数据分析与过滤技术.pptxVIP

网络安全－研究性专题：专题四数据分析与过滤内容提要信息收集协议与工具Wireshark实例anti-sniffer信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析识别安全隐患识别数据泄露发现网络故障依法拦截检测数据丢失核实安全修复取证性能测试协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构Tracert(traceroute)程序:通过Tracert程序可以获得到达目标主机的路由跳数和网络参数协议与工具Whois协议: 该协议的服务信息能提供所有有关的DNS域和相关的管理参数协议与工具DNS服务器: 该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的域名协议与工具Ping 程序: 该命令主要用来检查路由是否能够到达某站点协议与工具Ping 程序: 该命令主要用来检查路由是否能够到达某站点Wireshark程序: 监听并收集本地网络上的通信数据协议与工具Sniffer程序: 监听并收集本地网络上的通信数据协议与工具端口扫描程序:是指能够发送一组端口扫描消息，试图以此侵入目标计算机，并了解其提供的网络服务类型（这些网络服务均与端口号相关）的程序攻击者可以通过了解到的信息来确定从哪里可探寻到攻击弱点端口扫描包括向每个端口发送消息、接收回应的消息并判断目标计算机是否在使用该端口，进而由此探寻弱点判断目标主机上开放了哪些服务判断目标主机的操作系统协议与工具端口扫描程序:TCP connect()扫描TCP SYN扫描TCP FIN扫描IP段扫描TCP反向ident扫描FTP返回攻击UDP ICMP端口不能到达扫描UDP recvfrom()和write()扫描ICMP echo扫描OSI ModelData unitLayerFunctionHostlayersData7. /wiki/Application_LayerApplicationNetwork process to application6. /wiki/Presentation_LayerPresentationData representation, encryption and decryption, convert machine dependent data to machine independent data5. /wiki/Session_LayerSessionInterhost communicationSegments4. /wiki/Transport_LayerTransportEnd-to-end connections and reliability, /wiki/Flow_controlflow controlMedialayersPacket/Datagram3. /wiki/Network_LayerNetworkPath determination and /wiki/Logical_addresslogical addressingFrame2. /wiki/Data_Link_LayerData LinkPhysical addressingBit1. /wiki/Physical_LayerPhysicalMedia, signal and binary transmission协议与工具协议与工具IP协议与工具TCP协议与工具ARPWiresharkWireshark原理 - Promiscuous ModeWiresharkWiresharkWireshark实例1网络症状网络速度变慢PC机联网经常中断网络设备没有故障应用程序没有发现问题症状存在了较长时间实例1截获数据实例1统计分析实例1统计分析实例1协议分布实例1过滤实例1详细分析实例1查找数据源实例1关闭故障点后实例1关闭故障点后实例1进一步分析实例2实例2实例3实例3实例4实例4实例4实例4实例4实例4实例4实例4实例5anti-sniffer检测本机: 进程查看正确IP地址+错误物理地址-ping被怀疑的主机，运行监听程序的机器会有响