第第5章章安全防护与入侵检测安全防护与入侵检测 Sniffer ProSniffer Pro网络管理与监视网络管理与监视5.1入侵检测系统入侵检测系统 5.2 蜜罐系统蜜罐系统 5.31本章学习要点本章学习要点掌握掌握Sniffer Pro的主要功能与基本组成的主要功能与基本组成掌握掌握Sniffer Pro的基本使用方法和数据的的基本使用方法和数据的捕获捕获2了解如何利用了解如何利用Sniffer Pro进行网络优化与进行网络优化与故障排除故障排除掌握入侵检测系统的定义与分类以及选掌握入侵检测系统的定义与分类以及选择方法择方法了解蜜罐的定义、分类和应用了解蜜罐的定义、分类和应用35.1 Sniffer Pro网络管理与监视网络管理与监视5.1.1 Sniffer Pro的功能的功能它主要具有以下功能。它主要具有以下功能。实时监测网络活动。实时监测网络活动。数据包捕捉与发送。数据包捕捉与发送。网络测试与性能分析。网络测试与性能分析。利用专家分析系统进行故障诊断。利用专家分析系统进行故障诊断。网络硬件设备测试与管理。网络硬件设备测试与管理。45.1.2 Sniffer Pro的登录与界面的登录与界面1Sniffer Pro的登录的登录图图5.1 选择网络适配器选择网络适配器 5图图5.2 Sniffer Pro的工作界面的工作界面 62Sniffer Pro的界面的界面（1）仪表盘）仪表盘（2）主机列表）主机列表（3）矩阵）矩阵（4）应用程序响应时间）应用程序响应时间（5）历史抽样）历史抽样7图图5.3 Sniffer Pro的仪表盘的仪表盘 8图图5.4 Sniffer Pro主机列表详细资料主机列表详细资料 9图图5.5 Sniffer Pro矩阵地图矩阵地图 10 图图5.6 Sniffer Pro应用程序响应时间表单应用程序响应时间表单 11图图5.7 Sniffer Pro应用程序响应时间应用程序响应时间ART选项选项 12图图5.8 Sniffer Pro历史抽样历史抽样 13（6）协议分布）协议分布（7）全局统计）全局统计（8）警告日志）警告日志（9）捕获面板）捕获面板（10）地址本）地址本14图图5.10 Sniffer Pro协议分布协议分布 15图图5.11 Sniffer Pro全局统计全局统计 16图图5.12 Sniffer Pro警告日志警告日志 17图图5.13 Sniffer Pro捕获面板捕获面板 18图图5.14 Sniffer Pro地址本地址本 195.1.3 Sniffer Pro报文的捕获与解析报文的捕获与解析名称名称图标图标功能功能开始按钮开始按钮表示可以开始捕获过程表示可以开始捕获过程暂停按钮暂停按钮可以在任何时间停止捕获过程，稍后再继续可以在任何时间停止捕获过程，稍后再继续停止按钮停止按钮可以停止过程来查看信息，或将信息存为一个文件可以停止过程来查看信息，或将信息存为一个文件停止并显示按钮停止并显示按钮已停止捕获并显示捕获的帧已停止捕获并显示捕获的帧显示按钮显示按钮显示一个已经停止捕获过程的结果显示一个已经停止捕获过程的结果定义过滤器按钮定义过滤器按钮定义用来捕获帧的条件定义用来捕获帧的条件选择过滤器选择过滤器从定义好的条件列表中选择一个用于捕获从定义好的条件列表中选择一个用于捕获表表5.1捕获栏功能介绍捕获栏功能介绍 205.1.4 Sniffer Pro的高级应用的高级应用图标图标高级系统层次名称高级系统层次名称OSI模型的层次模型的层次服务层（服务层（Service）应用层与表示层应用层与表示层应用程序层（应用程序层（Application）应用层与表示层应用层与表示层会话层（会话层（Session）会话层会话层数据链路层（数据链路层（Connection）数据链路层数据链路层工作站层（工作站层（Station）网络层网络层DLC数据链路层与物理层数据链路层与物理层表表5.2 Sniffer Pro高级系统层次与高级系统层次与OSI对应关系对应关系 21 高级系统可以监控网络的运行现状或症高级系统可以监控网络的运行现状或症状（状（Symptoms）和相应对象（）和相应对象（Objects），），并进行诊断（并进行诊断（Diagnoses），如图），如图5.21所示。所示。22图图5.21 Sniffer Pro高级系统高级系统 23 诊断（诊断（Diagnoses）：显示高级系统中）：显示高级系统中所有层发生事件的情况的诊断结果，如所有层发生事件的情况的诊断结果，如当网络中某一问题或故障多次重复出现当网络中某一问题或故障多次重复出现时，系统就会提供该信息。时，系统就会提供该信息。24 症状（症状（Symptoms）：显示高级系统中）：显示高级系统中所有层事件的症状数量。所有层事件的症状数量。 对象（对象（Objects）：显示高级系统中所）：显示高级系统中所有层发生事件的对象数，如路由器、网络有层发生事件的对象数，如路由器、网络工作站、工作站、IP地址或地址或MAC地址。地址。25 当使用高级系统进行故障诊断时，它当使用高级系统进行故障诊断时，它的层模型可以提供很好的帮助，实际上它的层模型可以提供很好的帮助，实际上它将故障的每一个环节分离出来，解决故障将故障的每一个环节分离出来，解决故障就需要对每一层的功能加以了解。就需要对每一层的功能加以了解。26 服务层（服务层（Service）：显示汇总使用）：显示汇总使用HTTP和和FTP等协议的对象，通过单击对象按钮等协议的对象，通过单击对象按钮 深入了解每次连接的详细情况，如图深入了解每次连接的详细情况，如图5.22所示。所示。27图图5.22 Sniffer Pro高级系统服务层对象高级系统服务层对象 28应用程序层（应用程序层（Application）：实际上可）：实际上可以显示以显示TCP/IP的应用层各种服务的工作的应用层各种服务的工作状况。状况。29会话层（会话层（Session）：检查与注册和安全相）：检查与注册和安全相关的问题，如黑客攻击口令破解。关的问题，如黑客攻击口令破解。数据链路层（数据链路层（Connection）：会检查与端）：会检查与端到端通信的效率和错误率有关的问题，如到端通信的效率和错误率有关的问题，如在滑动窗口冻结、多次重传等现象。在滑动窗口冻结、多次重传等现象。30工作站层（工作站层（Station）：检查网络寻址和）：检查网络寻址和路由选择问题，如路由翻滚、路由重定路由选择问题，如路由翻滚、路由重定向以及有没有路由更新等问题。向以及有没有路由更新等问题。DLC层：显示物理层和数据链路层的工层：显示物理层和数据链路层的工作状况，如网络电压和电流状况、作状况，如网络电压和电流状况、CRC错误、是否存在帧过短或过长等问题。错误、是否存在帧过短或过长等问题。31 高级系统的层次模型除上述高级系统的层次模型除上述6层以外层以外还有还有3层，它们的功能如表层，它们的功能如表5.3所示。所示。32图标图标名称名称功能功能全局层（全局层（Global）显示与系统和区段整体相关的问题，包括捕获帧的总显示与系统和区段整体相关的问题，包括捕获帧的总数、整体统计信息广播或组播的数量以及发生时间数、整体统计信息广播或组播的数量以及发生时间路由层（路由层（Route）显示网络上的路由问题，如路径更换过于频繁显示网络上的路由问题，如路径更换过于频繁子网层（子网层（Subnet）在对象栏中会将所有的子网显示出来在对象栏中会将所有的子网显示出来表表5.3 Sniffer Pro高级系统层次高级系统层次 33 下面通过利用下面通过利用Sniffer Pro检测检测Code Red 这一实例来了解捕获的完整功能。这一实例来了解捕获的完整功能。 Code Red II病毒可以利用病毒可以利用IIS的缓冲区的缓冲区溢出漏洞，通过溢出漏洞，通过TCP的的80端口传播，并且该端口传播，并且该病毒变种在感染系统后会释放出黑客程序。病毒变种在感染系统后会释放出黑客程序。34 它攻击的目标系统为安装它攻击的目标系统为安装Indexing services 和和IIS 4.0 或或IIS 5.0的的Windows 2000 系统、安装系统、安装Index Server 2.0和和IIS 4.0 或或IIS 5.0的的Microsoft Windows NT 4.0系统，可以系统，可以 在在WINNTSYSTEM32LOGFILESW3SVC1 目录下的日志文件中查看是否含有以下内容：目录下的日志文件中查看是否含有以下内容：35GET，/default.ida,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,36 如果发现这些内容，那么该系统已如果发现这些内容，那么该系统已经遭受经遭受“红色代码红色代码”的攻击。的攻击。 可以通过可以通过Sniffer Pro检测网络中的数检测网络中的数据包是否含有据包是否含有Code Red 的特征码，断的特征码，断定网络上是否有中毒的主机。定网络上是否有中毒的主机。37步骤步骤1：单击定义过滤器按钮，单击：单击定义过滤器按钮，单击“高级高级”选项卡，单击选项卡，单击“配置文件配置文件”（Profile）按钮，）按钮，在弹出的捕获配置文件对话框中单击在弹出的捕获配置文件对话框中单击“新建新建”按钮。按钮。38步骤步骤2：输入名称，如：输入名称，如codered，如图，如图5.23所示。所示。步骤步骤3：单击：单击“OK”按钮，接着单击按钮，接着单击“完成完成” （Done）按钮，退回到高级选项（）按钮，退回到高级选项（Advanced） 视图。视图。39 图图5.23 Sniffer Pro过滤器配置过滤器配置 40步骤步骤4：选中：选中TCP下面的下面的HTTP复选框，复选框，如图如图5.24所示。所示。41图图5.24 Sniffer Pro过滤器过滤器Advanced配置配置 42步骤步骤5：单击数据模式（：单击数据模式（Data Pattern）选）选项卡，单击项卡，单击“增加模式增加模式”（Add Pattern）按钮，如图按钮，如图5.25所示。所示。43图图5.25 Sniffer Pro过滤器配置数据模式过滤器配置数据模式 44步骤步骤6：将补偿值（：将补偿值（Offset）设为）设为36，格式，格式（Format）设为）设为ASCII，将，将Code Red的特的特征码输入域征码输入域1和域和域2：“GET/default.ida? XXXXXXXXXXXXXXX” 。 将名称（将名称（Name）设为）设为codered类型，类型，单击单击“OK”按钮，如图按钮，如图5.26所示。所示。45图图5.26 Sniffer Pro过滤器配置数据模式过滤器配置数据模式 46步骤步骤7：进行监听，如果网络上有被感染：进行监听，如果网络上有被感染的主机，可以在高级系统的服务层、应用的主机，可以在高级系统的服务层、应用层找到详细信息，而且可以通过会话层了层找到详细信息，而且可以通过会话层了解该主机是否对其他设备进行攻击。解该主机是否对其他设备进行攻击。475.2 入侵检测系统入侵检测系统5.2.1 入侵检测的概念与原理入侵检测的概念与原理图图5.27 通用入侵检测模型通用入侵检测模型 485.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能图图5.28 入侵检测系统的组成入侵检测系统的组成 49 入侵检测系统的基本功能有以下几点。入侵检测系统的基本功能有以下几点。检测和分析用户与系统的活动。检测和分析用户与系统的活动。审计系统配置和漏洞。审计系统配置和漏洞。评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。50识别已知攻击。识别已知攻击。统计分析异常行为。统计分析异常行为。操作系统的审计、跟踪、管理，并识别操作系统的审计、跟踪、管理，并识别违反安全策略的用户活动。违反安全策略的用户活动。515.2.3 入侵检测系统的分类入侵检测系统的分类1按照检测类型划分按照检测类型划分（1）异常检测模型）异常检测模型（2）特征检测模型）特征检测模型522按照检测对象划分按照检测对象划分 基于主机的入侵检测产品（基于主机的入侵检测产品（HIDS）通常安装在被重点检测的主机之上，主通常安装在被重点检测的主机之上，主要是对该主机的网络进行实时连接以及要是对该主机的网络进行实时连接以及对系统审计日志进行智能分析和判断。对系统审计日志进行智能分析和判断。53 基于网络的入侵检测产品（基于网络的入侵检测产品（NIDS）放）放置在比较重要的网段内，不停地监视网置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。可疑的数据包进行特征分析。 545.2.4 入侵检测系统的部署入侵检测系统的部署图图5.29 入侵检测系统一般部署图入侵检测系统一般部署图555.2.5 入侵检测系统的选型入侵检测系统的选型 在此基础上，可以参照表在此基础上，可以参照表5.5选择适选择适合于自身网络的入侵检测系统。合于自身网络的入侵检测系统。56产品是否可扩展产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理之间通信带宽和对审计日志溢出的处理该产品是否进行过攻击测试该产品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试，明确测试了解产品提供商提供的产品是否进行过攻击测试，明确测试步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力产品支持的入侵特征数产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样，尽量参考不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准国际标准特征库升级与维护的周期、方式、特征库升级与维护的周期、方式、费用费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方入侵检测的特征库需要不断更新才能检测出新出现的攻击方法法最大可处理流量最大可处理流量一般有百兆、千兆、万兆之分一般有百兆、千兆、万兆之分表表5.5入侵检测系统选择标准入侵检测系统选择标准 57是否通过了国家权威机构的测评是否通过了国家权威机构的测评主要的权威测评机构有国家信息安全测评认证中心、公安主要的权威测评机构有国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心部计算机信息系统安全产品质量监督检验中心是否有成功案例是否有成功案例需要了解产品的成功应用案例，有必要进行实地考察和测需要了解产品的成功应用案例，有必要进行实地考察和测试使用试使用系统的价格系统的价格性能价格比，以要保护系统的价值为主要的因素性能价格比，以要保护系统的价值为主要的因素续表续表 585.2.6 入侵防护系统入侵防护系统 入侵防护系统（入侵防护系统（Intrusion Prevention System，IPS）是一种主动的、积极的入）是一种主动的、积极的入侵防范及阻止系统。侵防范及阻止系统。 它部署在网络的进出口处，当它检它部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。掉或采取措施将攻击源阻断。59 IPS的检测功能类似于的检测功能类似于IDS，但，但IPS检测到攻击后会采取行动阻止攻击，可检测到攻击后会采取行动阻止攻击，可以说以说IPS是建立在是建立在IDS发展的基础上的新发展的基础上的新生网络安全产品。生网络安全产品。605.3 蜜罐系统蜜罐系统5.3.1 蜜罐概述蜜罐概述 蜜罐及蜜网技术是一种捕获和分析蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而达到了恶意代码及黑客攻击活动，从而达到了解对手目的的技术。解对手目的的技术。 蜜罐是一种安全资源，其价值在于蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。被扫描、攻击和攻陷。61 它表明蜜罐并无其他的实际作用，因它表明蜜罐并无其他的实际作用，因此所有流入此所有流入/流出蜜罐的网络流量都可能预流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，而蜜罐的核心价示了扫描、攻击和攻陷，而蜜罐的核心价值在于对这些攻击活动进行监视、检测和值在于对这些攻击活动进行监视、检测和分析。分析。 DTK（欺骗工具包）和（欺骗工具包）和Honeyd 是最是最为著名的两个蜜罐工具。为著名的两个蜜罐工具。62 蜜罐和没有任何防范措施的计算机的区蜜罐和没有任何防范措施的计算机的区别在于，虽然两者都有可能被入侵破坏，但别在于，虽然两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的周密布置而设下的“黑匣子黑匣子”，看似漏洞百，看似漏洞百出，却尽在掌握之中，它收集的入侵数据十出，却尽在掌握之中，它收集的入侵数据十分有价值；而后者根本就是送给入侵者的礼分有价值；而后者根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹。物，即使被入侵也不一定查得到痕迹。63 设计蜜罐的初衷是让黑客入侵，借设计蜜罐的初衷是让黑客入侵，借此收集证据，同时隐藏真实的服务器地此收集证据，同时隐藏真实的服务器地址，因此要求一台合格的蜜罐拥有发现址，因此要求一台合格的蜜罐拥有发现攻击、产生警告、强大的记录能力、欺攻击、产生警告、强大的记录能力、欺骗和协助调查的功能。骗和协助调查的功能。 另外一个功能由管理员去完成，那另外一个功能由管理员去完成，那就是在必要的时候根据蜜罐收集的证据就是在必要的时候根据蜜罐收集的证据来起诉入侵者。来起诉入侵者。645.3.2 蜜罐的分类蜜罐的分类 按照部署，蜜罐可以分为以下两种。按照部署，蜜罐可以分为以下两种。 产品型：用于保护单位网络，实现防御、产品型：用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有检测和帮助对攻击的响应，主要产品有KFSensor、Specter、ManTrap等。等。65 研究型：用于对黑客攻击进行捕获和分研究型：用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，如析，了解攻击的过程、方法和工具，如Gen 蜜网、蜜网、Honeyd等。等。66 按照攻击者在蜜罐中活动的交互性级别，按照攻击者在蜜罐中活动的交互性级别，蜜罐可以分为以下两种。蜜罐可以分为以下两种。低交互型：又称伪系统蜜罐。用于模拟服务低交互型：又称伪系统蜜罐。用于模拟服务和操作系统，利用一些工具程序强大的模仿和操作系统，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的能力，伪造出不属于自己平台的“漏洞漏洞”。它容易部署、减少风险，但只能捕获少量信它容易部署、减少风险，但只能捕获少量信息，其主要产品有息，其主要产品有Specter、KFSensor、Honeyd等。等。67高交互型：又称实系统蜜罐。它是最真实的高交互型：又称实系统蜜罐。它是最真实的蜜罐，运行着真实的系统，并且带有真实可蜜罐，运行着真实的系统，并且带有真实可入侵的漏洞，属于最危险的漏洞，但是它记入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂、等风险较大，更丰富的信息，但部署复杂、等风险较大，其主要产品有其主要产品有ManTrap、Gen蜜网等。蜜网等。685.3.3 蜜罐的应用蜜罐的应用 为了使蜜罐系统更加高效，很多政为了使蜜罐系统更加高效，很多政府组织和技术性公司的人员都在着手开府组织和技术性公司的人员都在着手开发成型的蜜罐产品。发成型的蜜罐产品。 69实训实训5 Sniffer Pro的抓包与发包的抓包与发包【实训目的实训目的】掌握掌握Sniffer Pro的安装与基本界面的使用。的安装与基本界面的使用。利用工具栏进行网络监控。利用工具栏进行网络监控。使用使用Sniffer Pro进行数据的捕获。进行数据的捕获。了解报文发送功能。了解报文发送功能。70【实训设备实训设备】集线器或采用端口镜像的交换机、路由集线器或采用端口镜像的交换机、路由器。器。服务器、计算机两台或多台。服务器、计算机两台或多台。网线。网线。71【实训步骤实训步骤】1Sniffer Pro安装安装 Sniffer Pro的安装与其他任何的安装与其他任何Microsoft Windows上的应用程序一样简单，对于计算上的应用程序一样简单，对于计算 机系统的要求极低，采用标准的机系统的要求极低，采用标准的InstallShield Wizard来指导安装。来指导安装。72 双击双击Setup.exe启动安装，会看到启动安装，会看到InstallShield Wizard屏幕，如图屏幕，如图5.30所示，单击所示，单击“Next”按钮按钮继续。继续。 安装程序会找出安装所需文件，出现欢迎屏幕，安装程序会找出安装所需文件，出现欢迎屏幕，如图如图5.31所示，单击所示，单击“Next”按钮继续下一步。按钮继续下一步。73图图5.30 Sniffer Pro安装向导安装向导 74图图5.31 Sniffer Pro欢迎界面欢迎界面 75 仔细阅读软件安装协议，如果同意，仔细阅读软件安装协议，如果同意，单击单击“Yes”按钮继续，然后输入用户信按钮继续，然后输入用户信息，如图息，如图5.32所示。所示。 指定安装位置，如图指定安装位置，如图5.33所示，单击所示，单击“Next”按钮继续。按钮继续。 76 图图5.32 Sniffer Pro安装协议安装协议 77图图5.33 Sniffer Pro安装路径安装路径 78 安装程序开始复制文件，结束后安装程序开始复制文件，结束后Sniffer Pro会要求用户注册，包括用户姓名（会要求用户注册，包括用户姓名（Name）、）、单位（单位（Business）、用户类型（）、用户类型（Customer Type）和电子邮件（）和电子邮件（E-mail），如图），如图5.34所示，所示，输入完毕后单击输入完毕后单击“下一步下一步”按钮继续。按钮继续。79 图图5.34 Sniffer Pro安装用户注册（一）安装用户注册（一） 80 接着输入地址（接着输入地址（Address）、所在城市）、所在城市 （City）、州）、州/省（省（State）、国家（）、国家（Country）、）、邮政编码（邮政编码（Postal Code）和电话号码（）和电话号码（Phone）以及传真（以及传真（Fax），如图），如图5.35所示，输入完所示，输入完 毕后单击毕后单击“下一步下一步”按钮继续。按钮继续。81 图图5.35 Sniffer Pro安装用户注册（二）安装用户注册（二） 82 输入序列号，如图输入序列号，如图5.36所示，然后单所示，然后单击击“下一步下一步”按钮继续。按钮继续。