Ethereal协议分析系统介绍 MSE安全攻防培训资料.pptVIP

Ethereal协议分析系统介绍 MSE安全攻防培训资料.ppt

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Ethereal协议分析系统介绍 MSE安全攻防培训资料

Ethereal 协议分析系统介绍 wangdayong@263.net 系统简介 Ethereal是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持Linux和windows平台 Ethereal起初由Gerald Combs开发,随后由一个松散的Etheral团队组织进行维护开发 大量的志愿者为Ethereal添加新的协议解析器,如今Ethereal已经支持五百多种协议解析 Ethereal的捕包平台 网络分析系统首先依赖于一套捕捉网络数据包的函数库 这套函数库工作在在网络分析系统模块的最底层 作用是从网卡取得数据包或者根据过滤规则取出数据包的子集,再转交给上层分析模块 从协议上说,这套函数库将一个数据包从链路层接收,至少将其还原至传输层以上,以供上层分析 Linux 环境 在Linux系统中, 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现,BPF(BSD Packet Filter) Libpcap是一个基于BPF的开放源码的捕包函数库 现有的大部分Linux捕包系统都是基于这套函数库或者是在它基础上做一些针对性的改进 Windows环境 在window系统中,意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库,作者称之为NPF NPF的主要思想就是来源于BPF NPF的设计目标就是为windows系统提供一个功能强大的开发式数据包捕获平台,希望在Linux系统中的网络分析工具经过简单编译以后也可以移植到windows中,因此这两种捕包架构是非常现实的 Ethereal网络分析系统也需要一个底层的抓包平台,在Linux中是采用Libpcap函数库抓包,在windows系统中采用winpcap函数库抓包 层次化的数据包协议分析方法 取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了 对于协议分析需要从下至上进行 首先对网络层的协议识别后进行组包还原然后脱去网络层协议头 将里面的数据交给传输层分析,这样一直进行下去直到应用层 层次化的数据包协议分析方法 Ethereal 协议树 Ethereal能够识别500多种协议 为了使协议和协议间层次关系明显,从而对数据流里的各个层次的协议能够逐层处理,Ethereal系统采用了协议树的方式 Ethereal中注册一个协议解析器 在Ethereal中注册一个协议解析器首先要指出它的父协议是什么 指出自己区别于父节点下的兄弟接点协议的特征 实例 ftp协议 在Ethereal中他的父接点是tcp协议,它的特征就是tcp协议的port字段为21 当一个端口为21的tcp数据流来到时。首先由tcp协议注册的解析模块处理,之后通过查找协议树找到自己协议下面的子协议,判断应该由哪个子协议来执行,找到正确的子协议后,就转交给ftp注册的解析模块处理。这样由根节点开始一层层解析下去 优点 由于采用了协议树加特征字的设计,这个系统在协议解析上由了很强的扩展性,增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可 基于插件技术的协议分析器 所谓插件技术,就是在程序的设计开发过程中,把整个应用程序分成宿主程序和插件两个部分,宿主程序与插件能够相互通信,并且,在宿主程序不变的情况下,可以通过增减插件或修改插件来调整应用程序的功能 插件技术优点 运用插件技术可以开发出伸缩性良好、便于维护的应用程序。它著名的应用实例有:媒体播放器winamp、微软的网络浏览器ie等 一般的协议分析器都采用插件技术 可以随时增加新的协议分析器 Ethereal仍有可改进之处 在协议识别方面Ethereal大多采用端口识别,有少量协议采用内容识别。这就让一些非标准端口的协议数据没有正确解析出来 实例:ftp协议如果不是在21端口工作的话,Ethereal就无法识别出来,只能作为tcp数据处理 Ethereal仍有可改进之处 Ethereal没有实现tcp协议栈,无法做到流级别的识别。导致在协议识别方面有点缺陷 实例:对于识别yahoo massanger协议。主要是看数据前几个字节是不是’ymsg’.由于协议名为y开头。所以当识别出协议时已经把所有内容识别函数调用了一遍 * * ? ? Ip ? ? | \ ? Tcp udp ? | ? \ HTTP ? TFTP ? ? Ip ? ? | \ ? Tcp udp ? | ? \ HTTP ? TFTP * * *

您可能关注的文档

文档评论(0)

jgx3536 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:6111134150000003

1亿VIP精品文档

相关文档