您的位置:360文档中心› 简单的网络嗅探器解析

简单的网络嗅探器解析

合集下载

第3章网络嗅探详解

第3章网络嗅探详解

3.1 嗅探器概述

经过3个Hub串联形成的局域网, 局域网介质访问控制方法 当主机A需要与主机E通信时,A

共享式局域网

所发送的数据报通过Hub的时候 就会向所有与之相连的端口转发。 共享式局域网的典型设备是集线器( HubE ) 在一般情况下,不仅主机 可以收 到数据报,其余的主机也都能够 该设备把一个端口接收的信号向所有其它端口 收到该数据包
计算机直接传送的数据,事实上是大量的二进制数据。那么,嗅探器 是怎样能够听到在网络线路上边传送的二进制数据信号呢?可不可以 在一台普通的PC机上边就可以很好的运作起来完成嗅探任务呢?
3.1 嗅探器概述


嗅探器必须也使用特定的网络协议来分 析嗅探到的数据,也就是说嗅探器必须 能够识别出哪个协议对应于这个数据片 断,只有这样才能够进行正确的解码。 其次,嗅探器能够捕获的通信数据量与 网络以及网络设备的工作方式是密切相 关的。
3.1 嗅探器概述

嗅探器的定义



Sniffer是利用计算机的网络接口截获目的地为其他 计算机的数据报文的一种工具。 一部电话上的窃听装置, 可以用来窃听双方通话的 内容,而嗅探器则可以窃听计算机程序在网络上发 送和接收到的数据。 后者的目的就是为了破环信息安全中的保密性,即 越是不想让我知道的内容我就一定要知道。
分发出去。
Hub连接形成LAN
3.1 嗅探器概述

交换式局域网


典型设备是交换机(Switch) 该设备引入了交换的概念,是对共享式的一个 升级,能够通过检查数据包中的目标物理地址 来选择目标端口,从而将数据只转发到与该目 标端口相连的主机或设备中。 上页描述的网络,如转发设备都采用Switch, 那么只有主机E会正常收到主机A发送的数据, 而其余的主机都不能接收到。

实验七 网络嗅探

实验七 网络嗅探

实验七网络嗅探【实验目的】1.了解FTP、HTTP等协议明文传输的特性;2.了解局域网内的监听手段;3.掌握Ethereal嗅探器软件的使用方法;4.掌握对嗅探到的数据包进行分析的基本方法,并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】两台以上装有Windows 2000/XP/2003操作系统的计算机。

【实验原理】(1)嗅探原理网络监听是一种常用的被动式网络攻击方法,能帮助入侵者轻易获得用其他方法很难获得的信息,包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器(Sniffer)是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。

它工作在网络的底层,将网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。

一般来说,以太网(共享式网络)被监听的可能性比较高,因为以太网(共享式网络)是一个广播型的网络。

微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易地截获。

在以太网中,嗅探器通过将以太网卡设置成混杂模式来捕获数据。

因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。

但是,当主机工作在监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然自己只能监听经过自己网络接口的那些包)。

在Internet上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起,当同一网络中的两台主机通信的时候,源主机将写有目的主机地址的数据包直接发向目的主机。

但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。

网络嗅探器Sniffer技术分析

网络嗅探器Sniffer技术分析

河南 技207 科 06
5 5

黄河 勘测 规划 设计 有 限公 司 王 大川 陈 昭友 曹

维普资讯


项 目概 况

置方式为行列式 布置 , 纵横间距均 为 1 0 桩 长 1m, . m, 1 0
广 州小虎岛 防洪 排涝综合 整治工程位 于广州市 南 沙地 区的小虎 岛上 。 虎岛东 临沙仔沥 、 tl虎 沥 、 小 西  ̄l , 南 部与狮子洋 相接 ,小 虎沥平均 水面宽 3 2 5 m,平水深 48 m, . 3 沙仔沥平均水面宽 4 平均水深 45 m。 1m, l . 7
提醒操作 系统处理流经该物理媒 体上 的每一个报文包 可见 ,n f 作在 网络环境 中的底层 .它 会拦 截 S ie fr 所有的正在网络上传送 的数 据, 并且通过相应的软件处
理, 可以实时 分析这 些数据的内容 . 而分析所 处的网 进 络状态和整体布局 :值得注意的是 :n  ̄ 是极 其安静 S le fr 的, 它是一种消极的安生攻击一
网络服务的因素也增加了 为了使网络可靠 、 稳定地运
行, 必须对嗣络进行行之有效的管理


Si r n e 的基本概念与原理 f
S ie 是一种常用的收集有用数据 方法 . 些数据 n r f 这
可以是用户的账号和密码. 也可 是一些商用机密数据 等等 : 太 网协议 是在同一 回路 向所有主机 发送 数据包 信息 数据包 头包含有 目标 主机 的正确地址。一般情况
理 系统,这个系统在完成动 态信息的捕获 和分祈的 同 时, 也能利用 当前的厨络管理技术同时完成对静态数据 的收集 处理 和分析 , 这是 S le 技术和 网络管理技术的 nf r | 高度融台 , 从而对网络进行全面实时有效的管理 = 根据 S ie 技术的原理 ,n fr nfr Si e 技术在网络底层工 f 作运行 , ( ) 监 渗 听同一物理子阿的数据报文信息= 网 在 络 管理框架结构基础上 . 利用 当前 已经成为标准的网络 管理协 议, 每个 子网叶 的 S ie 代理可 以与 中央 Sie 1 nf r f n r f 管理站通信 , 来完成对大型复杂网络的管理 :一般应放 在 网关 、路由器 、防火墙等 重要和关键 的节点上运行 Sir nf 服务器 , e 以随 时掌握网络的状 态 , 及时 发现人侵 儒息和网络故障等 S i r在网络管理 中的主要功能 : nf e ①实时网络包捕

