安全檢測(cè)技術(shù)

第7章安全檢測(cè)技術(shù)——

入侵檢測(cè)技術(shù)、信息獲取技術(shù)陳德偉西南財(cái)經(jīng)大學(xué)信息學(xué)院E-mail:chendw_t@

概述入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望1概述入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.傳統(tǒng)的信息安全方法采用嚴(yán)格的訪(fǎng)問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全入侵檢測(cè)（IntrusionDetection）是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象IntrusionDetection入侵檢測(cè)的定義入侵檢測(cè)就是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性網(wǎng)絡(luò)安全工具的特點(diǎn)優(yōu)點(diǎn)局限性IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤報(bào)警，緩慢攻擊，新的攻擊模式Scanner簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問(wèn)題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無(wú)法處理網(wǎng)絡(luò)內(nèi)部的攻擊防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。入侵檢測(cè)的起源（1）審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程審計(jì)的目標(biāo)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任重建事件評(píng)估損失監(jiān)測(cè)系統(tǒng)的問(wèn)題區(qū)提供有效的災(zāi)難恢復(fù)阻止系統(tǒng)的不正當(dāng)使用入侵檢測(cè)的起源（2）計(jì)算機(jī)安全和審計(jì)美國(guó)國(guó)防部在70年代支持“可信信息系統(tǒng)”的研究，最終審計(jì)機(jī)制納入《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC）C2級(jí)以上系統(tǒng)的要求的一部分“褐皮書(shū)”《理解可信系統(tǒng)中的審計(jì)指南》入侵檢測(cè)的起源（3）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念他提出對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類(lèi)方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作入侵檢測(cè)的起源（4）

從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES（入侵檢測(cè)專(zhuān)家系統(tǒng)）IDES結(jié)構(gòu)框架審計(jì)數(shù)據(jù)源策略規(guī)則模式匹配器輪廓特征引擎異常檢測(cè)器警告/報(bào)告產(chǎn)生器入侵檢測(cè)的起源（5）1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM（NetworkSecurityMonitor）該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS

為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得IDS存在與發(fā)展的必然性一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性二、日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅三、單純的防火墻無(wú)法防范復(fù)雜多變的攻擊IDS基本結(jié)構(gòu)入侵檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng),以發(fā)現(xiàn)違反安全策略事件的過(guò)程簡(jiǎn)單地說(shuō)，入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件：（1）信息收集（2）信息分析（3）結(jié)果處理信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)信息收集入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性。因此要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為系統(tǒng)或網(wǎng)絡(luò)的日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件日志文件中記錄了各種行為類(lèi)型，每種類(lèi)型又包含不同的信息，例如記錄“用戶(hù)活動(dòng)”類(lèi)型的日志，就包含登錄、用戶(hù)ID改變、用戶(hù)對(duì)文件的訪(fǎng)問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容顯然，對(duì)用戶(hù)活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪(fǎng)問(wèn)重要文件等等系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪(fǎng)問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)入侵者經(jīng)常替換、修改和破壞他們獲得訪(fǎng)問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件

信息分析模式匹配統(tǒng)計(jì)分析完整性分析，往往用于事后分析模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效

概述2入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望按檢測(cè)方法分類(lèi)異常檢測(cè)模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶(hù)輪廓），當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵

誤用檢測(cè)模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵

異常檢測(cè)BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity異常檢測(cè)模型前提：入侵是異?；顒?dòng)的子集用戶(hù)輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過(guò)程監(jiān)控

量化

比較

判定

修正指標(biāo):漏報(bào)，錯(cuò)報(bào)異常檢測(cè)異常檢測(cè)如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱(chēng)為誤報(bào)(falsepositive)；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱(chēng)為漏報(bào)(falsenegative)。特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶(hù)輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶(hù)行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。

AnomalyDetectionactivitymeasuresprobableintrusionSystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch誤用檢測(cè)模型誤用檢測(cè)前提：所有的入侵行為都有可被檢測(cè)到的特征攻擊特征庫(kù):當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵過(guò)程監(jiān)控

特征提取

匹配

判定指標(biāo)錯(cuò)報(bào)低

漏報(bào)高

誤用檢測(cè)誤用檢測(cè)模型如果入侵特征與正常的用戶(hù)行能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；如果沒(méi)有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)特點(diǎn)：采用特征匹配，誤用模式能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“l(fā)andattack”按照數(shù)據(jù)來(lái)源分類(lèi)基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行混合型監(jiān)視與分析主機(jī)的審計(jì)記錄可以不運(yùn)行在監(jiān)控主機(jī)上存在問(wèn)題：能否及時(shí)采集到審計(jì)記錄？如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？基于主機(jī)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)主機(jī)資源消耗少提供對(duì)網(wǎng)絡(luò)通用的保護(hù)存在問(wèn)題：如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？基于網(wǎng)絡(luò)兩類(lèi)IDS監(jiān)測(cè)軟件網(wǎng)絡(luò)IDS偵測(cè)速度快隱蔽性好視野更寬較少的監(jiān)測(cè)器占資源少主機(jī)IDS視野集中易于用戶(hù)自定義保護(hù)更加周密對(duì)網(wǎng)絡(luò)流量不敏感入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)交換機(jī)交換機(jī)防火墻防火墻路由器Internet基于網(wǎng)絡(luò)的IDS基于主機(jī)的IDS內(nèi)網(wǎng)基于網(wǎng)絡(luò)的IDSWWW服務(wù)器FTP服務(wù)器郵件服務(wù)器入侵檢測(cè)系統(tǒng)原理示意圖外部網(wǎng)絡(luò)DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)常用術(shù)語(yǔ)當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員如果控制臺(tái)與IDS系統(tǒng)同在一臺(tái)機(jī)器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示如果是遠(yuǎn)程控制臺(tái)，那么alert將通過(guò)IDS系統(tǒng)內(nèi)置方法（通常是加密的）、SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員Alert（警報(bào)）

Anomaly（異常）當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警一個(gè)基于anomaly（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì)告警有些IDS廠(chǎng)商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流;其次，通過(guò)在網(wǎng)絡(luò)上發(fā)送reset包切斷連接但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新配置的設(shè)備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊，然后IDS就會(huì)配置路由器和防火墻來(lái)拒絕這些地址，這樣實(shí)際上就是對(duì)“自己人”拒絕服務(wù)了發(fā)送reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò)接口，這樣它將置于攻擊之下，一個(gè)補(bǔ)救的辦法是：使活動(dòng)網(wǎng)絡(luò)接口位于防火墻內(nèi)，或者使用專(zhuān)門(mén)的發(fā)包程序，從而避開(kāi)標(biāo)準(zhǔn)IP棧需求AutomatedResponse（自動(dòng)響應(yīng)）IDS的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)特征信息過(guò)短會(huì)經(jīng)常觸發(fā)IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過(guò)長(zhǎng)則會(huì)減慢IDS的工作速度有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的IDSSignatures（特征）Promiscuous（混雜模式）默認(rèn)狀態(tài)下，IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的non-promiscuous（非混雜模式）如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地這對(duì)于網(wǎng)絡(luò)IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量

概述

入侵檢測(cè)的分類(lèi)3

入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理（略）入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望活動(dòng)數(shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通告應(yīng)急安全策略安全策略入侵檢測(cè)系統(tǒng)原理圖攻擊模式庫(kù)入侵檢測(cè)器應(yīng)急措施配置系統(tǒng)庫(kù)數(shù)據(jù)采集安全控制系統(tǒng)審計(jì)記錄/協(xié)議數(shù)據(jù)等系統(tǒng)操作簡(jiǎn)單的入侵檢測(cè)示意圖基于主機(jī)的入侵檢測(cè)系統(tǒng)系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志）由于內(nèi)部人員的威脅正變得更重要基于主機(jī)的檢測(cè)威脅基于主機(jī)的結(jié)構(gòu)優(yōu)點(diǎn)及問(wèn)題基于主機(jī)的檢測(cè)威脅特權(quán)濫用關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn)及修改安全配置的變化基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)基于主機(jī)的入侵檢測(cè)系統(tǒng)通常是基于代理的，代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計(jì)算機(jī)通信集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置分布式：原始數(shù)據(jù)在目標(biāo)系統(tǒng)上實(shí)時(shí)分析，只有告警命令被發(fā)送給控制臺(tái)目標(biāo)系統(tǒng)審計(jì)記錄收集方法審計(jì)記錄預(yù)處理異常檢測(cè)誤用檢測(cè)安全管理員接口審計(jì)記錄數(shù)據(jù)歸檔/查詢(xún)審計(jì)記錄數(shù)據(jù)庫(kù)審計(jì)記錄基于審計(jì)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖集中式檢測(cè)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：不會(huì)降低目標(biāo)機(jī)的性能統(tǒng)計(jì)行為信息多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)缺點(diǎn)：不能進(jìn)行實(shí)時(shí)檢測(cè)不能實(shí)時(shí)響應(yīng)影響網(wǎng)絡(luò)通信量分布式檢測(cè)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：實(shí)時(shí)告警實(shí)時(shí)響應(yīng)缺點(diǎn)：降低目標(biāo)機(jī)的性能沒(méi)有統(tǒng)計(jì)行為信息沒(méi)有多主機(jī)標(biāo)志沒(méi)有用于支持起訴的原始數(shù)據(jù)降低了數(shù)據(jù)的辨析能力系統(tǒng)離線(xiàn)時(shí)不能分析數(shù)據(jù)操作模式操作主機(jī)入侵檢測(cè)系統(tǒng)的方式警告監(jiān)視毀壞情況評(píng)估遵從性基于主機(jī)的技術(shù)面臨的問(wèn)題性能：降低是不可避免的部署/維護(hù)損害欺騙基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包基于網(wǎng)絡(luò)的檢測(cè)威脅基于網(wǎng)絡(luò)的結(jié)構(gòu)優(yōu)點(diǎn)及問(wèn)題基于網(wǎng)絡(luò)的檢測(cè)威脅非授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)/資源的竊取拒絕服務(wù)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（Sensor)組成，傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測(cè)引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。傳統(tǒng)的基于傳感器的結(jié)構(gòu)分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)傳統(tǒng)的基于傳感器的結(jié)構(gòu)傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測(cè)引擎檢測(cè)引擎安裝在傳感器計(jì)算機(jī)本身網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè)管理/配置入侵分析引擎器網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)嗅探器嗅探器分析結(jié)果基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)為解決高速網(wǎng)絡(luò)上的丟包問(wèn)題，1999年6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來(lái)數(shù)據(jù)采集構(gòu)件應(yīng)急處理構(gòu)件通信傳輸構(gòu)件檢測(cè)分析構(gòu)件管理構(gòu)件安全知識(shí)庫(kù)分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖基于網(wǎng)絡(luò)的入侵檢測(cè)的好處威懾外部人員檢測(cè)自動(dòng)響應(yīng)及報(bào)告基于網(wǎng)絡(luò)的技術(shù)面臨的問(wèn)題分組重組高速網(wǎng)絡(luò)加密基于異常的入侵檢測(cè)思想：任何正常人的行為有一定的規(guī)律需要考慮的問(wèn)題：（1）選擇哪些數(shù)據(jù)來(lái)表現(xiàn)用戶(hù)的行為（2）通過(guò)以上數(shù)據(jù)如何有效地表示用戶(hù)的行為，主要在于學(xué)習(xí)和檢測(cè)方法的不同（3）考慮學(xué)習(xí)過(guò)程的時(shí)間長(zhǎng)短、用戶(hù)行為的時(shí)效性等問(wèn)題數(shù)據(jù)選取的原則（1）數(shù)據(jù)能充分反映用戶(hù)行為特征的全貌（2）應(yīng)使需要的數(shù)據(jù)量最?。?）數(shù)據(jù)提取難度不應(yīng)太大NIDS抓包PF_PACKET從鏈路層抓包libpcap提供API函數(shù)winpcapWindows下的抓包庫(kù)分析數(shù)據(jù)包EthernetIPTCP模式匹配EthernetIPTCP協(xié)議分析HTTPUnicodeXML一個(gè)攻擊檢測(cè)實(shí)例老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接獲得rootshell！簡(jiǎn)單的匹配檢查每個(gè)packet是否包含： “WIZ” |“DEBUG”檢查端口號(hào)縮小匹配范圍Port25:{ “WIZ” |“DEBUG”}深入決策樹(shù)只判斷客戶(hù)端發(fā)送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}

概述

入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理4.

入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap

概述

入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制5.入侵檢測(cè)標(biāo)準(zhǔn)化工作

入侵檢測(cè)的現(xiàn)狀和展望IDS標(biāo)準(zhǔn)化工作的組織IETF的入侵檢測(cè)工作組IDWG：/html.charters/OLD/idwg-charter.html通用入侵檢測(cè)框架CIDF：

/cidf

入侵檢測(cè)工作組IDWGIDWG的主要工作是定義相關(guān)的數(shù)據(jù)格式和共享信息的交換過(guò)程，用于入侵檢測(cè)與響應(yīng)（IntrusionDetectionandResponse，IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享。入侵檢測(cè)工作組IDWG從進(jìn)展?fàn)顩r來(lái)看，目前IDWG基本形成了4個(gè)RFC文檔，其中有3個(gè)文檔實(shí)在2007年3月從草案正式被接受為RFC文檔的，歷時(shí)數(shù)年之久，相當(dāng)不容易；通用入侵檢測(cè)框架CIDFCIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)通信機(jī)制描述語(yǔ)言應(yīng)用編程接口APICIDF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）響應(yīng)單元（Responseunits）事件數(shù)據(jù)庫(kù)（Eventdatabases）。CIDF的體系結(jié)構(gòu)事件產(chǎn)生器響應(yīng)單元事件數(shù)據(jù)庫(kù)事件分析器CIDF的體系結(jié)構(gòu)原始事件響應(yīng)事件通用入侵檢測(cè)框架CIDF目前CIDF的進(jìn)展不盡如人意，該項(xiàng)目組的工作基本處于停滯狀態(tài)，其思想和理念也沒(méi)有得到很好的貫徹和執(zhí)行。

概述

入侵檢測(cè)的分類(lèi)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理

入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作6.入侵檢測(cè)的現(xiàn)狀和展望IDS現(xiàn)狀存在問(wèn)題：誤報(bào)和漏報(bào)的矛盾隱私和安全的矛盾被動(dòng)分析與主動(dòng)發(fā)現(xiàn)的矛盾海量信息與分析代價(jià)的矛盾功能性和可管理性的矛盾單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)絡(luò)速度提高，需滿(mǎn)足高速大規(guī)模網(wǎng)絡(luò)應(yīng)用需求IDS發(fā)展方向分析技術(shù)的改進(jìn)智能化的檢測(cè)方法改進(jìn)對(duì)高速網(wǎng)絡(luò)數(shù)據(jù)流的檢測(cè)與防火墻聯(lián)動(dòng)集成網(wǎng)絡(luò)分析和管理功能入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能、掃描器(Scanner)、嗅探器(Sniffer)等功能是以后發(fā)展的方向IDS與Firewall聯(lián)動(dòng)通過(guò)在防火墻中駐留的一個(gè)IDSAgent對(duì)象，以接收來(lái)自IDS的控制消息，然后再增加防火墻的過(guò)濾規(guī)則，最終實(shí)現(xiàn)聯(lián)動(dòng)CiscoCIDF(CISL)ISSCheckpoint產(chǎn)品免費(fèi)SnortSHADOW/ISSEC/CID/產(chǎn)品商業(yè)CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I資源IDSFAQ/pubs/Focus-IDSMailinglist/archive/96YawlOldHandSinbad/doc.html?board=IDS引語(yǔ)：在這一實(shí)驗(yàn)中，將在Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng)（snort）。Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源，對(duì)原有網(wǎng)絡(luò)性能影響很小。它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的IP包登錄進(jìn)行測(cè)試等功能，能完成協(xié)議分析，內(nèi)容查找／匹配，是用來(lái)探測(cè)多種攻擊的侵入探測(cè)器（如緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB嗅探、指紋采集嘗試等）。Snort可以運(yùn)行在*nix/Win32平臺(tái)上。目的：本實(shí)驗(yàn)在Win2000Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng)（snort）。完成這一實(shí)驗(yàn)之后，將能夠：安裝“snort”服務(wù)，使用“snort”服務(wù)。

實(shí)驗(yàn)入侵檢測(cè)系統(tǒng)snort配置實(shí)驗(yàn)所需軟件：具備服務(wù)器運(yùn)行Windows2000Server。snort軟件。要完整的安裝入侵檢測(cè)系統(tǒng)必須先從網(wǎng)上下載以下軟件：Snort（Win32MySQLBinary!）（）；SnortRules2.1（）；

WinPcap3.1（winpcap.polito.it）；MySQLShareware3.23.58（）；PHP4.3.5（）；

ADODB3.5.0（/lens/dl/）；ACID0.9.6b6（/kb/acid/）；l

MySQLDatabasel

PHP實(shí)驗(yàn)入侵檢測(cè)系統(tǒng)snort配置任務(wù)1.安裝Snort任務(wù)2.安裝MySQLDatabase

任務(wù)3.生成Win32MySQLdatabase

任務(wù)4.在MySQL中生成Acid的庫(kù)表

任務(wù)5.測(cè)試Snort

任務(wù)6.將Snort設(shè)置成為windows2000/XP的一項(xiàng)服務(wù)

任務(wù)7.安裝PHP

任務(wù)8.配置PHP運(yùn)行在2000/XP的IIS4/5環(huán)境下

任務(wù)9.安裝ADODB—一個(gè)高性能的數(shù)據(jù)庫(kù)

實(shí)驗(yàn)入侵檢測(cè)系統(tǒng)snort配置第7章安全檢測(cè)技術(shù)——網(wǎng)絡(luò)信息獲取技術(shù)陳德偉Chendw_t@西南財(cái)經(jīng)大學(xué)信息工程學(xué)院目錄網(wǎng)絡(luò)信息收集網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)流量偵聽(tīng)技術(shù)網(wǎng)絡(luò)信息收集信息攻擊者和管理者都需要各種網(wǎng)絡(luò)信息，如：域名，IP地址，主機(jī)運(yùn)行的TCP和UDP服務(wù)，系統(tǒng)信息（用戶(hù)名、版本等），認(rèn)證機(jī)制。網(wǎng)絡(luò)信息收集—社會(huì)信息指通過(guò)非網(wǎng)絡(luò)技術(shù)手段獲得的信息社會(huì)工程：獲取員工的信任。搜索引擎：google,百度新聞?wù)搲W(wǎng)站：網(wǎng)絡(luò)信息收集－WHOISWHOIS：是用來(lái)查詢(xún)域名的IP以及所有者等信息的傳輸協(xié)議UNIX系統(tǒng)自帶Whois客戶(hù)端程序，windows可以直接通過(guò)Web查詢(xún)中國(guó)域名信息查詢(xún)：W網(wǎng)易的域名信息網(wǎng)絡(luò)信息收集－DNS查詢(xún)DNS是一個(gè)全球分布式數(shù)據(jù)庫(kù)，對(duì)每一個(gè)DNS結(jié)點(diǎn)，都包含該結(jié)點(diǎn)的機(jī)器、郵件服務(wù)器、主機(jī)CPU和操作系統(tǒng)信息。Nslookup:客戶(hù)程序，可以把DNS數(shù)據(jù)庫(kù)中的信息挖掘出來(lái)Nslookup查詢(xún)的新浪注：本機(jī)所訪(fǎng)問(wèn)到的新浪網(wǎng)頁(yè)是鏡像網(wǎng)站目錄網(wǎng)絡(luò)信息收集網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)流量偵聽(tīng)技術(shù)掃描技術(shù)掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一，是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)，是為使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。掃描步驟一次完整的掃描分為3個(gè)階段：（1）第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。（2）第2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類(lèi)型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息。（3）第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。掃描技術(shù)的分類(lèi)掃描技術(shù)主要包括主機(jī)掃描端口掃描

主機(jī)掃描技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描ICMPecho掃描實(shí)現(xiàn)原理：Ping的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開(kāi)機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過(guò)濾掉。優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持缺點(diǎn)：很容易被防火墻限制可以通過(guò)并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（ICMPSweep掃描）。BroadcastICMP掃描實(shí)現(xiàn)原理：將ICMPECHOrequest包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點(diǎn)：只適合于UNIX/Linux系統(tǒng)，Windows會(huì)忽略這種請(qǐng)求包；這種掃描方式容易引起廣播風(fēng)暴ICMP報(bào)文類(lèi)型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。端口掃描技術(shù)主要包括以下三類(lèi)：開(kāi)放掃描（TCPConnect掃描）會(huì)產(chǎn)生大量審計(jì)數(shù)據(jù)，易被對(duì)方發(fā)現(xiàn)，但其可靠性高隱蔽掃描（TCPFIN掃描、分段掃描）能有效的避免對(duì)方入侵檢測(cè)系統(tǒng)和防火墻的檢測(cè)，但這種掃描使用的數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息；半開(kāi)放掃描（TCPSYN掃描）隱蔽性和可靠性介于前兩者之間。開(kāi)放掃描TCPConnect掃描實(shí)現(xiàn)原理：通過(guò)調(diào)用socket函數(shù)connect()連接到目標(biāo)計(jì)算機(jī)上，完成一次完整的三次握手過(guò)程。如果端口處于偵聽(tīng)狀態(tài)，那么connect()就能成功返回。否則，這個(gè)端口不可用，即沒(méi)有提供服務(wù)。優(yōu)點(diǎn)：穩(wěn)定可靠，不需要特殊的權(quán)限缺點(diǎn)：掃描方式不隱蔽，服務(wù)器日志會(huì)記錄下大量密集的連接和錯(cuò)誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽半開(kāi)放掃描TCPSYN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送SYN包。如果應(yīng)答是RST包，那么說(shuō)明端口是關(guān)閉的；如果應(yīng)答中包含SYN和ACK包，說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài)，再傳送一個(gè)RST包給目標(biāo)機(jī)從而停止建立連接。在SYN掃描時(shí)，全連接尚未建立，所以這種技術(shù)通常被稱(chēng)為半連接掃描優(yōu)點(diǎn)：隱蔽性較全連接掃描好，一般系統(tǒng)對(duì)這種半掃描很少記錄缺點(diǎn)：通常構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶(hù)或者授權(quán)用戶(hù)訪(fǎng)問(wèn)專(zhuān)門(mén)的系統(tǒng)調(diào)用隱蔽掃描技術(shù)——TCPFIN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送FIN包。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且返回一個(gè)RST數(shù)據(jù)包。否則，若是打開(kāi)的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉（不返回RST）。優(yōu)點(diǎn)：由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而必SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器。缺點(diǎn)：跟SYN掃描類(lèi)似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級(jí)用戶(hù)或者授權(quán)用戶(hù)訪(fǎng)問(wèn)專(zhuān)門(mén)的系統(tǒng)調(diào)用；通常適用于UNIX目標(biāo)主機(jī)。