网络安全与实践 网络安全实践 课程6-网络安全防护技术.ppt

Snortv2.x–数据包嗅探?网卡设置混杂模式?基于libpcap库 ?libpcap在链路层从网卡取得数据包 ?提供接口允许开发人员解析和分析数据包?Snort和libpcap的连接 ?Snort.c:进入pcap主执行循环pcap_loop ?回调函数ProcessPacket() ?当pcap接收到数据包，即调用回调函数 ?Snort通过ProcessPacket()函数对数据包进行处理 ?decode.c解析-detect.c/fpdetect.c检测2011年3月6日632011年3月6日64Snortv2.x–包解析 PCAP_LoopProcessPacket() Decode14LRawIPPktDecode14LCiscoIPPkt DecodePflogDecodeNullPktDecodeRawPktDecodeEthPkt DecodeVlanDecodeSlipPktDecodePPPpktDecodeTRPktDecodeFDDIDecodeIEEE80211Pkt DecodeEapol DecodeEapolKey DecodeEAPDecodeIPv6 DecodeIPXDecodeIPDecodeARPDecodeIPOptionsDecodeICMPDecodeUDP DecodeTCPDecodeTCPOptionsTypedefstruct_Packet{structpcap_pkthdr*pkth;u_int8_t*pkt;EtherHdr*eh;//标准TCP/IP/Ethernet/ARP包头VlanTagHdr*vh;WifiHdr*wifih;//无线LAN包头EtherARP*ah;IPHdr*iph,*orig_iph;u_int32_tip_options_len;u_int8_t*ip_options_data;TCPHdr*tcph,*orig_tcph;u_int32_ttcp_options_len;u_int8_t*tcp_options_data;UDPHdr*udph,*orig_udph;...Snortv2.x–预处理器与插件?IP分片/TCP流处理/流跟踪 ?frag#/stream#/flow?应用层协议分析 ?telnet,rpc,http ?工作:应用层协议解码,应用层协议规范异常检 查,Unicode解码,…?异常检测 ?Portscan类:portscan#/sfportscan ?Arpspoof检测，BO探测2011年3月6日65Snortv2.x–核心检测引擎?核心检测引擎:Signature-based(Rule-based) ?Snort规则库:描述已知攻击的数据包/流特征 ?检测引擎:基于模式匹配算法查看当前数据包/流是否满足已 知攻击规则?Snort规则库 ?SourcefireVRTCertifiedRules: /vrt/ ?snortrules-snapshot-CURRENT_s.tar.gz:当前公 开发布最新规则库 ?VRTCertifiedRulesforSnort:snortrules- snapshot-CURRENT.tar.gz:Sourcefire付费服务 ?Snort规则知识库:/snort-db/2011年3月6日662011年3月6日31Netfilter在Linux协议栈中的hook检查点?????PREROUTING:进入防火墙数据包,路由转发前,实现NAPT/DNATLOCALINPUT:发往本地协议栈的数据包,实现本地安全防护FORWARD:经过防火墙转发的数据包,实现网络流状态过滤LOCALOUTPUT:从本地协议栈发出的数据包,限制对外访问POSTROUTING:从防火墙发出数据包,路由转发后,实现SNAT134路由路由本地协议栈NF_IP_PRE_ROUTINGNF_IP_FORWARDNF_IP_POST_ROUTING 2NF_IP_LOCAL_IN 5NF_IP_LOCAL_OUT2011年3月6日32Netfilter的检查链和处理策略?Netfilter检查链 ?通