第4章 网络嗅探与协议分析41页PPT
合集下载
新版网络扫描与网络嗅探工具的使用课件.doc
网络123班201200824306 张静网络扫描与网络嗅探一实验目的(1)理解网络嗅探和扫描器的工作机制和作用(2)使用抓包与协议分析工具Wireshark(3)掌握利用扫描器进行主动探测,收集目标信息的方法(4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境Windows xp操作系统平台,局域网环境网络抓包与协议分析工具Wireshark扫描器软件:Superscan三实验步骤使用Wireshark 抓包并进行协议分析(1)下载并安装软件,主界面如图(2)单击capture,打开interface接口选项,选择本地连接,如图(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:(4)TCP三次握手过程分析(以第一次握手为例)主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为:第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。
Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。
Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。
Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。
Options选项8字节使用superscan 扫描(1)下载并安装(2)主界面如下所示:(3)使用superscan对远程主机和本地主机进行端口扫描通过ping来检验IP是否在线:ping 172.16.1.64(4)单击port list setup进入如下界面:(5)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马:四实验总结通过本次实验,我理解了网络嗅探的工作机制和作用,它可以用来窃听计算机在网络上所产生的众多的信息,可以窃听计算机程序在网络上发送和接收到的数据,用来接收在网络上传输的信息,并且掌握了常用的网络抓包与协议分析工具Wireshark的使用方法。
网络抓包与分析培训.pptx
常见的网络分析器产品有:Network Associates公司的Sniffer、NetXray公司的Sniffer Basic,科来协议分析、allot。 Sniffer公司目前主推硬件分析
还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。
另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
抓包接入
交换式网络 - 交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交 换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络 分析系统可安装在连接镜像端口的主机上方式
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析 器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接 口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广 域网以便于捕获流经的数据流。
常见的危害有:
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息,比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上
还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。
另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
抓包接入
交换式网络 - 交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交 换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络 分析系统可安装在连接镜像端口的主机上方式
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析 器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接 口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广 域网以便于捕获流经的数据流。
常见的危害有:
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息,比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上
网络嗅探技术ppt
而对于网卡来说一般有四种接收模式:
l 广播方式:该模式下的网卡能够接收网络中的所有广播信息; l 组播方式:设置在该模式下的网卡能够接收组播数据;
l 直接方式:在这种模式下,只有目的网卡才能接收该数据;
