信息对抗技术知识-ids 研究生课程 .pptVIP

信息对抗技术;;入侵检测系统定义;IDS的存在理由;IDS的历史;误用入侵检测;Snort是误用入侵检测的代表;;;;;;异常入侵检测;;基于系统调用序列的免疫系统;;按IDS结构分类;;;掌握libpcap;主要内容： 一、Winpcap使用介绍 二、面象对象对Winpcap的封装。;一、Winpcap介绍;3．方便的把捕获的数据包输出到文件和从文件输入 见源码：DumpToFile4．发送原始的数据包 见源码 SendPacket5．统计网络流量 见源码：DisplayStatus;二、Winpcap的安装使用方法 ;4. 在你的程序中加入#include pcap.h,#include remote -ext.h.然后在工程的setting中加入预定义宏:WPCAP,HAV E_REMOTE.导入wpcap.lib, wsock32.lib库5．编写wpcap程序;三、Winpcap的一些基本的功能的实现 ; 有几种捕获数据的方法（捕获数据的数据都是最原始的数 据包，即包含数据链路层的数据头）a． 是以回调的方式[ pcap_loop,pcap_dispatch() ]. 这两种方法基本相同，底层收集数据包，当满足一定的条件 （timeout 或者缓冲区满），就会调用回调函数，把收集到 的原始数据包s,交给用户。他们返回的数据缓冲区包含多个包 例子见：CapturePacket b. pcap_next_ex()的方式每当一个包到到达以后，pcap_next_ex就会返回，返回的 数据缓冲区里只包含一个包。 ;;（三）统计网络流量 ;//下面是一个应用winpcap写的一个网络流量统计的例子， 也可参见 源码DisplayStatus工程// nettraffic.cpp : Defines the entry point for the console //application.#include stdafx.h#include pcap.h#include remote-ext.h#include iostream#include winsock2.h;using namespace std;//------------------------------------------------------------------------//------------------------------------------------------------------------void dispatcher_handler(u_char* user_data, const struct pcap_pkthdr * pkthdr, const u_char *pktdata);//------------------------------------------------------------------------int main(int argc, char* argv[]){int i;pcap_if_t* alldevs;;pcap_if_t* dev;char errorbuf[PCAP_ERRBUF_SIZE];int choice;pcap_t* stathandle;WSADATA wsadata;struct timeval timestamp;if( WSAStartup( MAKEWORD(2,2), wsadata) != 0 ){cerrWSAStartup failed [ WSAGetLastError() ]“ endl;return (-1);};//enum all deviceif( pcap_findalldevs_ex( PCAP_SRC_IF_STRING, NULL, alldevs, errorbuf ) == -1 ){WSACleanup();cerrpcap_findalldevs_ex failed! (errorbuf)endl;return (-1);};for( i=0,dev = alldevs; dev != NULL; dev = dev-next ){cout++itdev-nameendl;}if( i== 0 ){WSACleanup();cerrno device found!endl;return (-2);};//let user choicewhile( 1)