计算机网络安全技术 课件 第四章 网络安全技术.pptx

第四章网络安全技术

4.1数据包分析

4.1.1数据包分析概述数据包分析1.数据包分析的意义分析数据包可以使信息传输不再存在秘密对数据包进行深入分析，是为了更好地了解网络是如何运行，数据包是如何被转发，应用是如何被访问当再次出现网络故障或网络应用问题时，就能够很快地解决2.数据包分析的内容（1）了解网络的工作原理。（2）查看网络使用情况及网络上的通信主体。（3）确认哪些应用占用带宽。（4）识别网络中存在的攻击或恶意行为。（5）分析网络故障和延时大小。（6）查看用户访问应用的速度。（7）优化和改进应用性能。3.获取数据包（1）通过数据链路层获取（2）通过网络层获取

1.Wireshark的特点（1）深入检查数百种协议，并且不断添加更多协议（2）实时捕获和离线分析（3）标准三窗格数据包浏览器（4）多平台：在Windows、Linux、macOS、Solaris、FreeBSD、NetBSD和其他许多平台上运行（5）可以通过GUI或通过TTY模式的TShark实用程序浏览捕获的网络数据（6）业界最强大的显示过滤器（7）丰富的VoIP分析（8）读/写许多不同的捕获文件格式（9）可以动态解压缩使用Gzip压缩的捕获文件（10）实时数据从以太网、IEEE802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI等中读取（取决于用户的平台）（11）支持对许多协议的解密，包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2（12）可以将着色规则应用于数据包列表，以便进行快速、直观的分析（13）输出可以导出为XML、PostScript、CSV或纯文本4.1.2Wireshark介绍络管理员可以使用它来解决网络问题网络安全工程师可以使用它来检查安全问题质量保证工程师可以使用它来验证网络应用开发人员使用它可以来调试协议05网络工程师可以使用它来学习网络协议2．Wireshark的使用场景

3．Wireshark的安装（1）下载Wireshark运行→安装向导→单击“Next”（4）安装中选择默认配置，即一直单击“Next”按钮（2）在“ChooseInstallLocation”窗口→单击“Browse...”→选择软件安装位置→单击“Next”（5）“CompletingWireshark4.0.864-bitSetup”窗口→单击“Finish”（3）在“USBCapture”窗口→勾选“InstallUSBPcap1.5.4.0”→单击“Install”→开始安装

4．Wireshark中文设置如果你选择中文，请选择合适的字体：“编辑”→“首选项设置”→“用户接口”→“字体”

5．Wireshark使用说明1）确定Wireshark的位置2）选择捕获接口3）使用捕获过滤器4）使用显示过滤器5）使用着色规则6）构建图表7）重组数据

4.1.3数据包分析实例数据包分析实例1．背景有一个网站被192.168.1.58恶意入侵，使用Wireshark可以抓到被攻击的流量，分析数据包，找到这次入侵的漏洞。2．步骤（1）启动网站与Wireshark（2）用漏洞扫描工具扫描网站，扫描出SQL注入漏洞（3）在Wireshark上寻找并分析SQL注入漏洞的POST请求包（4）找出SQL注入漏洞利用的关键字即可定位数据包及发生注入的参数

4.2漏洞检测

4.2.1漏洞检测的概念安全漏洞是指计算机系统在硬件、软件、协议的设计、具体实现及系统安全策略上存在的缺陷和不足。漏洞检测就是希望能够防患于未然，在漏洞被利用之前发现漏洞并修补漏洞。

1．主机在线探测为了避免不必要的空扫描，在扫描之前一般要先探测主机是否在线其实现原理和常用的ping命令相似具体方法是向目标主机发送ICMP报文请求，根据返回值来判断主机是否在线2．端口状态探测发送1个SYN包到主机端口并等待响应如果端口打开，则响应必定是SYN+ACK信息包如果端口关闭，则会收到RST+ACK信息包这个扫描可以被称为半打开（Half-Scan）扫描4.2.2漏洞检测的原理

3．操作系统探测在进行网络入侵或攻击时，了解操作系统的类型是相当重要的，因为攻击者可以由此明确利用哪种漏洞，或者由此掌握操作系统存在的弱点。4．主机漏洞检测漏洞检测是指使用漏洞检测程序对目标系统进行信息查询。一般主要通过以下两种方法来检查目标主机是否存在漏洞：基于漏洞库的规则匹配和基于模拟攻击。

4.2.3漏洞检测技术1．安全扫描3．反汇编扫描4．环境错误注入2．源代码扫描

4.2.4漏洞检测工具（1