l混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不 管该数据是否是传给它的。与HUB只是简单地把所接收到的信号通过所有 端口重复发送出去不同,Switch却可以检查每一个收到的数据包,并对数 据包进行相应的处理。在Switch内保存着每一个网段上所有结点的物理地 址,只允许必要的网络流量通过Switch。举例来说,当Switch接收到一个 数据包之后,根据自身保存的网络地址表检查数据包内包含的发送方和接 收方地址。如果接收方位于发送方网段内,该数据包就会被Switch丢弃, 不能通过交换机传送到其它的网段;如果接收方和发送方位于两个不同的 网段,该数据包就会被Switch转发到目标网段。这样,通过交换机的过滤 和转发,可以有效避免网络广播风暴,减少误包和错包的出现。
伪造MAC地址也是一种常用的办法,不过这要基于你网络内的Switch 是动态更新其地址表,这实际上和我们上面说到的 ARP Spoof 有些类似, 只不过现在是想要Switch相信你,而不是要机器A相信你。因为Switch是 动态更新其地址表的。其关键技术是需要向Switch发送伪造过的数据包, 其中源MAC地址对应的是机器C的MAC地址,现在Swit单的例子,如图11-2所示,机器A、B、C与集 线器HUB相连接,集线器HUB通过路由器Router访问外部网络。
值得注意的一点是机器 A、B、C使用一个普通的 HUB连接的, 不是用 Switch ,也不是用 Router ,使用 Switch 和 Router 的情况要 比这复杂得多。
实验3协议分析与网络嗅探
据的加密,从而保护传输数据的平安性 • VPN、SSL、SSH等加密手段可有效防范
sniffer的嗅探。 • 利用网络设备的物理或者逻辑隔离的手段,
可以防止信息的泄密 • 利用交换机的VLAN功能,实现VLAN间的
三. 实验环境
• 三. 实验环境
– 两台运行windows 2000/XP的计算机,通过 HUB相连组成局域网,其中一台安装Sniffer Pro软件。
TCP三次握手
捕获的报文
密码 十验内容
• 3 HTTP口令的嗅探过程
四. 实验内容
• 3 HTTP口令的嗅探过程
五. 实验报告要求
– (1)将两台主机连接在一个HUB上,其中一台主 机使用Telnet登录另一台主机,在任一台主机 上按照sniffer网络嗅探工具进展登录口令嗅探, 把口令嗅探步骤以及嗅探到的重要信息进展记 录。
实验3 协议分析和网络嗅探
目录
• 一. 实验目的 • 二. 实验原理 • 三. 实验环境 • 四. 实验内容 • 五. 实验报告要求
一. 实验目的
• 一. 实验目的 • 理解TCP/IP协议中多种协议的数据构造、
会话连接建立和终止的过程、TCP序列号、 应答序号的变化规律。 • 通过实验了解FTP、HTTP等协议明文传输 的特性,以建立平安意识,防止FTP、 HTTP等协议由于传输明文密码造成的泄密。
四. 实验内容
• 1 sniffer的使用
sniffer主界面
四. 实验内容
• 1 sniffer的使用
Host Table中按照IP显示流量信息
四. 实验内容
• 1 sniffer的使用
Traffic Map
四. 实验内容
• 2 FTP口令的嗅探过程
sniffer的嗅探。 • 利用网络设备的物理或者逻辑隔离的手段,
可以防止信息的泄密 • 利用交换机的VLAN功能,实现VLAN间的
三. 实验环境
• 三. 实验环境
– 两台运行windows 2000/XP的计算机,通过 HUB相连组成局域网,其中一台安装Sniffer Pro软件。
TCP三次握手
捕获的报文
密码 十验内容
• 3 HTTP口令的嗅探过程
四. 实验内容
• 3 HTTP口令的嗅探过程
五. 实验报告要求
– (1)将两台主机连接在一个HUB上,其中一台主 机使用Telnet登录另一台主机,在任一台主机 上按照sniffer网络嗅探工具进展登录口令嗅探, 把口令嗅探步骤以及嗅探到的重要信息进展记 录。
实验3 协议分析和网络嗅探
目录
• 一. 实验目的 • 二. 实验原理 • 三. 实验环境 • 四. 实验内容 • 五. 实验报告要求
一. 实验目的
• 一. 实验目的 • 理解TCP/IP协议中多种协议的数据构造、
会话连接建立和终止的过程、TCP序列号、 应答序号的变化规律。 • 通过实验了解FTP、HTTP等协议明文传输 的特性,以建立平安意识,防止FTP、 HTTP等协议由于传输明文密码造成的泄密。
四. 实验内容
• 1 sniffer的使用
sniffer主界面
四. 实验内容
• 1 sniffer的使用
Host Table中按照IP显示流量信息
四. 实验内容
• 1 sniffer的使用
Traffic Map
四. 实验内容
• 2 FTP口令的嗅探过程
网络嗅探与协议分析要点课件
案例三:IP分片与重组分析
要点一
IP分片概念
IP分片是指在网络传输中,由于数据包过大而需要进行拆 分的一种技术。
要点二
IP分片过程
当一个数据包过大时,需要在发送端将其拆分成多个小数 据包,并在接收端将这些小数据包重新组合成原来的数据 包。这个过程就叫做IP分片与重组。
谢谢聆听
域名解析
通过DNS服务器将域名转换 为IP地址。
记录类型
A、AAAA、MX、CNAME 等,表示不同的域名解析记 录类型。
查询过程
DNS客户端向DNS服务器发 送查询请求,服务器返回相 应的解析结果。
网络嗅探与协议分析应用场景
05
网络故障排查
诊断网络连接问题
通过嗅探网络流量,分析数据包中的 信息,确定网络故障的原因,如丢包、 延迟等。
TCP/IP协议栈的主要协议 TCP、IP、UDP、HTTP、FTP、SMTP等。
数据链路层协议
数据链路层协议概述
数据链路层协议负责在物理层的基础上,建立和维护网络连接,实现数据链路的建立、管理和释放。
数据链路层的主要协议
以太网协议(Ethernet)、无线局域网协议(WLAN, Wi-Fi)、点对点协议(PPP)等。
