基于网络的入侵检测技术 4
1.1 共享以太网环境下的数据截获
数据传输通过广播实现。
应用程序只能接收到以本机为目标地址的数
据包,其他数据包将被丢弃不作处理。
要截获到流经网卡的不属于自己主机的数
据:
首先将网卡工作模式置于混杂( promiscuous )模
式,使之可以接收目标 MAC 地址不是本机 MAC 地
址的数据包
然后直接访问数据链路层,截获相关数据,由应用
程序而非上层协议如 IP 和 TCP 协议对数据进行过滤
处理,这样就可以截获到流经网卡的所有数据。
评论0