网络安全技术与实训 第2版 教学课件 作者 杨文虎 李飞飞 第5章 安全防护与入侵检测.pptVIP

第5章 安全防护与入侵检测;本章学习要点 掌握Sniffer Pro的主要功能与基本组成 掌握Sniffer Pro的基本使用方法和数据的捕获;了解如何利用Sniffer Pro进行网络优化与故障排除 掌握入侵检测系统的定义与分类以及选择方法 了解蜜罐的定义、分类和应用 ;5.1 Sniffer Pro网络管理与监视;5.1.2 Sniffer Pro的登录与界面;图5.2 Sniffer Pro的工作界面 ;2．Sniffer Pro的界面;图5.3 Sniffer Pro的仪表盘 ;图5.4 Sniffer Pro主机列表详细资料 ;图5.5 Sniffer Pro矩阵地图 ; 图5.6 Sniffer Pro应用程序响应时间表单 ;图5.7 Sniffer Pro应用程序响应时间ART选项 ;图5.8 Sniffer Pro历史抽样 ;（6）协议分布 （7）全局统计 （8）警告日志 （9）捕获面板 （10）地址本;图5.10 Sniffer Pro协议分布 ;图5.11 Sniffer Pro全局统计 ;图5.12 Sniffer Pro警告日志 ;图5.13 Sniffer Pro捕获面板 ;图5.14 Sniffer Pro地址本 ;5.1.3 Sniffer Pro报文的捕获与解析;5.1.4 Sniffer Pro的高级应用; 高级系统可以监控网络的运行现状或症状（Symptoms）和相应对象（Objects），并进行诊断（Diagnoses），如图5.21所示。;图5.21 Sniffer Pro高级系统 ; ① 诊断（Diagnoses）：显示高级系统中所有层发生事件的情况的诊断结果，如当网络中某一问题或故障多次重复出现时，系统就会提供该信息。; ② 症状（Symptoms）：显示高级系统中所有层事件的症状数量。 ③ 对象（Objects）：显示高级系统中所有层发生事件的对象数，如路由器、网络工作站、IP地址或MAC地址。 ; 当使用高级系统进行故障诊断时，它的层模型可以提供很好的帮助，实际上它将故障的每一个环节分离出来，解决故障就需要对每一层的功能加以了解。; 服务层（Service）：显示汇总使用HTTP和 FTP等协议的对象，通过单击对象按钮 深入了解每次连接的详细情况，如图5.22所示。;图5.22 Sniffer Pro高级系统服务层对象 ;应用程序层（Application）：实际上可以显示TCP/IP的应用层各种服务的工作状况。;会话层（Session）：检查与注册和安全相关的问题，如黑客攻击口令破解。 数据链路层（Connection）：会检查与端到端通信的效率和错误率有关的问题，如在滑动窗口冻结、多次重传等现象。 ;工作站层（Station）：检??网络寻址和路由选择问题，如路由翻滚、路由重定向以及有没有路由更新等问题。 DLC层：显示物理层和数据链路层的工作状况，如网络电压和电流状况、CRC错误、是否存在帧过短或过长等问题。; 高级系统的层次模型除上述6层以外还有3层，它们的功能如表5.3所示。;; 下面通过利用Sniffer Pro检测Code Red Ⅱ这一实例来了解捕获的完整功能。 Code Red II病毒可以利用IIS的缓冲区溢出漏洞，通过TCP的80端口传播，并且该病毒变种在感染系统后会释放出黑客程序。; 它攻击的目标系统为安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000 系统、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统，可以 在WINNT\SYSTEM32\LOGFILES\W3SVC1 目录下的日志文件中查看是否含有以下内容： ;GET，/default.ida, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858 %ucbd3%u7801%u9090%u6858%ucbd3%u7801