[实用参考]网络监听技术.ppt

合集下载

网络安全技术--网络扫描与网络监听53页PPT

61、奢侈是舒适的，否则就不是奢侈。——CocoCha nel 62、少Байду номын сангаас好学，如日出之阳；壮而好学，如日中之光；志而好学，如炳烛之光。 ——刘向 63、三军可夺帅也，匹夫不可夺志也。 ——孔丘 64、人生就是学校。在那里，与其说好的教师是幸福，不如说好的教师是不幸。 ——海贝尔 65、接受挑战，就可以享受胜利的喜悦。——杰纳勒尔·乔治·S·巴顿
谢谢！
网络安全技术--网络扫描与网络监听
26、机遇对于有准备的头脑有特别的亲和力。 27、自信是人格的核心。
28、目标的坚定是性格中最必要的力量泉源之一，也是成功的利器之一。没有它，天才也会在矛盾无定的迷径中，徒劳无功。- -查士德斐尔爵士。 29、困难就是机遇。--温斯顿．丘吉尔。 30、我奋斗，所以我快乐。--格林斯潘。

网络攻防原理第12讲-网络监听技术

1 234 5 6
管理员为了部署网络分析仪等设备，通过配置交换机端口镜像功能来实现对网络的监听。
16
(三)交换网络监听：MAC洪泛
MAC地址端口攻击思路：
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线：主机发送的物理信号能被物理连接在一起的所有主机接收到。
网卡处于混杂模式：接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory，内容可寻址存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网交换机
5
网络监听环境
主机A
内网外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送

网络监听技术

传输数据时，包含物理地址的帧从网络接口(网卡) 发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，迚行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对亍每一个到达网络接口的数据帧，都要迚行这个过程。

网络监听作用主要包括：数据帧的截获对数据帧的分析归类 dos攻击的检测和预防 IP冎用的检测和攻击在网络检测上的应用对垃圾邮件的初步过滤
教学过程
1
漏洞扫描
2
漏洞扫描工具X-scan
3
网络监听技术
4
网络监听技术工具Sniffer
漏洞扫描定义：是指基亍漏洞数据库，通过扫描等手段，对指定的进程或者本地计算机系统的安全脆弱性迚行检测，发现可息系统迚行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞扫描从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。

两种漏洞扫描比较

基亍主机的漏洞扫描优点：第一、扫描的漏洞数量多。由亍通常在目标系统上安装了一个代理（ Agent）或者是服务（Services），以便能够访问所有的文件不迚程，这也使的基亍主机的漏洞扫描器能够扫描更多的漏洞。第二、集中化管理。基亍主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。所有扫描的指令，均从服务器迚行控制，这一点不基亍网络的扫描器类似。服务器从下载到最新的代理程序后，在分发给各个代理。这种集中化管理模式，使得基亍主机的漏洞扫描器的部署上，能够快速实现。第三、网络流量负载小。由亍ESM管理器不ESM代理乊间只有通讯的数据包，漏洞扫描部分都有ESM代理单独完成，这就大大减少了网络的流量负载。当扫描结束后，ESM代理再次不ESM管理器迚行通讯，将扫描结果传送给ESM管理器。第四、通讯过程中的加密机制。所有的通讯过程中的数据包，都经过加密。由亍漏洞扫描都在本地完成，ESM代理和ESM管理器乊间，只需要在扫描乊前和扫描结束乊后，建立必要的通讯链路。因此，对亍配置了防火墙的网络，只需要在防火墙上开放ESM所需的5600和 5601这两个端口，ESM即可完成漏洞扫描的工作。

