第5章安全防护与入侵检测.ppt

图5.51 Session Wall安全冲突信息 3．利用Session Wall分析网络的行为 使用Session Wall生成并记录信息传输，然后观察静态格式/动态格式的信息。 ① 生成额外的网络信息传输，如HTTP和FTP连接或者Telnet连接某台主机。 ② 选择界面最左面的Services图标，查看主界面最左面的窗口。 ③ 单击HTTP左边的加号（+），并单击代表网络上的一个远程主机的图标，此时可以查看远程用户访问过的页面的源代码，如图5.52所示。 图5.52 Session Wall解码分析 ④ 单击Session Wall屏幕底部的Server/bytes部分，用鼠标右键单击Total图标，并在弹出的快捷菜单中选择Reset Statistics。 ⑤ 用鼠标右键单击代表一个具体计算机的 图标，选择Progress→Station Traffic Over Time，此时保证不同系统之间正在进行FTP或HTTP的对话，如图5.53所示。 图5.53 Session Wall站点通信统计（一） ⑥ 当前屏幕显示了Session Wall监控从一个叫Xunlei的系统发出的信息传输。查看当前对网络上另一个系统的统计。 ⑦ 到屏幕底部再一次用鼠标右键单击Total network traffic图标，在弹出的快捷菜单中选择Current→Top 5 Stations-Total Traffic，查看网络上通信量最大的5台机器，如图5.54所示，列表中最上面的系统是最忙的系统。 图5.54 Session Wall站点通信统计（二） 4．利用Session Wall 3定义服务 在定义服务时，需要决定入侵检测监控或阻塞的服务。 ① 单击Settings→Definitions命令，如图5.55所示。 图5.55 Session Wall主界面参数设定 ② 在Definitions窗口中单击“Service”选项卡，如图5.56所示。 ③ 单击“Add”按钮，出现服务属性设定对话框，如图5.57所示。 图5.56 Session Wall服务参数设定 图5.57 Session Wall服务属性设定对话框 ④ 在Name文本框中键入新名称，在Protocol列表框中选择“TCP”或“UDP”，在Port文本框中输入该服务使用的端口号或者端口号范围，然后单击“Add”按钮。对于不需要的端口，可在选择端口后单击“Remove”按钮。同时在Parser下拉列表框中找到相关的分析器，如图5.58所示。 图5.58 Session Wall服务属性参数设定 ⑤ 定义一个关于Telnet的服务。如果入侵检测已经默认定义了服务，就无法重复定义了。 ⑥ 定义好服务后，当网络中存在Telnet连接时，就会被系统监测到，如图5.59所示。 图5.59 Session Wall监控主界面 ③ 单击“确定”按钮，完成定义过滤器。选择ICMP过滤器，进行监听，单击“开始”按钮，如图5.41所示。 图5.41 Sniffer Pro捕获高级系统 ④ 在本地主机（IP：53）利用ping命令测试与相邻主机（IP：8）的连通性。当捕获到ICMP报文时，单击停止并显示按钮，并单击视图下方的解码（Decode）选项，如图5.42所示。 图5.42 Sniffer Pro解码 ⑤ 可以发现监听到的ICMP Echo Request回送请求，源地址（Source Address）：53，目的地址（Destination Address）：8。 4．报文的发送 ① 在解码卷标的“总结”选项中选中捕获的ICMP报文，选中“HEX”部分，单击鼠标右键，在弹出的快捷菜单中选择“编辑”（Edit），修改源地址（Source Address）为55，如图5.43所示。 图5.43 Sniffer Pro十六进制代码编辑 ② 单击“重新插入”（Re-interpret）按 钮，此时在“HEX”部分的源地址（Source Address）发生了变化。然后单击鼠标右 键，在弹出的快捷菜单中选择发送当前报 文（Send Current Frame），如图5.44所示。 图5.44 Sniffer Pro编码发送 ③ 发送次数（Times）为100次，延迟（Delay）为1ms，单击“确定”按钮，如图5.45所示。如果选中连续（Continuously）单选项，这就是一种简单的Smurf攻击。 图5.45 Snif