网络抓包与分析培训.pptx

抓包接入
交换式网络 - 交换机具备管理功能（端口镜像）
使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch） 工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交 换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络 分析系统可安装在连接镜像端口的主机上方式
抓包接入
交换式网络 - 交换机不具备管理功能（无端口镜像）
一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果您的 中心交换或网段的交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap） 的方法进行部署。如图所示： 使用网络分接器(Taps) 使用Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再 安装另外的网卡。 用集线器(Hub) Hub成本低，但网络流量大时，性能不高，Tap即使在网络流量高时，也对网 络性能不会造成任何影响，
为什么要学习抓包和协议分析
协议分析工具
进行网络管理和网络安全管理，不仅要从宏观上管理网络的性能，还要从微观上 分析数据包的内容，这样才能确保网络安全并且正常地运行。 使用协议分析工具的目的，就是为了捕获网络中传输的数据包并对数据包中的比 特进行统计和分析。 宏观上，可以进行统计以确定网络性能的基线。微观上，可以从数据包分析中了 解协议的实现情况、是否存在网络攻击行为等，为制定安全策略及进行安全审计 提供直接的依据。 如果黑客在网络当中使用协议分析工具，就是一种消极的安全攻击。
LINNUX中带的TCPDUMP也可以抓取数据包进行协议分析。
协议分析器的特点
捕获数据包
◦ 进行协议分析的前提是要有捕获的数据包，协议分析器可以捕获所有流经其所控制的媒体的数 据。高端的协议分析器还可以制定捕获的计划和触发条件。
数据包统计
◦ 协议分析器可以对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析， 甚至可以打印出各种直观的图表和报表。
可以用来危害网络邻居的安全，或者用来获Biblioteka Baidu更高级别的访问权限
窥探低层的协议信息
抓包接入 共享网络 - 通过Hub连接上网
使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享 模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器（Hub），可将科来网 络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中 所有的数据通讯。
过滤数据
◦ 大量的数据包的捕获会消耗太多的系统资源，性能很低。协议分析器可以设置过滤，只捕获满 足特定条件的数据包。根据大量捕获结果排错的时候，也需要能过滤无关的大量数据包，把最 有用的数据包找出来。协议分析器往往有强大的过滤功能。
数据包解码
◦ 捕获的数据包的内容就是0/1的比特流，协议分析器可以对这些比特流解码，识别哪些部分是 封装的头部信息，哪些是有效净载荷。网络通信协议非常多，好的协议分析器能对各种协议数 据包解码。
抓包接入
交换式网络 - 交换机具备管理功能（端口镜像）
使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch） 工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交 换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络 分析系统可安装在连接镜像端口的主机上方式
常见的危害有：
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由，嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息，比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号，然而嗅探器可以很轻松地截获在网上
传送的用户姓名、口令、信用卡号码、截止日期、账号和PIN。比如偷窥机密或敏感的信息 数据，通过拦截数据包，入侵者可以很方便地记录别人之间敏感的信息传送，或者干脆拦截 整个的E-mail会话过程。
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析 器和广域网分析器，也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据，它采用特殊的接 口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广 域网以便于捕获流经的数据流。
常见的网络分析器产品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科来协议分析、allot。 Sniffer公司目前主推硬件分析
还有免费的Ethereal、Wireshark（原Ethereal作者自行开发的）协议分析器等。
另外，Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
局域网分析器用来捕获和显示来自局域网的信息数据，这些局域网包括以太网、令牌 环网和光纤分布式数据接口（FDDI）等。局域网分析器是通过集线器或者交换机连接 到局域网网段上的。将局域网分析器连接到交换机时，需要进行一些特殊的考虑。一 般情况下，分析器只能捕获经过它所连接的端口的所有数据。某些交换机可以配置监 视端口，把分析器接入到监视端口就可以捕获监视流经所有端口的数据。
读取其他协议分析器的数据包格式
◦ 大部分协议分析器可以读取显示其他协议分析器捕获的数据包文件。
作为嗅探器的协议分析器
黑客使用协议分析器的时候，它就成了一种黑客工具，我们可以称之为嗅探器。
嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获 真实的网络报文。嗅探器工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据， 并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布 局。嗅探是一种安静的、消极的安全攻击。