Sniffer含义及工作原理
第1章1 Sniffer Pro简介
Ngrep: NGrep 在网络层实现了 GNU grep 的大 多数功能,基于 libpcap ,可以使你通过指定扩 展的正则表达式或十六进制表达式去匹配网络上 的数据流量。它当前能够识别流经以太网、 PPP、 SLIP 、 FDDI 、令牌网和回环设备上的 TCP、 UDP 和 ICMP 数据包,并且和其他常见的嗅探 工具(如 tcpdump )一样,理解 bpf 过滤机制。
5
Sniffer Vs. IDS
新的网络攻击 : Sniffer--防范新的病毒和攻击 并不依赖于特征库或病毒库。针对于网络异常现象 发现问题,对新的病毒或病毒变种,以及新的攻击 或入侵,有较强的发现能力。 IDS--只能检测已知的攻击模式 这是IDS的通病,对攻击的发现,要依赖于自身的特 征库。即使最好的IDS,对新的攻击的识别率也是非 常低的。
5
Sniffer 的作用
•第四,Sniffer可以帮助我们排除潜在的威胁 比如病毒、木马、扫描等,Sniffer可以快速地发现 他们,并且发现攻击的来源,这就为做控制提供根据. 比如QOS,不是根据应用随便去分配带宽就解决的, 需要知道哪一些应用要多少带宽,带宽如何分配,要有 根有据。
5
Sniffer 的作用
3
Sniffer 概述
sniffer技术是一把双刃剑。sniffer既可以做为网
络故障的诊断工具,也可以作为黑客嗅探和监听的 工具。 传统的sniffer技术是被动地监听网络通信、用户 名和口令。而新的sniffer技术出现了主动地控制通 信数据的特点,把sniffer技术扩展到了一个新的领 域。
Sniffer 概述
sniffer中文翻译过来就是嗅探器,在当前网络技
术中使用得非常广泛。
ISS为Sniffer定义为: Sniffer是利用计算机的网络 接口截获目的地为其他计算机的数据报文的一种工 具。
sniffer介绍
第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。
为了解决网络问题需要对网络中的数据进行相应的捕获和分析,Sniffer就是这样一种类型的软件。
它能够针对网络工作中的各种数据进行相应的捕获和分析。
从本章开始,本书将对Sniffer这类网络工具的功能和使用方法进行介绍。
1.1局域网安全概述局域网是日常使用中最常见的一种网络结构,同时也是组成网络的基本单位。
由于Sniffer必须在局域网中使用,所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。
目前的局域网基本上都采用以广播为技术基础的以太网。
在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收,同时也为处在同一以太网上的任何一个节点的网卡所截获。
因此,只要使用软件在接入以太网上的任一节点进行侦听,就可以捕获在这个以太网上传输的所有数据包。
如果使用相应的算法对截获的数据包进行解包分析,就可以获得相应的关键信息,这是以太网固有的安全隐患。
针对这一安全隐患,可以使用多种软件达到截获数据包并进行分析的目的。
Sniffer就是这样的一种软件。
这也是本书的一个意义:认识这种安全隐患技术,从而达到避免这种安全隐患,维护网络安全的目的。
针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。
1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
网络分段可分为物理分段和逻辑分段两种方式。
物理分段是以硬件设备将网络划分成不同的网络地址段。
在出现问题时可以通过物理手段来断开网络以避免更大的损失。
第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。
在实际的网络工程应用中,这两种方式经常混合使用以便达到更好的效果。
通常在保密级别相对较高的地点会采用物理分段的方式,而保密的级别相对较低的地点采用逻辑分段就可以了。
Sniffer中文可以翻译为嗅探器
一、Sniffer 原理
1.网络技术与设备简介
在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。
基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。
4.网络监听的目的
当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一(物理)网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。
Sniffer可以在全部七层OSI协议上进行解码,目前没有任何一个系统可以做到对协议有如此透彻的分析;它采用分层方式,从最低层开始,一直到第七层,甚至对ORACAL数据库、SYBASE数据库都可以进行协议分析;每一层用不同的颜色加以区别。
Sniffer对每一层都提供了Summary(解码主要规程要素)、Detail(解码全部规程要素)、Hex(十六进制码)等几种解码窗口。在同一时间,最多可以打开六个观察窗口。
sniffer工作原理
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。
其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。
在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。
