基于网络的入侵检测技术

网络入侵检测

分层协议模型与TCP/IP协议

TCP/IP协议分层结构

数据报文的分层封装

以太网帧格式

ARP/RARP报文格式

IP数据报头格式

ICMP回应请求与应答报文格式

UDP报文格式

TCP报文格式

网络数据包的截获

• 是基于网络的入侵检测技术的工作基石。
• 通过捕获整个网络的所有信息流量，根据信息源主机、目标主机、服务协议端口等信息简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。
  • 一方面，要保证采用的捕获机制能捕获到所有网络上的数据包，尤其是检测到被分片的数据包
  • 另一方面，数据捕获机制捕获数据包的效率也很重要，将直接影响整个网络入侵裣测系统的运行速度。

局域网和网络设备的工作原理

网络设备

• 集线器：共享模式、总线方式，物理上是广播网络，其下同一网段的所有机器的网卡都能接收到数据；两个机器之间传输数据时，其它端口被占用
• 交换机：记住每个主机的MAC地址，维护一个物理端口与MAC地址的对应表，两个机器之间传输数据时，别的端口没有占用，可以继续通讯

网卡工作原理

• 接收数据时，先接收数据包头的目的MAC地址；如果该接收就在接收后产生中断信号通知CPU：如果认为不该接收，就丢弃不管，计算机并不知道。
• CPU接到中断信号后产生中断，0S就根据网卡驱动程序中网卡中断程序地址，调用驱动程序接收数据，驱动程序接收数据之后，放入堆栈让0S处理。

局域网工作过程

• 数据在网络上是以很小的帧为单位传输的
• 帧经过封装，通过网卡发送到传输介质上，到达目标主机。在目标主机处执行相反的过程
• 目标主机网卡捕获帧后，通知0S，对帧进行存储。Sniffer在这个传输和接收过程中，能获取数据
• 正常情况下，一个合法的网络接口只能响应两种数据帧：帧的目标地址与之匹配的硬件地址；帧的目标地址是广播地址；网卡向CPU产生硬中断；
• 如果局域网中某台机器的网卡处于混杂（Promi scuous）模式࿰