第11讲典型黑客攻击之(三)网络监听攻防PPT课件

嗅探器是一类功能更为强大的协议分析器，除了能完成协议分析器的功能外，通过捕获网络数据包来进行网络流量分析外，还可以：
– 找出网络中潜在的问题； – 确定在通信所使用的多个协议中，属于不同协
议的流量大小，哪台主机承担主要协议的通信；
– 哪台主机是主要的通信目的地； – 报文发送的时间是多少，主要间报文传送的时
但是，网络接口不能识别IP地址。在网络接口，带有IP 地址的数据包又被封装以太帧的帧头。在帧头中，包含了网络接口能识别源主机和目的主机的物理地址。物理地址与IP地址对应，一个IP地址对应一个物理地址。
发向局域网之外的帧中携带的是网关的物理地址，由网关决定向何处发送。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。
在这种意思上，每一个机器，每一个路由器都是一个 Sniffer，或者可以成为一个Sniffer。要使一台机器成为一个Sniffer，则需要一个特殊的软件（Ethernet卡的广播驱动程序或专用协议分析工具软件）能使网络处于监听模式。
要使主机工作在监听模式下，需要向网络接口发送 I/O控制命令，将其设置为监听模式。
间间隔等。
Sniffer的危害
嗅探器被黑客利用，可对网络进行安静的、消极的安全攻击：
– 用来捕获网络中传输的用户口令； – 用来捕获专用的、机密的或敏感数据； – 用来捕获更高级别的访问权限或危害网络领居
的安全 – 窥探低层协议信息（如两台主机之间的接口地
址、远程网络接口IP地址、IP路由信息和TCP 连接序号等）
– 微波、无线电波：属广播型传输媒介，任何人都可利用接收器截获信息。
以太网中可以监听的原因
网卡的工作模式：

网络嗅探器及网络中的窃听技术(ppt 30页)

嗅探的其它用途
解释网络上传输的数据包的含义为网络诊断提供参考为网络性能分析提供参考，发现网络瓶颈发现网络入侵迹象，为入侵检测提供参考将网络事件记入日志
本节主要内容
一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范
Q：
嗅探就是截获网络上的数据，那么正常情形下，主机是如何接收数据的？
主机－网络层
网络设备
以太网
802.3以太网是一种使用广播信道的网络，在以太网中所有通信都是广播的。
主机接收数据的条件
主机是否接收网络上的数据事实上通过两个“过滤”来决定：一是硬件过滤；一是软件过滤
硬件过滤
任何一个网络接口都有一个的硬件地址，也就是网卡的MAC地址
正常情况下，NIC让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过，而过滤掉其它的帧
FTP服务器
？lTemaUPddaes%sresr3wn2aomrde
主机B：安装了 “窃听程序” 的主机
Username：leader Password：Tmd%234
只要能够接入数据通信的信道就可以嗅探
攻击者进行嗅探的目的
窃取各种用户名和口令窃取机密的信息窥探底层的协议信息
网络设备
数据发送
应用程序操作系统操作系统
应用层传输层网络层
主机－网络层
网络设备
应用数据 TCP头应用数据 IP头 TCP头应用数据
帧头 IP头 TCP头应用数据
数据接收
应用数据 TCP头应用数据 IP头 TCP头应用数据帧头 IP头 TCP头应用数据
应用层传输层网络层
应用程序操作系统操作系统

《网络与网络监听》课件

《网络与网络监听》ppt课件
目录
CONTENTS
• 网络基础知识 • 网络监听原理 • 网络监听工具 • 网络监听的防范措施 • 案例分析
01
CHAPTER
网络基础知识
网络的定义与分类
总结词
网络是由多个节点（计算机、手机等）通过特定通信协议连接而成的系统，用于实现数据传输和资源共享。根据不同的分类标准，网络可以分为多种类型。
网络监听的防范措施
加密技术防范监听
01
02
03
加密技术
通过加密传输数据，使得监听者无法获取明文数据，从而保护数据的机密性和完整性。
端到端加密
数据在发送端和接收端之间进行加密和解密，确保数据在传输过程中不被监听。
链路加密
加密设备之间的链路，保护数据在传输过程中的安全。
VLAN技术防范监听
案例三：网络监听相关法律法规介绍
1 2 3
法律法规名称
《中华人民共和国网络安全法》
法律法规内容
该法规定了任何个人和组织不得利用网络从事危害网络安全的活动，对于利用网络进行监听的行为将依法追究刑事责任。
法律法规意义
该法的出台为打击网络监听行为提供了法律依据，有利于维护国家安全和公民个人隐私。
THANKS
详细描述
常见的网络协议包括TCP/IP协议族、HTTP、FTP、SMTP等。IP地址由32位二进制数组成，通常以点分十进制形式表示，分为四个部分，每个部分为0-255之间的整数。
路由与交换原理
总结词
路由是指在网络中传输数据包时，数据包从源节点到目的节点的路径选择过程；交换则是数据包在到达目的节点前的转发过程。
实现网络监听需要经过数据包捕获、数据包过滤、数据包解析和数据包分析等步骤。其中，数据包捕获是监听的基础，数据包过滤可以提高监听的效率，数据包解析可以识别出不同类型的数据包，数据包分析则可以对数据包的内容进行深入的分析。