83图图5.36 Sniffer Pro安装填入序列号安装填入序列号 84 接着需要通过接着需要通过Internet与与NAI联系进行注册，联系进行注册，有有3种方式：种方式：选择与选择与Internet直连，直接进行直连，直接进行注册；注册；通过代理与通过代理与Internet连接，此时需要设连接，此时需要设置代理参数；置代理参数；没有与没有与Internet连接，需要通过连接，需要通过传真注册。一般情况可选中第传真注册。一般情况可选中第1个单选项，如图个单选项，如图5.37所示。所示。85 图图5.37 Sniffer Pro安装联网注册安装联网注册 86 软件一旦与软件一旦与NAI服务器连接上，就会服务器连接上，就会注册，并提供一个客户号，单击注册，并提供一个客户号，单击“下一下一步步”按钮就会出现注册成功的信息，如按钮就会出现注册成功的信息，如图图5.38所示。所示。87图图5.38 Sniffer Pro安装完成安装完成 88 单击单击“Finish”按钮完成。安装软件按钮完成。安装软件会通知如果运行会通知如果运行Sniffer Pro必须有微软公必须有微软公司的司的IE5或更高版本，并且安装微软公司或更高版本，并且安装微软公司的的Java虚拟机。虚拟机。892工具栏的使用工具栏的使用 具体操作参见具体操作参见5.1节内容。节内容。3捕获栏的使用捕获栏的使用 下面介绍如何使用下面介绍如何使用Sniffer Pro捕获捕获ICMP流量。流量。90 单击定义过滤器按钮，在出现的对话框单击定义过滤器按钮，在出现的对话框中单击中单击“配置文件配置文件”（Profiles）按钮，新）按钮，新建（建（New）一个配置文件，取名为）一个配置文件，取名为ICMP，如图如图5.39所示。所示。91 图图5.39 Sniffer Pro过滤器定义过滤器定义 92 单击单击“完成完成”（Done）按钮后，在屏幕右侧）按钮后，在屏幕右侧选择选择ICMP，然后单击高级（，然后单击高级（Advanced）标签，）标签，进入高级选项卡，因为只需要监听进入高级选项卡，因为只需要监听ICMP报文，报文，所以选中所以选中IP下的下的ICMP，如图，如图5.40所示。所示。93 图图5.40 Sniffer Pro过滤器协议定义过滤器协议定义 94 单击单击“确定确定”按钮，完成定义过滤器。选择按钮，完成定义过滤器。选择ICMP过滤器，进行监听，单击过滤器，进行监听，单击“开始开始”按钮，按钮，如图如图5.41所示。所示。95图图5.41 Sniffer Pro捕获高级系统捕获高级系统 96 在本地主机（在本地主机（IP：192.168.21.253）利用）利用ping命令测试与相邻主机（命令测试与相邻主机（IP：192.168.21.98）的）的连通性。当捕获到连通性。当捕获到ICMP报文时，单击停止并报文时，单击停止并显示按钮，并单击视图下方的解码（显示按钮，并单击视图下方的解码（Decode）选项，如图选项，如图5.42所示。所示。97图图5.42 Sniffer Pro解码解码98 可以发现监听到的可以发现监听到的ICMP Echo Request回送请求，源地址（回送请求，源地址（Source Address）：）：192.168.21.253，目的地址（，目的地址（Destination Address）：）：192.168.21.98。994报文的发送报文的发送 在解码卷标的在解码卷标的“总结总结”选项中选中捕选项中选中捕获的获的ICMP报文，选中报文，选中“HEX”部分，单部分，单击鼠标右键，在弹出的快捷菜单中选择击鼠标右键，在弹出的快捷菜单中选择“编辑编辑”（Edit），修改源地址（），修改源地址（Source Address）为）为192.168.255.255，如图，如图5.43所示。所示。100图图5.43 Sniffer Pro十六进制代码编辑十六进制代码编辑 101 单击单击“重新插入重新插入”（Re-interpret）按）按 钮，此时在钮，此时在“HEX”部分的源地址（部分的源地址（Source Address）发生了变化。然后单击鼠标右）发生了变化。然后单击鼠标右 键，在弹出的快捷菜单中选择发送当前报键，在弹出的快捷菜单中选择发送当前报 文（文（Send Current Frame），如图），如图5.44所示。所示。102图图5.44 Sniffer Pro编码发送编码发送 103 发送次数（发送次数（Times）为）为100次，延迟（次，延迟（Delay）为为1ms，单击，单击“确定确定”按钮，如图按钮，如图5.45所示。如所示。如果选中连续（果选中连续（Continuously）单选项，这就是一）单选项，这就是一种简单的种简单的Smurf攻击。攻击。104图图5.45 Sniffer Pro当前帧发送当前帧发送 105 选择工具菜单栏选择工具菜单栏Tools下的报文发送器下的报文发送器（Packet Generator），可以及时了解报），可以及时了解报文发送的实时数据，如图文发送的实时数据，如图5.46所示。所示。106图图5.46 Sniffer Pro报文发送器报文发送器 107 可以单击可以单击“停止停止”按钮或按钮或“开始开始”按按钮来控制报文的发送。单击钮来控制报文的发送。单击“属性属性”按按钮钮 可以修改报文的内容。可以修改报文的内容。108实训实训6 Session Wall 3的使用的使用【实训目的实训目的】掌握掌握Session Wall 3的安装。的安装。掌握掌握Session Wall 3基本界面的使用。基本界面的使用。利用利用Session Wall了解网络的行为。了解网络的行为。利用利用Session Wall定义服务来监控网络。定义服务来监控网络。109【实训设备实训设备】交换机、三层网络设备。交换机、三层网络设备。服务器、计算机两台或多台。服务器、计算机两台或多台。网线。网线。110【实训步骤实训步骤】 1安装安装Computer Associates 的的 Session Wall 3 按照提示进行安装。按照提示进行安装。111 安装过程中，系统会询问是否要作为一安装过程中，系统会询问是否要作为一个服务启动这个程序。除非设定该程序在个服务启动这个程序。除非设定该程序在每次启动系统时自动启动，否则选择每次启动系统时自动启动，否则选择No。一般选择一般选择No，将，将Session Wall作为一个应用作为一个应用程序来使用。继续安装程序来使用。继续安装Session Wall。112 当安装完成后，单击当安装完成后，单击“Yes”按钮重新按钮重新启动计算机。启动计算机。113 2Session Wall-3的使用的使用 打开应用程序打开应用程序Session Wall-3。 将会看到将会看到Logo Session Wall-3的登录对的登录对话框，如图话框，如图5.47所示，单击所示，单击“OK”按钮。按钮。 屏幕出现主界面，如图屏幕出现主界面，如图5.48所示。所示。114 图图5.47 Session Wall登录登录 115 图图5.48 Session Wall主界面主界面 116报警消息报警消息 （Alter messages）：当某个）：当某个会话匹配该规则中的条件时就显示警告消会话匹配该规则中的条件时就显示警告消息。当规则匹配时，工具栏上的息。当规则匹配时，工具栏上的“报警消报警消息息”按钮将闪烁。按钮将闪烁。117 安全冲突安全冲突 （Detected security violations）：）：显示安全冲突。入侵检测包括了许多预定义的显示安全冲突。入侵检测包括了许多预定义的安全冲突。当入侵检测探测到这些冲突时，工安全冲突。当入侵检测探测到这些冲突时，工具栏中的具栏中的“安全冲突安全冲突”按钮将闪烁。单击该按按钮将闪烁。单击该按钮可以显示包括冲突细节的窗口。钮可以显示包括冲突细节的窗口。118暂停检测暂停检测 ：暂时停止检测过程。：暂时停止检测过程。开始检测开始检测 ：启动检测。：启动检测。重新探测重新探测 ：开始重新探测。：开始重新探测。119 单击单击ViewAlter Messages命令查看命令查看一些现有的报警，或者单击报警消息一些现有的报警，或者单击报警消息 按钮，如图按钮，如图5.49所示。所示。120图图5.49 Session Wall报警设置报警设置 121 通过单击通过单击“Clear”按钮清除所有的报警。按钮清除所有的报警。完成操作以后，退出完成操作以后，退出Alter Messages对话框。对话框。122 当完成对所有报警（它们可能都是误当完成对所有报警（它们可能都是误判断）的清除后，关闭所有的报警对话判断）的清除后，关闭所有的报警对话窗并最小化窗并最小化Session Wall。 利用利用X-Scan扫描一台没有作为扫描一台没有作为IDS的的远程系统。远程系统。123 检查检查Session Wall，它将记录和追踪这，它将记录和追踪这个扫描攻击并发出警告。注意此时安全个扫描攻击并发出警告。注意此时安全冲突冲突 按钮会发生闪烁，同时在其下按钮会发生闪烁，同时在其下面的框中将增加客户端数量。面的框中将增加客户端数量。124 打开打开Alter Messages和和Detected security violations对话框，分别如图对话框，分别如图5.50、图、图5.51所所示。示。 通过报警信息会发现这个扫描攻击的过通过报警信息会发现这个扫描攻击的过程。程。125图图5.50 Session Wall报警信息报警信息 126 图图5.51 Session Wall安全冲突信息安全冲突信息 127 3利用利用Session Wall分析网络的行为分析网络的行为 使用使用Session Wall生成并记录信息传输，生成并记录信息传输，然后观察静态格式然后观察静态格式/动态格式的信息。动态格式的信息。128 生成额外的网络信息传输，如生成额外的网络信息传输，如HTTP和和FTP连接或者连接或者Telnet连接某台主机。连接某台主机。 选择界面最左面的选择界面最左面的Services图标，查图标，查看主界面最左面的窗口。看主界面最左面的窗口。129 单击单击HTTP左边的加号（左边的加号（+），并单击），并单击代表网络上的一个远程主机的图标，此代表网络上的一个远程主机的图标，此时可以查看远程用户访问过的页面的源时可以查看远程用户访问过的页面的源代码，如图代码，如图5.52所示。所示。130图图5.52 Session Wall解码分析解码分析 131 单击单击Session Wall屏幕底部的屏幕底部的Server/bytes部分，用鼠标右键单击部分，用鼠标右键单击Total图标，并在弹出图标，并在弹出的快捷菜单中选择的快捷菜单中选择Reset Statistics。132 用鼠标右键单击代表一个具体计算机的用鼠标右键单击代表一个具体计算机的 图标，选择图标，选择ProgressStation Traffic Over Time，此时保证不同系统之间正在进行，此时保证不同系统之间正在进行FTP或或HTTP的对话，如图的对话，如图5.53所示。所示。133图图5.53 Session Wall站点通信统计（一）站点通信统计（一） 134 当前屏幕显示了当前屏幕显示了Session Wall监控从一监控从一个叫个叫Xunlei的系统发出的信息传输。查看的系统发出的信息传输。查看当前对网络上另一个系统的统计。当前对网络上另一个系统的统计。135 到屏幕底部再一次用鼠标右键单击到屏幕底部再一次用鼠标右键单击Total network traffic图标，在弹出的快图标，在弹出的快捷菜单中选择捷菜单中选择CurrentTop 5 Stations-Total Traffic，查看网络上通信量最大的，查看网络上通信量最大的5台机器，如图台机器，如图5.54所示，列表中最上面所示，列表中最上面的系统是最忙的系统。的系统是最忙的系统。136图图5.54 Session Wall站点通信统计（二）站点通信统计（二） 137 4利用利用Session Wall 3定义服务定义服务 在定义服务时，需要决定入侵检测在定义服务时，需要决定入侵检测监控或阻塞的服务。监控或阻塞的服务。 单击单击SettingsDefinitions命令，如图命令，如图5.55所示。所示。138图图5.55 Session Wall主界面参数设定主界面参数设定 139 在在Definitions窗口中单击窗口中单击“Service”选选项卡，如图项卡，如图5.56所示。所示。 单击单击“Add”按钮，出现服务属性设定按钮，出现服务属性设定对话框，如图对话框，如图5.57所示。所示。140图图5.56 Session Wall服务参数设定服务参数设定 141 图图5.57 Session Wall服务属性设定对话框服务属性设定对话框 142 在在Name文本框中键入新名称，在文本框中键入新名称，在Protocol列表框中选择列表框中选择“TCP”或或“UDP”，在，在Port文文本框中输入该服务使用的端口号或者端口号本框中输入该服务使用的端口号或者端口号范围，然后单击范围，然后单击“Add”按钮。对于不需要的按钮。对于不需要的端口，可在选择端口后单击端口，可在选择端口后单击“Remove”按钮。按钮。同时在同时在Parser下拉列表框中找到相关的分析下拉列表框中找到相关的分析器，如图器，如图5.58所示。所示。143图图5.58 Session Wall服务属性参数设定服务属性参数设定 144 定义一个关于定义一个关于Telnet的服务。如果入的服务。如果入侵检测已经默认定义了服务，就无法重侵检测已经默认定义了服务，就无法重复定义了。复定义了。 定义好服务后，当网络中存在定义好服务后，当网络中存在Telnet连接时，就会被系统监测到，如图连接时，就会被系统监测到，如图5.59所所示。示。145图图5.59 Session Wall监控主界面监控主界面 146