和电气接口,与物理传输介质直接相连。,基于网络的入侵检测技术,7,TCP/IP协议模型从更实用的角度出发,形成了具有高效率的4层体系结构,下图表示了TCP/IP和OSI参考模型的对应关系。 TCP/IP模型与OSI/ISO模型的对应关系,基于网络的入侵检测技术,8,(1) 主机-网络(网络接口)层 TCP/IP模型中的主机-网络层与OSI/ISO的物理层、数据链路层以及网络层的一部分相对应。该层中所使用的协议大多是各通信子网固有的协议。主机-网络层的作用

4、是传输经网络互联层处理过的信息,并提供一个主机与实际网络的接口,而具体的接口关系则可以由实际网络的类型所决定。 (2) 网络互联层(IP层) 网络互联层是TCP/IP模型的关键部分。它的功能是使主机把分组发往任何网络,并使各分组独立地传向目的地。其功能与OSI网络层功能很近似。 网络互联层所使用的协议是IP协议。,基于网络的入侵检测技术,9,(3) 传输层 传输层为应用程序提供端到端通信功能,和OSI/ISO中的传输层相似。该层协议处理网络互联层没有处理的通信问题,保证通信连接的可靠性,能够自动适应网络的各种变化。传输层主要有传输控制协议(TCP)和用户数据报协议(UDP)。 (4) 应用层

5、位于传输层之上的应用层包含所有的高层协议,为用户提供所需要的各种服务。 TCP/IP模型的简洁性和实用性就体现在它不仅把网络层以下的部分留给了实际网络,而且将高层部分和应用进程结合在一起,形成了统一的应用层。,基于网络的入侵检测技术,10,TCP/IP协议分层结构,基于网络的入侵检测技术,11,1. 网络接口层协议 实际上,TCP/IP协议并不包括物理层和数据链路层协议,只定义了各种物理协议与TCP/IP之间的接口信息。这些物理网络包括了多种广域网。最常见的以太网IEEE 802.3的帧格式如下:,基于网络的入侵检测技术,12,IEEE 802.3的帧头格式包括6B(48位)的目标主机以太网地

6、址、6B的源主机的以太网地址和2B的帧类型,其中帧类型指明所采用的协议。常见的协议类型如下: IP协议,类型值0x0800。 ARP协议,类型值0x0806。 RARP协议,类型值0x8035。,基于网络的入侵检测技术,13,2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络,TCP/IP使用地址解析协议(ARP)来提供从IP地址到物理地址的映像服务。提供从物理地址到IP地址映像服务的则是逆向地址解析协议(RARP)。 (1) ARP协议 ARP只用于解析对方的物理地址,而不用于解析本机的物理地址。 ARP是采用一种称为“动态绑定”(dynamic binding)的技术来解

7、析对方物理地址的。,基于网络的入侵检测技术,14,ARP/RARP报文格式,基于网络的入侵检测技术,15,基于网络的入侵检测技术,16,基于网络的入侵检测技术,17,3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的核心协议之一,它提供了无连接数据包传输和网际路由服务。 IP通过互联网传输数据报,它是无连接的,各个IP数据报之间是相互独立的。它是不可靠的,不保证投递抵达目的地,对分组的丢失、重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时,IP协议将高层协议数据封装成IP数据报,然后通过网络接口发送出去。,基于网络的入侵检测技术,18,(1) IP数据

8、报格式:IP数据报由报头和报文数据两部分组成,基于网络的入侵检测技术,19,(2) 数据报的分段与重组 为了使较大的数据报能够以合适的大小在物理网络上进行传输,IP协议首先要根据物理网络所允许的最大报文长度对上层协议的数据进行长度检查,必要时将数据报分成若干段后再发送。在数据报分段后,对于每个段,都要加上IP报头,形成IP数据报。,基于网络的入侵检测技术,20,与分段相关的字段, 报文标识: 数据报的惟一标识。同一数据报的不同分段中都设置相同的报文标识。 报文总长度: 对于每个数据报的分段,都要重新计算其报文长度。 分段偏移量: 每个分段都要设置该字段值,指明其在原始数据报中的位置,用8B的倍

9、数来表示。 标志: 如果没有分段,则该标志设定为0;如果数据报进行了分段,则除了最后一个分段将该字段设置为0外,其余各分段都应该设为1。,基于网络的入侵检测技术,21,各个数据报分段在网络中进行独立的传输,抵达目的主机的各个IP数据报分段的顺序与其发送顺序极有可能不同,所以,目的主机的IP协议必须根据数据报中的相关字段(标识、长度、偏移量等)将这些分段数据重组为原始的数据报,然后再提交到上层协议。,基于网络的入侵检测技术,22,(3) IP数据报的选项 在IP数据报的选项字段中提供了若干选项参数,主要用于控制和测试。 该字段内容说明如下。 CF: 复制标志,用于指出该选项字段是否要复制到除第一

