版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、<p><b> 畢業(yè)論文(設計)</b></p><p> 論文(設計)題目: </p><p> 學 院: 理工學院 </p><p> 專 業(yè)(方 向):計算機科學與技術(網(wǎng)絡工程) 年 級、班 級:
2、 網(wǎng)絡1101 </p><p> 學 生 學 號: 1110712026 </p><p> 學 生 姓 名: </p><p> 指 導 老 師: </p>
3、<p> 2015年5月14日</p><p><b> 論文獨創(chuàng)性聲明</b></p><p> 本人所呈交的畢業(yè)論文(設計)是我個人在指導教師指導下進行的研究工作及取得的成果。除特別加以標注的地方外,論文中不包含其他人的研究成果。本論文如有剽竊他人研究成果及相關資料若有不實之處,由本人承擔一切相關責任。</p><p>
4、 本人的畢業(yè)論文(設計)中所有研究成果的知識產(chǎn)權屬三亞學院所有。本人保證:發(fā)表或使用與本論文相關的成果時署名單位仍然為三亞學院,無論何時何地,未經(jīng)學院許可,決不轉(zhuǎn)移或擴散與之相關的任何技術或成果。學院有權保留本人所提交論文的原件或復印件,允許論文被查閱或借閱;學院可以公布本論文的全部或部分內(nèi)容,可以采用影印、縮印或其他手段復制保存本論文。</p><p> 加密學位論文解密之前后,以上聲明同樣適用。</
5、p><p> 論文作者簽名: </p><p> 年 月 日 </p><p> 復雜環(huán)境下網(wǎng)絡嗅探技術的應用及防范措施</p><p><b> 摘要</b></p><p> 21世紀是信息社會,信息作為一種資源,它的普遍性、共享性、
6、增值型、可處理性和多效用性,使其對于人類具有特別重要的意義。信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。信息安全是任何國家、政府、部門、行業(yè)都必須重視的問題,是一個不容忽視的國家安全戰(zhàn)略。因此對計算機嗅探技術的研究已成為計算機信息安全領域的一個重點和熱點。</p><p> 本文對復雜環(huán)境下網(wǎng)絡嗅探攻擊與防范技術進行了系統(tǒng)的分析和研究,對共享式局域網(wǎng)
7、和交換式局域網(wǎng)嗅探的嗅探原理進行解析,在不同局域網(wǎng)環(huán)境下,其嗅探原理有所不同,關鍵在于數(shù)據(jù)包在不同連接設備中的轉(zhuǎn)發(fā)方式。集線器(HUB)與交換機(Switch)是兩種不同的局域網(wǎng)連接設備,有著不同轉(zhuǎn)發(fā)方式。對于嗅探工具Wireshark的過濾器也做了深入的分析,其捕捉過濾器和顯示過濾器有著重要的作用,可以使我們方便快捷的得到想要的數(shù)據(jù)包。最后設計了計算機信息的搜素以及端口的掃描方法。</p><p> 對于網(wǎng)絡
8、嗅探技術的防范措施本文沒有過多的進行探究,主要是因為在TCP/IP協(xié)議體制下沒有對局域網(wǎng)中數(shù)據(jù)包的轉(zhuǎn)發(fā)進行加密動作,同時又由于嗅探的隱秘性,所以很難真正意義上去徹底解決嗅探帶來的問題。</p><p> 【關鍵詞】 共享式局域網(wǎng),交換式局域網(wǎng),嗅探,ARP攻擊,Wireshark</p><p> The application of network Sniffer tec
9、hnology under complex environment and preventive measures</p><p><b> Abstract</b></p><p> Twenty-first Century is the information society, information as a resource,
10、 its universality, sharing, value-added, processing and multi utility, which is of special significance for human. The essence of information security is to protect the information systems or information network informat