嗅探器的基础知识

嗅探器的基础知识
_________
/.........\
二.
/..Internet.\
+-----+ +----+.............+-----+
UserA-----路由erB
+-----+ ^ +----+.............+-----+
1.3.1 MAC 地址的格式是什么? 以太网卡的 MAC 地址是一组 48 比特的数字,这 48 比特分为两个部分组成,前面的 24 比特用于表示 以太网卡的寄主,后面的 24 比特是一组序列号,是由寄主进行支派的。这样可以担保没有任何两块网 卡的 MAC 地址是相同的(当然可以通过特殊的方法实现)。如果出现相同的地址,将发生问题,所有 这一点是非常重要的。这 24 比特被称之为 OUI(Organizationally Unique Identifier)。 可是,OUI的真实长度只有 22 比特,还有两个比特用于其他:一个比特用来校验是否是广播或者多播地址, 另一个比特用来分配本地执行地址(一些网络允许管理员针对具体情况再分配MAC地址)。 举个例子,你的MAC地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为 00000011。 可以看到,最后两个比特都被置为真值。他指定了一个多播模式,向所有的计算机进行广播, 使用了“NetBEUI”协议(一般的,在Windows计算机的网络中,文件共享传输等是不使用TCP/IP协议的)。. 1.3.2 我如何得到自己计算机的MAC地址?
TX packets:994976 errors:0 dropped:0 overruns:0 Interrupt:5 Base address:0x300 Solaris 用 “arp” 或者 “netstat –p” 命令 1.3.3 我如何才能知道有那些计算机和我的MAC地址直接关联? 对于WinNT和Unix机器,可以直接使用“arp –a”查看。 1.3.4 我能够改变我的MAC地址吗? 可以。简单的说一下: 第一种方法,你要做地址欺骗,因为MAC地址是数据包结构的一部分, 因此,当你向以太网发送一个数 据包的时候,你可以覆盖源始的MAC信息。 第二种方法,很多网卡允许在一定的时间内修改内部的MAC地址。 第的三种方法, 你可以通过重新烧录EEPROM来实现MAC地址的修改。但是这种方法要求你必须有特定 的硬件设备和适用的芯片才能修改,而且这种方法将永远的修改你的MAC地址。

sniffer功能和使用详解

sniffer功能和使用详解

Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。

使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。

因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。

一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。

当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。

网络嗅探、抓包工具、集线器、交换机和路由器介绍

网络嗅探、抓包工具、集线器、交换机和路由器介绍

网络嗅探定义:网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。

嗅探的原理:要知道在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,大多数系统使用48比特的地址,这个地址用来表示网络中的每一个设备,一般来说每一块网卡上的MAC地址都是不同的,每个网卡厂家得到一段地址,然后用这段地址分配给其生产的每个网卡一个地址。

在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下,一个网络接口应该只响应这样的两种数据帧:1.与自己硬件地址相匹配的数据帧。

2.发向所有机器的广播数据帧。

在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。

CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。

而对于网卡来说一般有四种接收模式:①广播方式:该模式下的网卡能够接收网络中的广播信息。

②组播方式:设置在该模式下的网卡能够接收组播数据。

③直接方式:在这种模式下,只有目的网卡才能接收该数据。

④混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。

好了,现在我们总结一下,首先,我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,再次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。

网络分析SNIFFER软件的使用介绍

网络分析SNIFFER软件的使用介绍

网络分析SNIFFER软件的使用介绍Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”(又称:包)的单位传输的,帧由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网的前12个字节存放的是源地址和目的地址,这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议,由网络驱动程序按照一定规则生成,然后通过网络接口卡(网络接口卡,在局域网中一般指网卡)发送到网络中,通过网线传送到它们的目的主机,在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧,并告诉操作系统有新的帧到达,然后对其进行存储。

在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址,该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址,当目标地址为该地址时,所有的网络接口卡都会接收该帧),网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况:如果网络中某个网络接口卡的物理地址不确定呢(这可以通过本地网络接口卡设置成“混杂”状态来实现)?网络接口卡会如何处理收到的帧呢?实际的情况是该网络接口卡将接收所有在网络中传输的帧,无论该帧是广播的还是发向某一指定地址的,这就形成了监听。

如果某一台主机被设置成这种监听模式,它就成了一个Sniffer。

网络嗅探器的制作课件

网络嗅探器的制作课件

数据过滤与解码
数据过滤
根据需要对捕获的数据包进行过滤,只保留感兴趣的数据包,减少分析的工作量。
数据解码
对捕获的数据包进行解码,将其转换为可读的格式,方便分析和理解。
数据统计与报告
数据统计
对捕获和分析的数据包进行统计,生 成各种统计报表,如流量统计、协议 分布等。
报告生成
根据统计结果生成报告,对网络通信 情况进行总结和描述,为网络管理员 提供决策依据。
应用场景
• 应用场景:网络嗅探器广泛应用于网 络故障排查、网络安全监控、网络性 能优化等方面。在网络故障排查中, 可以使用网络嗅探器来捕获和分析数 据包,帮助定位和解决问题。在网络 安全监控中,可以使用网络嗅探器来 检测和防范网络攻击、恶意软件等安 全威胁。在网络性能优化中,可以使 用网络嗅探器来分析网络流量和数据 包,优化网络性能和响应时间。
合规性审查
在使用网络嗅探器之前,应对其进行合规性审查,确保其符合相关法律法规和行业标准 的要求。
安全防护措施
加密通信
使用网络嗅探器时应采取加密通信措施 ,如使用SSL/TLS等加密协议,以保护数 据的机密性和完整性。
VS
防范恶意软件
网络嗅探器可能会被用于传播恶意软件, 因此在使用时应采取防范措施,如安装杀 毒软件、定期更新操作系统等。
04
网络嗅探器的安全问题
隐私保护
保护个人隐私
在使用网络嗅探器时,必须严格遵守隐私保护原则,不得非法获取或传播他人的个人信息。
避免侵犯他人权益
网络嗅探器可能会截获他人的通信数据,因此在使用时应确保不侵犯他人的合法权益,如隐私权、通 信自由等。
法律与合规性
遵守法律法规
在使用网络嗅探器时,必须遵守相关法律法规,不得从事非法活动,如黑客攻击、窃取 商业机密等。

网络嗅探器4.7.使用方法

网络嗅探器4.7.使用方法

工欲善其事,必先利其器.首先当然是准备工作啦,请出我们今天的必杀武器--- 网络嗅探器4.7.接下来就是破解步骤了:步骤一.打开大连铁通星海宽带影院,找到你想下载的电影,我们以美剧<英雄>为例.(ps:这部美剧还不错,无情强烈推荐!)步骤二. 打开网络嗅探器,开启嗅探,工作模式选获取url就可以了!步骤三. 选择英雄的第一集开始播放,当正常播放后,我们切回到网络嗅探器,发现多了许多以http://222.33.64.67/webmedia/webmedia.das?的网址.步骤四. 右键点选这些网址,选择查看数据包,找到其中的一个含有offsite=0的网址,记录下其中的prog_id=xxxx和host: xx.xx.xx.xxx 和uuid=xxxxxx 一会儿有用!步骤五.找到网络嗅探器文件夹中的"文件下载.exe",双击打开.然后新建下载任务!get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=xxxx&customer_id=1234567890&l ocal=192.168.1.4&proxy=192.168.1.4&uuid=xxxxxxx&osver=windows%20xp&useragent=6.0.2 800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: xx.xx.xx.xxx user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate说明:该步骤是和服务器通信,进行服务注册的.其中"cmd=1"表示下载."prog_id=xxxx"是节目的id值,就是第四步时记录的值,将xxxx修改成目标电影的id值;customer_id就不用解释了."uuid=7b0f8acc-b9c0-4f75-9e3f-5fd2d5e05d75"表示注册服务号,offset=0 表示偏移为0,整个下载."host: xx.xx.xx.xxx "表示服务器ip地址.本例构造如下get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=18557&customer_id=1234567890& local=192.168.1.4&proxy=192.168.1.4&uuid=c5c1b0cc-f496-48af-bf12-f57ad33aaaeb&osver=wi ndows%20xp&useragent=6.0.2800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: 222.33.64.69 user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate修改保存路径和文件名.保存路径和.文件名自定,但保存类型应为txt ,通信服务注册后,服务器要反馈信息如:serverid值,电影真实服务器的ip 值,电影名称,电影文件类型等.下面步骤用得上.步骤六.在第四步骤找到的那个setoff=0的网址上点右键,选择用简易下载软件下载,重命名文件为rmvb,就可以开始下载了下载速度是不是很爽啊,哈哈!补充: 最近一些网站使用了防盗链技术,下载用户要从网站的程序里得对到准入码,方能下载,例如virturalwall 的准入码为"vsid=**********……"并且还设定了极短有效时间,使盗连又增加难度,这样直接下载是不可能的.当然,这也不难,只不过多费点事.我们可以模拟请求,以获得准入码.例如:某网站的请求数据包如下:get /oemui/player.asp?id=xxx http/1.1accept: */*accept-language: zh-cnaccept-encoding: gzip, deflateuser-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1)host: www ***** comconnection: keep-alivecookie: cnzz02=1; rtime=18; ltime=1114651849156; cnzz_eid=5193670-红色显示的须要依据实际情况而定.新建该数据包后文件以txt形式保存, 打开这个txt 文件就可以见到vsid值,再修改如下数据包.get /webmedia/webmedia.tfs?cmd=1&uuid=vsid=*******&prog_id=xxx&server_id=1&customer_id=2&local=192.168.1.2&proxy=&filetype=rmvb&requesttype=0&offs et=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: www.xxxxcnuser-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate新建好,rmvb以存盘.确定后下载.这是传的,原贴地址/blog/oqxiins/article/b0-i3142911.html。

第3章: 网络嗅探

第3章: 网络嗅探


2 PING方法 1)假设可疑主机的ip地址为192.168.10.10,MAC地 址为AA-BB-CC-DD-EE-EE,检测者和可疑者主机在同 一网段。 2)稍微改动可疑主机的MAC地址,假设改为AA-BBCC-DD-EE-EF. 3) 向可疑主机发送一个PING包,包含它的IP和改动的 MAC地址。 4)没有运行嗅觉器的主机将不会理会该帧,不回应。 如果看到了回应,那就说明可疑主机确实在运行嗅探 器程序。
第三章 网络嗅探
3.1 嗅探器概述
3.1.1 网络嗅探器简介绍 Sniffer(嗅探器) 是一种在网络上常用的收集有用信息的软件,可以用来监 视网络的状态,数据流动情况以及网络上传输的信息。 分析用户的敏感的数据: 账号,密码,商业机密信息。 FTP,Telent,SMTP,POP协议的密码都是用明文传输的。 嗅探器目的是破坏信息的保密性。 定义:Sniffer是利用计算机网络接口截获目的地为其他计算机的数 据报文的一种工具。


诱骗方法 故意透露一下无用权限的密码账号,如 果被黑客监听到,一旦黑客窃取口令, 他将试用这些信息登陆。那么标准的入 侵检测系统审计程序将记录这些信息, 从而发出警告。

6.网络带宽出现反常 如果某台机器长时间的占用较大带宽, 这台机器就有可能在监听。

7.网络通信丢包率高 通过一些网络管理软件,可疑看到信息 包的传送情况,最简单的是PING命令。 它会告诉你丢掉了百分之多少的包。如 果你的网络结构正常,而又有20%-30% 数据包丢失以致数据包无法顺畅流到目 的地。就有可能有人在监听,这是由于 嗅探器拦截数据包所导致的。
局域网介质访问方式划分
共享式局域网与交换式局域网。 共享式局域网: 典型设备是集线器(Hub),该设备把一个端口 接收到的信号向所有其他端口发出去。 A 发送到B的信息可以被所有的机器接收

