返回
基于网络的入侵检测技术

基于网络的入侵检测技术

ID:33407015

大小:381.58 KB

页数:60页

时间:2019-02-25

基于网络的入侵检测技术_第1页
基于网络的入侵检测技术_第2页
基于网络的入侵检测技术_第3页
基于网络的入侵检测技术_第4页
基于网络的入侵检测技术_第5页
资源描述:

《基于网络的入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章基于网络的入侵检测技术©分层协议模型与TCP/IP协议©网络数据包的截获©检测引擎的设计5.1分层协议模型与TCP/IP协议¢5.1.1TCP/IP协议模型¢为了减少网络协议在设计上的复杂性。协议采用层次模型。¢国际标准化组织(ISO)于20世纪70年代后期指定了开放系统互连参考模型OSI(OpenSystemInterconnection)共分7层。提供用户网络分布信息服务的接口,如文件传送、电子邮件服务等。提供两个应用层协议实体之间数据表示的语法,如加、解密算应用层法等提供应用层实体会话通道的建立和清除以及会话过表

2、示层提供上面面向应用的程的维护等会话层高3层和以下面向网络的低3层之间的接建立传输层实体之间口传输层的网络(WAN或者LAN)连接,包括路由选择等服务。网络层建立于特定网络(LAN)的数据链路层物理连接上,为网络层提供可靠传送通道,提供传输错提供网络端设备接口物理层误检测与数据重发。的物理和电气接口,与物理传输介质直接相连。图5-1OSI/ISO模型TCP/IP协议模型从更实用的角度出发,形成了具有高效率的4层体系结构。位于传输层之上的应为应用程序提供端到端通用层包含所有的高层信功能,。该层协议处理协议,为用户提供所网络互联

3、层没有处理的通需要的各种服务TCP/IP模型中的主机-网络层与信问题,保证通信连接的TCP/IP模型的关键OSI/ISO的物理层、数据链路层以及网可靠性,能够自动适应网部分。使主机把分组络层的一部分相对应。该层中所使用的络的各种变化。传输层主发往任何网络,各分协议大多是各通信子网固有的协议。主要有传输控制协议(TCP)组独立地传向目的地。机-网络层的作用是传输经网络互联层处和用户数据报协议功能与OSI网络层功理过的信息,并提供一个主机与实际网(UDP)。能很近似。络的接口,而具体的接口关系则可以由网络互联层所使用的实际网络的

4、类型所决定。协议是IP协议图5-2TCP/IP模型与OSI/ISO模型的对应关系5.1.2TCP/IP协议报文格式简单邮件传输超文本传输文件传输协域名服务协简单网络管理协应用层协议(SMTP)议(HTTP)议(FTP)议(DNS)议(SNMP)传输层TCPUDP网络层IP,ICMP,ARP,RARP网络接EthernetToken-Ring100BASE-T其他口层表5.1TCP/IP协议族及分层结构5.1.2TCP/IP协议报文格式IEEE802.3的帧头格式包括6B(48位)的目标主机以太网地址、6B的源主机的以太网地址

5、和2B的帧类型,其中帧类型指明所采用的协议。常见的协议类型如下:①IP协议,类型值0x0800。②ARP协议,类型值0x0806。③RARP协议,类型值0x8035。5.1.2TCP/IP协议报文格式1.网络接口层协议08162432目标主机的以太网地址(第0~3字节)目标主机的以太网地址(第4、5目标主机的以太网地址(第0、1字节)字节)目标主机的以太网地址(第2~5字节)帧类型Ethernet以太网帧头格式5.1.2TCP/IP协议报文格式08162432硬件类型协议类型硬件地址长度协议地址长度操作类型源主机硬件地址(第

6、0~3字节)源主机硬件地址(第4、5字节)源主机IP地址(第0、1字节)源主机IP地址(第2、3字节)目的主机硬件地址(第0、1字节)目的主机硬件地址(第2~5字节)目的主机IP地址ARP/RARP报文格式(1)ARP协议¢采用一种称为“动态绑定”(dynamicbinding)解析对方的物理地址,而不用于解析本机的物理地址。发送方在发送ARP请求报文时,填写除目的主机硬件地址字段之外的所有其他字段。接收方通过发送ARP响应报文来报告自己的物理地址,这时报文中的发送方和目的方字段要做相应的对换。在同一网段中,发送方的ARP请

7、求报文可以抵达网络中的任何一台主机。在互联网环境中,发送给另一网络中主机的数据包必须经过路由器的转发。此时,发送方必须首先获取路由器结点的物理地址,即发送ARP请求报文给该路由器结点。(2)RARP协议¢如果只有自己的物理地址而没有IP地址,就可以通过RARP协议发送广播式的请求报文来获取自己的IP地址,而RARP服务器专门负责对此请求作出应答。RARP协议主要用于无盘工作站来获取自己的IP地址。RARP协议的报文格式与ARP相同。当发送方以广播方式发送RARP请求报文时,在源主机硬件地址和目的主机硬件地址字段中都填入本机物

8、理地址。RARP服务器接收到该请求报文后,就回送一个RARP响应报文,在其目的主机IP地址字段中返回发送方的IP地址。5.1.2TCP/IP协议报文格式IP协议¢IP协议(InternetProtocol)是TCP/IP协议族的核心协议之一,它提供了无连接数据包传输和网际路由服务。¢IP通

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。