网络安全攻防实践 课程6-网络安全防护技术.ppt

2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟64Snortv2.x–包解析 PCAP_LoopProcessPacket() Decode14LRawIPPktDecode14LCiscoIPPkt DecodePflogDecodeNullPktDecodeRawPktDecodeEthPkt DecodeVlanDecodeSlipPktDecodePPPpktDecodeTRPktDecodeFDDIDecodeIEEE80211Pkt DecodeEapol DecodeEapolKey DecodeEAPDecodeIPv6 DecodeIPXDecodeIPDecodeARPDecodeIPOptionsDecodeICMPDecodeUDP DecodeTCPDecodeTCPOptionsTypedefstruct_Packet{structpcap_pkthdr*pkth;u_int8_t*pkt;EtherHdr*eh;//标准TCP/IP/Ethernet/ARP包头VlanTagHdr*vh;WifiHdr*wifih;//无线LAN包头EtherARP*ah;IPHdr*iph,*orig_iph;u_int32_tip_options_len;u_int8_t*ip_options_data;TCPHdr*tcph,*orig_tcph;u_int32_ttcp_options_len;u_int8_t*tcp_options_data;UDPHdr*udph,*orig_udph;...Snortv2.x–预处理器与插件?IP分片/TCP流处理/流跟踪 ?frag#/stream#/flow?应用层协议分析 ?telnet,rpc,http ?工作:应用层协议解码,应用层协议规范异常检 查,Unicode解码,…?异常检测 ?Portscan类:portscan#/sfportscan ?Arpspoof检测，BO探测2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟65Snortv2.x–核心检测引擎?核心检测引擎:Signature-based(Rule-based) ?Snort规则库:描述已知攻击的数据包/流特征 ?检测引擎:基于模式匹配算法查看当前数据包/流是否满足已 知攻击规则?Snort规则库 ?SourcefireVRTCertifiedRules: /vrt/ ?snortrules-snapshot-CURRENT_s.tar.gz:当前公 开发布最新规则库 ?VRTCertifiedRulesforSnort:snortrules- snapshot-CURRENT.tar.gz:Sourcefire付费服务 ?Snort规则知识库:/snort-db/2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟662011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟32Netfilter的检查链和处理策略?Netfilter检查链 ?通过防火墙转发流量: PREROUTING?FORWARD?POSTROUTING ?传入防火墙本机流量:PREROUTING?INPUT ?防火墙本机传出流量:OUTPUT?POSTROUTING?Netfilter处理策略 ?ACCEPT:允许数据包经过网络协议栈 ?DROP:静默地丢弃数据包 ?QUEUE:通过nf_queue机制将数据包传送至应用层供上层 应用处理 ?STOLEN:保持数据包直到特定条件后处理,用于处理IP分 片等 ?REPEAT:使得数据包重新进入hook点2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟33Netfilter的报文状态检查?支持的网络连接状态????NEW:新建连接,连接初始报文或只看到一个方向的数据包ESTABLISHED:已建连接,双向通讯RELATED:相关连接,用于处理FTP等协商端口的网络