这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。
解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。
通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
sniffer功能和使用详解
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
sniffer工作原理
sniffer工作原理Sniffer是一种网络安全工具,它可以截获网络数据包并分析其中的内容。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的工作流程可以分为以下几个步骤:1. 捕获数据包Sniffer通过网络接口卡(NIC)截获网络数据包。
NIC是计算机与网络之间的接口,它可以将计算机发送的数据转换成网络数据包,并将网络数据包转换成计算机可以理解的数据。
Sniffer通过NIC截获网络数据包,然后将数据包传递给分析程序进行分析。
2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。
分析程序可以根据需要对数据包进行过滤、排序、统计等操作,并将分析结果输出到屏幕或保存到文件中。
分析程序可以根据需要对数据包进行深度分析,例如分析数据包中的协议、源地址、目的地址、端口号等信息。
3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。
分析结果可以以图形化界面或命令行方式呈现,用户可以根据需要选择不同的显示方式。
分析结果可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
例如,网络管理员可以使用Sniffer来监控网络流量,发现网络中的异常行为,及时采取措施保障网络安全;网络安全专家可以使用Sniffer来分析网络攻击行为,发现攻击者的攻击手段和目的,提高网络安全性;网络工程师可以使用Sniffer来排查网络故障,快速定位故障点,提高网络可靠性。
总之,Sniffer是一种非常实用的网络安全工具,它可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
网络嗅探的原理
网络嗅探的原理网络嗅探的原理在介绍Sniffer是怎样工作之前,首先需要明确的一点就是,我们无法在网络上找到一点,对计算机网络上的所有的通信进行监听。
这是因为Internet的连接看起来就像渔民的渔网,通信只是流经一个网眼,没有一个点能看到所有的网眼。
Internet被建设成为是“抗中心打击”的——它可以经受任何的“单点失败”。
因此,这就阻止了单点的监听。
通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都还应该有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。
在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:帧的目标区域具有和本地网络接口相匹配的硬件地址,或者是帧的目标区域具有“广播地址”。
在接受到上面两种情况的数据包时,网卡通过CPU产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
而Sniffer就是一种能将本地网卡状态设成promiscuous(混杂)状态的软件,当网卡处于这种“混杂”方式时,该网卡具备“广播地址”,它对所有遭遇到的每一个帧都产生一个硬件中断,以便提醒操作系统处理流经该物理媒体上的每一个报文包(绝大多数的网卡具备置成promiscuous方式的能力)。
可见,Sniffer工作在网络环境中的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
值得注意的是,Sniffer 是不易发现的、被动的安全攻击。
我们通过以下的例子来讨论Sniffer的工作原理:这个问题可以在以下的情境中来问:A和B在上海并且正在用电话聊天,你位于北京,想听到他们之间的谈话。
在这种情况下,你当然听不到A和B之间的谈话,甚至可以说是根本就没有这个可能。
为了听到他们之间的聊天,你必须能访问这个通信所在的线路。
Sniffer攻击以及其工作原理的介绍
此文章主要向大家讲述的是Sniffer攻击含义以及对其工作原理的描述,sniffers(嗅探器)几乎与internet有一样发展历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。
再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
谈到以太网sniffer,就必须谈到以太网sniffing。
那么什么是以太网sniffer攻击呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"password"的包。
sniffer技术原理及应用,包括编程方法和工具使用
kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新的sniffer技术出现了主动地控制通信数据的特点,把sniffer技术扩展到了一个新的领域。
Sniffer 技术除了目前在传统的网络侦测管理外,也开始被应用在资讯保全的领域。
可以这样说,sniffer技术是一把双刃剑,如何更好的利用它,了解它的一些特性,将能使这项技术更好的为我们带来便利。