11、ion resources from various types of threats, interference and destruction, which is to ensure the safety of information. Information security is any country, government departments, industry, must pay atte</p><
12、;p> This paper carried out a systematic analysis and Research on network Sniffer under complex environment and prevention technology, analyzes the principle of shared LAN Sniffer and switched LAN Sniffer, in LAN envi
13、ronment, the principle of Sniffer is different, the key lies in data packets in different devices forwarding mode. The HUB (HUB) and switch (Switch) are two different LAN connection equipment, there are different forward
14、ing mode. design of computer information search and port scanning me</p><p> Not too much of this paper for preventive measures of network Sniffer technology, mainly because of the TCP/IP protocol system no
15、t of LAN packet forwarding is encrypted and hidden action, because of Sniffer, so it is difficult to truly up to completely solve the problems of Sniffer.</p><p> 【Key Words】Shared LAN, Switched LAN,
16、160;Sniffer, ARP attacks, Wireshark</p><p><b> 目錄</b></p><p><b> 1 緒論1</b></p><p> 1.1 嗅探技術研究的背景與意義1</p><p> 1.2 網(wǎng)絡嗅探的研究現(xiàn)狀2<
17、/p><p> 1.3 本課題研究的內(nèi)容3</p><p><b> 2 嗅探4</b></p><p><b> 2.1概述4</b></p><p> 2.2 嗅探的定義4</p><p> 2.3 網(wǎng)絡嗅探的原理5</p><p>
18、; 2.3.1復雜網(wǎng)絡環(huán)境5</p><p> 2.3.2共享式局域網(wǎng)的嗅探原理5</p><p> 2.3.3交換式局域網(wǎng)的嗅探原理7</p><p> 3 嗅探協(xié)議和數(shù)據(jù)包的分析10</p><p><b> 3.1 概述10</b></p><p> 3.2 嗅探交換機
19、工作原理10</p><p> 3.3 嗅探交換機的數(shù)據(jù)轉(zhuǎn)發(fā)方式和幀過濾13</p><p> 3.4 嗅探數(shù)據(jù)包的轉(zhuǎn)發(fā)過程15</p><p> 3.4.1交換式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)16</p><p> 3.4.2共享式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)17</p><p> 4嗅探工具Wireshark18&
20、lt;/p><p> 4.1. 簡介18</p><p> 4.2主要應用18</p><p> 4.3使用過濾器捕捉數(shù)據(jù)包19</p><p> 4.4Wireshark嗅探ICMP數(shù)據(jù)包25</p><p><b> 5 嗅探攻防30</b></p><p&