但在Windows環(huán)境下，該方法無(wú)效，因?yàn)椴徽撃繕?biāo)端口是否打開(kāi)，操作系統(tǒng)都返回RST包。利用綜合掃描工具收集信息目錄網(wǎng)絡(luò)信息收集網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)流量偵聽(tīng)技術(shù)網(wǎng)絡(luò)監(jiān)聽(tīng)原理網(wǎng)卡工作在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀為單位進(jìn)行傳輸，在幀頭部分含有數(shù)據(jù)的目的MAC地址和源MAC地址。普通模式下，網(wǎng)卡只接收與自己MAC地址相同的數(shù)據(jù)包，并將其傳遞給操作系統(tǒng)。在“混雜”模式下，網(wǎng)卡將所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給操作系統(tǒng)。被監(jiān)聽(tīng)的網(wǎng)絡(luò)類(lèi)型：以太網(wǎng)FDDI、Token-ring使用電話(huà)線(xiàn)通過(guò)有線(xiàn)電視信道微波和無(wú)線(xiàn)電網(wǎng)絡(luò)監(jiān)聽(tīng)原理舉例：共享式集線(xiàn)器（HUB）連接將網(wǎng)卡置于混雜模式實(shí)現(xiàn)監(jiān)聽(tīng)Sniffer軟件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能較全)IrisAcePasswordSniffer(自動(dòng)捕獲口令)CuteSniffer自動(dòng)捕捉口令A(yù)cePasswordSniffer，能監(jiān)聽(tīng)LAN，取得密碼。包括：FTP、POP3、HTTP、SMTP、Telnet密碼。交換局域網(wǎng)嗅探交換機(jī)在正常模式下按MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)包，此時(shí)只能監(jiān)聽(tīng)廣播數(shù)據(jù)包。交換網(wǎng)絡(luò)嗅探的關(guān)鍵：如何使不應(yīng)到達(dá)的數(shù)據(jù)包到達(dá)本地MAC洪水包利用交換機(jī)的鏡像功能利用ARP欺騙MAC洪水包向交換機(jī)發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包，使交換機(jī)無(wú)法處理如此多的信息，致使交換機(jī)就進(jìn)入了所謂的"打開(kāi)失效"模式，也就是開(kāi)始了類(lèi)似于集線(xiàn)器的工作方式，向網(wǎng)絡(luò)上所有的機(jī)器廣播數(shù)據(jù)包利用交換機(jī)的鏡像功能利用交換機(jī)的鏡像功能利用ARP欺騙首先介紹以太數(shù)據(jù)包格式

目的MAC地址源MAC地址類(lèi)型數(shù)據(jù)66246~1500類(lèi)型0800：IP數(shù)據(jù)包

類(lèi)型0806：ARP數(shù)據(jù)包

目的端MAC地址源MAC地址0806硬件類(lèi)型協(xié)議類(lèi)型硬件地址長(zhǎng)度協(xié)議地址長(zhǎng)度ARP包類(lèi)型發(fā)送端MAC地址發(fā)送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太網(wǎng)首部-------->

<------26字節(jié)ARP請(qǐng)求/應(yīng)答-------->ARP數(shù)據(jù)包格式交換局域網(wǎng)嗅探在VICTIM運(yùn)行ARP–A，有如下輸出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType

00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic交換局域網(wǎng)嗅探在ATTACKER上構(gòu)建并發(fā)送表一所示的包，其中

目的mac為00-00-00-00-00-02，

目的IPaddress為，

發(fā)送者M(jìn)AC為00-00-00-00-00-01，

發(fā)送者IP為（假冒IP）。在VICTIM上運(yùn)行ARP–A，有如下的輸出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType