Sniffer的数据包分析与防范

Sniffer的数据包分析与防范
Sniffer的数据包分析与防范
【摘要】本文首先阐述了当前信息监听的重要意义，并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。

然后系统地介绍了网络中几种重要的协议的数据报格式，在此基础上，介绍Snifer对这几种协议进行的解码分析，通过Sniffer的分析能够清楚地看到几种数据报的详细内容。

鉴于Sniffer对信息的监听，本文提出了几种防范Sniffer监听的方法，主要有防火墙技术、加密技术等。

最后，针对当前我国的信息监听面临的形势，提出了自己对信息监听技术发展前景的看法。

关键字：信息监听 Sniffer 数据包分析信息安全 Sniffer的防范
1．信息监听的意义；
我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相关应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。

监听技术有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。

2、Sniffer的介绍；
Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。

进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。

Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

Sniffer之所以著名，是因它在很多方面都做的很好，它可以监听到网上传输的所有信息。

Sniffer可以是硬件也可以是软件。

主要用来接收在网络上传输的信息。

网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP 等等，也可以是集中协议的联合体系。

Sniffer的优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。

硬件的Sniffer通常称为协议分析仪，具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号、经济数据、E-mail等等，更加可以用来攻击与己相临的网络。

3、网络数据包的结构；
版本首部长度服务类型总长度
标识符标志数据报片偏移量
生存时间协议首部校验和
源站IP地址
目的IP地址
IP选项（若有）填充
数据
……
版本：4个字节；
首部长度：单位为4字节，最大60字节
总长度：单位为字节，最大65535字节
标识：IP报文标识字段
标志：MF=1，后面还有分片的数据包
MF=0，分片数据包的最后一个
DF=1，不允许分片
DF=0，允许分片
偏移量：分片后的分组在原分组中的相对位置，单位为8字节
生存时间：TTL（Time To Live）丢弃TTL=0的报文
协议：携带的是何种协议报文
首部检验和：对IP协议首部的校验和
源IP地址：IP报文的源地址
目的IP地址：IP报文的目的地址
数据发送时从协议栈的高层到底层，会在每一层根据所使用的不同协议添加不同的数据头，所以通常在底层直接截获得到的数据包内，会有不止一个的协议头。

数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。

在网络层，还要给数据包添加一个IP数据段头以组成IP数据报。

4． ARP是地址解析协议，它是物理网络系统的一部分，不是网络协议的一部分，它的报文格式如图6所示。

硬件类型协议类型
硬件地址长度协议地址长度操作
发送方硬件地址（八位组0～3）
发送方硬件地址（八位组4～5）发送方IP地址（八位组0～1）
发送方IP地址（八位组2～3）目标硬件地址（八位组0～1）
目标硬件地址（八位组2～5）
目标IP地址（八位组0～3）
4、Sniffer的数据报文解码；
Sniffer具有强大的网络流量捕捉能力，可以将网络流量捕捉到计算机的内存或直接存储到硬盘上，从而进行解码分析。

Snifer能够对很多种协议进行解码分析，它的解码界面也是解码的一个标准界面。

解码界面分为Summary（概要
解码）、Detail（详细解码）、Hex（十六进制码）。

通过以上对几种主要的数据报格式的介绍，有利于我们对Sniffer解码的理解。

下面介绍一下Sniffer对几种重要的协议的解码分析。

4.1 ARP协议的解码分析
ARP协议，即地址解析协议，它提供了一种可以把IP地址映射到物理地址的协议。

通过分析Sniffer捕获的数据包中的ARP协议，可以知道信息的发送方和接收方的一些相关数据，如图7是捕获的数据包中的ARP协议内容：
图7
从以上的数据包可以看出ARP协议中的详细内容，例如：硬件类型（Hardware type）字段指明发送方想要知道的硬件接口类型，对于以太网，该字段含有的值为“1”；操作（Opcode）字段指明的是ARP请求（1）、ARP响应（2）、ARP请求（3）、ARP响应（4）；硬件地址长度字段和协议地址长度字段分别指出了硬件地址和高层协议地址的长度；目标硬件地址和目标协议地址字段分别指出了目标硬件地址和目标IP地址。

4.2 IP协议的解码分析
IP是英文Internet Protocol（网络之间互连的协议）的缩写，中文简称为“网协”，也就是为计算机网络相互连接进行通信而设计的协议，图8为Sniffer 对IP协议首部的解码分析。

从图8中可以看出IP数据报文中的详细内容，例如：版本（Version）字段指出了数据报所用的IP协议的版本信息；生存时间（Time to live）字段指
明了数据报在互联网系统中允许保留的多长时间；首部校验和（Header checksum）字段等等。

这些内容与图5中的IP数据报文格式中的内容一一对应。

图8
4.3 UDP协议的解码分析
UDP协议，用户数据报协议（User Datagram Protocol）提供应用程序之间发送数据报的基本机制。

用户数据报可以分为UDP首部和UDP数据区，下图是Sniffer对UDP协议首部的解码分析。

图9
从图中可以看出，Source Port为UDP源端口，Destination为UDP目的端口，Length为UDP报文长度，Checksum为UDP检验和。