sniffer的编程方法比较通用的有以下几种,1.winpcap 这是一个比较通用的库,相信做过抓包的工具大多数人都不会太陌生 2.raw socket 在2000以后的版本都支持此项功能,2000 server 有个网络监视器就是基于raw socket 3.tdi,ndis,spi,hook socket技术,这种技术比较大的不同是可以将包截取而不是仅仅获得包的一份拷贝。
总的说来,一般以前两者居多。
我这里提的都还比较片面,更多的需要大家来补充。
我办这个专题的目的是希望大家共同来了解,讨论sniffer技术,让更多的人参与进来,让大家知道,这个板块能够给大家带来真正想要的东西。
warton:libpcap是个好东西,linux,windows下都能用,很多入侵检测之类的安全系统都是以这为核心。
不过我一直没用过它,不知道它的跨平台性如何?要用spi的话,看看xfilter的代码和书,特别是那本书上讲得不错,可惜一直没用它做出什么东西来。
简述sniffer的工作原理。
1.简述sniffer的工作原理是什么?
答:Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。
在以太网中发送数据帧时其他计算机都能够收到该数据帧,不管该数据帧是否是发送给自己。
数据帧中包含有目的主机的MAC地址,一般情况下只有具有数据帧中目的MAC地址的主机才会接收这个数据帧。
可以通过在计算机上设置网卡的接收模式来决定是否接收不是发送给本机的数据帧。
网络嗅探工具Sniffer软件工作时,一般将网卡设置为混杂模式,在混杂模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
网络协议分析工具Sniffer
• NDIS 3.0+驱动的网络接口卡
– 适用于网卡的增强型NAI驱动可以提高网卡 性能,并允许对错误帧进行捕获和分析。
从文件菜单中选择适配器
• 标题栏将显示激活的探测器
选择适配器
• 文件菜单
– 选择网络探测器/适配器(N)..
暂停 停止 停止与浏
览 浏览(当 停止时)
捕获细节视图
拒绝的计数表明设置了捕获过 滤器
应用 会话 连接 工作站 DLC 全球 路由 子网
Expert层
OSI 应用层信息 OSI 会话层信息
OSI运输层信息 OSI网络层信息 拓扑相关信息 网段性能统计 RIP路由信息 子网成对显示
不 可见 层: 全球
Sniffer
数据包监视分析工具
• Sniffer
Sniffer
• Sniffer程序是一种利用以太网的特性把网络适配 卡(NIC,一般为以太同卡)置为杂乱(promiscuous) 模式状态的工具,一旦同卡设置为这种模式,它 就能接收传输在网络上的每一个信息包。
• ISS(Internet Security System)为Sniffer这样 定义:Sniffer是利用计算机的网络接口截获目的 地为其他计算机的数据报文的一种工具。Sniffer 的正当用处主要是分析网络的流量,以便找出所关 心的网络中潜在的问题。Sniffer安全技术被广泛 应用于网络维护和管理方面。
缓存数据中的主机表
格式选择 输出数据
选择地址 层和显示 类型
点击+号进 行扩展, 来浏览工 作站运行 的应用
协议分配视图
选择层与其它视图
Sniffer软件的功能和使用方法
6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
二、Sniffer功能Sniffer Pro主要包含4种功能组件(1)监视:实时解码并显示网络通信流中的数据。
(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。
(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。
(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。
网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控可以提供下列信息。
(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。
(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。
(3)按照不同的底层协议进行统计的数据。
(4)应用程序的响应时间和有关统计数据。
(5)单个工作站或会话组通信量的统计数据。
(6)不同大小数据包的统计数据。
三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。
本次以 IP 地址为测量基准。
1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP地址1.3、monitor protocol distribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network:显示网络利用率等统计信息。
Sniffer含义及工作原理
一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。
再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
谈到以太网sniffer,就必须谈到以太网sniffing。
那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"password"的包。