网络嗅探器3篇

网络嗅探器3篇

网络嗅探器网络嗅探器是一种网络安全工具,可以监听、捕捉和分析网络数据包,用于发现网络中的漏洞和安全问题。

本文将从网络嗅探器的原理、使用方法和应用场景三个方面来介绍网络嗅探器。

一、网络嗅探器的原理网络嗅探器的原理是通过监听网络通信,捕捉网络数据包,并对其进行分析。

其基本工作原理可以概括为以下几点:1. 网络嗅探器通过网络接口卡(NIC)来读取网络数据包。

2. 当数据包到达网卡时,嗅探器会复制一份数据包,然后将其传输到嗅探器中。

3. 嗅探器将捕获到的数据包分解成协议层次,以便更好的分析。

4. 嗅探器将分析数据包的内容,并记录下其中的关键信息。

5. 最后,嗅探器会将分析结果返回给用户,以帮助他们识别网络漏洞和安全问题。

网络嗅探器的工作原理虽然简单,但其使用需要一定的技能和知识。

因此,用户需要花费一些时间学习并掌握网络嗅探器的使用方法。

二、网络嗅探器的使用方法1. 安装网络嗅探器首先,需要下载并安装网络嗅探器。

常见的网络嗅探器有Wireshark和Tcpdump等,这些工具都可从官方网站上免费下载。

2. 选择需要监听的网卡安装完成后,需要选择要监听的网络接口卡(NIC)。

用户可以在嗅探器界面上选择需要监听的网卡。

一般来说,用户需要选择与其所使用的网络环境相对应的网卡。

3. 分析网络数据包成功选择网卡后,用户可以开始分析网络数据包了。

为了提高分析效率,用户可以根据需要进行过滤,比如只监控某个IP地址或端口等信息。

4. 查找网络漏洞当找到一个网络包时,网络嗅探器会对其进行分析,并提供相关的信息。

用户可以利用这些信息来查找网络漏洞,并采取相应的措施。

5. 提高嗅探器的可用性为了提高嗅探器的可用性,用户可以在嗅探器界面上设置相关的参数,比如数据包缓冲区大小、捕获窗口大小等。

这些参数可以帮助用户找到更多的网络漏洞和安全问题。

三、网络嗅探器的应用场景网络嗅探器在网络安全领域中有着广泛的应用场景。

以下是几个常见的应用场景:1. 监听网络流量网络嗅探器可以帮助管理员监控网络流量,了解网络使用情况,并识别潜在的网络攻击。

网络嗅探器

网络嗅探器

网络嗅探器网络嗅探器是一种通过监听互联网上的数据流量来提取有价值信息的软件工具。

它通常用于网络安全、网络监控、网络调试等应用场景。

在本文中,我们将介绍网络嗅探器的原理、工作方式、应用场景和安全风险。

一、网络嗅探器的原理网络嗅探器主要依赖于三个基本原理:ARP协议、IP协议和TCP协议。

ARP是地址解析协议,它将网络层的IP地址映射到数据链路层的MAC地址。

当数据帧从一台计算机去往另一台计算机时,它需要知道目标计算机的MAC地址。

ARP就是解决这个问题的协议。

IP协议是Internet协议的简称,它定义了互联网的地址规范和路由规则。

IP协议将数据分成若干个数据包(也称IP 包),每个包包含源IP地址、目标IP地址和数据。

当一个数据包到达路由器时,路由器会查找路由表,确定数据包应该向哪条路径发送。

TCP协议是传输控制协议的简称,它定义了可靠的、有序的、基于连接的数据传输。

TCP将数据分成若干个数据段(也称TCP段),每个段包含序号、确认号、数据和控制信息。

TCP会对数据的发送和接收进行可靠性检查,确保数据的完整性和顺序性。

基于以上三个原理,网络嗅探器可以捕获和解析网络数据包,提取其中的有用信息。

它可以截获数据包并提取其中的源IP地址、目标IP地址、源端口号、目标端口号、协议类型、数据内容等信息。

一般而言,网络嗅探器可以支持以下类型的协议:1. ARP协议2. IP协议3. ICMP协议4. TCP协议5. UDP协议6. HTTP协议7. FTP协议二、网络嗅探器的工作方式网络嗅探器通常有两种工作方式:混杂模式和非混杂模式。

混杂模式是一种特殊的工作模式,它允许网络嗅探器能够监听所有经过网络接口的数据包,不论它们是否是目标接口的地址。

非混杂模式是一种相对保守的工作模式,它只能监听目标接口的网络数据包。

因此,在非混杂模式下,网络嗅探器通常需要在网络接口上设置一个过滤器,以保证它只截获有用的数据包,从而提高效率。

第三章 网络嗅探

第三章 网络嗅探

黑客攻防技术
以太网卡的工作模式
• 网卡的MAC地址(48位) 网卡的MAC地址(48位 MAC地址(48
通过ARP来解析MAC与IP地址的转换 通过ARP来解析MAC与IP地址的转换 ARP来解析MAC ipconfig/ifconfig可以查看MAC地址 可以查看MAC 用ipconfig/ifconfig可以查看MAC地址
黑客攻防技术
嗅探器的检测
DNS方法 DNS方法 源路径方法
黑客攻防技术
嗅探器的检测
诱骗方法 架设客户机/服务器环境, 架设客户机/服务器环境,有意设置虚拟帐号 口令并使用,探测是否有登录信息。 、口令并使用,探测是否有登录信息。 网络带宽出现反常 通过带宽控制器, 通过带宽控制器,查看是否有机器长期占用了 较大的带宽。 较大的带宽。 等待时间方法 发送大量数据前后,ping可疑主机, 发送大量数据前后,ping可疑主机,对比两次 可疑主机 响应时间。 响应时间。
A通过发送ARP请求报文给C, 通过发送ARP请求报文给C ARP请求报文给 接收方C会进行应答,发送方A 接收方C会进行应答,发送方A 会获取C IP-MAC映射关系 映射关系, 会获取C的IP-MAC映射关系, 同时C也会存储A IP和MAC的 同时C也会存储A的IP和MAC的 映射关系。 映射关系。 ARP是无状态协议, ARP是无状态协议,A没有 是无状态协议 发送请求报文, 发送请求报文,C可直接发送 应答报文给A 会存储/更新C 应答报文给A,A会存储/更新C 的IP-MAC的映射关系。 IP-MAC的映射关系。 的映射关系
黑客攻防技术
ARP欺骗的结果 ARP欺骗的结果
• A弹出IP冲突警告框。 弹出IP冲突警告框。 IP冲突警告框 • A无法和C通信。 无法和C通信。 • B冒充C和A通信 冒充C

