网络安全技术
1.数据包捕获技术操作系统提供的数据包捕获技术主要存在三种:
SOCK_PACKET类型套接口:利用操作系统提供的编程接口来实现
数据链路提供者接口DLPI:
伯克利数据包过滤(BPF):高效数据包捕获技术,工作操作系统内核层
2.网络协议分析三个内容
捕获数据包:使用专业的捕获数据包的开发包。例如Libpcap和Winpcap
过滤数据包:内核层进行数据包过滤;应用层进行数据包过滤。使用Libpcap因为使用了BPF过滤机制在内核层进行过滤效率表现的更高。
协议分析:逐层进行分析。
3.数据包生成技术:代表Libnet,专业的网络数据包生成开发包
4.网络安全扫描技术:扫描、漏洞扫描、特殊扫描
5.防火墙技术
6.入侵检测技术
网络安全开发包种类
- 数据包捕获开发包:Libpcap
- Windows平台专业数据包捕获开发包WinPcap
- 网络数据包构造和发送开发包Libnet
- 网络入侵检测开发包Libnids
- 通用网络安全开发包libdnet
一、网络数据包捕获开发包Libpcap
Libpcap官网:http://www.tcpdump.org/
linux下安装Libpcap:apt-get install libpcap-dev
下载当前最新版本源代码用于分析:wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz(当前最新版本1.9.0)
1.Libpcap的作用主要有三个方面:(1)捕获各种数据包;(2)过滤网络数据包;(3)分析网络数据包;(4)存储网络数据包
2.libpcap的构成:
(1)BPF捕获机制:转发和过滤两部分构成
(2)过滤规则:两类数据构成标识和标识的修饰词(类型、方向、协议)
(3)网卡的设置:libpcap需要将网卡设置为混杂模式
3.文件
(1)pcap安装之后头文件在:/usr/include/pcap目录下在/usr/include下有个pcap.h文件但是该文件内容为#include<pcap/pcap.h>。
/usr/include/pcap下文件结构如下: