箭答题 ●1.什么是网络安全?网络中存在哪些安全 威胁? 2.什么是主机网络安全?简单描述其体系 构 3. TCSEC每个级别标准各有什么特点? 我们国内信息安全标准有什么特点? 常见的网络安全组件有哪些?分别完成 什么功能? 5.安全工作的目的是什么?如何进行安全 策略的实施?
简答题 1.什么是网络安全?网络中存在哪些安全 威胁? 2.什么是主机网络安全?简单描述其体系 结构。 3.TCSEC每个级别标准各有什么特点? 我们国内信息安全标准有什么特点? 4.常见的网络安全组件有哪些?分别完成 什么功能? 5.安全工作的目的是什么?如何进行安全 策略的实施?
第2章IP数据报结构 ●教学提示:本章主要介绍网络层和传输 层各协议的报头结构, Sniffer pro的安装 和使用方法。 教学要求:了解流量监控和数据分析的 概念,掌握网络层协议和传输层协议的 报头结构,熟悉 Sniffer pro的安装和基本 操作方法,熟练掌握使用 Sniffer pro进行 抓包并分析的步骤
第2章 IP数据报结构 教学提示:本章主要介绍网络层和传输 层各协议的报头结构,Sniffer Pro的安装 和使用方法。 教学要求:了解流量监控和数据分析的 概念,掌握网络层协议和传输层协议的 报头结构,熟悉Sniffer Pro的安装和基本 操作方法,熟练掌握使用Sniffer Pro进行 抓包并分析的步骤
21流量监控与数据分析 以太网的通信是基于广播方式的,这意 味着在同一个网段的所有网络接口都可 以访问到物理媒体上传输的数据,而每 个网络接口都有一个惟一的硬件地址, 即MAC地址,长度为48字节,一般来说 每一块网卡上的MAC地址都是不同的 在MAC地址和|P地址间使用ARP和 RARP协议进行相互转换
2.1 流量监控与数据分析 以太网的通信是基于广播方式的,这意 味着在同一个网段的所有网络接口都可 以访问到物理媒体上传输的数据,而每 一个网络接口都有一个惟一的硬件地址, 即MAC地址,长度为48字节,一般来说 每一块网卡上的MAC地址都是不同的。 在MAC地址和IP地址间使用ARP和 RARP协议进行相互转换
211局域网数据流量的监控 以太网的工作机制是把要发送的数据包发往连接在同一网段中的 目标地址相同的主机才能接收到 确¥全有1 所有主机,在包头中包括有目标主机的正确地 听模式下时,不管数据包中的目标物理地址是什么,主机都可以 接收到。许多局域网内有十几甚 主机是通过一个集线 器连接在 的,在协议的高层或者用户来 网络中的 两台主机通信的时候,源主机将写有目的主机地址的数据包直接 发 主机,或者当网络中的 主机同外界的主机通信时 源主机将写有目的主机P地址的数据包发向网关。但这种数据包 CPI 练粉节的写述出数据餐的数据段省公 识别P地址,它在护P数据包的基础上父增 部分以太帧的 头信息。在帧头中,有两个域分别为只有网络接口才能识别的源 主机和目的主机的物理地址,这个48位的地址是与护地址相对应 对于作为网关的主机,由于它连接了多个网络,它也就同时 备有很多个|P地址,在每个网络中它都有一个
2.1.1 局域网数据流量的监控 以太网的工作机制是把要发送的数据包发往连接在同一网段中的 所有主机,在包头中包括有目标主机的正确地址,只有与数据包 中目标地址相同的主机才能接收到信息包,但是当主机工作在监 听模式下时,不管数据包中的目标物理地址是什么,主机都可以 接收到。许多局域网内有十几台甚至上百台主机是通过一个集线 器连接在一起的,在协议的高层或者用户来看,当同一网络中的 两台主机通信的时候,源主机将写有目的主机地址的数据包直接 发往目的主机,或者当网络中的一台主机同外界的主机通信时, 源主机将写有目的主机IP地址的数据包发向网关。但这种数据包 并不能在协议栈的高层直接发送出去,要发送的数据包必须从 TCP/IP协议的IP层交给网络接口,即数据链路层。网络接口不会 识别IP地址,它在IP数据包的基础上又增加了一部分以太帧的帧 头信息。在帧头中,有两个域分别为只有网络接口才能识别的源 主机和目的主机的物理地址,这个48位的地址是与IP地址相对应 的。对于作为网关的主机,由于它连接了多个网络,它也就同时 具备有很多个IP地址,在每个网络中它都有一个
局域网数据流量的监控 1.检测网络监听 对于怀疑运行监听程序的机器,用正确的 卩地址和错误的物理地址ping,运行监听程序 的机器会有响应。这是因为正常的机器不接收 错误的物理地址,但处于监听状态的枧器能接 收,如果它不反向检查地址的话,就会响应 ●(2)向网上发大量不存在的物理地址的包,由 于监听程序分析和处理大量的数据包时要占用 很多的CPU资源,这将导致性能下降。这种方 法的难度比较大 ●(3)使用反监听工具进行检测
局域网数据流量的监控 1.检测网络监听 (1) 对于怀疑运行监听程序的机器,用正确的 IP地址和错误的物理地址ping,运行监听程序 的机器会有响应。这是因为正常的机器不接收 错误的物理地址,但处于监听状态的机器能接 收,如果它不反向检查地址的话,就会响应。 (2) 向网上发大量不存在的物理地址的包,由 于监听程序分析和处理大量的数据包时要占用 很多的CPU资源,这将导致性能下降。这种方 法的难度比较大。 (3) 使用反监听工具进行检测