取或篡改。
案例二:TCP三次握手过程分析
TCP三次握手概念
TCP三次握手是一种建立TCP连接的过程,需要经过三次握手才能完成连接的建立。
TCP三次握手过程
在TCP三次握手过程中,客户端发送一个SYN报文给服务器,请求建立连接。服务器收到SYN报文后,发送一个 SYN+ACK报文给客户端,表示同意建立连接。客户端再发送一个ACK报文给服务器,确认连接建立。
OSI七层模型
第4章 网络嗅探与协议分析
实现嗅探的软件或硬件设备
嗅探获得数据→二进制格式数据报文 解析和理解二进制数据,获取各层协议字段和应用层传输数据→
网络协议分析
共四十二页
网络 嗅探的危害与作用 (wǎngluò)
攻击者:内网渗透技术
窃取机密信息 为发起进一步攻击收集信息
防御者
管理员可以用来监听(jiān tīnɡ)网络的流量情况,定位网络故障 为网络入侵检测系统提供底层数据来源基础
5元组: sip, sport, dip, dport, ipproto
网络流高层(ɡāo cénɡ)统计
IP会话列表<sip, sport> 目标端口流统计<dport>
网络报文分析工具
集成工具: Wireshark 网络流重组: nstreams, snort 高层统计和摘要分析: Netflow, RRDTools
驱动程序: NPF(NetGroupPacket Filter) 用户态函数库:winpcap 用户态嗅探程序:windump等
共四十二页
BPF(Berkeley Packets Filter)
BSD数据包捕获
BPF是一个核心态的组件(zǔ jiàn),支持数据包“过滤”抓取 Network Tap接收所有的数据包 BPF虚拟机机器语言的解释器,比较/算术等操作 Kernel Buffer,保存过滤器送过来的数据包 User buffer,用户态上的数据包缓冲区
Libpcap(一个抓包工具库)支持BPF
Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的
BPF是一种比较理想的抓包方案
在核心态,所以效率比较高 目前类UNIX系统的标准抓包内核模块
共四十二页
BPF与Libpcap
嗅探获得数据→二进制格式数据报文 解析和理解二进制数据,获取各层协议字段和应用层传输数据→
网络协议分析
共四十二页
网络 嗅探的危害与作用 (wǎngluò)
攻击者:内网渗透技术
窃取机密信息 为发起进一步攻击收集信息
防御者
管理员可以用来监听(jiān tīnɡ)网络的流量情况,定位网络故障 为网络入侵检测系统提供底层数据来源基础
5元组: sip, sport, dip, dport, ipproto
网络流高层(ɡāo cénɡ)统计
IP会话列表<sip, sport> 目标端口流统计<dport>
网络报文分析工具
集成工具: Wireshark 网络流重组: nstreams, snort 高层统计和摘要分析: Netflow, RRDTools
驱动程序: NPF(NetGroupPacket Filter) 用户态函数库:winpcap 用户态嗅探程序:windump等
共四十二页
BPF(Berkeley Packets Filter)
BSD数据包捕获
BPF是一个核心态的组件(zǔ jiàn),支持数据包“过滤”抓取 Network Tap接收所有的数据包 BPF虚拟机机器语言的解释器,比较/算术等操作 Kernel Buffer,保存过滤器送过来的数据包 User buffer,用户态上的数据包缓冲区
Libpcap(一个抓包工具库)支持BPF
Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的
BPF是一种比较理想的抓包方案
在核心态,所以效率比较高 目前类UNIX系统的标准抓包内核模块
共四十二页
BPF与Libpcap
网络嗅探器的制作PPT课件
2021
12
二、界面的简易设计
2021
13
双击左侧的Resource>MySniffer resources> IDD_MYSNIFFER_DIALOG,就可以进入图形化界 面设计
控件表
2021
14
静态文本
要用到的控件简介
编辑框
按钮
列表控件
2021
15
创建一个静态文本,并右键点击它,选中属性, 将ID修改为“IDC_STATIC_SELECT_DEVICE”, 标题修改为“选择网络适配器序号:”
49
到文件的最下面,添加对回调函数 packet_handler的函数定义:
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { }
2021
50
找到OnButtonStart函数,为“开始”按钮添 加动作响应:
else
{
m_str="No description available";
m_device.SetItemText(i-1,2,m_str);
}
}
2021
42
按F5调试运行,并单击“网络适配器”你会发 现第一个列表中显示出了当前主机上的网络适 配器的相关信息
2021
43
回到OnButtonGetDevice函数,并添加如下所 示代码:
2021
25
选中IDC_LIST_PACK,并点击NM_CLICK,再点 击ADD FUNCTION,添加事件响应函数
2021
26
网络安全管理-嗅探
E0
C
E2 Switch
X X
E1
0260.8c01.3333
D
E3
0260.8c01.4444
0260.8c01.2222
12
网络安全技术
2016/12/6
江苏经贸
问题
嗅探就是截获网络上的数据。共享式以太网中, 数据已经到达了网络接口,为什么主机实际接 收到的数据中并没有包含其它主机的通信呢?
