,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,数据分析与过滤,网络安全研究性专题：专题四,数据分析与过滤网络安全研究性专题：专题四,内容提要,信息收集,协议与工具,Wireshark,实例,anti-sniffer,2,内容提要信息收集2,信息收集,为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息,3,信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具,信息收集,为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息,为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析,4,信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具,信息收集,为进入所要攻击的目标网络，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节信息,为发现网络故障的起因，或寻找网络瓶颈，优化网络性能，需要收集网络中的数据信息，进行统计分析或协议分析,识别安全隐患,识别数据泄露,发现网络故障,依法拦截,检测数据丢失,核实安全修复,取证,性能测试,5,信息收集为进入所要攻击的目标网络，黑客常常利用一些协议和工具,协议与工具,SNMP,协议,:,通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构,6,协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系,协议与工具,SNMP,协议,:,通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构,Tracert(traceroute),程序,:,通过,Tracert,程序可以获得到达目标主机的路由跳数和网络参数,7,协议与工具SNMP协议:通过简单网络管理协议,能够查看网络系,协议与工具,Whois,协议,:,该协议的服务信息能提供所有有关的,DNS,域和相关的管理参数,8,协议与工具Whois协议:该协议的服务信息能提供所有有关的,协议与工具,DNS,服务器,:,该服务器提供了系统中可以访问的主机的,IP,地址表和它们所对应的域名,9,协议与工具DNS服务器:该服务器提供了系统中可以访问的主机,协议与工具,Ping,程序,:,该命令主要用来检查路由是否能够到达某站点,10,协议与工具Ping 程序:该命令主要用来检查路由是否能够到,协议与工具,Ping,程序,:,该命令主要用来检查路由是否能够到达某站点,Wireshark,程序,:,监听并收集本地网络上的通信数据,11,协议与工具Ping 程序:该命令主要用来检查路由是否能够到,协议与工具,Sniffer,程序,:,监听并收集本地网络上的通信数据,12,协议与工具Sniffer程序:监听并收集本地网络上的通信数,协议与工具,端口扫描程序,:,是指能够发送一组端口扫描消息，试图以此侵入目标计算机，并了解其提供的网络服务类型（这些网络服务均与端口号相关）的程序,攻击者可以通过了解到的信息来确定从哪里可探寻到攻击弱点,端口扫描包括向每个端口发送消息、接收回应的消息并判断目标计算机是否在使用该端口，进而由此探寻弱点,判断目标主机上开放了哪些服务,判断目标主机的操作系统,13,协议与工具端口扫描程序:13,协议与工具,端口扫描程序,:,TCP connect(),扫描,TCP SYN,扫描,TCP FIN,扫描,IP,段扫描,TCP,反向,ident,扫描,FTP,返回攻击,UDP ICMP,端口不能到达扫描,UDP recvfrom(),和,write(),扫描,ICMP echo,扫描,14,协议与工具端口扫描程序:14,OSI Model,Data unit,Layer,Function,Hostlayers,Data,7.,Application,Network process to application,6.,Presentation,Data representation,encryption and decryption,convert machine dependent data to machine independent data,5.,Session,Interhost communication,Segments,4.,Transport,End-to-end connections and reliability,flow control,Medialayers,Packet/Datagram,3.,Network,Path determination and,logical addressing,Frame,2.,Data Link,Physical addressing,Bit,1.,Physical,Media,signal and binary transmission,15,OSI ModelData unitLayerFunctio,协议与工具,16,协议与工具16,协议与工具,IP,17,协议与工具IP17,协议与工具,TCP,18,协议与工具TCP18,协议与工具,ARP,19,协议与工具ARP19,Wireshark,20,Wireshark20,Wireshark,原理,-Promiscuous Mode,21,Wireshark原理-Promiscuous Mode,Wireshark,22,Wireshark22,Wireshark,23,Wireshark23,Wireshark,24,Wireshark24,实例,1,网络症状,网络速度变慢,PC,机联网经常中断,网络设备没有故障,应用程序没有发现问题,症状存在了较长时间,25,实例1网络症状25,实例,1,截获数据,26,实例1截获数据26,实例,1,统计分析,27,实例1统计分析27,实例,1,统计分析,28,实例1统计分析28,实例,1,协议分布,29,实例1协议分布29,实例,1,过滤,30,实例1过滤30,实例,1,详细分析,31,实例1详细分析31,实例,1,查找数据源,32,实例1查找数据源32,实例,1,关闭故障点后,33,实例1关闭故障点后33,实例,1,关闭故障点后,34,实例1关闭故障点后34,实例,1,进一步分析,35,实例1进一步分析35,实例,2,36,实例236,实例,2,37,实例237,实例,3,38,实例338,实例,3,39,实例339,实例,4,40,实例440,实例,4,实例4,实例,4,42,实例442,实例,4,43,实例443,实例,4,44,实例444,实例,4,45,实例445,实例,4,46,实例446,实例,4,47,实例447,实例,5,48,实例548,anti-sniffer,检测,本机,:,进程查看,正确,IP,地址,+,错误物理地址,-ping,被怀疑的主机，运行监听程序的机器会有响应,许多网络监听软件都会尝试进行地址反向解析，怀疑有监听时，可在,DNS,上观测有没有明显增多的解析请求,防范,从逻辑或物理上对网络分段,以交换式集线器代替共享式集线器,使用加密技术,划分,VLAN,49,anti-sniffer检测49,