10、个分段之外的分段中的对应字段。0表示无须复制,1表示必须复制。 CLASS: 选项类别。0为数据报的网络控制,2为调试与测量,1和3值未用。 NUMBER: 选项号。,基于网络的入侵检测技术,23, 源路由。源路由是指传送数据报的路由是由源主机指定的,而不是由IP协议根据路由选择表来选择的。源路由选项可以用来测试某特定网络的吞吐量,使得数据报绕过出错的网络等。 记录路由。记录路由是指记录下数据报从源主机到目的主机所经过路由路径上各个路由器的IP地址。 时间戳。所谓时间戳(time stamp),是指数据报每经过一个路由器时所记录下的当时的时间值。通过时间戳可以获得IP数据报在网络中的时间参数,

11、可用于分析网络的吞吐量、堵塞情况以及负载情况等。,基于网络的入侵检测技术,24,ICMP(Internet Control Message Protocol )是Internet控制消息协议的缩写,ICMP属于网络层协议。 IP提供不可靠和无连接的数据报传送,ICMP正是为了补偿IP的缺陷而设计的。 ICMP协议设计的最初目的主要是用于IP层的差错报告,由路由器或信宿以一对一的模式向信源报告传输错误的原因。 随着网络的发展,检测和控制功能逐渐被引入到ICMP协议中,使得ICMP协议不仅用于传输差错报告,而且大量用于传输控制报文。,4. ICMP协议,基于网络的入侵检测技术,25,4. ICMP

12、协议,基于网络的入侵检测技术,26,ICMP用于在IP主机、路由器之间传递控制消息。 ICMP报文提供针对网络层的错误诊断、拥塞控制、路径控制和路由器或主机信息的查询服务四项功能。 ICMP与IP协议位于同一个层次。,基于网络的入侵检测技术,27,ICMP本身是网络层的一个协议;但报文不是直接传给链路层,而是要封装成IP数据报,然后再传给数据链路层。,包含ICMP报文的IP数据报首部的协议字段为“1” 。,4. ICMP协议,基于网络的入侵检测技术,28,ICMP报文类型,ICMP报文由首部和数据段组成。首部为定长的8个字节,前4个字节是通用部分,后4个字节随报文类型的不同有所差异。报文中类型

13、字段和代码字段来决定不同类型。,定义报文类型。如终点不可达,超时,参数问题等。,对整个报文校验。 始值为0。 由目的主机进行。,指明发送这个特定报文类型的原因。如:目的端不可达的原因可能是网络不可达,主机不可达或端口不可达等多种原因。,首部,基于网络的入侵检测技术,29,ICMP报文类型,基于网络的入侵检测技术,30,ICMP报文类型,ICMP 报文分为查询报文和差错报文两类。,差错报文报告路由器在处理IP数据报时可能遇到的问题。,查询报文是成对出现,帮助主机或网络管理员从一个路由器得到特定信息,发现网络上路由器情况。,基于网络的入侵检测技术,31,路径MTU 探测 向源端传送路由器的改变 源

14、点抑制 PING命令 Traceroute命令 端口扫描,Windows的ICMP处理,基于网络的入侵检测技术,32,首先,Windows 向通信对方送IP 数据包时,先设置IP 首部的分片禁止标志然后再送。这是路径MTU 探索的基本。假如,Windows 将大于1000 字节的数据包送了出去,但通信路径上有MTU 从1500 字节变成1000 字节的地方。因此,那个路由器将不允许超过1000 字节的数据包通过,而进入MTU 是1000 字节的网路。路由器尝试着将IP 数据包分片。但是因为数据包的分片禁止标志是有效的,即不能分片。该路由器就将该IP 数据包丢弃,并用ICMP 通知送信方“想分片

15、,但不能分片” 。这时路由器发送的ICMP的类型字段是3,代码字段为4。即“需要分片但不能分片,不能送至终点”的意思。Windows 收到该ICMP 报文后就知道了不分片就能够传送的数据大小,并暂时将MTU 大小更换掉,然后继续通信,路径MTU 探索,基于网络的入侵检测技术,33,基于网络的入侵检测技术,34,向源端传送路由器的改变,基于网络的入侵检测技术,35,源点抵制,基于网络的入侵检测技术,36,PING命令实现,基于网络的入侵检测技术,37,Traceroute命令实现,基于网络的入侵检测技术,38,基于网络的入侵检测技术,39,端口扫描,基于网络的入侵检测技术,40,5. TCP协议

16、 TCP的主要功能是在一对高层协议(Upper Layer Protocol,ULP)之间在数据报服务的基础上,建立可靠的端对端连接,并提供虚电路服务和面向数据流的传输服务。连接管理可分为3个阶段: 建立连接、数据传输和终止连接。在建立连接时,可赋予该连接某些属性,如安全性和优先级等。 一旦连接建立起来并处于活动状态时,TCP就可以产生并发送分组数据。当数据传输完毕后,连接双方都要关闭各自的连接。 为了提供可靠的服务,TCP还有确认、流控制、复用及同步等功能。,基于网络的入侵检测技术,41,TCP报文格式,基于网络的入侵检测技术,42,TCP协议中的基本传输单元为段(segment) 。一个TCP段由段头和数据流两部分组成,TCP数据流是无结构的字节流,这一特征使得TCP段的段长是可变的。因此,TCP协议中的序号和确认号都是针对流中字节而不是针对段的。 为了保证传输的可靠性,接收方TCP实体要对发送方TCP实体所发送来的TCP段给予确认。一般情况下,接收方将确认已正确接收到的连续流的前n个字节,给出的确认号指示的是下一个所希望接收的字

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号