13
江苏经贸
演示:共享局域网口令嗅探
主机A: FTP服务器 您的主机 ?Username student ?Password htjtyd%32 主机B:安装了 “窃听程序” 的主机 Username:student Password:htjtyd%32
如果主机B处于主机A和FTP通信的信道上,就可 以“窃听到”合法的用户名及口令。
0260.8c01.2222
11
网络安全技术
2016/12/6
江苏经贸
交换式以太网包转发
MAC address table
A
E0: E2: E1: E3:
0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444
B
0260.8c01.1111
应用数据 应用数据 应用数据 应用数据
操作系统
操作系统 网络设备
15
网络安全技术
2016/12/6
江苏经贸
数据接收
以太网卡首先从网络中接收数据, 处理完成数据链路层的任务 向操作系统的传递。
16
网络安全技术
2016/12/6
江苏经贸
以太网卡的工作原理
网卡接收到传输来的数据,网卡内的单片程序 检查数据帧的目的MAC地址,根据网卡驱动程 序设置的接收模式决定是否接收
实验 12 网络嗅探与协议分析84页PPT
实验 12 网络嗅探与协议分析
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
Hale Waihona Puke 61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒 尔·乔治·S·巴顿
谢谢!
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
Hale Waihona Puke 61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒 尔·乔治·S·巴顿
谢谢!
网络协议分析PPT课件
D
交换机
中继线 交换机
交换机
B
用户线
.
10
例,电路交换网络
• 每个链路可有n条电路,能 够支持n条同步连接。
• 通信过程:
✓在两台主机A、B之间创建 一条专用的端到端连接, 分别占用每条链路中的一 条电路;
✓该连接获得链路带宽的1/n, 进行通信。
.
11
分组交换(packet switching)技术 发送端将要发送的数据分成若干较小的块,添加首部形 成分组(包packet) ,分别发送到目的端,再组装恢复原 数据。
为什么要有协议? 协议作用?
.
24
协议(protocol) 控制网络中信息接收和发送的一组软件。每个端系 统、路由器和其他因特网部件都要运行。
• 因特网协议:TCP/IP协议。
• TCP(Transmission Control Protocol)传输控制协议
• IP (Internet Protocol)网际协议
第n-1层
例:
第n层提供报文的可靠传输
通过使用第n-1层的不可靠报文传输服务, 以及本层的检测和重传丢失报文的功能 实现。
.
31
分层缺点
• 有些功能可能在不同层重复出现: 如,基于链路和基于端到端传输的差错恢复;
• 某层的功能可能需要仅存在其他某层的信息。
.
32分层后数ຫໍສະໝຸດ 传递的过程主机(端系统)间数据传送实际上并不是在对等层
Hi
握手报文
Hi
请问几点了?