它的目的是将网络层放到promiscuous模式,从而能干些事情。
Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
根据第二章中有关对以太网的工作原理的基本介绍,可以知道:一个设备要向某一目标发送数据时,它是对以太网进行广播的。
一个连到以太网总线上的设备在任何时间里都在接受数据。
1.04网络侦听(Sniffer)原理与应用
Sniff 的作用
中博信息技术研究院
• 网络监控与诊断 • 网络安全 • 协议分析 • 嗅探攻击
常见的Sniffer网管软件 常见的Sniffer网管软件 1
中博信息技术研究院
NAI的“Sniffer Pro” 的
常见的Sniffer网管软件 常见的Sniffer网管软件 2
中博信息技术研究院
Ethereal协议分析软件在Windows操作系统下的安装1 Ethereal协议分析软件在Windows操作系统下的安装1
中博信息技术研究院
安装WPcap软件包 安装WPcap软件包 Ethereal的Windows版本运行时需要 Ethereal的Windows版本运行时需要WinPcap软件包支持 版本运行时需要WinPcap软件包支持
网卡的正常工作模式
中博信息技术研究院
பைடு நூலகம்
网卡只接收目的MAC地址为自己的报文,忽略其他报文。 网卡只接收目的MAC地址为自己的报文,忽略其他报文。 MAC地址为自己的报文
网卡的Promiscuous―混杂模式 网卡的Promiscuous―混杂模式
中博信息技术研究院
工作在混杂模式下网卡会接收所有发送到它端口上的数据报文, 工作在混杂模式下网卡会接收所有发送到它端口上的数据报文,而不管这些 报文是否是发送给自己的。 报文是否是发送给自己的。
中博信息技术研究院
第四章
网络侦听(Sniffer) 网络侦听(Sniffer) 原理与应用
第4章 网络侦听(Sniffer)原理与应用 网络侦听(Sniffer)原理与应用
中博信息技术研究院
• Sniff简介 Sniff简介 • 常见Sniff工具 常见Sniff工具 • Sniff的部署 Sniff的部署 • Ethereal 协议分析工具应 Ethereal协议分析工具应 用
网络嗅探(sniffer)入侵渗透的探讨
网络嗅探(sniffer)入侵渗透的探讨技术本身是没有错的,错误产生于人。
网络安全性的分析可以被用于加强安全性、加强网络的自由度,也可以被入侵者用于窥探他人隐私、任意篡改数据、进行网上诈骗活动。
这里,我们讨论网络嗅探器(sniffer)在广义黑客领域的应用和网络管理中的应用。
一、嗅探器(Sniffer)攻击原理Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。
网络可以是运行在各种协议之下的。
包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。
放置Sniffer的目的是使网络接口(在这个例子中是以太网适配器)处于杂收模式(promiscuous mode),从而可从截获网络上的内容。
嗅探器与一般的键盘捕获程序(Key Capture)不同。
键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。
嗅探器通过将其置身于网络接口来达到这个目的——将以太网卡设置成杂收模式。
⒈关于以太网(Ethernet)Ethernet是由Xerox的Palo Aito研究中心(有时也称为PARC)发明的。
下面简介一下信息在网络(这里为以太网)上的传输形式。
数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成,不同的部分执行不同的功能。
(例如,以太网的前12个字节存放的是源和目的的地址,这些位告诉网络:数据的来源和去处。
以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。
通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。
就是在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
每一个在LAN上的工作站都有其硬件地址。
这些地址唯一地表示着网络上的机器(这一点于Internet地址系统比较相似)。
ble sniffer抓包原理
ble sniffer抓包原理
摘要:
1.蓝牙sniffer 简介
2.蓝牙sniffer 抓包原理
3.蓝牙sniffer 的应用
4.蓝牙sniffer 的局限性
正文:
蓝牙sniffer 是一种能够捕获蓝牙设备之间通信数据的工具,可以通过抓取蓝牙数据包来监视蓝牙设备之间的通信,通常被用于安全测试和分析蓝牙设备的通信过程。
蓝牙sniffer 的抓包原理基于蓝牙设备的广播特性。
蓝牙设备在通信过程中会不断地发送数据包,其中包括设备的地址、通信协议、数据等信息。
蓝牙sniffer 通过捕获这些数据包来获取蓝牙设备之间的通信内容。
蓝牙sniffer 可以用于许多应用,例如监视蓝牙设备的通信过程、分析蓝牙设备的通信协议、检测蓝牙设备的安全漏洞等。
蓝牙sniffer 可以帮助安全测试人员更好地了解蓝牙设备的通信过程,从而更好地保护蓝牙设备的安全性。
然而,蓝牙sniffer 也有一些局限性。
例如,它只能捕获蓝牙设备之间的通信数据,无法捕获设备内部的数据;同时,它也需要蓝牙设备正在进行通信才能够抓取数据包,因此需要选择合适的时机进行抓取。
借助嗅探器(Sniffer)诊断Linux网络故障