【学习课件】第3章-网络扫描与网络监听

• 端口扫描分类
3.3 网络扫描
TCP SYN扫描 TCP Connect扫描
端口扫描
秘密扫描
其它扫描
TCP FIN 扫描 TCP ACK 扫描
NULL 扫描 XMAS 扫描 SYN/ACK 扫描
UDP 扫描 IP头信息 dump 扫描 IP 分段扫描慢速扫描乱序扫描
3.3 网络扫描
• 3.3.5 漏洞扫描 • 漏洞扫描是使用漏洞扫描程序对目标系
它可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手；而对于管理员，扫描同样具备检查漏洞，提高平安性的重要作用。
3.3 网络扫描
• 3.3.1 平安漏洞概述 • 通常，网络或主机中存在的平安漏洞是攻击者成功地实
施攻击的关键。那么，什么是平安漏洞？平安漏洞产生的根源是什么？这些漏洞有哪些危害呢？ • 1．平安漏洞的概念 • 这里所说的漏洞不是一个物理上的概念，而是指计算机系统具有的某种可能被入侵者恶意利用的属性，在计算机平安领域，平安漏洞通常又称作脆弱性。 • 简单地说，计算机漏洞是系统的一组特性，恶意的主体能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。
3.3 网络扫描
• 3.3.3 发现目标的扫描 • 如果将扫描比较为收集情报的话，扫描目
标就是寻找突破口了。本节介绍根本的扫描技术和扫描技巧，利用这些技术和技巧可以确定目标是否存活在网络上，以及正在从事的工作类型。该类扫描目前主要有 Ping扫描和ICMP查询两种。
• 1．Ping扫描
3.3 网络扫描
3.3 网络扫描

第4讲网络监听及防御技术

第4讲网络监听及防御技术
4.1.2 网络监听技术的发展情况
o 1．网络监听（Sniffer）的发展历史
n 软件嗅探器便宜易于使用，缺点是功能往往有限，可能无法抓取网络上所有的传输数据(比如碎片)，或效率容易受限；
n 硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，处理速度很高，但是价格昂贵。
n 在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。
n 网络监听技术的能力范围目前只限于局域网。
PPT文档演模板
2020/11/26
第4讲网络监听及防御技术
4.1.1 基础知识与实例
PPT文档演模板
2020/11/26
第4讲网络监听及防御技术
4.2.1 局域网中的硬件设备简介
o 1．集线器 (1) 集线器的原理：集线器（又称为Hub）是一种重要的网络部件，主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。
集线器工作在局域网的物理环境下，其主要应用在OSI参考模型第一层，属于物理层设备。它的内部采取电器互连的方式，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。
PPT文档演模板
2020/11/26
第4讲网络监听及防御技术
PPT文档演模板
2020/11/26
第4讲网络监听及防御技术
4.1.1 基础知识与实例
o 1．网络监听的概念
n 网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。

