入侵检测第六章.ppt

第6章 基于网络的入侵检测技术 基于网络的入侵检测技术: 分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析 分层协议模型与TCP/IP协议 为了减少网络协议在设计上的复杂性，大多数的协议采用了层次模型。 国际标准化组织（ISO）于20世纪70年代后期指定了开放系统互连参考模型（OSI），如右图所示。 该参考模型共分为7层： （1） 应用层 提供用户网络分布信息服务的接口，如文件传送、电子邮件服务等。 （2） 表示层 提供两个应用层协议实体之间数据表示的语法，如加、解密算法等。 （3） 会话层 提供应用层实体会话通道的建立和清除以及会话过程的维护等。 （4） 传输层 提供上面面向应用的高3层和以下面向网络的低3层之间的接口，为会话层提供与具体网络无关的可靠的端对端通信机制。主要有面向连接的服务（字节流）和无连接的服务（数据报）两种服务类型。 （5） 网络层 建立传输层实体之间的网络（WAN或者LAN）连接，包括路由选择等服务。 （6） 数据链路层 建立于特定网络（LAN）的物理连接上，为网络层提供可靠传送通道，提供传输错误检测与数据重发。 （7） 物理层 提供网络端设备接口的物理和电气接口，与物理传输介质直接相连。 TCP/IP协议模型从更实用的角度出发，形成了具有高效率的4层体系结构，下图表示了TCP/IP和OSI参考模型的对应关系。 TCP/IP模型与OSI/ISO模型的对应关系 （1） 主机-网络（网络接口）层 TCP/IP模型中的主机-网络层与OSI/ISO的物理层、数据链路层以及网络层的一部分相对应。该层中所使用的协议大多是各通信子网固有的协议。主机-网络层的作用是传输经网络互联层处理过的信息，并提供一个主机与实际网络的接口，而具体的接口关系则可以由实际网络的类型所决定。 （2） 网络互联层（IP层） 网络互联层是TCP/IP模型的关键部分。它的功能是使主机把分组发往任何网络，并使各分组独立地传向目的地。其功能与OSI网络层功能很近似。 网络互联层所使用的协议是IP协议。 （3） 传输层 传输层为应用程序提供端到端通信功能，和OSI/ISO中的传输层相似。该层协议处理网络互联层没有处理的通信问题，保证通信连接的可靠性，能够自动适应网络的各种变化。传输层主要有传输控制协议(TCP)和用户数据报协议（UDP）。 （4） 应用层 位于传输层之上的应用层包含所有的高层协议，为用户提供所需要的各种服务。 TCP/IP模型的简洁性和实用性就体现在它不仅把网络层以下的部分留给了实际网络，而且将高层部分和应用进程结合在一起，形成了统一的应用层。 TCP/IP协议分层结构 1. 网络接口层协议 实际上，TCP/IP协议并不包括物理层和数据链路层协议，只定义了各种物理协议与TCP/IP之间的接口信息。这些物理网络包括了多种广域网。最常见的以太网IEEE 802.3的帧格式如下： IEEE 802.3的帧头格式包括6B（48位）的目标主机以太网地址、6B的源主机的以太网地址和2B的帧类型，其中帧类型指明所采用的协议。常见的协议类型如下： ① IP协议，类型值0x0800。 ② ARP协议，类型值0x0806。 ③ RARP协议，类型值0x8035。 2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络，TCP/IP使用地址解析协议（ARP）来提供从IP地址到物理地址的映像服务。提供从物理地址到IP地址映像服务的则是逆向地址解析协议（RARP）。 （1） ARP协议 ARP只用于解析对方的物理地址，而不用于解析本机的物理地址。 ARP是采用一种称为“动态绑定”（dynamic binding）的技术来解析对方物理地址的。 ARP/RARP报文格式 3. IP协议 IP协议（Internet Protocol）是TCP/IP协议族的核心协议之一，它提供了无连接数据包传输和网际路由服务。 IP通过互联网传输数据报，它是无连接的，各个IP数据报之间是相互独立的。它是不可靠的，不保证投递抵达目的地，对分组的丢失、重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时，IP协议将高层协议数据封装成IP数据报，然后通过网络接口发送出去。 （1） IP数据报格式：IP数据报由报头和报文数据两部分组成 （2） 数据报的分段与重组 为了使较大的数据报能够以合适的大小在物理网络上进行传输，IP协议首先要根据物理网络所允许的最大报文长度对上层协议的数据进行长度检查，必要时将数据报分成若干段后再发送。在数据报分段后，对于每个段，都要加上IP报头，形成IP数据报。 与