嗅探器(sniffer)在网络安全领域是一把双刃剑,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。
嗅探器是企业必不可少的网络管理工具。
本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例,介绍如何借助sniffer来诊断网络故障,从而保障网络高效安全地运行。
简介嗅探器(sniffer)又称为包嗅探器,是用来截获计算机网络通信数据的软件或硬件。
与电话电路不同,计算机网络是共享通信通道的,从而意味着每台计算机都可能接收到发送给其它计算机的信息,捕获在网络中传输的数据信息通常被称为监听(sniffing)。
嗅探器常常作为一种收集网络中特定数据的有效方法,是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。
嗅探器工作在网络环境中的底层,可以拦截所有正在网络上传送的数据,从而成为网络安全的一个巨大威胁。
通过对网络进行嗅探,一些恶意用户能够很容易地窃取到绝密文档和敏感数据,因此嗅探器经常被黑客当作网络攻击的一种基本手段。
任何工具都有弊有利,嗅探器既可以作为黑客获得非法数据的手段,但同时对网络管理员来讲又是致关重要的。
通过嗅探器,管理员可以诊断出网络中大量的不可见模糊问题。
这些问题通常会涉及到多台计算机之间的异常通信,而且可能会牵涉到多种通信协议。
借助嗅探器,管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。
这些信息为管理员判断网络问题及优化网络性能,提供了十分宝贵的信息。
作为一种发展比较成熟的技术,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用,倍受网络管理员的青睐。
可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;也可以用来判断是否有黑客正在攻击网络系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SNIFFER(嗅探器)-简介Sniffer(嗅探器)是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
在合理的网络中,sniffer的存在对系统管理员是致关重要的,系统管理员通过sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
嗅探器与一般的键盘捕获程序不同。
键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。
为了对sniffer的工作原理有一个深入的了解,我们先简单介绍一下HUB与网卡的原理。
预备知识HUB工作原理由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是当一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给其他的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。
交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。
显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。
这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
网卡工作原理再讲讲网卡的工作原理。
网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC 地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就在接收后产生中断信号通知CPU,认为不该接收就丢弃不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。
CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
局域网如何工作数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成,不同的部分执行不同的功能。
(例如,以太网的前12个字节存放的是源和目的的地址,这些位告诉网络:数据的来源和去处。
以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。
通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。
就是在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
通常在局域网(LAN)中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都还应该有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。
(代表所有的接口地址),在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有“广播地址”。
在接受到上面两种情况的数据包时,网卡通过cpu产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
