网络入侵检测
分层协议模型与TCP/IP协议
TCP/IP协议分层结构
数据报文的分层封装
以太网帧格式
ARP/RARP报文格式
IP数据报头格式![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060215024992.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Nvb2tpZVhTUw==,size_16,color_FFFFFF,t_70#pic_center)
ICMP回应请求与应答报文格式
UDP报文格式
TCP报文格式
网络数据包的截获
- 是基于网络的入侵检测技术的工作基石。
- 通过捕获整个网络的所有信息流量,根据信息源主机、目标主机、服务协议端口等信息简单过滤掉不关心的数据,再将用户感兴趣的数据发送给更高层的应用程序进行分析。
- 一方面,要保证采用的捕获机制能捕获到所有网络上的数据包,尤其是检测到被分片的数据包
- 另一方面,数据捕获机制捕获数据包的效率也很重要,将直接影响整个网络入侵裣测系统的运行速度。
局域网和网络设备的工作原理
网络设备
- 集线器:共享模式、总线方式,物理上是广播网络,其下同一网段的所有机器的网卡都能接收到数据;两个机器之间传输数据时,其它端口被占用
- 交换机:记住每个主机的MAC地址,维护一个物理端口与MAC地址的对应表,两个机器之间传输数据时,别的端口没有占用,可以继续通讯
网卡工作原理
- 接收数据时,先接收数据包头的目的MAC地址;如果该接收就在接收后产生中断信号通知CPU:如果认为不该接收,就丢弃不管,计算机并不知道。
- CPU接到中断信号后产生中断,0S就根据网卡驱动程序中网卡中断程序地址,调用驱动程序接收数据,驱动程序接收数据之后,放入堆栈让0S处理。
局域网工作过程
- 数据在网络上是以很小的帧为单位传输的
- 帧经过封装,通过网卡发送到传输介质上,到达目标主机。在目标主机处执行相反的过程
- 目标主机网卡捕获帧后,通知0S,对帧进行存储。Sniffer在这个传输和接收过程中,能获取数据
- 正常情况下,一个合法的网络接口只能响应两种数据帧:帧的目标地址与之匹配的硬件地址;帧的目标地址是广播地址;网卡向CPU产生硬中断;
- 如果局域网中某台机器的网卡处于混杂(Promi scuous)模式