2:00
数据报文
时间
TCP 连接请求 TCP 连接响应
Get /kurose-ross
<文件>
协议分析和网络嗅探_2
图-19
• 如图20所示,选择Data Pattern项,点击箭 头所指的Add Pattern按钮
图-20
• 出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意 起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第 二条规则
图-21
图-22
• 安装非常简单,setup后一路确定即可,第 一次运行时需要选择你的网卡。
图-1
图-2
图-3
图-4
图-5
图-6
图-7
图-8
图-9
图-10
图-11
例:192.168.113.208 这台机器telnet到192.168.113.50,用 Sniff Pro抓到用户名和密码
步骤1:设置规则
Wed Aug 9 05:54:50 EDT 2000) ready. • User (192.168.113.50:(none)): test • 331 Password required for test. • Password:
• 步骤4:察看结果
• 图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图 标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所 有包。可以清楚地看出用户名为test密码为123456789。
协议,而另一些可能能够分析几百种协议。 • 一般情况下,大多数的嗅探器至少能够分析下面的协议: • A.标准以太网 • B.TCP/IP • C.IPX 4.DECNet
• 4.各种Sniffer • A. Network General. • Network General开发了多种产品。最重要的是Expert
Sniffer,它不仅仅可以sniff , 还能够通过高性能的专门 系统发送/接收数据包,帮助诊断故障。
• 如图20所示,选择Data Pattern项,点击箭 头所指的Add Pattern按钮
图-20
• 出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意 起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第 二条规则
图-21
图-22
• 安装非常简单,setup后一路确定即可,第 一次运行时需要选择你的网卡。
图-1
图-2
图-3
图-4
图-5
图-6
图-7
图-8
图-9
图-10
图-11
例:192.168.113.208 这台机器telnet到192.168.113.50,用 Sniff Pro抓到用户名和密码
步骤1:设置规则
Wed Aug 9 05:54:50 EDT 2000) ready. • User (192.168.113.50:(none)): test • 331 Password required for test. • Password:
• 步骤4:察看结果
• 图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图 标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所 有包。可以清楚地看出用户名为test密码为123456789。
协议,而另一些可能能够分析几百种协议。 • 一般情况下,大多数的嗅探器至少能够分析下面的协议: • A.标准以太网 • B.TCP/IP • C.IPX 4.DECNet
• 4.各种Sniffer • A. Network General. • Network General开发了多种产品。最重要的是Expert
Sniffer,它不仅仅可以sniff , 还能够通过高性能的专门 系统发送/接收数据包,帮助诊断故障。
网络嗅探
3.2.5 使用Sniffer Pro捕获无线网络数据包
�被Sniffer Pro支持的无线网卡
� � � � ORiNOCO Gold Adapter Enterasys Adapter Spectrum 24 Adapter Cisco Aironet Adapter
3.2.5 使用Sniffer Pro 捕获无线网络数据包(续)
网络嗅探
本章目标
�了解网络嗅探的基本原理 �能够使用Sniffer Pro对网络的运行状况进行监 控 �能够使用Sniffer Pro捕获以太网和无线局域网 的数据包 �能够定义Sniffer Pro捕获过滤器过滤数据包 �能够使用Ethereal捕获以太网的数据包 �能够定义Ethereal的显示过滤器过滤数据包 �能够定义TcpDump捕获过滤器过滤数据包 �能够使用Cain嗅探和恢复口令
3.3.1 Ethereal 简介 �Ethereal是当前较为流行的一种计算机网络 调试和数据包嗅探软件,是免费的网络协 议检测程序 �支持各种常见的操作系统
� UNIX � Linux � Windows
3.3.2 安装Ethereal �Ethereal程序可以从官方网站 /免费获得 �Ethereal在Windows平台上运行时,需要用 到WinPcap程序支持运行