21、gt; 5.1搜集目標計算機的重要信息30</p><p> 5.1.1獲取目標計算機的IP地址30</p><p> 5.1.2根據(jù)IP地址查看物理地址31</p><p> 5.2掃描目標計算機的端口32</p><p> 5.2.1認識端口掃描的原理32</p><p> 5.2.2使用Su
22、perScan掃描計算機的端口32</p><p> 6 網(wǎng)絡嗅探技術的防范34</p><p> 6.1加密傳輸?shù)臄?shù)據(jù)34</p><p> 6.2采用安全的拓撲結(jié)構34</p><p><b> 7 結(jié)論35</b></p><p><b> 參考文獻36<
23、;/b></p><p><b> 致謝37</b></p><p><b> 1 緒論</b></p><p> 1.1 嗅探技術研究的背景與意義</p><p> 隨著社會的發(fā)展,人們越來越依賴互聯(lián)網(wǎng)。因為互聯(lián)網(wǎng)是社會進步和知識經(jīng)濟相結(jié)合的紐帶,其改變了傳統(tǒng)的社會的溝通方式,實現(xiàn)
24、了無障礙的信息交流和信息共享,方便了現(xiàn)代的人的很多需求,不僅讓人們的精神文化生活變得豐富多彩,工作也變得更加高效和快捷。網(wǎng)絡參與的平等性使得民眾的主動性大大的增強。民眾的很多需求,如知情需求、參與需求、表達需求以及監(jiān)督需求等等通過互聯(lián)網(wǎng)都得到了很大程度的實現(xiàn)。網(wǎng)絡已經(jīng)實實在在的走進了人們的生活。網(wǎng)絡規(guī)模不斷擴大,各種網(wǎng)絡資源和網(wǎng)絡業(yè)務應用也越開越豐富,互聯(lián)網(wǎng)的影響與日俱增。</p><p> 伴隨著計算機技術和
25、網(wǎng)絡技術在各行各業(yè)的廣泛應用以及互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡安全問題也日益突出。網(wǎng)絡攻擊的頻率變得頻繁,攻擊范圍開始擴大,技術也越來越先進。同時,網(wǎng)絡攻擊所造成的損失也越來越嚴重。根據(jù)公安部網(wǎng)絡安全保衛(wèi)局第九次全國信息網(wǎng)絡安全狀況與計算機病毒疫情調(diào)查報告結(jié)果顯示,2009年被調(diào)查對象發(fā)生網(wǎng)絡安全事件的比例為43%,感染計算機病毒的比例為70.5%,兩項比例均為調(diào)查活動展開以來歷年最低,但網(wǎng)絡安全仍然不容忽視。經(jīng)過對6000多加政府網(wǎng)站監(jiān)測顯示
26、,37%的政府網(wǎng)站存在網(wǎng)頁安全漏洞,極易遭到網(wǎng)頁篡改和網(wǎng)頁掛馬等形式的攻擊和破壞[1]。</p><p> 當前,網(wǎng)絡攻擊不僅僅是來自網(wǎng)絡外部,也就是外網(wǎng),來自內(nèi)網(wǎng)的攻擊也日益增多。而且由于攻擊者處于網(wǎng)絡內(nèi)部,對網(wǎng)絡的組織結(jié)構和特性更加熟悉。因此,內(nèi)網(wǎng)攻擊的成功率比外部網(wǎng)絡攻擊高很多,并且,造成的損失也比外網(wǎng)攻擊嚴重很多。所以防范內(nèi)網(wǎng)攻擊比外網(wǎng)攻擊更加緊迫。這幾年時間網(wǎng)內(nèi)攻擊頻繁發(fā)生,造成很多信息暴漏的重大事故
27、,內(nèi)網(wǎng)的安全問題已經(jīng)成為人們關注的重要問題。</p><p> 現(xiàn)階段網(wǎng)絡攻擊的主要手段之一就是內(nèi)網(wǎng)的ARP攻擊。我國在2006年爆發(fā)了大規(guī)模的ARP攻擊事件,之后的幾年陸續(xù)也有較大規(guī)模的ARP攻擊事件發(fā)生,普通的ARP攻擊事件更是無時無處不在。零星的ARP攻擊較之大規(guī)模的ARP攻擊更難于被網(wǎng)絡管理者和用戶發(fā)現(xiàn),并且零星的ARP攻擊帶來的損失并不一定比大規(guī)模的ARP攻擊小,這主要是因為大規(guī)模的ARP攻擊主要是拒