网络嗅探器的工作原理

网络嗅探器的工作原理

网络嗅探器的工作原理随着网络技术的不断进化和普及,人们使用网络的频率越来越高。

网络安全问题也日益受到重视,为了保障网络安全,网络嗅探器应运而生。

网络嗅探器是一种被广泛应用于网络管理、网络安全等领域的工具,它可以对网络数据包进行抓取、分析和查询,从而帮助管理员监控网络、检测网络中的安全隐患。

本文就是要介绍网络嗅探器的工作原理。

一、网络嗅探器的基本原理网络嗅探器是一种软件工具,主要用于抓取和分析网络数据包。

网络数据包是在网络中流动的载体,其中包含了各种信息,比如网址、IP、端口和数据等。

网络嗅探器利用网络适配器(网卡)和操作系统提供的底层 API,通过监听网络传输的原始数据包,并对数据包进行分析,从而提取出其中的重要信息。

网络嗅探器的基本工作流程如下:1. 打开网络适配器并指定分析的数据包类型(例如,IP、TCP、UDP、ICMP等)和过滤规则:网络嗅探器首先需要打开一个适配器,并且指定要分析的数据包类型。

根据实际需要,管理员可以选择不同的适配器和分析模式。

例如,在 Windows 系统中,可以通过 WinPCap 库实现网络嗅探功能,WinPCap 提供了捕获和处理网络数据包的 API 接口,用户可以通过这些接口实现对数据包的分析。

通过设置过滤规则,可以帮助用户只抓取指定类型的网络数据包,并排除无关的数据包,从而减少抓包数据量,提高分析效率。

2. 监听网络数据包并进行抓取和分析:网络嗅探器的第二个重要任务是监听网络数据流,并抓取要分析的数据包。

当数据包被捕获后,嗅探器会对其进行解码和解析,还原出 IP 头、TCP 头或 UDP 头等数据内容,从而得到数据包中包含的重要信息,如 IP 地址、源目标端口、协议类型等。

对于加密或压缩过的数据包,网络嗅探器无法直接处理,需要对其进行解密和解压缩处理后才能进行分析。

3. 分析抓包数据、生成统计信息并输出结果:网络嗅探器的第三个任务是对抓包数据进行分析并输出结果。

学会使用电脑的网络嗅探工具

学会使用电脑的网络嗅探工具

学会使用电脑的网络嗅探工具随着信息技术的快速发展,电脑与网络已经成为现代人生活中不可或缺的一部分。

在互联网的浩瀚世界中,有着各种各样的网络嗅探工具,这些工具能够帮助我们了解并分析网络数据流量,从而提升网络安全性和性能。

本文将介绍一些常用的网络嗅探工具,以及如何学会使用它们。

一、WiresharkWireshark是最著名和功能最强大的免费开源网络嗅探器,它能够捕获和分析网络数据包。

使用Wireshark,我们可以详细查看网络通信过程中的所有数据,并对其进行过滤、解析和统计。

通过对网络数据的深度分析,我们可以识别网络中的潜在问题,如网络瓶颈、数据包丢失等,进而采取相应的措施进行优化。

二、TcpdumpTcpdump是另一个常用的网络嗅探工具,它允许我们在命令行中捕获网络数据包,并将其保存到文件中以供后续分析。

与Wireshark相比,Tcpdump的功能更为简单,适合于那些对命令行界面更加熟悉的用户。

通过学习Tcpdump的使用,我们可以轻松地进行基本的网络嗅探操作,并对网络数据包进行初步分析。

三、NmapNmap是一款功能强大的网络扫描工具,它可以帮助我们发现网络上潜在的安全漏洞,并了解网络设备的运行状态。

与传统的网络嗅探工具不同,Nmap主要关注于主机和端口的探测,通过发送特定的探测包和分析返回的响应,我们可以获取有关目标主机的各种信息,如操作系统类型、开放的端口和服务等。

