会话重建协议还原MSE安全攻防培训资料ppt课件.ppt

1 会话重建协议还原 2 主要内容 会话重建 协议还原逻辑框架会话重建并行处理办法多线程协议还原技术应用层网络协议还原 3 会话重建协议还原 会话重建是内容监控 审计系统 IDS系统等系统中的重要环节分析数据包的特征 并基于会话对数据包进行重组 去除协商 应答 重传 包头等网络信息 以获取一条基于完整会话的记录 4 实例 基于Libpcap的截包应用程序都是截获原始的网络数据包必须进行IP碎片重组 TCP数据流的重组 5 会话重建协议还原逻辑结构 6 截包引擎用专门的网络探针技术来替代传统的网络嗅探器采集到的数据包在网络探针上只做简单的IP重组 并通过Socket技术传递到协议还原器网络探针功能相对专一 具有截包性能高 丢包率低的特点模拟TCP IP 协议栈 实现会话重建 7 会话重建并行处理办法 对LAN的主机进行分段处理真正负载均衡会话处理均衡 8 对LAN的主机进行分段处理 这种方法均衡性很差各主机的流量很难预测 这会导致有些线程忙碌 有些很空闲 多线程的效果一般 9 真正负载均衡 数据包均衡分发到各个TCP重组线程该方法涉及到共享数据的同步访问 需要互斥机制增加系统花销问题共享资源等待问题影响系统性能 增加实现复杂度 10 会话处理均衡 同一会话的数据交给同一线程处理多个线程无需同步结合了上述两种方案的优点 11 系统实现 经过IP重组的数据包 传给数据分流器 同一会话的数据包分流到不同的TCP重组引擎进行处理 提高了会话重建的能力每个TCP重组引擎都有一个自己的数据包缓冲区 存放IP包 12 缓冲区关键技术 缓冲区采用静态环形队列避免数据同步减少内存的分配和释放的系统开销提高整体性能这是提高并发处理性能的关键技术之一此外 在模拟TCP IP协议栈的过程中 使用高效的查找算法 哈希算法也是高效实现会话重建的关键之一 13 TCP流重组 在TCP流的重组中 定义一个四元组以四元组来构造会话文件 文件名为 目的地址 目的端口一源地址 源端口 14 实例 文件名 191 192 193 194 02566一015 016 017 018 01180存储从主机191 192 193 194端口2566传送到主机15 16 17 18端口1180的会话内容 15 把数据流存为会话文件的好处 恢复到真实的数据流 可以作为原始数据保留 用于违规审计及事后取证在需要会话重现的时候 再进行读取分析从文件名可以很直观得到通信双方的标识 主机地址 及采用的协议 端口号 便于运用多线程技术进行分析 16 多线程协议还原 线程的系统开销比较小同一进程下的线程之间共享数据空间在多处理器计算机上实现多线程时 线程可以并行工作 提高程序执行效率 17 应用层网络协议还原 不同的应用协议通常绑定特定的端口号根据端口号 可以得到对应的应用层协议 依据协议的RFC文档定义 就可以对多个会话文件并发处理 进行协议还原 18 负载均衡算法 每个协议还原引擎都设计一个BUSY IDLE状态位 初始状态为IDLE由还原程序主模块进行任务分发 把会话文件池中的文件分给IDLE线程 并将该线程状态置为BUSY当该线程完成还原任务后 将状态置为IDLE多个线程可以同时进行协议还原 生成协议文件 19 优势 利用这种算法 结