28、絕服務,而小規(guī)模的ARP攻擊的主要目的是信息監(jiān)聽和會話劫持等,對信息安全的威脅更大。</p><p> 因為互聯(lián)網(wǎng)在世界范圍內(nèi)的開放性和無管理性,以及TCP/IP協(xié)議、各種操作系統(tǒng)、應用程序的安全漏洞,造成當今互聯(lián)網(wǎng)上各類安全事件層出不窮,各種安全漏洞不斷被發(fā)現(xiàn)??梢哉f互聯(lián)網(wǎng)的本質(zhì)是非常不安全的。隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及,越來越多的信息資源放在了互聯(lián)網(wǎng)上,網(wǎng)絡的安全性和可靠性顯得越發(fā)重要[2]。因此,
29、對于能夠分析、診斷網(wǎng)絡,測試網(wǎng)絡性能與安全性的工具軟件的需求也越來越迫切。網(wǎng)絡嗅探器具有兩面性,攻擊者可以用它來監(jiān)聽網(wǎng)絡中數(shù)據(jù),達到非法獲得信息的目的,網(wǎng)絡管理者可以通過使用嗅探器捕獲網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包并對其進行分析,分析結(jié)果可供網(wǎng)絡安全分析之用。</p><p> 嗅探(Sniff),有時也被稱為監(jiān)聽,在網(wǎng)絡安全的范疇中,一般是指通過某種方式竊聽不是發(fā)送給本機或本進程的數(shù)據(jù)包的過程。嗅探器(Sniffer),
30、即能夠?qū)崿F(xiàn)嗅探的工具,有軟件和硬件兩種類型[3]。</p><p> 網(wǎng)絡嗅探技術在信息安全防御技術和黑客攻防技術中都處于非常重要的地位。了解網(wǎng)絡嗅探技術的原理、應用和發(fā)展方向有助于防范由于嗅探技術濫用引發(fā)的信息安全問題;通過將網(wǎng)絡嗅探技術應用在信息安全防御領域,可以協(xié)助信息安全人員進行安全體系、特別是安全監(jiān)控體系的架構和實現(xiàn)。</p><p> 1.2 網(wǎng)絡嗅探的研究現(xiàn)狀</p
31、><p> 網(wǎng)絡攻擊可以分為兩類:主動攻擊和被動攻擊。主動攻擊指的是對互聯(lián)網(wǎng)上傳輸和存儲的數(shù)據(jù)進行插入、刪除和假冒。被動攻擊是指在不發(fā)送數(shù)據(jù)包的前提下,捕捉網(wǎng)絡上所流經(jīng)本機的數(shù)據(jù)包。表面上看,主動攻擊的危害更大,但相對容易被檢測出來。被動攻擊則具有隱蔽性,可以長期在網(wǎng)絡上偵聽而不容易被發(fā)現(xiàn),實際上具有更大的危害性。網(wǎng)絡嗅探技術就屬于被動攻擊的一種,由于網(wǎng)絡中數(shù)據(jù)流量非常大,想要較實時地捕捉并分析所有的數(shù)據(jù)包是不可能
32、的,當前的嗅探技術一般采用捕捉數(shù)據(jù)包的前兩、三百個字節(jié),并存儲下來再分析的方式,因為這其中往往包含各類應用的用戶賬號和口令。而賬號和口令對各類網(wǎng)上應用的重要性是眾所周知的。</p><p> 對于網(wǎng)絡嗅探技術的現(xiàn)狀,許多領域內(nèi)的專家已經(jīng)進行了系統(tǒng)的研究分析,如李頻教授于2006年發(fā)出的《復雜環(huán)境下網(wǎng)絡嗅探技術的應用與防范》已經(jīng)對網(wǎng)絡嗅探技術做了十分全面系統(tǒng)的解析,對于ARP攻擊和復雜環(huán)境都已經(jīng)解析的十分全面。&
33、lt;/p><p> 1.3 本課題研究的內(nèi)容</p><p> 本文對網(wǎng)絡嗅探技術在復雜環(huán)境下的嗅探進行了系統(tǒng)的分析和探究,主要的工作如下:</p><p> ?。?)對嗅探的基本概念進行系統(tǒng)說明、攻擊機制進行剖析。</p><p> ?。?)對嗅探的數(shù)據(jù)包進行了解,對數(shù)據(jù)包的種類、作用、內(nèi)容進行了深入的解釋和探究,方便我們對于嗅探本質(zhì)的了
34、解。</p><p> ?。?)對嗅探常用的幾種工具介紹和使用,進一步了解嗅探的本質(zhì)。</p><p> ?。?)在研究了嗅探技術、數(shù)據(jù)包和嗅探攻擊常用的工具的基礎上,進行嗅探的攻防演練。</p><p> ?。?)對復雜環(huán)境下嗅探技術的防范進行說明和提出自己的見解。</p><p> ?。?)對整個探究進行一個完整的總結(jié),對于文章的不足之處
