【正文】 int pcap_sendpacket(pcap_t *p,char *buf,int size) 用來(lái)發(fā)送數(shù)據(jù)包。 1 FILE *pcap_file(pcap_t *p) 返回被打開(kāi)文件的文件名。 1 int pcap_fileno(pcap_t *p) 返回被打開(kāi)文件的文件描述符。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 120 函數(shù)的調(diào)用流程 捕獲數(shù)據(jù)包 Pcap_close:關(guān)閉庫(kù) Pcap_lookupdev：返回設(shè)備類型 Pcap_open_live/pcap_open_offline:打開(kāi)設(shè)備或文件準(zhǔn)備記錄數(shù)據(jù) Pcap_pile:編譯過(guò)濾規(guī)則 Pcap_setfilter:設(shè)置過(guò)濾規(guī)則 Pcap_loop:循環(huán)抓取網(wǎng)絡(luò)數(shù)據(jù)報(bào)文 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 121 發(fā)送數(shù)據(jù)包 Winpcap中有發(fā)送單個(gè)包和發(fā)送多個(gè)包的方法。其中發(fā)送單個(gè)包的大致過(guò)程如下： ① 通過(guò)名字打開(kāi)一個(gè)設(shè)備； ② 構(gòu)造一個(gè)原始數(shù)據(jù)包； ③ 使用 pcap_sendpacket()發(fā)送數(shù)據(jù)包。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 122 統(tǒng)計(jì)網(wǎng)絡(luò)流量 統(tǒng)計(jì)網(wǎng)絡(luò)流量的大致過(guò)程如下： ① 通過(guò)名字打開(kāi)一個(gè)設(shè)備； ② 通過(guò) read_timeout設(shè)置統(tǒng)計(jì)時(shí)間間隔； ③ 設(shè)置 filter(可選 )； ④ 設(shè)置設(shè)備為統(tǒng)計(jì)模式； ⑤ 開(kāi)始統(tǒng)計(jì)； ⑥ 統(tǒng)計(jì)信息包含在回調(diào)函數(shù)的參數(shù)中。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 123 在實(shí)際的網(wǎng)絡(luò)環(huán)境中，許多網(wǎng)絡(luò)采取了交換運(yùn)行環(huán)境（例如交換機(jī)、路由器等），此時(shí)傳輸媒體不再具備廣播特性，所以不能夠單憑設(shè)置網(wǎng)絡(luò)接口的混雜模式來(lái)截獲所有的數(shù)據(jù)包。常用的方法是利用交換機(jī)或者路由器上設(shè)置的監(jiān)聽(tīng)端口或者鏡像端口。 交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)截獲 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 124 實(shí)際工作中，采用鏡像端口的方法常碰到兩個(gè)問(wèn)題： ① 隨著交換帶寬的不斷增長(zhǎng)，并非所有的網(wǎng)絡(luò)流量都會(huì)反映在鏡像端口上。 ② 并非所有的交換設(shè)備都提供類似的鏡像端口。很多的 IDS系統(tǒng)會(huì)選擇掛接在流量通常最大的上下行端口上，用來(lái)截獲進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)流量。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 125 檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問(wèn)題。 從具體的實(shí)現(xiàn)機(jī)制看，檢測(cè)引擎可分為嵌入式規(guī)則檢測(cè)引擎和可編程的檢測(cè)。 從具體采用的檢測(cè)技術(shù)看，網(wǎng)絡(luò)入侵檢測(cè)引擎常見(jiàn)的技術(shù)類型分為兩類： 模式匹配和協(xié)議分析技術(shù)。 檢測(cè)引擎的設(shè)計(jì) 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 126 在嵌入式規(guī)則檢測(cè)引擎的設(shè)計(jì)中，存在兩點(diǎn)關(guān)鍵問(wèn)題： 檢測(cè)規(guī)則和引擎架構(gòu)設(shè)計(jì)。本小節(jié)將以 Snort系統(tǒng)為例，介紹這兩個(gè)關(guān)鍵設(shè)計(jì)問(wèn)題。 首先，對(duì)于 Snort系統(tǒng)而言，它采用的是自己定義的檢測(cè)規(guī)則格式。由于 Snort規(guī)則格式定義的良好特性，類似的規(guī)則格式在很多實(shí)際系統(tǒng)中得到采納。