文档介绍:--------------------校验:_____________--------------------日期:_____________网络安全考试2010-2011网络安全考试范围虚拟机技术(virtual machine)1什么是虚拟机技术、优点、主要软件产品在一台电脑上模拟多台PC,实现“同时”运行几个不同操作系统,不同操作系统间可以通过网络互访。虚拟机对计算机的CPU、内存要求很高Host:指物理存在的计算机HostOS:指在Host上运行的操作系统,虚拟机软件(VMWare)所在操作系统。GuestOS:在虚拟机环境中安装的操作系统,在一台计算机上可以安装多个GuestOS。可以是:win2K,XP,2003,linux/Unix等。VMWare创建了一个完全隔离、安全的虚拟机来封装操作系统及其应用程序。VMware虚拟化层(VirtualizationLayer)将物理硬件资源映射为虚拟机的资源,所以每个虚拟机都有自己独立的CPU、内存、磁盘和I/O设备,完全等同于一台标准的计算机。VMware中的GuestOS直接在X86保护模式下运行,使所有的虚拟机操作系统就像运行在单独的计算机上一样。广泛的设备支持、,包括NAT设备、DHCP服务器和多个网络交换机,让您能够将虚拟机连接起来,并连接主机和公共网络。共享文件夹,拖放式操作,在虚拟机操作系统(GuestOS)和主机操作系统(HostOS)之间复制粘贴。虚拟机彼此隔离,确保一个虚拟机的崩溃不会影响其他虚拟机和主机。VMWARE:操作简单、执行效率高、应用最广VirtualPC:微软公司推出的虚拟机软件Xen:linux下的虚拟机软件其他虚拟机软件:Parallels,openVZ,Virtuozzo,z/VM,bochs,pearpc,qemu2vmware的网络模式:不需要知道具体内容,只需要知道每种网络模式的主要功能。VMWare提供了三种联网方式:bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。桥接模式:最简单的联网方式,直接将虚拟网卡桥接(bridging)到一个物理网卡上,与linux下一个网卡,绑定两个不同地址类似。实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力。桥接模式下,虚拟机内部的网卡直接连到了物理网卡所在的网段上,虚拟机(GuestOS)和HostOS处于同一网段上。虚拟机(GuestOS)相当于网络中的一台“真实”主机,所以网络中的其他主机可以通过网络直接访问桥接的虚拟机。虚拟机也可以直接访问网络中其他主机和主操作系统(HostOS)。hostonly模式:1,它包括两个组件,位于HostOS上的主机虚拟网卡(HostVirtualAdapter)和虚拟交换机(VirtualSwitch)。HostOS上的物理网卡和虚拟网卡HostVirtualAdapter之间不能通信。而虚拟机上的网卡和HostVirtualAdapter都连接到虚拟交换机上,它们组成了一个局域网,:实现HostOS与GuestOS的双向访问。但网络内其他机器不能直接访问GuestOS,GuestOS可通过HostOS用NAT协议访问网络内其他机器。8(默认情况下),8就相当于连接到内网的网卡,而虚拟机本身则相当于运行在内网上的机器,虚拟机内的网卡(eth0)8。NAT方式下,8网卡上,虚拟机就可以使用dhcp服务获得一个随机的内部地址。vmware自带了nat服务,8(内网)到外网的地址转换,所以这种情况是一个实实在在的nat服务器在运行,只不过是供虚拟机使用的。网络嗅探技术嗅探器是能够捕获网络报文的设备(软件或硬件),workGeneral)开发的捕获网络数据包软件Sniffer。以后的网络协议分析软件,嗅探软件,抓包软件都被称为Sniffer。1sniffer的网卡工作模式sniffer工作在共享式以太网,也就是说使用Hub来组成局域网,利用以太网数据传输采用广播方式的特点进行数据包的监听。本机的网卡需要设置成混杂模式。2BPF的组成结构(组件)以及每个组件的作用。BPF:数据包捕获技术BPF是一个核心态的组件,workTap接收所有的数据包KernelBuffer,内核保存过滤器送过来的数据包UserBuffer,用户态上的数据包缓冲区Filter:用户定义的数据包过滤条件3基于BPF和Libpcap的sniffer流程,不需要记住具体的函数名称,但需要知道每个步骤实现的功能。1、正常情况下,链路层驱动程序将数据包发送给系统协议栈2、如果BPF正在此接口监听,驱动程序首先调用BP