网络安全开发系列--笔记(1)

网络安全技术

1．数据包捕获技术操作系统提供的数据包捕获技术主要存在三种：

SOCK_PACKET类型套接口：利用操作系统提供的编程接口来实现

数据链路提供者接口DLPI：

伯克利数据包过滤（BPF）:高效数据包捕获技术，工作操作系统内核层

2.网络协议分析三个内容

         捕获数据包：使用专业的捕获数据包的开发包。例如Libpcap和Winpcap

         过滤数据包：内核层进行数据包过滤；应用层进行数据包过滤。使用Libpcap因为使用了BPF过滤机制在内核层进行过滤效率表现的更高。

         协议分析：逐层进行分析。

3.数据包生成技术：代表Libnet，专业的网络数据包生成开发包

4.网络安全扫描技术：扫描、漏洞扫描、特殊扫描

5.防火墙技术

6.入侵检测技术

网络安全开发包种类

1. 数据包捕获开发包：Libpcap
2. Windows平台专业数据包捕获开发包WinPcap
3. 网络数据包构造和发送开发包Libnet
4. 网络入侵检测开发包Libnids
5. 通用网络安全开发包libdnet

一、网络数据包捕获开发包Libpcap

         Libpcap官网：http://www.tcpdump.org/

linux下安装Libpcap：apt-get install libpcap-dev

       下载当前最新版本源代码用于分析：wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz（当前最新版本1.9.0）

         1.Libpcap的作用主要有三个方面：（1）捕获各种数据包；（2）过滤网络数据包；（3）分析网络数据包；（4）存储网络数据包

         2.libpcap的构成：

                   （1）BPF捕获机制：转发和过滤两部分构成

                   （2）过滤规则：两类数据构成标识和标识的修饰词（类型、方向、协议）

                   （3）网卡的设置：libpcap需要将网卡设置为混杂模式

         3.文件

                   （1）pcap安装之后头文件在：/usr/include/pcap目录下在/usr/include下有个pcap.h文件但是该文件内容为#include<pcap/pcap.h>。

                            /usr/include/pcap下文件结构如下：