精华内容
下载资源
问答
  • 2021-12-23 00:42:05

     

    更多相关内容
  • 原作者:Haboob Team翻译:李华峰(邪灵) 介绍本文将介绍 IDS 的工作原理和讨论 IP 数据包分片的重组过程,并研究不同操作系统在实现重组时的差异性。IDS(入侵检测系统)简介...

    原作者:Haboob Team

    翻译:李华峰(邪灵)

    介绍

    本文将介绍 IDS 的工作原理和讨论 IP 数据包分片的重组过程,并研究不同操作系统在实现重组时的差异性。

    IDS(入侵检测系统)简介

    IDS(入侵检测系统)的形式多种多样,它可以是一种独立设备,可以是下一代防火墙的一个扩展模块,也可以是运行某种硬件设备上的软件。IDS会检测到网络中那些包含恶意企图的流量,或者那些违反了安全策略的流量;IDS会将这些流量的信息报告给网络安全管理员。在某些组织机构中,这些违规信息会报告给“安全信息与事件管理系统”(SIEM),网络安全管理员可以在SIEM系统中创建关联规则,以便实现对某一系列活动的监控。

    IDS既可以部署为基于网络的入侵检测系统NIDS,也可以部署为基于主机的入侵检测系统HIDS。例如只需要监控一台工作站设备A的流量,并且将IDS部署在了A上,那么这就是一个典型的HIDS部署方式。而需要监控一个网络的流量,并且将IDS部署在了一个独立设备上,这就是一个NIDS部署方式。

    根据工作原理的不同,IDS也可以被分成以下几类。

    大多数IDS是采用基于特征值(Signature-based)的机制来实现入侵检测,这会涉及到字符串与IOC。

    第2种是基于异常(anomaly-based)的检测,如果使用机器学习的方式,基于异常的检测需要消耗更多的计算机资源。

    第3种是基于可信度(reputation-based),根据已知真实威胁来建立可信度评估机制。

    有些IDS可以在检测到那些违反了我们设定策略的流量时,采取行动对其进行阻止,我们通常把这种IDS称之为入侵防御系统(译者注:即IPS)。

    IDS(入侵检测系统)工作原理

    IDS可以采用不同的方式来检测恶意流量,最为常见的两种方式分别是模式匹配和异常统计。

    基于特征值(Signature-based)的模式检测

    这种工作方式和杀毒软件的工作原理很像,IDS会根据已知攻击的“特征值”或者某些特定行为来检测流量中是否包含恶意行为。IDS会对接收到的流量中进行监控,如果发现与已知攻击相匹配的流量,就会将其识别为“恶意流量”。IDS的有效性要取决于“特征值”数据库。实际应用中,该数据库应该时刻保持更新。模式匹配类似于指纹判案,刑侦部门可以通过在犯罪现场找到的指纹来指认罪犯,这里的指纹分析就是一种模式匹配。但是模式匹配往往无法捕捉新出现的攻击,因为“特征值”数据库的内容不可能包含之前从未出现过的恶意行为。

    基于异常的检测

    这种工作方式会考虑正常流量与异常流量的区别,这需要首先对正常流量建立一个标准,然后将接收流量与所定义的标准进行比较,得出该流量是否为正常流量。基于异常的检测可以检测出那些之前从未出现过的恶意流量。打个比方,这种工作方式就像巡逻的警察,他们每天都准时出现在城市的某个区域,可以轻易的发现该区域哪里不正常了。当他们看到一些异常的事物时,虽然不一定能知道具体发生了什么,或者谁是罪犯,但是仍然可以推测出可能正有犯罪活动在进行。

    下面列出了一些异常检测的方法。

    l 度量模型(Metric model )

    l 神经网络(Neural network )

    l 机器学习分类(Machine learning classification )

    基于异常的检测存在误报率较高的问题。

     

     

     

    IP数据包分片

    当一个数据包在发往目的地的过程中,它会根据MTU(通常被设置为1500字节)进行分片。由于在到目的地的过程中,该数据包会经过很多个路由设备,因此它可能会被多次分片。下面给出了与分片相关的数据包字段。

    Identification: 每个数据包都有一个唯一的ID,这个数据包的每个分片都使用这个ID。

    Flags: 这个字段用来控制分片。

    Fragment Offset: 该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。

    图1 数据包的IP头部

    IP数据包分片示例

    我们来考虑一个实际的问题,当一个数据包的原始大小为1440bytes,而现在它需要通过一个MTU设置为576的路由设备。考虑到数据包的IP头部大小为20bytes,也就是说数据包的内容部分为1420bytes,那么这个数据包将会被分成3个分片。

    分片1:

    l ID值与所有数据包分片相同。

    l Flag设置为MF。(译者注:应该是指MF=1)

    l 总长度为572。

    分片2:

    l ID值与所有数据包分片相同。

    l Flag设置为MF。(译者注:应该是指MF=1)

    l 总长度为572。

    分片3:

    l ID值与所有数据包分片相同。

    l Flag设置为DF。(译者注:应该是指MF=0)

    l 总长度为336。

    我们可以计算所有分片的总长度。

    (572 –20 ) + (572 –20) + (336 –20) = 1420。

     

    图2 数据包分片信息

     

     

    不同操作系统重组IP数据包分片的方式

    入侵检测系统经常无法准确的检测到威胁,这是因为它们所保护设备的操作系统种类众多,入侵检测系统与这些操作系统在处理和分析数据包的方式也不尽相同。这个差异存在于对数据包多个部分的处理上,例如IP头部,传输层头部等等。其中一个比较重要的就是,当发送到目的主机的多个IP数据包分片存在重叠部分时,几乎所有的操作系统都有不同的处理方式,这就意味着入侵检测系统不能只使用一种重组方式来检测这些IP数据包分片。而另一方面,入侵者也可以利用操作系统与入侵检测系统的差异性来规避和绕过入侵检测系统。

     

    图3  这是5个包含重叠部分的IP数据包分片

    图4中给出了当不同的操作系统接收到了这5个数据包之后是如何将其进行组合的。当两个IP数据包分片的内容存在重叠部分时,其中一些操作系统会优先保全位移较小的数据包,而另外一些则会优先保全位移较大的数据包。

     

    图4 不同的操作系统对包含重叠部分的IP数据包分片的重组方式

    BSD策略,BSD系统采用了一种左侧裁剪法,这种方法会尽量保全位移较小的数据包分片,例如当一个数据包的分片A位移为100,长度为200,而另一个分片B的位移为150,长度为100时。左侧裁剪法就会保全A,而将分片B的150到200的部分裁剪掉,只保留长度为50的后半部分。这一策略在Wright和Stevens的著作中有详尽的描述。目前FreeBSD、AIX、SUN、IRIX、openvms和Wireshark都使用了这种策略。

    BSD右侧优先策略,这种方法与“BSD策略”几乎一样,只是采用了右侧裁剪法,这种方法会尽量保全位移较大的数据包分片。目前HP JetDirect(打印机)就使用了这种策略。

    Linux策略,这种方法与“BSD策略”几乎相同,只有当先到来的数据包分片A与后到来的数据包分片B完全重叠时,分片B将会覆盖分片A的重叠部分,也就是说“后来者居上”。而数据包分片A与数据包分片B只有部分重叠时,处理方式与BSD策略相同。

    先到先得策略,这种方法优先保全先到来的数据包分片。目前Windows, MacOS, SUN,HP-UX, TektrnoixPhaser Printer.都使用了这种策略。

    后到先得/RFC791 策略,这种方法优先保全后到来的数据包分片。目前Cisco IOS以及TektrnoixPhaser Printer的一些型号的设备使用了这种策略。

    解决方案

    1、一些IDS系统包含了“分片保护”功能,但是默认情况下该功能往往是禁用的。虽然有些IDS系统提供了“分片预处理器”,但是如果入侵者构造了针对两种不同操作系统的攻击,仍然是有可能绕过该IDS拦截的。

    2、网络管理员应该启用IDS的“分片预处理器”。

    3、IDS应该与被保护的操作系统使用相同的分片重组处理方式。

    4、网络管理员应该熟悉各种分片重组的原理。

    5、对于snort,应该启用Frag3,将数据包分片重组来完成检测。

    结论

    不同操作系统在对IP数据包分片进行重组时,会采用不同的策略。因此IDS在对IP数据包分片进行检测时,不能只使用一个策略。而对于入侵者来说,这却是一个绝佳的机会,可以以此来规避和绕过IDS。为了应对这个挑战,我们需要实现基于目标的检测( target based detection)。

     

     

    展开全文
  • 1.搭建IP数据报分片重组网络拓扑 2.完成路由器和 PC的基本配置 3.输入命令 show interfaces gigabitEthernet0/0 ,查看路由器的吉比特以太网接口 gigabitEthernet0/0 的MTU参数,MTU的参数值是1500字节。 4.把 ...

    1.搭建IP数据报分片重组网络拓扑
    在这里插入图片描述

    2.完成路由器和 PC的基本配置
    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    3.输入命令 show interfaces gigabitEthernet0/0 ,查看路由器的吉比特以太网接口 gigabitEthernet0/0 的MTU参数,MTU的参数值是1500字节。
    在这里插入图片描述

    4.把 Packet Tracer 模拟器切换到 Simulation 模式,创建一个复杂的数据包,尝试将数据包的设置为3600字节(大于MTU值)

    在这里插入图片描述

    5.回到 Packet Tracer 主窗口,单击“Capture/Forward” 按钮,观察数据包的传输情况,该报文被分为两片。
    在这里插入图片描述

    6.打开两个分片数据包(单击 Info 下面的正方形图案),查看数据包中的分片标识。
    在这里插入图片描述

    在这里插入图片描述

    第一个分片标志域为 0x1 说明其后还有分片,第二个分片标志域为 0x0 说明其后没有分片了。
    第一个分片片偏移为 0x0 ,说明它是第一个分片,第二个分片片偏移为 0xb90 ,说明它在分片中的位置。
    因为路由器接口的 MTU 值为1500,所以第一个数据包总长度为 1500 字节(其中 20 字节是首部),第二个数据包的总长度为 668 字节(其中首部 20 字节,ICMP 报文 8 字节)。
    
    展开全文
  • IP数据包分片

    万次阅读 2018-02-23 13:57:26
    一般的ping则一切正常,结合 wireshark对数据包进行分析,发现过大的数据包传输过程中会进行分片,而代码在处理过程中并为对此进行处理。现对相关基础知识进行总结。 2. IP数据包简介 整个ip数据包中,包含了...

    1. 缘由:

    维护我司老代码,偶然发现在ping过大的数据包时候,映射到上层(非TCP/IP协议栈)的协议不正确。一般的ping则一切正常,结合 wireshark对数据包进行分析,发现过大的数据包传输过程中会进行分片,而代码在处理过程中并为对此进行处理。现对相关基础知识进行总结。

    2. IP数据包简介

    这里写图片描述

    整个ip数据包中,包含了首部和数据。其中,如果选项没有数据,则ip首部的长度就为20byte。
    在ip首部中涉及到分片的主要有:总长度,标识,标志,分片偏移
    总长度:整个数据包的长度,包含了首部和数据。所以要得到数据的长度,就用总长度减去首部长度
    标识:当数据被分片,每个分片具有相同的标识,这样就可以识别相同组的分片 分片偏移:用于确定该分片在原未分片数据中的位置

    3. IP分片

    这里我们以ICMP协议为例进行解析。
    查看windows下ping命令的语法,我们可以看到-l参数可以指定发送的数据大小。
    这里写图片描述
    默认情况下,ping数据包默认大小是32字节,此时肯定不会发生IP数据包分片,如下图所示。
    这里写图片描述

    当icmp发送的数据包大于MTU(以太网中,该值一般为1500字节)时,就会在ip层发生分片。
    这里写图片描述
    同一个IP数据包Identification字段一致。
    Flags字段为1时,表示进行数据包分片,此时若Fragment offset表示分片偏量,若为0,则表示是第一个数据包分片。
    Flags字段为0,表示后面没有分片。

    展开全文
  • IP数据包分片原理

    2020-11-15 19:15:27
    一.首先在Packet Tracer中搭建网络拓扑,用交叉电缆连接,并配置ip地址 二.... 输入exit返回全局模式,再按刚才的步骤配置0/2参数地址 三.切换到Simulation模式,创建一个复杂的数据包...2.0×1代表还有一个分片,0×0代
  • ip数据包分片原理

    2022-04-13 19:42:14
    在这里我们就不详细的讨论首部的所有字段,我们就讨论一下个分片有关的总长度字段。 在IP数据报中,总长度是16位的字段,依次数据报的最大长度为2^16-1=65535字节,虽然尽可能长的数据报可以提升传输速率,但是由于...
  • IP数据包分片解析

    2014-06-12 14:13:31
    IP数据包分片解析,通过ping des-IP -l 1472 与ping des-IP -l 1473,抓包分析,解释其中的标识字段,标志,片偏移等。
  • 假设网络MTU为1500字节,使用Packet Tracer发送一个超大报文(3600字节),观察报文被分成了几,每报文首部有什么区别,有差别字段的数字意义是什么? 一.搭建下图所示的网络拓补 因为没有配置IP地址,所以没有...
  • IP协议的作用?IP协议的主要功能及实现原理,IP地址分类,IP数据报格式
  • 通过上一节课帧格式知道,数据在传输过程中要封装包,在到达上层协议时需层层拆包。... Type为0X0800(2018)是IP数据协议,下面我们就讲解IP数据包。 以太网帧的MTU是1500字节,因此它的数据部...
  • IP数据包分片 最大传送单元MTU 链路层数据帧可封装数据的上限。 以太网的MTU是1500字节。 数据报头部的标志:同一数据报的分片使用同一标识 笔记总结于王道网课,图片截取自视频,希望对大家有所帮助! ...
  • 浅谈IP数据报分片与重组

    千次阅读 2021-09-25 14:28:25
    大多数TCP/IP通信都建立在IP协议之上,可以使用Wireshark抓取IP数据包。在IP数据报中,最大长度可以达到65535字节,但是很少有底层的物理层网络能够封装如此大的数据包,因此将IP数据报分片传输,目的主机将分片重组...
  • IP数据包分片与重组过程

    千次阅读 2017-07-23 14:25:12
    IP分片(一)IP分片的原理: 分片和重新组装的过程对传输层是透明的,其原因是当IP数据报进行分片之后,只有当它到达下一站时,才可进行重新组装,且它是由目的端的IP层来完成的。分片之后的数据报根据需要也可以...
  • 在网络通信中如果发送的IP包超过MTU...判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
  • 基于FPGA的IP分片重组的实现.pdf
  • IP数据报格式及分片与重组

    千次阅读 2021-10-27 11:16:25
    如果被分片分片后的IP数据报和原来没有分片IP数据报结构是相同的,即也是由IP头部和IP数据区两个部分组成: 分片后的IP数据报,数据区是原IP数据报数据区的一个连续部分,头部是原IP数据报头部的复制,但与原来...
  • wireshark使用记录(ip数据报分片

    千次阅读 2022-02-04 11:04:40
  • 如下图所示,有三个数据包,这是分片的第二个数据包数据包总长度为 1500字节,那么分片偏移应该为: 1500 - 20(IP头部大小) = 1480 字节;但如下图所示的分片偏移却是 185; 查阅RFC791,所述如下: The data...
  • IP数据包分片大题步骤
  • 数据包分片字段详解

    2022-05-18 16:50:19
    深入掌握IP报头结构,理解IP 分片和重组过程。 实验工具 科来网络分析系统、windows系统 实验内容 1.在cmd窗口ping 192.168.6.1 –l 3000 –n 1; ​​​ 2.在ping的同时用科来网络分析系统抓包,ping操作...
  • 数据包分片和重组(面试题)

    千次阅读 2019-09-18 00:42:57
    数据包分片:源主机和中间的路由器 1、在TCP/IP分层中,数据链路层用MTU来限制所能传输的数据包大小。MTU是指一次传送的数据最大长度,不包括数据链路层数据帧的帧头。当发送的IP数据报的大小超过了MTU时,IP层就...
  • 从Wireshark抓包来看IP分片

    千次阅读 2021-07-27 22:10:29
    文件来自于前几天CyBRICS 2021中的lx100题目,因为做题时候被IP分片坑到了,发现自己对于网络这一块的知识掌握的并不好,所以写一篇文章来理一下。为了省事就直接用比赛的pcap文件做样例了:点击。 UDP/lPv4分片 ...
  • 目前使用的是版本是IPV4 图中首部长度:4到8 用二进制 0 1 0 1表示 所以 8*4=32B 总长度=首部+数据 最大值:(2的16次—1)*1B ...IP数据报分片IP分组前提是:自己同意把自己数据报进行分片 字段单位长度 ...
  • IP数据包格式

    2022-04-24 23:22:42
    IP数据包解析
  • IP数据包分片理解

    千次阅读 2011-11-18 16:40:16
    IP数据包分片理解 一、 以太网帧格式如下:    MAC数据包的最小值为46byte,至于这个最小值是因为以太网信道侦听需要,1500byte为规范值。  一般的电脑MTU设置值为1500,就是基于MAC最大封包的考虑。一般的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 32,867
精华内容 13,146
关键字:

ip数据包怎么分片

友情链接: sc2k-ssget.zip