4.4 TCP协议的解码分析
TCP协议，传输控制协议（Transmission Control Protocol），它是面向连接的协议，所有的数据传输过程必须在一个TCP连接的基础上进行，也就是说如果需要TCP传输，首先要建立一个TCP连接。

TCP的连接过程，请求方和服务方需要在网络中传送三个数据包，即TCP的三次握手。

具体过程如下图所示：
图10 TCP三次握手
通过Sniffer捕获的数据包可以清楚地看到TCP的三次握手过程，下图所示为TCP连接的请求数据包。

图11 TCP 链接请求包
服务器收到客户端发送的TCP SYN 包后向客户端发送TCP ACK 数据包，如图。

源端口为客户端自动生成 目的端口为服务器提供服务所
用的端口
客户端为这个链接分配的
初始TCP 序列号
SYN 标识位
客户端MSS 大小
图12 TCP 连接SYN ACK 包
第三步是客户端发送ACK ，三次握手完成，TCP 连接建立，如下图所示
图13 TCP 连接过程第三个包
服务器服务端口 客户端发起连接的
源端口
服务器为该连接分配的初始TCP 序列号
ACK 标识位
SYN 标识位
服务器MSS 大小
ACK 号位为客户端初始
TCP 序列号+1
客户端初始TCP 序列号+1
ACK 号为服务器初始TCP 序列号+1
ACK 标识位
5、信息安全问题产生的原因及如何防范信息监听；
进入21世纪以来，信息安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。

信息的保密性、完整性、可用性、可控性就成了关键因素。

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。

1.互联网的开放性。

从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。

由于互联网成员的多样和位置的分散,其安全性并不好。

互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。

也就是说从技术层面上截取用户信息的可能性是显然存在的。

网络的开放性是信息安全问题产生的主要原因。

2．计算机网络系统安全漏洞。

系统安全漏洞,也叫系统脆弱性(Vulnerability) ,简称漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。

非法用户可以利用漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权限,从而破坏系统的安全性。

漏洞是针对系统安全而言的,包括一切可导致威胁、破坏计算机系统安全性(完整性、可用性、保密性、可靠性、可控性)的因素。

任何一个系统,无论是软件还是硬件都不可避免地存在漏洞,所以从来都没有绝对的安全。

当然漏洞的存在本身并不能对系统安全造成什么损害,关键的问题在于攻击者可以利用这些漏洞引发安全事件。

3.网络小甜饼cookie。

所谓的cookie就是用户在登陆某些需要用户名的网站上所留下的一些登陆痕迹，用户的cookie会在关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断。

Cookie 是用户输入另一种形式，它是以纯文本形式在浏览器和服务器之间传送，任何可以截取 Web 通信人都可以读取Cookie。

为了解决这些安全问题，各种安全机制、策略和工具被开发和应用。

针对Sniffer的监听机制，可以有以下几种方法防范Sniffer的监听。

1.防火墙技术。

我们知道，sniffer一般是发生在以太网内的，那么，很明显，首先就要确保以太网的整体安全性，因为sniffer行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行sniffer，去收集以太网内敏感的数据信息。

防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。

2.加密技术。

数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。

数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。

采用加密手段是一个很好的办法，因为如果Sniffer抓取到的数据都是以密文传输的，那对入侵者即使抓取到了传输的数据信息，意义也
是不大的。

Sniffer依然可以监视到信息的传送,但是显示的是乱码。

如果信息在网络中以明文的形式传输，其内容就很有可能被截获，例如用户在登录邮箱时，如果以明文的形式传输，就可能被Sniffer截获（如下图14 所示）。

一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破。

几乎所有的加密术将导致网络的延迟。

加密术越强,网络沟通速度就越慢。

邮箱用户
名和密码
图14 截获邮箱用户名和密码
6、信息监听的发展前景；
到目前为止，从美国这样的网络发达国家到中国这样的网络发展中国家，社会各界包括网民们对信息监听的认识和理解还远远不够，国际网络立法严重滞后。

这些，都使互联网上的信息监听处于一个完全失控的状态，网民的隐私受到广泛的、灾难性的侵犯，而网民则处于完全的弱势地位，基本上束手无策。

信息监听技术作为一种工具，总是扮演着正反两方面的角色。

对于入侵者来说，最喜欢的莫过于用户的口令，通过信息监听可以很容易地获得这些关键信息。

而对于入侵检测和追踪者来说，信息监听技术又能够在与入侵者的斗争中发挥重要的作用。

鉴于目前的网络安全现状，我们应该进一步挖掘信息监听技术的细节，从技术基础上掌握先机，才能在与入侵者的斗争中取得胜利。

可以预见，信息监听技术会在监听与反监听的过程中不断前进！。