Snort的檢測(cè)規(guī)則示例，如圖所示。 圖 Snort檢測(cè)規(guī)則示例 嵌入式規(guī)則檢測(cè)引擎設(shè)計(jì) alert tcp any any (content:″|00 01 86 a5|″。 msg: ″mountd access″。) Snort規(guī)則可以劃分為兩個(gè)邏輯部分： 規(guī)則頭和規(guī)則選項(xiàng) 。 規(guī)則頭包含了規(guī)則動(dòng)作、協(xié)議、 IP源地址和目的地址、子網(wǎng)掩碼以及源端口和目標(biāo)端口值等信息。而規(guī)則選項(xiàng)則包含警報(bào)信息以及用于確定是否觸發(fā)規(guī)則響應(yīng)動(dòng)作而需檢查的數(shù)據(jù)包區(qū)域位置的相關(guān)信息。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 127 Snort規(guī)則頭主要由下列字段的信息組成。 （ 1） 規(guī)則動(dòng)作 規(guī)則動(dòng)作定義了在當(dāng)前數(shù)據(jù)包滿足所有在規(guī)則中指定的屬性特征的情況下，所應(yīng)該采取的行動(dòng)。它位于規(guī)則的首位，在 Snort中定義了 3種基本的動(dòng)作類型。 ① Alert: 使用選定的報(bào)警方式生成警報(bào)信號(hào)，然后記錄當(dāng)前數(shù)據(jù)包。 ② Log: 記錄當(dāng)前數(shù)據(jù)包。 ③ Pass: 丟棄（忽略）當(dāng)前數(shù)據(jù)包。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 128 在 Snort的后繼版本中，不斷引入以下新的動(dòng)作類型。 ?Activate: 激活指定的特定 Dynamic類型的檢測(cè)規(guī)則。 ? Dynamic: 在特定 Activate類型規(guī)則觸發(fā)后，得到激活 由此可知， Activate和 Dynamic類型的規(guī)則必須成對(duì)出現(xiàn)，以完成特定的任務(wù)。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 129 （ 2） 協(xié)議 規(guī)則中的下一個(gè)字段為協(xié)議字段。目前， Snort主要支持對(duì) 3種 IP協(xié)議進(jìn)行分析，以發(fā)現(xiàn)可疑行為，它們是 TCP、 UDP和 ICMP協(xié)議。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 130 （ 3） IP地址 規(guī)則頭的下一個(gè)字段主要用來(lái)指定當(dāng)前規(guī)則的IP地址和端口信息?？梢允褂藐P(guān)鍵字 Any來(lái)指定任何地址。 Snort不支持對(duì)規(guī)則文件中的 IP地址進(jìn)行主機(jī)名稱查詢。上例中源 IP地址指定為任何對(duì)話主機(jī)的地址，而目的地址則設(shè)定為在C類網(wǎng)絡(luò)地址 。對(duì) IP地址還可以應(yīng)用一種稱為 “求反算子”的操作符。該操作符告訴 Snort系統(tǒng)匹配除了所指定地址之外的任意 IP地址。求反操作符使用符號(hào)“！”來(lái)表示。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 131 圖 IP地址規(guī)則實(shí)例 （ 4） 端口號(hào) 端口號(hào)可以使用多種方法進(jìn)行指定，包括 Any關(guān)鍵字指定、靜態(tài)端口定義、范圍定義和求反操作符指定等。 Any關(guān)鍵字指定的端口為一通配符值，意味著所有的端口號(hào)。靜態(tài)端口由某一單獨(dú)端口號(hào)來(lái)指定，如 111為端口映射， 23為 Tel端口以及 80為HTTP服務(wù)端口等。使用范圍定義的端口值用范圍操作符“： ”來(lái)指示。范圍操作符的使用可以有多種形式，對(duì)應(yīng)的含義也不同。 alert tcp any any (content:″|00 01 86 a5|″。 msg: ″mountd access″。) 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 132 端口范圍示例 log udp any any :1024 記錄來(lái)自任意端口且目標(biāo)端口為 1~1024范圍內(nèi)的 UDP數(shù)據(jù)包 log tcp any any :6000 記錄目標(biāo)端口小于或等于 6000的 TCP數(shù)據(jù)包 log tcp any:1024 : 記錄源端口號(hào)小于或等于 1024而目標(biāo)端口號(hào)大于或等于 500的TCP數(shù)據(jù)包 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 133 端口求反指定使用求反操作符“！”