35、提出自己的期望和改善。</p><p><b> 2 嗅探</b></p><p><b> 2.1概述</b></p><p> 嗅探在現(xiàn)代已經(jīng)不再是一個神秘的詞匯,因為在網(wǎng)絡日益擴展的時代里,人們對于網(wǎng)絡技術的發(fā)展已經(jīng)十分關注,對于局域網(wǎng)時常發(fā)生的嗅探事件也很關注。</p><p> S
36、niff就是嗅探器,就像是一種竊聽器,悄悄的工作在網(wǎng)絡的底層,把我們的秘密全部記錄下來。Sniff既是軟件,也是硬件。也分為不同的平臺。有可以在UNIX上運行的TCPDUMP,也有在Window下運行的Wireshark和Sniff Pro,但是不管硬件軟件,目標只有一個,就是獲取在網(wǎng)絡上傳輸?shù)母鞣N信息。本文僅僅介紹軟件的Sniff[4]。</p><p> 在21世紀,大多數(shù)的人每天都要接觸網(wǎng)絡,我們需要網(wǎng)絡
37、帶給我們的便利。在工作中,我們需要更快速的收發(fā)文件,需要坐在辦公桌上就可以把自己辛苦書寫的報告發(fā)給老板,需要不走一步就能讓人送來飲料外賣。在生活中,我們需要更多的便利,在網(wǎng)店中購物,給同學家人聊天,給老友發(fā)送EMAIL。但是你可曾想到,我們網(wǎng)絡的下面有一雙無形的手,在抓取著我們的信息、秘密。這是很可怕的,會讓我們每個人都心驚膽戰(zhàn)。</p><p> 是的,嗅探讓我們的擔心變成了真的。我們就是生活在這樣一個暴露的
38、網(wǎng)絡環(huán)境中,甚至沒有一絲的遮蓋。這就使得嗅探技術的研究勢在必行。</p><p> 現(xiàn)階段,很多網(wǎng)吧的網(wǎng)絡設備不具備高端網(wǎng)絡設備的智能性、交互性等擴展性能,所以很容易發(fā)生各種事故。當網(wǎng)吧電腦出現(xiàn)掉線、大片的網(wǎng)絡機器網(wǎng)絡連接速度慢、網(wǎng)絡流量超出限制等情況時,很多網(wǎng)絡管理員都顯得很無力。因為僅僅依賴網(wǎng)絡管理員的經(jīng)驗和簡單傳統(tǒng)的排查方法,在時間和準確性上面都存在很大的誤差,同時也影響了網(wǎng)吧的工作效率和正常業(yè)務的運行。
39、</p><p><b> 2.2 嗅探的定義</b></p><p> 網(wǎng)絡嗅探是指利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術。網(wǎng)絡嗅探工作在TCP/IP網(wǎng)絡協(xié)議的底層,把數(shù)據(jù)鏈路層傳輸?shù)臄?shù)據(jù)包全都記錄下來。許多攻擊者就是使用嗅探軟件,即Sniff來進行數(shù)據(jù)嗅探。</p><p> 嗅探多數(shù)情況下指的是嗅探器,可以竊
40、聽網(wǎng)絡上流經(jīng)的數(shù)據(jù)包。用集線器HUB組建的網(wǎng)絡環(huán)境是基于共享的原理的,連接在共享式局域網(wǎng)內(nèi)所有的計算機都接收由HUB轉(zhuǎn)發(fā)的數(shù)據(jù)包,而網(wǎng)卡構造了硬件的過濾器是通過識別MAC地址過濾不是發(fā)給自己的信息,嗅探程序會關閉過濾器的功能,將網(wǎng)卡工作模式設置為混雜模式,然后就可以進行嗅探,從而得到網(wǎng)絡中的數(shù)據(jù)包。用交換機Switch組建的網(wǎng)絡是基于交換原理的,其連接設備是二層交換機或者是三層交換機,交換機的轉(zhuǎn)發(fā)方式不是把數(shù)據(jù)包發(fā)到所有的端口上,而是通
41、過查詢MAC地址表直接發(fā)到目的網(wǎng)卡所在的端口。嗅探程序一般利用ARP欺騙的方法,通過改變IP、MAC地址的對應關系,欺騙交換機將數(shù)據(jù)包發(fā)給本機所在的端口,嗅探程序分析完畢再轉(zhuǎn)發(fā)出去。</p><p> 網(wǎng)絡管理員可以用嗅探器進行網(wǎng)絡情況的分析,監(jiān)測網(wǎng)絡流量是使用情況。攻擊者使用嗅探器可以監(jiān)聽網(wǎng)絡數(shù)據(jù),從而可以得知網(wǎng)絡用戶的敏感信息,進行破壞活動。</p><p> 2.3 網(wǎng)絡嗅探的原
42、理</p><p> 2.3.1復雜網(wǎng)絡環(huán)境</p><p> 現(xiàn)實生活中,我們所在的網(wǎng)絡通常為局域網(wǎng)。局域網(wǎng)(Local Area Network,LAN)可能是指我們所處在的一棟大樓、一個生活小區(qū)、一所學校等一個團體所在的生活區(qū)的網(wǎng)絡鏈路連接,這一片地方的計算機通過網(wǎng)線進行連接,組成一個小范圍的網(wǎng)絡。網(wǎng)上可以是一座城市組成的城域網(wǎng),甚至是廣域網(wǎng)。就是這樣大環(huán)套小環(huán),一層層的推進,從
43、而得到我們的局域網(wǎng)環(huán)境。</p><p> 而根據(jù)局域網(wǎng)環(huán)境所使用的連接設備又可以分為共享式局域網(wǎng)和交換式局域網(wǎng)。用集線器HUB組建的局域網(wǎng)是共享式網(wǎng)絡,其傳輸?shù)臄?shù)據(jù)是發(fā)往每一個連接的主機。</p><p> 而通過交換機連接起來的子網(wǎng)稱為交換局域網(wǎng),由交換機構造一個“Mac地址-端口”映射表,交換機在轉(zhuǎn)發(fā)數(shù)據(jù)包時,只發(fā)送到特定的端口上,也可以通過交換機的端口鏡像功能把所有的數(shù)據(jù)包全都
44、經(jīng)過某一個端口轉(zhuǎn)發(fā)出去。</p><p> 2.3.2共享式局域網(wǎng)的嗅探原理</p><p> 計算機的以太網(wǎng)卡有兩種工作方式:混雜模式和非混雜模式。</p><p> 一般來說,我們正常使用的計算機的網(wǎng)卡都是處于非混雜模式的,非混雜模式又可以分為了廣播模式、組播模式和直接模式。廣播方式:該模式下的工作的計算機可以接收網(wǎng)絡中的廣播信息。組播方式:設置在該模式下
45、的計算機可以接收組播數(shù)據(jù)。直接方式:在這種模式下,只有計算機的MAC地址匹配才能接收該數(shù)據(jù)。而混雜模式則是不管數(shù)據(jù)幀中的目的地址是否與自己的MAC地址匹配,都會先接收下來,然后進行分析。</p><p> 正常情況下,局域網(wǎng)內(nèi)計算機網(wǎng)卡應該只接收數(shù)據(jù)包目的MAC地址與自己相匹配的數(shù)據(jù)幀(單播包)、廣播包Broadcast和屬于自己的組播包Multicast。而處于混雜模式的以太網(wǎng)卡,會接收不屬于自己的任何數(shù)據(jù)幀
46、。如圖2-1。</p><p> 圖2-1 共享式局域網(wǎng)嗅探拓撲圖</p><p> 用圖2-1舉例來說明,在共享式局域網(wǎng)中,當C1要發(fā)一個數(shù)據(jù)包到C4時,當轉(zhuǎn)發(fā)到HUB1時,HUB會同時轉(zhuǎn)發(fā)給除C1外的所有主機,即C2、C3、C4、C5, 在C2、C3、C5接收后經(jīng)過匹配數(shù)據(jù)包中的MAC地址,發(fā)現(xiàn)和自己的MAC地址不相符時,就會丟棄收到的數(shù)據(jù)包,而C4匹配合適后,發(fā)現(xiàn)與自己的MAC地
47、址相同,就會接收數(shù)據(jù)包。</p><p> 通過上面的例子可以看到,在共享式局域網(wǎng)中,集線器HUB會無條件的轉(zhuǎn)發(fā)給每一個連接的主機,然后通過匹配MAC地址是否相同來確定數(shù)據(jù)包是否是發(fā)送給自己的,是否接收。如果這個時候有一臺主機的以太網(wǎng)卡的工作模式發(fā)生改變,從非混雜模式改為混雜模式,那么所有HUB轉(zhuǎn)發(fā)過來的數(shù)據(jù)包,此主機都會無條件的接收,無論MAC地址是否匹配。這樣就可以嗅探到局域網(wǎng)中的所有信息,達到了監(jiān)聽網(wǎng)絡的
48、目的,可以獲得自己想要的數(shù)據(jù)信息。這種被動的接收信息的方式可以稱為是被動攻擊。</p><p> 被動攻擊是指在本地主機不發(fā)送數(shù)據(jù)包的情況下,使用嗅探器捕捉網(wǎng)絡上所流經(jīng)本機的數(shù)據(jù)包的一種攻擊方式。表面上看,嗅探攻擊的危害不大,但被動攻擊具有很強的隱蔽性,可以長期在局域網(wǎng)環(huán)境中偵聽而不被發(fā)現(xiàn),所以具有很大的危害性。</p><p> 網(wǎng)絡嗅探技術是屬于被動攻擊的一種技術,但是由于網(wǎng)絡中數(shù)
49、據(jù)流量非常大,想要把所有的數(shù)據(jù)捕捉并且分析,是不可能完成的工作。當前的嗅探技術大多采用捕捉數(shù)據(jù)包的前200-300個字節(jié),然后存儲下來進行解析的方法。但即使是這樣也足夠了,因為這其中很可能包含各類應用的用戶賬號和口令[5]。而賬號和口令對我們來說在各類網(wǎng)絡應用上的重要性是不言而喻的。</p><p> 2.3.3交換式局域網(wǎng)的嗅探原理</p><p> 交換式局域網(wǎng)絡環(huán)境使用的是交換機
50、Switch作為網(wǎng)絡連接設備來連接各個網(wǎng)絡節(jié)點。交換機通過查找自己自主學習的ARP緩存表來決定把數(shù)據(jù)報發(fā)送到目的主機所對應的端口,而不是把一個數(shù)據(jù)報發(fā)送給所有端口,讓所有的主機都去驗證這個數(shù)據(jù)包是否是發(fā)給自己的,這樣做不僅提高了網(wǎng)絡的性能,讓網(wǎng)絡的帶寬無形中擴大,也間接的提高了網(wǎng)絡的安全性。</p><p> 在交換環(huán)境下,即使網(wǎng)卡的工作模式設置為混雜模式,也只能監(jiān)聽本機的數(shù)據(jù)包,因為交換機根本不會把其他節(jié)點的
51、數(shù)據(jù)轉(zhuǎn)發(fā)給嗅探主機,也就是說數(shù)據(jù)包根本不會發(fā)送給不是目的主機的端口進行驗證MAC地址是否匹配。</p><p> 在交換式局域網(wǎng)中,經(jīng)常發(fā)生各種事故,很多事故的發(fā)生大多是ARP攻擊造成的。比如網(wǎng)絡速度受到P2P終結(jié)者等的網(wǎng)管軟件限制、網(wǎng)絡掉線、本機提示IP沖突、擔心QQ通訊數(shù)據(jù)受到監(jiān)控、各種ARP攻擊軟件之苦等這些問題是我們上網(wǎng)時經(jīng)常遇到的。由于各種ARP攻擊軟件的盛行,使我們遭受很多損失,甚至造成嚴重后果。正
52、常網(wǎng)絡通信的數(shù)據(jù)流向是從本機發(fā)送數(shù)據(jù)到遠程網(wǎng)關然后通過解包匹配目的端口的MAC地址從而確定從網(wǎng)關哪個端口轉(zhuǎn)發(fā)到出去。ARP攻擊后,數(shù)據(jù)包的轉(zhuǎn)發(fā)途徑是從本機到遠程網(wǎng)關,遠程網(wǎng)關的MAC地址被欺騙,發(fā)送給偽裝的嗅探主機,嗅探主機分析后再轉(zhuǎn)發(fā)給目的主機,甚至不再轉(zhuǎn)發(fā)。</p><p> 所以ARP攻擊成為交換式局域網(wǎng)中最主要的嗅探攻擊方式,其次還有ARP欺騙,端口鏡像等的攻擊方式,這些攻擊通常使用一些局域網(wǎng)攻擊軟件來
53、實現(xiàn),常見的網(wǎng)絡嗅探工具有Sniff、Wireshark、TCPDump、Libcap(Winpcap)等。這些嗅探工具通過偽造ARP數(shù)據(jù)包來欺騙交換機,向交換機持續(xù)不斷的發(fā)送ARP數(shù)據(jù)包,使交換機更新ARP緩存表來達到欺騙的目的。這樣發(fā)送到目的主機的數(shù)據(jù)包就被轉(zhuǎn)發(fā)到嗅探主機的端口,而目的主機不會接收到任何的數(shù)據(jù)包。</p><p> 通過圖2-2可以更加直觀的了解ARP欺騙的攻擊原理。攻擊者C1通過不斷的發(fā)送
54、偽造的ARP響應,告訴主機C2:主機C3的IP地址是192.168.0.3對應的MAC地址是aa: aa: aa: aa: aa: aa,主機C2不會去探究這個信息是否正確,會把這個對應關系寫入自己的ARP緩存表中,之后在發(fā)送數(shù)據(jù)時,將本應該發(fā)往主機B的數(shù)據(jù)發(fā)送給了攻擊者C1。同樣的,攻擊者C1向主機C3也發(fā)送一個偽造的ARP響應,告訴主機C3:主機C2的IP地址192.168.0.2對應的MAC地址是aa: aa: aa: aa: a
55、a: aa,主機C3也會更新自己的MAC地址表,同時也會將數(shù)據(jù)發(fā)送給攻擊者。在這個例子中,IP地址是不會起作用的,因為IP地址只能確定網(wǎng)絡層的傳輸,對于鏈路層和物理層是沒有用處的。</p><p> 這時攻擊者C1就控制了主機C2和主機C3之間的流量,可以選擇被動的監(jiān)聽,以期獲得密碼和其他一些秘密信息,當然攻擊者也可以偽造雙方之間的通信數(shù)據(jù),當然這已經(jīng)不是僅僅嗅探那么簡單了,但無疑會造成更加嚴重的后果。<