掌握Nmap的使用方法,对于网络安全人员和网络管理员来说是非常重要的。

四、EttercapEttercap是一款流行的网络嗅探和中间人攻击工具,它可以截取网络通信中的数据包,并对其进行修改和注入。

虽然Ettercap在某些情况下可以用于进行网络攻击,但在合法的渗透测试和安全评估中,它也能够帮助我们发现潜在的安全风险。

学习如何正确使用Ettercap,有助于我们了解网络嗅探的原理和方法,提升对网络安全的认知和防范能力。

五、使用网络嗅探工具的注意事项在学习和使用网络嗅探工具时,我们需要遵守一些基本的道德规范和法律法规。

网络嗅探原理

网络嗅探原理

网络嗅探原理网络嗅探是一种通过监视网络通信流量来获取信息的技术。

它可以用于网络安全监控、流量分析、网络故障诊断等领域。

网络嗅探器通常是一种软件或硬件设备,能够捕获经过网络的数据包,并对其进行分析。

在本文中,我们将深入探讨网络嗅探的原理以及其在网络管理和安全领域的应用。

首先,让我们来了解一下网络嗅探的基本原理。

网络嗅探器通常工作在网络的数据链路层或网络层,它可以监听经过网络的数据包,并提取其中的信息。

在数据链路层,网络嗅探器可以直接访问网络接口,捕获经过网络的所有数据包;而在网络层,它可以通过监听网络中的路由器或交换机来获取数据包。

一旦捕获到数据包,网络嗅探器就可以对其进行解析和分析,从中提取出所需的信息。

网络嗅探器可以通过多种方式来捕获数据包。

其中最常见的方式是使用混杂模式(promiscuous mode)来监听网络接口。

在混杂模式下,网络接口可以接收经过网络的所有数据包,而不仅仅是目标地址是自己的数据包。

这样一来,网络嗅探器就可以捕获到网络中的所有数据包,无论其目的地是不是自己。

一旦捕获到数据包,网络嗅探器就可以对其进行分析。

它可以提取出数据包中的源地址、目的地址、协议类型、数据长度等信息,并根据这些信息来进行进一步的处理。

例如,网络嗅探器可以根据数据包中的源地址和目的地址来进行流量分析,以便识别出网络中的流量模式和异常行为;它还可以根据数据包中的协议类型和数据长度来进行协议识别,以便对网络通信进行深入分析。

在网络管理和安全领域,网络嗅探器有着广泛的应用。

它可以用于监控网络流量,及时发现网络中的异常行为和安全威胁;它还可以用于分析网络性能,帮助网络管理员及时发现和解决网络故障。

此外,网络嗅探器还可以用于实时监控网络通信,对网络中的恶意流量进行检测和防御。

总之,网络嗅探是一种重要的网络技术,它可以帮助我们监控网络流量、分析网络性能、发现网络安全威胁。

通过深入了解网络嗅探的原理和应用,我们可以更好地保障网络的安全和稳定运行。

网络嗅探

网络嗅探

网络嗅探嗅探通俗的讲就是黑客通过嗅探软件,将网络中的敏感数据截取下来,嗅探软件曾是网管排查网络故障的工具,但在黑客手中就成了获取局域网密码的利器。

安装WinPcapWinPcap是一款网络底层驱动包,所有嗅探软件在工作时都需要有这个驱动包的支持,所以在进行嗅探之前,我们得先安装WinPcap。

将WinPcap的安装包下载下来,双击进行安装,安装的过程很简单,和安装普通软件无异,一路点击“Next”即可。

安装完成后不用配置,把它搁一边吧。

配置X-SpoofX-Spoof就是接下来我们要重点讲的嗅探软件了。

它是一款命令行下的工具,拥有强大的功能,通过简单的配置即可实现对整个局域网密码的嗅探,不过有“DOS”恐惧症的小菜可要适应一下了。

下载X-Spoof,注意下载时将杀毒软件的监控暂时关闭,因为X-Spoof是黑客软件,杀毒软件是不会放过它的。

下载完成后将其解压到任意目录。

点击“开始”菜单→“运行”,输入“cmd”运行“命令提示符”,将光标定位到X-Spoof所在的目录,输入命令“XSpoof”并回车,将会出现X-Spoof的详细用法。

看不懂?没关系,我们来结合实例介绍一下X-Spoof 的用法。

嗅探密码实战在“命令提示符”中输入“xspoof -l”命令并回车,程序将会显示本机所有的网卡,我们需要选择其中一块网卡作为嗅探的目标,如果你只有一块网卡,直接选择它就可以了。

本例中我们选择4号网卡作为嗅探目标。

接下来在“命令提示符”中输入命令:“xspoof -f -i 4”,这个命令的作用是列出网络中所有活动的主机,并且检查网络连通率。

注意最后的“packets lost”参数,这是丢包率的意思,如果丢包率很高,那么网络很可能存在问题,嗅探成功的概率会大大降低。

OK,前面这两步可以算作是准备工作,下面我们可以正式开始了,输入命令“xspoof -i 4 -s -p pass.log”并回车,这条命令是让xspoof嗅探局域网内的密码,并将嗅探到的结果保存在同目录的pass.log文件中。

network sniffer使用方法

network sniffer使用方法

network sniffer使用方法【导语】网络嗅探器(Network Sniffer)是一种监控网络数据流的应用程序,它能捕获并分析传输在线上的数据包。

掌握网络嗅探器的使用方法对于网络管理和安全维护具有重要意义。

本文将详细介绍一种常见的网络嗅探工具——Network Sniffer的使用方法。

一、安装与启动1.下载Network Sniffer软件,根据您的操作系统选择相应的版本。

2.双击安装文件,按照提示完成安装过程。

3.启动Network Sniffer,软件界面将显示捕获的数据包列表。

二、配置捕获选项1.选择捕获接口:在软件界面上选择您要监控的网络接口,通常选择与互联网连接的接口。

2.过滤器设置:通过设置过滤器,可以捕获特定协议或IP地址的数据包。

例如,只捕获HTTP协议或指定IP地址的数据包。

3.开始捕获:点击“开始捕获”按钮,软件将开始捕获经过所选网络接口的数据包。

三、分析数据包1.查看数据包列表:捕获到的数据包会显示在列表中,包括数据包的源地址、目的地址、协议类型等信息。

2.查看数据包详情:双击列表中的数据包,可以查看数据包的详细内容,包括头部信息、数据载荷等。

3.数据包解码:Network Sniffer支持多种协议的解码,如HTTP、TCP、UDP等。

选择相应的解码方式,可以更直观地查看数据包内容。

四、数据包导出与保存1.导出数据包:将捕获到的数据包导出为CSV、XML等格式,方便在其他工具中进行分析。

2.保存捕获结果:将捕获的数据包保存到本地文件,以便后续分析。

五、注意事项1.在使用Network Sniffer时,请确保遵守相关法律法规,不要侵犯他人隐私。

2.在企业内部使用时,应遵循公司规定,避免监控到不应该查看的数据。

work Sniffer仅用于网络管理和安全维护,禁止用于非法用途。

通过以上介绍,相信您已经掌握了Network Sniffer的基本使用方法。

网络探针资料

网络探针资料

网络探针网络探针,也称为网络监视器或网络嗅探器,是一种用于监视和收集网络数据的工具。

它能够帮助网络管理员实时监控网络流量,识别潜在的网络问题,并对网络流量进行分析,从而优化网络性能。

在当今数字化时代,网络探针扮演着至关重要的角色,帮助组织保持网络安全、高效运作。

网络探针的作用网络探针在网络管理中有着重要的作用。

它能够捕获数据包并分析网络流量,在数据传输过程中检测异常情况,帮助网络管理员及时解决问题。

网络探针还可以监控网络性能、帮助发现传输瓶颈、识别攻击行为,确保网络安全。

网络探针的种类网络探针根据功能和部署位置可分为多种类型。

其中包括入侵检测系统(IDS)、入侵预防系统(IPS)、封包分析器(Packet Analyzer)和网络分析器(Network Analyzer)等。

每种类型的网络探针都有特定的用途和优势,网络管理员可以根据实际需求选择适合的网络探针类型。

网络探针的工作原理网络探针通过监视网络数据流量、拦截数据包、分析数据包内容等方式来实现功能。

它能够捕获数据包、提取关键信息、记录传输过程以及对网络流量进行分类和统计。

通过这些工作方式,网络探针能够准确监控网络情况,帮助网络管理员快速发现问题并采取相应措施。

网络探针在网络安全中的应用网络探针在网络安全中有着不可替代的作用。

它可以实时监控网络流量,发现异常行为,快速响应并阻止潜在的威胁。

通过使用网络探针,组织可以加强网络安全防护,减少网络风险,并确保网络系统的可靠性和稳定性。

总结网络探针是网络管理不可或缺的工具,它为网络管理员提供了有力支持和帮助。

通过对网络探针的了解和应用,可以有效监控网络流量、提升网络性能、加强网络安全。

因此,网络探针在今天的信息化社会中具有重要意义,帮助组织实现网络管理的高效运作。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机科学与技术学院课程设计报告2012— 2013学年第二学期课程名称计算机网络设计题目简单的网络嗅探器姓名学号专业班级指导教师2013年 6 月17日目录摘要 (2)关键词 (2)1 网络嗅探概述 (3)1.1 网络嗅探的简介 (3)1.2 相关的网络知识 (3)1.2.1 交换基础 (3)1.2.2 路由基础 (4)1.2.3网卡的工作原理 (5)1.3 基于网卡混杂模式的嗅探原理 (6)1.4 基于arp欺骗的嗅探原理 (6)1.5 网络嗅探的安全威胁 (7)1.6 网络嗅探的防范 (8)1.6.1 检测嗅探器 (8)1.6.2 将数据隐藏,使嗅探器无法发现 (8)2 基于原始套接字的嗅探程序 (9)2.1 嗅探实现 (9)2.2 嗅探运行结果 (26)2.2.1 嗅探普通数据包 (26)2.2.2 嗅探HTTP敏感信息 (26)2.2.3 嗅探FTP敏感信息 (27)小结 (29)参考资料 (29)网络嗅探器的设计与实现Design and implementation of network sniffer摘要近年来,伴随着网络技术的发展和网络应用的普及,互联网已经成为信息资源的重要载体和主要传布途径,从而使得网络的安全性和可靠性越来越受到关注和重视。

因此,对于能够很好的分析与诊断网络,测试网络性能与安全性的工具软件的需求越发迫切。

网络嗅探器作为分析与诊断网络,测试网络性能与安全性的工具软件之一,具有两面性。

攻击者可以通过使用它来监听网络中数据,达到非法截取信息的目的,网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析,分析结果可供网络安全分析之用。

本文对网络嗅探技术进行了简要分析,研究了网络数据包的捕获机制,如winpcap、原始套接字。

文中首先分析了嗅探的原理和危害,并介绍了几种常见的嗅探器,然后研究了入侵检测系统中使用的包捕获技术。

本文利用原始套接字在windows平台下实现了一个网络嗅探器程序,完成了对数据包进行解包、分析数据包的功能。

关键词:网络嗅探器数据包捕获数据包分析原始套接字网络安全C语言VC++6.01 网络嗅探概述1.1 网络嗅探的简介网络嗅探器又称为网络监听器,简称为Sniffer子系统,放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,这些数据可以是网络流量的去向和用到的端口号,也可以是用户的账号和密码,可以是一些商用机密数据等等。

Sniffer是利用计算机的网络接口截获目的地为其他计算机交换的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。

例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题的所在。

而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。

1.2 相关的网络知识1.2.1 交换基础交换发生网络的第二层,即数据链路层。

谈到交换的问题,从广义上讲,任何数据的转发都可以称作交换。

当然,现在我们指的是狭义上的交换,仅包括数据链路层的转发。

1.2.1.1 交换原理所谓交换,就是将分组(或帧)从一个端口移到另一个端口的简单动作。

交换机在操作过程当中会不断的收集资料去建立它本身的一个地址表,MAC地址表显示了主机的MAC地址与以太网交换机端口映射关系,指出数据帧去往目的主机的方向。

当以太网交换机收到一个数据帧时,将收到数据帧的目的MAC地址与MAC地址表进行查找匹配。

如果在MAC地址表中没有相应的匹配项,则向除接收端口外的所有端口广播该数据帧,有人将这种操作翻译为泛洪。

在我们测试过的交换机中,有的除了能够对广播帧的转发进行限制之外,也能对泛洪这种操作进行限制。

而当MAC地址表中有匹配项时,该匹配项指定的交换机端口与接收端口相同则表明该数据帧的目的主机和源主机在同一广播域中,不通过交换机可以完成通信,交换机将丢弃该数据帧。

否则,交换机将把该数据帧转发到相应的端口。

1.2.1.2 交换技术局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的,它可以使每个用户尽可能地分享到最大带宽。

交换技术是在OSI七层网络模型中的第二层,即数据链路层进行操作的,因此交换机对数据包的转发是建立在MAC地址基础上的,对于IP网络协议来说,它是透明的,即交换机在转发数据包时,不知道也无须知道信源机和目标机的IP地址,只需知其物理地址。

从网络交换产品的形态来看,交换产品大致有三种:端口交换、帧交换和信元交换。

1.2.2 路由基础所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的过程。

1.2.2.1 路由原理当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时,它将直接把IP分组送到网络上,对方就能收到。

而要送给不同IP子网上的主机时,它要选择一个能到达目的子网上的路由器,把IP分组送给该路由器,由路由器负责把IP分组送到目的地。

如果没有找到这样的路由器,主机就把IP分组送给一个称为“缺省网关”的路由器上。

“缺省网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的IP地址。

路由器转发IP分组时,只根据IP分组目的IP地址的网络号部分,选择合适的端口,把IP分组送出去。

同主机一样,路由器也要判定端口所接的是否是目的子网,如果是,就直接把分组通过端口送到网络上,否则,也要选择下一个路由器来传送分组。

路由器也有它的缺省网关,用来传送不知道往哪儿送的IP分组。

这样,通过路由器把知道如何传送的IP分组正确转发出去,不知道的IP分组送给“缺省网关”路由器,这样一级一级的传送,IP分组最终将送到目的地,送不到目的地的IP分组则被网络丢弃了。

1.2.2.2 路由技术路由器不仅负责对IP分组的转发,还要负责与别的路由器进行联络,共同确定“网间网”的路由选择和维护路由表。

路由包含两个基本的动作:选择最佳路径和通过网络传输信息。

在路由的过程中,后者也称为(数据)交换。

交换相对来说比较简单,而选择路径很复杂。

1.2.2.3 路径选择路径选择是判定到达目的地的最佳路径,由路由选择算法来实现。

由于涉及到不同的路由选择协议和路由选择算法,要相对复杂一些。

为了判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法而不尽相同。

metric是路由算法用以确定到达目的地的最佳路径的计量标准,如路径长度。

为了帮助选路,路由算法初始化并维护包含路径信息的路由表,路径信息根据使用的路由算法不同而不同。

1.2.3网卡的工作原理发送数据时,网卡首先侦听介质上是否有载波,如果有,则认为其他站点正在传送信息,继续侦听介质。

一旦通信介质在一定时间段内是安静的,即没有被其他站点占用,则开始进行帧数据发送,同时继续侦听通信介质,以检测冲突。

在发送数据期间。

如果检测到冲突,则立即停止该次发送,并向介质发送一个“阻塞”信号,告知其他站点已经发生冲突,从而丢弃那些可能一直在接收的受到损坏的帧数据,并等待一段随机时间。

在等待一段随机时间后,再进行新的发送。

如果重传多次后(大于16次)仍发生冲突,就放弃发送。

接收时,网卡浏览介质上传输的每个帧,如果其长度小于64字节,则认为是冲突碎片。

如果接收到的帧不是冲突碎片且目的地址是本地地址,则对帧进行完整性校验,如果帧长度大于1518字节或未能通过CRC校验,则认为该帧发生了畸变。

通过校验的帧被认为是有效的,网卡将它接收下来进行本地处理。

接受到报文的计算机的网卡处理报文的过程如下图所示:报文处理过程1.3 基于网卡混杂模式的嗅探原理在网络中,嗅探器接收所有的分组,而不发送任何非法分组。

它不会妨碍网络数据的流动,因此很难对其进行检测。

不过,处于混杂模式网卡的状态很显然和处于普通模式下不同。

在混杂模式下,应该被硬件过滤掉的分组文会进入到系统的内核。

是否回应这种分组完全依赖与内核。

下面我举一个现实世界中的例子,说明我们检测处于混杂模式网络节点的方法。

设想一下,在一个会议室中正在举行一个会议。

某个人把耳朵放在会议室就可以进行窃听。

当她进行窃听时,会屏住呼吸,安静地聆听会议室内所有的发言。

然而,如果此时会议室内有人忽然叫窃听者的名字:“太太”,她就可能答应“唉”。

这听起来有点好笑,但是完全可以用于网络嗅探行为的检测。

网络进行网络嗅探的节点会接收网络的所有报文,因此其内核可能对某些本该被硬件过滤的分组作出错误回应。

根据这个原理,我们可以通过检查节点对ARP报文的响应来检测网络的嗅探行为。

1.4 基于arp欺骗的嗅探原理所谓ARP欺骗,就是利用广播地址上主机保持周边计算机信息方式的固有安全弱点,使用伪造的MAC地址和IP地址伪装成ARP高速缓存中的另一台主机的技术。

根据交换机的工作原理,有以下两种基于ARP欺骗的网络嗅探方法。

(1)基于交换机的MAC-端口映射表修改的嗅探。

(2)基于中间人攻击的嗅探。

1.5 网络嗅探的安全威胁实际应用中的嗅探器分软、硬两种。

软件嗅探器便宜易于使用,缺点是往往无法抓取网络上所有的传输数据,也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。

目前主要使用的嗅探器是软件的。

嗅探器捕获真实的网络报文。

嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。

数据在网络上是以帧的单位传输的。

帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。

通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。

就是在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。

这些地址唯一地表示着网络上的机器。

当用户发送一个报文时,这些报文就会发送到LAN 上所有可用的机器。

在一般情况下,网络上所有的机器都可以"听"到通过的流量,但对不属于自己的报文则不予响应。

如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它就是一个嗅探器。

这也是嗅探器会造成安全方面的问题的原因。

通常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。

对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的物理设备作为嗅探器(例如,他们可以将嗅探器接在网络的某个点上,而这个点通常用肉眼不容易发现。

除非人为地对网络中的每一段网线进行检测,没有其他容易方法能够识别出这种连接。

相关文档
最新文档