信息安全產(chǎn)品開發(fā)實踐

利用libnids構(gòu)建入侵檢測系統(tǒng)(1)四川大學軟件學院2009－09助教姓名 QQ號 郵箱羅云 814314989 cloudluo99@王亮 354185558 legend115599@王正霞 593910963 xiaxia_588@126.com李雯 908441949win_lee19860830@3主要內(nèi)容講解Libnids的數(shù)據(jù)結(jié)構(gòu)函數(shù)，并給出一些具體的例子，同學們在此基礎上實現(xiàn)一個簡單的協(xié)議分析程序或是一個簡單的入侵檢測系統(tǒng)4什么是libnidsLibnids是一個基于網(wǎng)絡入侵檢測開發(fā)的專業(yè)編程接口。我們利用Libnids可以實現(xiàn):網(wǎng)絡數(shù)據(jù)包的捕獲;IP碎片重組、TCP流數(shù)據(jù)重組;入侵檢測。5Libnids的安裝

安裝Libnids必須要有Libpcap、Libnet庫的支持，所以要想是試用Libnids必須按照Libpcap、Libnet與Libnids的順序安裝這三個軟件包

安裝方法：

1）下載源碼包；2)釋放歸檔文件；

3）./configure;make;makeinstall6Libnids編程模型#include“nids.h”main(){applicationprivateprocessing,notrelatedtolibnidsoptionalmodificationoflibnidsparametersif(!nids_init())something'swrong,terminate;registrationofcallbackfunctionsnids_run();

//notreachedinnormalsituation}7Libnids基本數(shù)據(jù)結(jié)構(gòu)（1）TCP連接參數(shù)structtuple4{/*源端口和目的端口*/

unsignedshortsource,dest;/*源地址與目的地址*/

unsignedlongsaddr,daddr;};8Libnids基本數(shù)據(jù)結(jié)構(gòu)（2）TCP連接單端信息

structhalf_stream{

用23個變量了描述TCP連接信息…….};9Libnids基本數(shù)據(jù)結(jié)構(gòu)（3）Charstate;表示套接字的狀態(tài)，如TCP_CLOSE、TCP_ESTABLISHED;charcollect;用來指示本端是否接收數(shù)據(jù)，>0,將數(shù)據(jù)存放在data指向的字符緩沖區(qū)，<0,忽略進入本端的數(shù)據(jù)；

charcollect_urg;用于指示本端是否接受緊急數(shù)據(jù)；

char*data;字符緩沖區(qū)，用于存放流向本端的數(shù)據(jù)

intcount;用于指示連接建立后本端已經(jīng)接受的字節(jié)數(shù)；10Libnids基本數(shù)據(jù)結(jié)構(gòu)（4）intoffset:表示存儲在data中數(shù)據(jù)的第一個字節(jié)的偏移量；intcount_new;用于指示是否有新數(shù)據(jù)到達本端，為0表示沒有新數(shù)據(jù) charcount_new_urg;用于指示是否有新的緊急數(shù)據(jù)到達本端，為0表示沒有新的數(shù)據(jù)

11Libnids基本數(shù)據(jù)結(jié)構(gòu)（5）TCP連接完整信息structtcp_stream{ structtuple4addr; charnids_state; structhalf_streamclient,server;

……};12Libnids基本數(shù)據(jù)結(jié)構(gòu)（6）addr:用于表示一個TCP連接的四個重要信息；nids_state:表示連接的邏輯狀態(tài)，共有六種狀態(tài)： NIDS_JUST_EST NIDS_CLOSE NIDS_RESET NIDS_TIMED_OUT NIDS_EXITINGNIDS_DATA

13Libnids基本數(shù)據(jù)結(jié)構(gòu)（6）成員client表示客戶端信息，成員server表示客戶端信息。14Libnids庫中常用函數(shù)（1）intnids_init(void)

函數(shù)成功返回1，失敗返回0

函數(shù)功能：對libnids進行初始化，包括打開網(wǎng)絡接口，打開文件，編譯過濾規(guī)則、設置過濾規(guī)則、判斷網(wǎng)絡鏈路層信息15Libnids庫中常用函數(shù)（2）Voidnids_run(void);

此函數(shù)的功能是運行l(wèi)ibnids,進入循環(huán)捕獲數(shù)據(jù)包的狀態(tài)，并將捕獲的數(shù)據(jù)包交給注冊的回調(diào)函數(shù)進行處理16Libnids庫中常用函數(shù)（3）注冊函數(shù)：針對IP、TCP、UDP協(xié)議分為三類注冊函數(shù)IP注冊函數(shù)

voidnids_register_ip(void(*))

注冊一個可以處理IP數(shù)據(jù)包的函數(shù)，該函數(shù)的定義類型如下：

voidip_function(structip*a_packet)其中a_packet表示的是所捕獲的IP數(shù)據(jù)包17Libnids庫中常用函數(shù)（４）TCP注冊函數(shù)

voidnids_register_tcp(void(*))

回調(diào)函數(shù)的形式為：

voidtcp_callback(structtcp_stream*ns,void**param)

其中ns表示一個ＴＣＰ全連接的所有信息，param表示要傳遞的參數(shù)，18Libnids庫中常用函數(shù)（5）UDＰ注冊函數(shù)

voidnids_register_udp(void(*));

回調(diào)函數(shù)的形式是

voidudp_callback(structtuple4*addr,char*buf,intlen,structip*iph);addr用于表示接收與發(fā)送端的IP地址與端口，buf表示UDP協(xié)議負載數(shù)據(jù)的內(nèi)容，參數(shù)len表示UDP負載數(shù)據(jù)的長度，IPH表示一個ＩＰ數(shù)據(jù)包，包括ＩＰ首部，ＵＤＰ首部以及ＵＤＰ負載19Libnids庫中常用函數(shù)（6）Voidnids_killtcp(structtcp_stream*a_tcp)函數(shù)功能：終止TCP連接Voidnids_discard(structtcp_stream*a_tcp,intnum)函數(shù)的功能是丟棄num字節(jié)的TCP數(shù)據(jù)，用于存儲更多的數(shù)據(jù)20試驗閱讀與理解libnids給出的例子程序sniff和