数据分析与过滤技术课件

数据分析与过滤网络安全－研究性专题：专题四数据分析与过滤网络安全－研究性专题：专题四内容提要信息收集协议与工具Wireshark实例anti-sniffer2内容提要信息收集2信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息3信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析4信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析识别安全隐患识别数据泄露发现网络故障依法拦截检测数据丢失核实安全修复取证性能测试5信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构6协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构Tracert(traceroute)程序:通过Tracert程序可以获得到达目标主机的路由跳数和网络参数7协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系协议与工具Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数8协议与工具Whois协议:该协议的服务信息能提供所有有关的协议与工具DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的域名9协议与工具DNS服务器:该服务器提供了系统中可以访问的主机协议与工具Ping程序:该命令主要用来检查路由是否能够到达某站点10协议与工具Ping程序:该命令主要用来检查路由是否能够到协议与工具Ping程序:该命令主要用来检查路由是否能够到达某站点Wireshark程序:监听并收集本地网络上的通信数据11协议与工具Ping程序:该命令主要用来检查路由是否能够到协议与工具Sniffer程序:监听并收集本地网络上的通信数据12协议与工具Sniffer程序:监听并收集本地网络上的通信数协议与工具端口扫描程序:是指能够发送一组端口扫描消息，试图以此侵入目标计算机，并了解其提供的网络服务类型（这些网络服务均与端口号相关）的程序攻击者可以通过了解到的信息来确定从哪里可探寻到攻击弱点端口扫描包括向每个端口发送消息、接收回应的消息并判断目标计算机是否在使用该端口，进而由此探寻弱点判断目标主机上开放了哪些服务判断目标主机的操作系统13协议与工具端口扫描程序:13协议与工具端口扫描程序:TCPconnect()扫描TCPSYN扫描TCPFIN扫描IP段扫描TCP反向ident扫描FTP返回攻击UDPICMP端口不能到达扫描UDPrecvfrom()和write()扫描ICMPecho扫描14协议与工具端口扫描程序:14OSIModelDataunitLayerFunctionHost

layersData7.ApplicationNetworkprocesstoapplication6.PresentationDatarepresentation,encryptionanddecryption,convertmachinedependentdatatomachineindependentdata5.SessionInterhostcommunicationSegments4.TransportEnd-to-endconnectionsandreliability,flowcontrolMedia

layersPacket/Datagram3.NetworkPathdeterminationandlogicaladdressingFrame2.DataLinkPhysicaladdressingBit1.PhysicalMedia,signalandbinarytransmission15OSIModelDataunitLayerFunctio协议与工具16协议与工具16协议与工具IP17协议与工具IP17协议与工具TCP18协议与工具TCP18协议与工具ARP19协议与工具ARP19Wireshark20Wireshark20Wireshark原理-PromiscuousMode21Wireshark原理-PromiscuousModeWireshark22Wireshark22Wireshark23Wireshark23Wireshark24Wireshark24实例1网络症状网络速度变慢PC机联网经常中断网络设备没有故障应用程序没有发现问题症状存在了较长时间25实例1网络症状25实例1截获数据26实例1截获数据26实例1统计分析27实例1统计分析27实例1统计分析28实例1统计分析28实例1协议分布29实例1协议分布29实例1过滤30实例1过滤30实例1详细分析31实例1详细分析31实例1查找数据源32实例1查找数据源32实例1关闭故障点后33实例1关闭故障点后33实例1关闭故障点后34实例1关闭故障点后34实例1进一步分析35实例1进一步分析35实例236实例236实例237实例237实例338实例338实例339实例339实例440实例440实例4实例4实例442实例442实例443实例443实例444实例444实例445实例445实例446实例446实例447实例447实例548实例548anti-sniffer检测本机:进程查看正确IP地址+错误物理地址->ping被怀疑的主机，运行监听程序的机器会有响应许多网络监听软件都会尝试进行地址反向解析，怀疑有监听时，可在DNS上观测有没有明显增多的解析请求防范从逻辑或物理上对网络分段以交换式集线器代替共享式集线器使用加密技术划分VLAN49anti-sniffer检测49数据分析与过滤网络安全－研究性专题：专题四数据分析与过滤网络安全－研究性专题：专题四内容提要信息收集协议与工具Wireshark实例anti-sniffer51内容提要信息收集2信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息52信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析53信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析识别安全隐患识别数据泄露发现网络故障依法拦截检测数据丢失核实安全修复取证性能测试54信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构55协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构Tracert(traceroute)程序:通过Tracert程序可以获得到达目标主机的路由跳数和网络参数56协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系协议与工具Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数57协议与工具Whois协议:该协议的服务信息能提供所有有关的协议与工具DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的域名58协议与工具DNS服务器:该服务器提供了系统中可以访问的主机协议与工具Ping程序:该命令主要用来检查路由是否能够到达某站点59协议与工具Ping程序:该命令主要用来检查路由是否能够到协议与工具Ping程序:该命令主要用来检查路由是否能够到达某站点Wireshark程序:监听并收集本地网络上的通信数据60协议与工具Ping程序:该命令主要用来检查路由是否能够到协议与工具Sniffer程序:监听并收集本地网络上的通信数据61协议与工具Sniffer程序:监听并收集本地网络上的通信数协议与工具端口扫描程序:是指能够发送一组端口扫描消息，试图以此侵入目标计算机，并了解其提供的网络服务类型（这些网络服务均与端口号相关）的程序攻击者可以通过了解到的信息来确定从哪里可探寻到攻击弱点端口扫描包括向每个端口发送消息、接收回应的消息并判断目标计算机是否在使用该端口，进而由此探寻弱点判断目标主机上开放了哪些服务判断目标主机的操作系统62协议与工具端口扫描程序:13协议与工具端口扫描程序:TCPconnect()扫描TCPSYN扫描TCPFIN扫描IP段扫描TCP反向ident扫描FTP返回攻击UDPICMP端口不能到达扫描UDPrecvfrom()和write()扫描ICMPecho扫描63协议与工具端口扫描程序:14OSIModelDataunitLayerFunctionHost

layersData7.ApplicationNetworkprocesstoapplication6.PresentationDatarepresentation,encryptionanddecryption,convertmachinedependentdatatomachineindependentdata5.SessionInterhostcommunicationSegments4.TransportEnd-to-endconnectionsandreliability,flowcontrolMedia

layersPacket/Datagram3.NetworkPathdeterminationandlogicaladdressingFrame2.DataLinkPhysicaladdressingBit1.PhysicalMedia,signalandbinarytransmission64OSIModelDataunitLayerFunctio协议与工具65协议与工具16协议与工具IP66协议与工具IP17协议与工具TCP67协议与工具TCP18协议与工具ARP68协议与工具ARP19Wireshark69Wireshark20Wireshark原理-PromiscuousMode70Wireshark原理-PromiscuousModeWireshark71Wireshark22Wireshark72Wireshark23Wireshark73Wireshark24实例1网络症状网络速度变慢PC机联网经常中断网络设备没有故障应用程序没有发现问题症状存在了较长时间74实例1网络症状25实例