网络监听
网络监听的概念
网络监听是指通过工具软件监视网络上数据的流动情况,网络管理员可以通过监听发现网络中的异常情况,从而更好的管理网络和保护网络。攻击者可以通过监听将网络中正在传输的信息进行截取或捕获,从而进行攻击
检测网络监听的方法
根据反应时间判断
利用ping模式进行监听
利用arp数据包进行监听
避免网络监听的方法
从逻辑或物理上对网络分段
使用交换式网络
使用加密技术
VLAN技术
网络入侵检测
入侵检测系统的功能
入侵检测系统IDS是用来监视和检测入侵事件的系统
还有一个IPS是入侵防御系统
IDS具有以下功能
监视网络系统的运行状况,查找非法用户的访问和合法用户的越权操作。
对系统的构造和弱点进行审计
识别分析攻击的行为特征并报警
评估重要系统和数据文件的完整性
对操作系统进行跟踪审计,并识别用户违反安全策略的行为。
容错功能。即使系统发生崩溃,也不会丢失数据,会在系统重启后重建自己的信息库
入侵检测过程
信息收集和信息分析两个过程
入侵检测可利用信息一般来自四个方面
系统和网络日志信息
目录和文件中的改变
程序执行中的行为
物理形式的入侵信息
ARP电子欺骗
APR协议是一种将IP地址转化为MAC地址的协议。它靠在内存中保存一张转换表使IP得以在网络上被目标主机应答。通常主机在发送一个IP包之前,需要到该转换表中寻找与IP包对应的MAC地址。如果没有找到,该主机就会发送一个ARP广播包去寻找,该转换表以外的对应IP地址的主机将响应广播,应答其MAC地址。于是,主机刷新自己的ARP缓存,然后发送出该IP包