來(lái)表示。求反操作符能夠應(yīng)用于其他幾種端口的指定形式（除了Any端口）。例如，由于某種原因，需要對(duì) X Windows端口之外所有端口的數(shù)據(jù)流量進(jìn)行記錄，此時(shí)可以使用如圖所示的規(guī)則形式。 圖端口求反示例 log tcp any any !6000:6010 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 134 （ 5） 方向操作符 方向操作符“ ”指示規(guī)則所適用的流量方向。位于方向操作符左側(cè)的 IP地址和端口號(hào)被認(rèn)為是指示來(lái)自源主機(jī)的數(shù)據(jù)包流量，而位于右側(cè)的部分則指示目的主機(jī)。還有一種稱為“雙向操作符”的符號(hào)定義，表示為“ ”。該雙向操作符告訴 Snort， 將任一地址 /端口對(duì)視為源地址或者目的地址均可。這對(duì)于需要同時(shí)記錄并分析對(duì)話雙方流量的場(chǎng)合是十分適合的。圖中所示的情況就是使用雙向操作符來(lái)記錄一個(gè) Tel會(huì)話雙方的數(shù)據(jù)流量的例子。 圖 使用雙向操作符的規(guī)則 log ! 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 135 規(guī)則頭的主要作用就是定義網(wǎng)絡(luò)數(shù)據(jù)包分組中的報(bào)頭路由特征，這些特征在檢測(cè)若干明顯違反安全特征的行為時(shí)，是十分有效的。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 136 規(guī)則選項(xiàng)是 Snort檢測(cè)規(guī)則設(shè)計(jì)中的核心部分，Snort規(guī)則選項(xiàng)的設(shè)計(jì)將易用性和檢測(cè)性能以及靈活性結(jié)合起來(lái)。 Snort不斷引入新的規(guī)則選項(xiàng)類型。這里介紹其中的基本選項(xiàng)類型。 ?msg： 在警報(bào)信號(hào)和數(shù)據(jù)包日志中顯示一條消息； ? log： 將數(shù)據(jù)包記錄到用戶指定名稱的文件，而不是標(biāo)準(zhǔn)輸出文件； ? ttl： 測(cè)試 IP數(shù)據(jù)包的 TTL字段值是否為特定值； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 137 ?id： 測(cè)試 IP數(shù)據(jù)包的分組 ID字段是否等于指定值； ? dsize： 測(cè)試數(shù)據(jù)包的負(fù)載段大小是否等于指定值； ? flow ： 指定網(wǎng)絡(luò) TCP數(shù)據(jù)流的方向，例如從服務(wù)器發(fā)出或是客戶端發(fā)出； ?content： 在數(shù)據(jù)包負(fù)載中搜索指定模式； ?contentlist： 用于同時(shí)指定多個(gè) content選項(xiàng)； ? uricontent： 在特定的 URL字段域內(nèi)搜索特定模式； ?offset： 選項(xiàng) content的修飾符，設(shè)定模式搜索的起始偏移量； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 138 ? depth： 選項(xiàng) content的修飾符 ,設(shè)定某一指定模式匹配嘗試的最大搜索深度； ? nocase： 在進(jìn)行字符串模式匹配時(shí)，不區(qū)分大小寫(xiě)； ?flags： 測(cè)試各種 TCP標(biāo)識(shí)值； ?seq： 測(cè)試 TCP序列號(hào)字段是否等于指定值； ? ack： 測(cè)試 TCP確認(rèn)字段是否等于指定值； ? itype： 測(cè)試 ICMP類型字段是否等于指定值； ?icode： 測(cè)試 ICMP代碼字段是否等于指定值； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 139 ?session： 轉(zhuǎn)儲(chǔ)某一指定會(huì)話的應(yīng)用層信息； ?icmp_id： 測(cè)試 ICMP Echo ID字段是否等于指定值； ?icmp_seq： 測(cè)試 ICMP Echo序列號(hào)是否等于指定值； ?poption： 監(jiān)控 IP選項(xiàng)字段中特定選項(xiàng)代碼的出現(xiàn)情況； ?rpc： 監(jiān)控 RPC服務(wù)中特定應(yīng)用程序 /過(guò)程的調(diào)用情況； ?resp： 激活的響應(yīng)選項(xiàng)（例如，關(guān)閉連接等）。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 140 在嵌入式規(guī)則檢測(cè)引擎中，檢測(cè)規(guī)則的設(shè)計(jì)格式在很大程度上決定了檢測(cè)引擎的入侵檢測(cè)能力。