返回
ids6基于网络的入侵检测技术

ids6基于网络的入侵检测技术

ID:36314722

大小:419.81 KB

页数:48页

时间:2019-05-09

ids6基于网络的入侵检测技术_第1页
ids6基于网络的入侵检测技术_第2页
ids6基于网络的入侵检测技术_第3页
ids6基于网络的入侵检测技术_第4页
ids6基于网络的入侵检测技术_第5页
资源描述:

《ids6基于网络的入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章 基于网络的入侵检测技术第6章基于网络的入侵检测技术分层协议模型与TCP/IP协议网络数据包的捕获包捕获机制BPF模型基于Libpcap库的数据捕获技术检测引擎的设计网络入侵特征实例分析检测实例分析TCP/IP协议分层结构TCP/IP分层协议OSI分层应用层FTPSMTPTelnetDNSSNMP7传输层TCPUDP4网络层IP,ICMP(RIP,OSPF)3ARP,RARP链路层EthernetTokenBusTokenRingFDDIWLAN21数据报文的分层封装局域网和网络设备的工作原理HUB工作原理网卡工作原理局域

2、网工作过程全双工两台设备在发送和接收数据时,通信双方都能在同一时刻进行发送或接收操作,这样的传送方式就是全双工。而处于半双工传送方式的设备,当其中一台设备在发送数据时,另一台只能接收,而不能同时将自己的数据发送出去。由于集线器采取的是“广播”传输信息的方式,因此集线器传送数据时只能工作在半双工状态下,比如说计算机1与计算机8需要相互传送一些数据,当计算机1在发送数据时,计算机8只能接收计算机1发过来的数据,只有等计算机1停止发送并做好了接收准备,它才能将自己的信息发送给计算机1或其它计算机。半双工集线器的工作原理很简单,一个具备

3、8个端口的集线器,共连接了8。集线器是一种“共享”设备,集线器本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以集线器为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。HUB工作原理由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是当一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给其他的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。HUB工作原理交换式HUB的内部程

4、序能记住每个口的MAC地址,以后就根据地址将数据发到相应的端口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有应该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。HUB工作原理显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的端口之间也可以同时传输。HUB工作原理这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接

5、收,而交换HUB同一时间可以有多端口间进行数据传输。交换机交换机也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。交换机的工作原理交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表,如果把集线器比作一个邮递员,那么这个邮递员是个不认识字的“傻瓜”。要他去送信,他不知道直接根据信件上的地址将信件送给收

6、信人,只会拿着信分发给所有的人,然后让接收的人根据地址信息来判断是不是自己的!交换机的工作原理而交换机则是一个“聪明”的邮递员--交换机拥有一条高带宽的外部总线和内部交换矩阵。交换机的所有的端口都挂接在这条外部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在,交换机才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。可见,交换机在收到某个网卡发过来的

7、“信件”时,会根据上面的地址信息,以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上,交换机才会像集线器一样将信分发给所有的人,然后从中找到收信人。而找到收信人之后,交换机会立刻将这个人的信息登记到“户口簿”上,这样以后再为该客户服务时,就可以迅速将信件送达了。SnifferSniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer要通知网卡接收其收到的所有包(该模式叫作混杂模式:指网络上的设备都对总线上传送的所有数据进行侦听,并不仅仅是针对它们自己的

8、数据),在共享HUB下就能接收到这个网段的所有数据包,但是在交换HUB下就只能接收自己的包和广播包。SnifferSniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。Sniffer作用在网络基础结构的底层。通常情况下,用户并不直接和该

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。