3.4 TcpDump ——捕获数据包示例
�例3:获取主机 172.16.10.1除了和主机 172.16.10.110之外所有主机通信的 ip包
# tcpdump ip host 172.16.10.1 and ! 172.16.10.110
�例4:获取主机 172.16.10.1接收或发出的 telnet包
3.2.2 使用Sniffer Pro监控网络(续) �捕获窗口:可查看捕获的数据包的流量以 及缓存的使用率
网络嗅探原理与分析
嗅探的主机的数据报完全转发到嗅探主机来, 而
被嗅探主机收不到任何的数据包, 为了使得能够 正常的截获数据报, 嗅探主机除了充当嗅探的身 份之外, 还要充当中间人的身份 。
常见的网络嗅探工具
TcpDump Libcap (winpcap) Wireshark (etherenal) Sniffer pro
Wireshark
Wireshark 是一款非常棒的Unix和Windows上的 开源网络协议分析器。 它可以实时检测网络通讯数据,可以检测其抓取 的网络通讯数据快照文件。可以通过图形界面浏 览这些数据,并且分析数据。 软件前身的名字是Ethereal; 最新的版本是0.99.5; 自带Wipcap
选择网卡
选定网卡的 IP 地址,如果不能解析,则显示为 unknown 设置缓存大小
设置网卡是否为混杂捕获模式
限制捕获包大小 设置捕获过滤条件 显示设置 设置捕获包存储文件 设置多文件连续存储
名称解析设置 Mac 对应设备制造商解析 IP 地址对应的域名解析 端口的对应服务名称解析 设置停止捕获条件
– 第三个模块 Wpcap.dll是不依赖于操作系统的。它提 供了更加高层、抽象的函数。
19
WinPcap和NPF
NDIS(Network Driver Interface Specification)描述了 网络驱动与底层网卡 之间的接口规范,以 及它与上层协议之间 的规范
2014-6-11
20
WinPcap
•WinPcap包括三个部分
– 第一个模块NPF(Netgroup Packet Filter),是一个虚 拟设备驱动程序文件。它的功能是过滤数据包,并把 这些数据包原封不动地传给用户态模块,这个过程中 包括了一些操作系统特有的代码 – 第二个模块packet.dll为win32平台提供了一个公共的 接口。不同版本的Windows系统都有自己的内核模块 和用户层模块。Packet.dll用于解决这些不同。调用 Packet.dll的程序可以运行在不同版本的Windows平 台上,而无需重新编译
网络安全技术原理与实践第四章TCPIP协议攻击ppt课件
下图是打开一个询问包的详细信息,可以看到在数据包的 网络层描述中,数据包的源MAC是主机A的MAC地址,源IP不是A 的IP地址而是预先设置好的伪造IP地址。
(4)使用主机B向主机C发送消息,尝试使用攻击主机A进行 截获。使用主机B向主机C进行Ping操作,在主机A出处使用 wirehark抓包观察数据包流通情况如图所示。
4.2 网络层协议攻击
IP源地址欺骗 ARP协议攻击 因特网控制消息协议(ICMP)攻击及
欺骗技术
4.2.1 IP源地址欺骗
1.IP源地址欺骗原理
IP源地址欺骗是通过利用TCP/IP协议本身存在的一些缺陷进 行攻击的方法,其实质就是指攻击者伪造具有虚假源地址的IP数 据包进行发送,以达到隐藏发送者身份、假冒其他计算机的目的 。
(4) 黑客等待目标机发送SYN+ACK包给已经瘫痪的被信任主机,因为 黑客这时看不到这个包。
(5) 最后再次伪装成被信任主机向目标主机发送ACK,此时发送的数据 段带有预测的目标主机ISN+1,可以通过发送大量不同ACK值的数据包以 提高命中的可能性。
(6) 连接建立,发送命令请求。
3.IP源地址欺骗攻击防御
(4) 在连路由器和网关上实施包过滤是对抗IP源地址欺骗的一种主要技 术。
4.2.2 ARP 协议攻击
1. ARP欺骗攻击技术原理
ARP欺骗攻击就是通过伪造IP地址和MAC地址 实现ARP欺骗,能够在网络中产生大量的ARP通信 量使网络阻塞,攻击者只要持续不断的发出伪造的 ARP响应包就能更改目标主机ARP缓存中的IPMAC条目,造成网络中断或中间人攻击。
(1) 使用随机化的初始序列号,使得远程攻击者无法猜测到通过源地址 欺骗伪装建立TCP链接所需的序列号,降低被源地址欺骗的风险;
网络嗅探原理与分析概要PPT文档37页
55、 为 中 华 之 崛起而 读书。 ——周 恩来
1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
网络嗅探原理与分析概要 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
谢谢!
51、 天 下 之 事 常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
网络嗅探原理与分析概要 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
谢谢!
51、 天 下 之 事 常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特