网络攻防技术与实践课件 课程3-网络探测技术及分析防御方法.pptVIP

*网络攻防技术与实践课程*WinPcapWinPcap包括三个部分第一个模块NPF(NetgroupPacketFilter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。packet.dll和Wpcap.dllpacket.dll直接映射了内核的调用Wpcap.dll提供了更加友好、功能更加强大的函数调用*网络攻防技术与实践课程*WinPcap和NPF*网络攻防技术与实践课程*NPF在Windows网络结构中位置NDIS(NetworkDriverInterfaceSpecification，网络驱动接口规范)描述了网络驱动与底层网卡之间的接口规范，以及它与上层协议之间的规范NPF作为一个核心驱动程序而提供的*网络攻防技术与实践课程*WinPcap的优势提供了一套标准的抓包接口与libpcap兼容，可使得原来许多类UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具除了与libpcap兼容的功能之外，还有充分考虑了各种性能和效率的优化，包括对于NPF内核层次上的过滤器支持支持内核态的统计模式提供了发送数据包的能力*网络攻防技术与实践课程*Windows平台下一些sniffer工具Buttsniffer简单，不需要安装，可以在WindowsNT下运行，适合于后台运作NetMonWindows2000自带友好的图形界面，分析功能强SnifferPro界面友好，统计分析功能强，过滤器功能基于WinPcap的工具WinDumpAnalyzer*网络攻防技术与实践课程*网络监听技术的防范措施共享式以太网?交换式以太网拓扑性能提升:广播冲突域?每台主机单独冲突域安全性提升:较难被网络监听交换式网络提供安全性仍可能被挫败:ARP欺骗避免使用明文传输口令/敏感信息的网络协议,使用加密telnet?sshIPSEC/TLS检测网络监听程序基于主机:检查网卡是否运行在混杂模式基于网络:基于混杂模式下操作系统和协议栈的特性*网络攻防技术与实践课程*检测处于混杂模式的节点网卡和操作系统对于是否处于混杂模式会有一些不同的行为，利用这些特征可以判断一个机器是否运行在混杂模式下一些检测手段根据操作系统的特征Linux内核的特性：正常情况下，只处理本机MAC地址或者以太广播地址的包。在混杂模式下，许多版本的Linux内核只检查数据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以太地址而IP地址有效的ICMPECHO请求，看机器是否返回应答包(混杂模式)，或忽略(非混杂模式)。Windows9x/NT：在混杂模式下，检查一个包是否为以太广播包时，只看MAC地址前八位是否为0xff。根据网络和主机的性能根据响应时间：向本地网络发送大量的伪造数据包，然后，看目标主机的响应时间，首先要测得一个响应时间基准和平均值L0pht的AntiSniff产品*网络攻防技术与实践课程**网络攻防技术与实践课程*IP地址欺骗技术IP地址欺骗技术(IPspoofing)IP地址欺骗技术根源IP和路由协议设计：按目的地址路由，并不验证源IP地址的合法性IP地址欺骗技术伪造源IP地址，以达到混淆并隐藏攻击源、中间人攻击等目的网络扫描中可隐藏扫描源信息*网络攻防技术与实践课程*端口扫描防范措施任何攻击技术都是双刃剑网络管理员也可利用端口扫描确定开放必要服务端口扫描的监测网络入侵检测系统:Snort中的portscan检测插件系统扫描检测工具:scanlogd,PortSentry,Genius端口扫描的预防开启防火墙类UNIX:netfilter/IPTables,Win32:个人防火墙禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面)类UNIX:/etc/inetd.conf，Win32:控制面板/服务*网络攻防技术与实践课程*操作系统辨识操作系统辨识(OSIdentification)通过各种不同操作系统类型和版本实