《网络与网络监听》PPT课件

4.4 网络扫描
4.4.1 网络扫描简介
网络扫描是黑客攻击的第二步。其原理是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等对象，最后根据扫描结果向扫描者或管理员提供周密可靠的分析报告。
扫描通常采用两种策略：
一种是被动式策略，就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。
4.2 黑客攻击步骤
黑客进行一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是 “黑客攻击五部曲”。 ❖ （1）隐藏IP ❖ 通常有两种方法隐藏自己IP： ❖ ①首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡” 的IP地址。 ❖ ②做多极跳板“Sock代理”，在入侵的电脑上留下的是代理计算机的IP地址。 ❖ 比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。
❖ （1）早期Internet设计的缺陷
Internet设计的初衷是为了相互交流，实现资源共享。设计者并未充分考虑网络安全需求。Internet的开放性使得其在短期内得到蓬勃发展。也正因如此，攻击者能快速、低成本地对网络进行攻击，而把自己隐藏起来，不被觉察和跟踪。
❖ （2）网络开源
网络的开源使得攻击者技术不断提高，攻击的教程和工具在网上可以轻易找到。这样，造成攻击事件增多，而且攻击早期不易被网络安全人员发觉。
Windows XP Pro运行IIS5.1，Windows 2003运行IIS 6.0，Windows 2008运行IIS 7.0。修复方法：安装补丁文件。为系统安装最新的IIS补丁，并在IIS中排除恶意用户的访问IP地址。删除\inetpub\wwwroot\scripts目录中的脚本样本文件。同样，在进行IIS安装时不要安装远程管理工具。

29网络监听计算机系统安全(第2版)课件

– 80 是http端口当然这里你可以改成任何其他的端口比如改为21 这样你监听的就是 ftp端口
– D:\1.txt是把sniffer的结果保存的地方 – 0指的是网卡ID ,网卡ID非1既0
2020/10/28
59
2020/10/28
60
2020/10/28
11
设置过滤器
• 1. 捕捉特定主机的 ftp 流 :
– tcp port 21 and host 10.0.0.5
• 2. 捕捉特定主机流出的包:
– src host 10.0.0.5
• 3. 捕捉 80端口发出的包:
– src port 80
2020/10/28
12
设置过滤器
• 方向（dir） - src, dst, src or dst, src and dst.如, `src foo', `dst net 128.3', `src or dst port ftp-data'.
• 协议（proto） - ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp and udp.如, , `ether src foo', `arp net 128.3', `tcp port 21'.
2020/10/28
51
利用交换机的镜像功能
利用交换机的镜像功能
2020/10/28
52
利用ARP欺骗
• 首先•• 介绍以太数据包格式
目的MAC地址源MAC地址
6
6
类型0800 ：IP数据包类型0806 ：ARP数据包
类型 2
数据 46~1介绍ARP数据包格式