另一方面，檢測(cè)引擎的架構(gòu)設(shè)計(jì)對(duì)系統(tǒng)檢測(cè)性能也具有很大的影響。 Snort的系統(tǒng)架構(gòu)分為 3大部分： 協(xié)議解析器、規(guī)則檢測(cè)引擎和日志 /警報(bào)系統(tǒng)。所有這些子系統(tǒng)都是建立在數(shù)據(jù)包截獲庫(kù)函數(shù)接口 Libpcap的基礎(chǔ)之上， Libpcap為它們提供了一個(gè)可移植的數(shù)據(jù)包截獲和過(guò)濾機(jī)制。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 141 檢測(cè)引擎的設(shè)計(jì) ? 網(wǎng)絡(luò)檢測(cè)引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 ， 才能得到可能入侵的信息 。 ? 檢測(cè)引擎首先需要利用數(shù)據(jù)包截獲機(jī)制 ， 截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包 。 ? 經(jīng)過(guò)過(guò)濾后 ， 引擎需要采用一定的技術(shù)對(duì)數(shù)據(jù)包進(jìn)行處理和分析 ， 從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為 。 ? 有效的處理和分析技術(shù)是檢測(cè)引擎的重要組成部分 。 ? 檢測(cè)引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 142 模式匹配技術(shù) ? 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較； ? 如果比較結(jié)果相同 ， 則檢測(cè)到一個(gè)可能的攻擊； ? 如果比較結(jié)果不同 ， 從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較； ? 直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢 ， 一個(gè)攻擊特征匹配結(jié)束 。 ? 對(duì)于每一個(gè)攻擊特征 ， 重復(fù) 1步到 4步的操作 。 ? 直到每一個(gè)攻擊特征匹配完畢 ， 對(duì)給定數(shù)據(jù)包的匹配完畢 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 143 協(xié)議分析技術(shù) ? 網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的 、 具有明確含義和取值的數(shù)據(jù)流 ， 如果將協(xié)議分析和模式匹配方法結(jié)合起來(lái) ， 可以獲得更好的效率 、 更精確的結(jié)果 。 ? 協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型 ， 以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包 。 ? 可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹(shù) ， 一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn) ， 可以用一棵二叉樹(shù)來(lái)表示 。 ? 一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑 。 在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能 。 ? 協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在 。 他的高效使得匹配的計(jì)算量大幅度減小 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 144 特征（ signature） 的基本概念 IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù) ， 通常分為多種 ， 以下是一些典型情況及識(shí)別方法： ? 來(lái)自保留 IP地址的連接企圖：可通過(guò)檢查 IP報(bào)頭的來(lái)源地址識(shí)別 。 ? 帶有非法 TCP 標(biāo)志組合的數(shù)據(jù)包：可通過(guò)對(duì)比 TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來(lái)識(shí)別 。 ? 含有特殊病毒信息的 Email： 可通過(guò)對(duì)比每封 Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別 ， 或者通過(guò)搜索特定名字的附近來(lái)識(shí)別 。 ? 查詢負(fù)載中的 DNS緩沖區(qū)溢出企