- 1、本文档共94页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2011年3月6日 网络攻防技术与实践课程Copyright(c)2008-2009诸葛建伟64Snortv2.x–包解析 PCAP_LoopProcessPacket() Decode14LRawIPPktDecode14LCiscoIPPkt DecodePflogDecodeNullPktDecodeRawPktDecodeEthPkt DecodeVlanDecodeSlipPktDecodePPPpktDecodeTRPktDecodeFDDIDecodeIEEE80211Pkt DecodeEapol DecodeEapolKey DecodeEAPDecodeIPv6 DecodeIPXDecodeIPDecodeARPDecodeIPOptionsDecodeICMPDecodeUDP DecodeTCPDecodeTCPOptionsTypedefstruct_Packet{structpcap_pkthdr*pkth;u_int8_t*pkt;EtherHdr*eh;//标准TCP/IP/Ethernet/ARP包头VlanTagHdr*vh;WifiHdr*wifih;//无线LAN包头EtherARP*ah;IPHdr*iph,*orig_iph;u_int32_tip_options_len;u_int8_t*ip_options_data;TCPHdr*tcph,*orig_tcph;u_int32_ttcp_options_len;u_int8_t*tcp_options_data;UDPHdr*udph,*orig_udph;...Snortv2.x–预处理器与插件?IP分片/TCP流处理/流跟踪 ?frag#/stream#/flow?应用层协议分析 ?telnet,rpc,http ?工作:应用层协议解码,应用层协议规范异常检 查,Unicode解码,…?异常检测 ?Portscan类:portscan#/sfportscan ?Arpspoof检测,BO探测2011年3月6日 网络攻防技术与实践课程Copyright(c)2008-2009诸葛建伟65Snortv2.x–核心检测引擎?核心检测引擎:Signature-based(Rule-based) ?Snort规则库:描述已知攻击的数据包/流特征 ?检测引擎:基于模式匹配算法查看当前数据包/流是否满足已 知攻击规则?Snort规则库 ?SourcefireVRTCertifiedRules: /vrt/ ?snortrules-snapshot-CURRENT_s.tar.gz:当前公 开发布最新规则库 ?VRTCertifiedRulesforSnort:snortrules- snapshot-CURRENT.tar.gz:Sourcefire付费服务 ?Snort规则知识库:/snort-db/2011年3月6日 网络攻防技术与实践课程Copyright(c)2008-2009诸葛建伟662011年3月6日 网络攻防技术与实践课程Copyright(c)2008-2009诸葛建伟32Netfilter的检查链和处理策略?Netfilter检查链 ?通过防火墙转发流量: PREROUTING?FORWARD?POSTROUTING ?传入防火墙本机流量:PREROUTING?INPUT ?防火墙本机传出流量:OUTPUT?POSTROUTING?Netfilter处理策略 ?ACCEPT:允许数据包经过网络协议栈 ?DROP:静默地丢弃数据包 ?QUEUE:通过nf_queue机制将数据包传送至应用层供上层 应用处理 ?STOLEN:保持数据包直到特定条件后处理,用于处理IP分 片等 ?REPEAT:使得数据包重新进入hook点2011年3月6日 网络攻防技术与实践课程Copyright(c)2008-2009诸葛建伟33Netfilter的报文状态检查?支持的网络连接状态????NEW:新建连接,连接初始报文或只看到一个方向的数据包ESTABLISHED:已建连接,双向通讯RELATED:相关连接,用于处理FTP等协商端口的网络
您可能关注的文档
- 网络安全攻防实践 课程2-网络攻防实验环境构建.ppt
- 网络安全攻防实践 课程3-网络信息收集技术(上).ppt
- 网络安全攻防实践 课程3-网络信息收集技术(下).ppt
- 网络安全攻防实践 课程4-网络嗅探与协议分析.ppt
- 网络安全攻防实践 课程5-TCP_IP网络协议攻击.ppt
- 网络安全攻防实践 课程7-Windows系统攻防技术.ppt
- 网络安全攻防实践 课程8-Linux系统攻防技术.ppt
- 网络安全攻防实践 课程9-恶意代码基础知识与分析方法.ppt
- 网络安全攻防实践 课程10-缓冲区溢出和Shellcode.ppt
- 网络安全攻防实践 课程11-Web应用的攻击及防御技术(上).ppt
- 2024精简护肤洁面趋势报告-TMIC-30正式版.doc
- 2024捕捉华夏民族珍味-咸味主食与咸味零食创新机遇报告-25正式版.doc
- 2024年秋季部编版小学道德与法治二年级上册全册课件PPT最新.pptx
- 部编版第十一册第四单元拓展提高教学课件.ppt
- 2024年秋季新西师大版一年级上册数学全册教学课件(新版教材).pptx
- 2024年秋新人教版一年级上册数学全册教学课件(新版教材).pptx
- 2024年秋季新人教版数学一年级上册全册教学课件(新版教材).pptx
- 2024年秋季新人教版数学一年级上册全册课件(新版教材).pptx
- 2024年秋季新人教版一年级上册数学全册教学课件(新版教材).pptx
- 2024年秋季新人教版一年级上册数学全册课件(新版教材).pptx
最近下载
- 《2024年甘肃省职业院校技能大赛中职学生组医药卫生类护理技能赛项样卷3》.pdf
- 双减背景下新课标单元整体作业分层设计案例 人教版小学数学四年级下册第五单元 三角形.docx
- 标准泳池砖的国家标准规格.doc
- 湘科版科学(2017)六年级上册全册全单元教学设计.doc
- 芜湖市湾沚区殡仪馆招聘考试真题及答案2024.docx
- 租房租赁合同电子版(8篇).pdf VIP
- 陕西师范大学-《比较教育学》(专升本)考评作业-含答案.pdf VIP
- 医院进修结业证书(模板).docx
- 专题03 规律探索及新定义问题(4大考点)2022-2024年中考数学真题分类汇编.docx VIP
- GB_T50649-2011《水利水电工程节能设计规范》 局部修订2024版.pdf VIP
文档评论(0)