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

• 基础知识简介
以太网的网卡设备驱动程序不关心IP数据报中的目的IP地址，它所需要的仅仅是MAC地址，所以我们需要在MAC地址和IP地址间使用ARP和 RARP协议进行相互转换。
一般网络接口接收的两种数据：与自己硬件地址相匹配的数据帧；发向所有机器的广播地址。
网卡有4种接收方式：广播方式；组播方式；直接方式；混杂方式。
• 2.IrisEeye公司的一款付费软件，有试用期，完全图形化界面，可以很方便的定制各种截获控制语句，对截获数据包进行分析，还原等。对管理员来讲很容易上手，入门级和高级管理员都可以从这个工具上得到自己想要得东西。运行在Windowsgx/ME/NT/2000/xP平台上。
• 以太网的工作机制：
把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包。
2.2网络监听技术定义及原理
• 2.2.1网络监听定义网络监听也叫嗅探器，其英文名是
Sniffer，即将网络上传输的数据捕获并进行分析的行为。
2.4网络监听工具简介
• 1.WinDump是最经典的Unix平台上的TcpDump的Window移植版，和 TcpDump几乎完全兼容，采用命令行方式运行，对用惯TcpDump的人来讲会非常容易上手。目前版本是3.5.2，可运行在 Windows95/98/ME/WindowsNT/2000/XP平台上。
网络监听是一种网络监测设备，既可以是硬件，也可以是软件。
2.2.2网络监听原理
• 2.原理以太网数据是以广播方式发送的，也就是说
局域网内的每台主机都在监听网内传输数据。以太网硬件将监听到的数据帧所包含的MAC地址与自己的滤MAC地址相比较，如果相同，则接收该帧，否则丢掉它，这就是以太网的过滤规则。但是，如果把网卡设置为“混杂模式”，它就能接收传输在网络上的每一个信息包。Sniffer就是依据这种原理来监测网络中流动着的数据。
2.3网络监听的实现方式
• (1)针对集线器的监听
首先从TCP/IP模型的角度来看数据包在局域网内发送的过程：当数据由应用层自上而下地传递时，在网络层形成IP数据报，再向下到达数据链路层，由数据链路层将IP 数据报分割为数据帧，增加以太网包头，再向下一层发送。需要说明的是，以太网的包头中包含着本机和目标设备的 MAC地址，也就是说，数据链路层的数据帧发送时，是依靠48bit/s的以太网地址而非IP地址来确认的，以太网的网卡设备驱动程序不会关心IP数据报中的目的IP地址，它所需要的仅仅是MAC地址。当局域网内的主机通过集线器连接时，集线器的作用就是局域网上面的一个共享的广播媒体，所有通过局域网发送的数据首先被送到集线器，然后集线器将接收到的所有数据向它的每个端口转发。
网络监听技术
• 2.1 网络监听技术概览 • 2.2网络监听技术定义及原理 • 2.3网络监听的实现方式 • 2.4网络监听工具简介 • 2.5网络监听工具sniffer
2.1 网络监听技术概览
• 基础知识简介
以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，一般来说每一块网卡上的MAC地址都是不同的。一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上需要网卡，在软件上需要网卡驱动程序。
第2章网络监听与TCP/IP协议分析
• 教学提示：本章主要介绍网络监听的基本原理，概括网络层和传输层各协议的数据报结构，讲解Sniffer Pro的安装和使用方法。
• 教学要求：了解网络监听的基本原理，熟悉网络监听在网络管理中的应用，掌握网络层协议和传输层协议的报头结构，熟悉 Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。
2.2.4网络监听的用途
1.把网络中的数据流转化成可读格式。 2.进行性能分析以发现网络瓶颈。 3.进行入侵检测以发现外界入侵者。 4.生成网络活动日志和安全审计。 5.进行故障分析以发现网络中潜在的问题。
2.2.5网络监听的意义
• 在网络安全中，sniffer起着“双刀刃”的作用：一方面，通过网络监听软件，管理员可以监视网络的状态、数据流动的情况以及网络上传输的信息，可以观测分析实时的数据包，从而快速地进行网络故障定位。另一方面，sniffer给以太网带来很大的隐患，很多网络入侵事件往往伴随着以太网内的 Sniffer行为，从而造成口令失窃，敏感数据被截获等恶性安全事件。
ቤተ መጻሕፍቲ ባይዱ
2.2.3网络监听的组成
(1)网络硬件设备如网卡、集线器、路由器等。 (2)监听驱动程序截获数据流，进行过滤并把数据存入缓冲区。 (3)捕获驱动程序这是最重要的部件，它直接控制网络硬件从
信道上抓取数据，并将数据存入缓冲器。 (4)缓冲器用来存放捕获到的数据的容器。由于缓冲器容量有
限，监听器使用缓冲器时，通常有两种方式：一是如果缓冲器满，马上停止捕获；二是缓冲器满了还继续捕获，但是新的数据会覆盖旧的数据。 (5)实时分析程序实时分析数据帧中所包含的数据，目的是发现网络性能问题和故障，侧重于网络性能和故障方面的问题。 (6)解码程序将接收到的加密数据进行解密，构造自己的加密数据包并把它发送到网络中。 (7)数据包分析器对截取到的数据包进行模式匹配和分析，将感兴趣的信息从原始数据包中剥离出来。
2.3网络监听的实现方式
• (2)针对交换机的监听
不同于工作在物理层的集线器，交换机是工作在数据链路层的。交换机在工作时维护着一张ARP的数据库表，在这个库中记录着交换机每个端口所绑定的MAC地址，当有数据报发送到交换机时，交换机会将数据报的目的MAC 地址与自己维护的数据库内的端口对照，然后将数据报发送到“相应的”端口上，交换机转发的报文是一一对应的。对交换机而言，仅有两种情况会发送广播方式，一是数据报的目的MAC地址不在交换机维护的数据库中，此时报文向所有端口转发；二是报文本身就是广播报文。因此，基于交换机以太网建立的局域网并不是真正的广播媒体，交换机限制了被动监听工具所能截获的数据。为了实现监听的目的，可以采用MAC Flooding和ARP欺骗等方法。