IDS基于网络的入侵检测技术.ppt

第6章 基于网络的入侵检测技术 分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析 TCP/IP协议分层结构 数据报文的分层封装 局域网和网络设备的工作原理 HUB工作原理 网卡工作原理 局域网工作过程 全双工 两台设备在发送和接收数据时，通信双方都能在同一时刻进行发送或接收操作，这样的传送方式就是全双工。而处于半双工传送方式的设备，当其中一台设备在发送数据时，另一台只能接收，而不能同时将自己的数据发送出去。 由于集线器采取的是“广播”传输信息的方式，因此集线器传送数据时只能工作在半双工状态下，比如说计算机1与计算机8需要相互传送一些数据，当计算机1在发送数据时，计算机8只能接收计算机1发过来的数据，只有等计算机1停止发送并做好了接收准备，它才能将自己的信息发送给计算机1或其它计算机。 半双工 集线器的工作原理很简单，一个具备8个端口的集线器，共连接了8。集线器是一种“共享”设备，集线器本身不能识别目的地址，当同一局域网内的A主机给B主机传输数据时，数据包在以集线器为架构的网络上是以广播方式传输的，由每一台终端通过验证数据包头的地址信息来确定是否接收。  HUB工作原理 由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。 HUB工作原理 交换式HUB的内部程序能记住每个口的MAC地址，以后就根据地址将数据发到相应的端口，而不是像共享HUB那样发给所有的口，所以交换HUB下只有应该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。 HUB工作原理 显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了，所以共享 HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的端口之间也可以同时传输。 HUB工作原理 这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，而交换HUB同一时间可以有多端口间进行数据传输。 交换机 交换机也叫交换式集线器，它通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用，由于交换机根据所传递信息包的目的地址，将每一信息包独立地从源端口送至目的端口，避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。 交换机的工作原理 交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表，如果把集线器比作一个邮递员，那么这个邮递员是个不认识字的“傻瓜”。 要他去送信，他不知道直接根据信件上的地址将信件送给收信人，只会拿着信分发给所有的人，然后让接收的人根据地址信息来判断是不是自己的! 交换机的工作原理 而交换机则是一个“聪明”的邮递员--交换机拥有一条高带宽的外部总线和内部交换矩阵。交换机的所有的端口都挂接在这条外部总线上，当控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在，交换机才广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部地址表中。  可见，交换机在收到某个网卡发过来的“信件”时，会根据上面的地址信息，以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上，交换机才会像集线器一样将信分发给所有的人，然后从中找到收信人。而找到收信人之后，交换机会立刻将这个人的信息登记到“户口簿”上，这样以后再为该客户服务时，就可以迅速将信件送达了。 Sniffer Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 Sniffer要通知网卡接收其收到的所有包（该模式叫作混杂模式：指网络上的设备都对总线上传送的所有数据进行侦听，并不仅仅是针对它们自己的数据），在共享HUB下就能接收到这个网段的所有数据包，但是在交换HUB下就只能接收自己的包和广播包。 Sniffer Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。 Sniffer作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。 共享和交换网络环境下的数据捕获 要想捕获流经网卡的但不属于自己主机的所有数据流，就必须绕开系统正常工作