当采用共享HUB,用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据)。
如果局域网中某台机器的网络接口处于杂收(promiscuous)模式(即网卡可以接收其收到的所有数据包,下面会详细地讲),那么它就可以捕获网络上所有的报文和帧,如果一台机器被配置成这样的方式,它(包括其软件)就是一个嗅探器。
SnifferSniffer原理有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。
首先,要知道SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。
显然只要通知网卡接收其收到的所有包(一般叫作杂收promiscuous模式:指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。
要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。
交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC,就像一个机器的IP与MAC对应的ARP 列表,交换HUB维护一个物理口(就是HUB上的网线插口,这之后提到的所有HUB口都是指网线插口)与MAC的表,所以可以欺骗交换HUB的。
可以发一个包设置源MAC是你想接收的机器的MAC,那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了,以后发给那个MAC的包就发往你的网线插口了,也就是你的网卡可以SNIFFER到了。
注意这物理口与MAC的表与机器的ARP表一样是动态刷新的,那机器发包后交换HUB就又记住他的口了,所以实际上是两个在争,这只能应用在只要收听少量包就可以的场合。
内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器,如果要想不影响原来两方的通信,可以欺骗两方,让其都发给你的机器再由你的机器转发,相当于做中间人,这用ARP 加上编程很容易实现。
并且现在很多设备支持远程管理,有很多交换HUB可以设置一个口监听别的口,不过这就要管理权限了。
利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从而实现sniffer。
Sniffer就是一种能将本地网卡状态设成…杂收‟状态的软件,当网卡处于这种“杂收”方式时,该网卡具备“广播地址”,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
(绝大多数的网卡具备置成杂收方式的能力)可见,sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
值得注意的是:sniffer是极其安静的,它是一种消极的安全攻击。
嗅探器在功能和设计方面有很多不同。
有些只能分析一种协议,而另一些可能能够分析几百种协议。
一般情况下,大多数的嗅探器至少能够分析下面的协议:标准以太网、TCP/IP、IPX、DECNet。
嗅探器造成的危害sniffing是作用在网络基础结构的底层。
通常情况下,用户并不直接和该层打交道,有些甚至不知道有这一层存在。
所以,应该说snffer的危害是相当之大的,通常,使用sniffer是在网络中进行欺骗的开始。
它可能造成的危害:嗅探器能够捕获口令。
这大概是绝大多数非法使用sniffer的理由,sniffer可以记录到明文传送的userid和passwd。
能够捕获专用的或者机密的信息。
比如金融帐号,许多用户很放心在网上使用自己的信用卡或现金帐号,然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。
比如偷窥机密或敏感的信息数据,通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限。
窥探低级的协议信息。
这是很可怕的事,通过对底层的信息协议记录,比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。
这些信息由非法入侵的人掌握后将对网络安全构成极大的危害,通常有人用sniffer收集这些信息只有一个原因:他正要进行一次欺骗(通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号),如果某人很关心这个问题,那么sniffer对他来说只是前奏,今后的问题要大得多。
(对于高级的hacker而言,我想这是使用sniffer的唯一理由吧)事实上,如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。
一般Sniffer只嗅探每个报文的前200到300个字节。
用户名和口令都包含在这一部分中,这是我们关心的真正部分。
工人,也可以嗅探给定接口上的所有报文,如果有足够的空间进行存储,有足够的那里进行处理的话,将会发现另一些非常有趣的东西……简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。
将嗅探器放置于被攻击机器或网络附近,这样将捕获到很多口令,还有一个比较好的方法就是放在网关上。
sniffer通常运行在路由器,或有路由器功能的主机上。
这样就能对大量的数据进行监控。
sniffer属第二层次的攻击。
通常是攻击者已经进入了目标系统,然后使用sniffer这种攻击手段,以便得到更多的信息。
如果这样的话就能捕获网络和其他网络进行身份鉴别的过程。