56、/p><p> 圖2-2 ARP欺騙原理圖</p><p> 3 嗅探協(xié)議和數(shù)據(jù)包的分析</p><p><b> 3.1 概述</b></p><p> 通過對嗅探的全面剖析可知,嗅探技術的主要應用在TCP/IP協(xié)議簇的數(shù)據(jù)鏈路層和網(wǎng)絡層。主要應用的協(xié)議有地址解析協(xié)議ARP和逆向地址解析協(xié)議RARP。在數(shù)據(jù)傳輸?shù)?/p>
57、過程中,先是二進制比特流在物理層進行傳輸,通過在數(shù)據(jù)鏈路層解封裝去掉幀頭和幀尾變成數(shù)據(jù)幀,經(jīng)過地址解析協(xié)議ARP的IP地址和MAC地址的轉(zhuǎn)換解析,物理地址MAC變?yōu)镮P地址,在網(wǎng)絡層開始往上層傳輸。這就需要我們了解在物理設備鏈路中的傳輸過程。</p><p> 3.2 嗅探交換機工作原理</p><p> 一個具有三層交換功能的設備,是一個帶有第三層路由功能的第二層交換機,但它是二者的
58、有機結(jié)合,并不是簡單地把路由器設備的硬件及軟件疊加在局域網(wǎng)交換機上。</p><p> 其原理是:假設兩個使用IP協(xié)議的結(jié)點A、B通過第三層交換機進行通信,發(fā)送結(jié)點A在開始發(fā)送時,把自己的IP地址與結(jié)點B的IP地址比較,判斷結(jié)點B是否與自己在同一子網(wǎng)內(nèi)。若目的結(jié)點B與發(fā)送結(jié)點A在同一子網(wǎng)內(nèi),則進行二層的轉(zhuǎn)發(fā)。若兩個結(jié)點不在同一子網(wǎng)內(nèi),如發(fā)送結(jié)點A要與目的結(jié)點B通信,發(fā)送結(jié)點A要向“缺省網(wǎng)關”發(fā)出ARP封包,而缺
59、省網(wǎng)關的IP地址其實是三層交換機的三層交換模塊。當發(fā)送結(jié)點A對“缺省網(wǎng)關”的IP地址廣播出一個ARP請求時,如果三層交換模塊在以前的通信過程中已經(jīng)知道結(jié)點B的MAC地址,則向發(fā)送結(jié)點A回復結(jié)點B的MAC地址。否則三層交換模塊根據(jù)路由信息向結(jié)點B廣播一個ARP請求,結(jié)點B得到此ARP請求后向三層交換模塊回復其MAC地址,三層交換模塊保存此地址并回復給發(fā)送結(jié)點A,同時將結(jié)點B的MAC地址發(fā)送到二層交換引擎的MAC地址表中。從這以后,當結(jié)點A
60、向結(jié)點B發(fā)送的數(shù)據(jù)報便全部交給二層交換處理,信息得以高速交換。由于僅僅在路由過程中才需要三層處理,絕大部分數(shù)據(jù)都通過二層交換轉(zhuǎn)發(fā),因此三層交換機的速度很快,接近二層交換機的速度,同時比相同路由器的價格低很多。</p><p> 以太網(wǎng)交換機(以下簡稱交換機)是工作在OSI參考模型數(shù)據(jù)鏈路層的設備,外表和集線器相似。它通過判斷數(shù)據(jù)幀的目的MAC地址,從而將幀從合適的端口發(fā)送出去。交換機的沖突域僅局限于交換機的一個
61、端口上。比如,一個站點向網(wǎng)絡發(fā)送數(shù)據(jù),集線器將會向所有端口轉(zhuǎn)發(fā),而交換機將通過對幀的識別,只將幀單點轉(zhuǎn)發(fā)到目的地址對應的端口,而不是向所有端口轉(zhuǎn)發(fā),從而有效地提高了網(wǎng)絡的可利用帶寬[6]。以太網(wǎng)交換機實現(xiàn)數(shù)據(jù)幀的單點轉(zhuǎn)發(fā)是通過MAC地址的學習和維護更新機制來實現(xiàn)的。以太網(wǎng)交換機的主要功能包括MAC地址學習、幀的轉(zhuǎn)發(fā)及過濾和避免回路。</p><p> 以太網(wǎng)交換機可以有多個端口,每個端口可以單獨與一個結(jié)點連接,
62、也可以與一個共享介質(zhì)式的以太網(wǎng)集線器(HUB)連接。如果一個端口只連接一個結(jié)點,那么這個結(jié)點就可以獨占整個帶寬,這類端口通常被稱作專用端口;如果一個端口連接一個與端口帶寬相同的以太網(wǎng),那么這個端口將被以太網(wǎng)中的所有結(jié)點所共享,這類端口被稱為共享端口。例如一個帶寬為100Mbps的交換機有10個端口,每個端口的帶寬為100Mbps。而HUB的所有端口共享帶寬,同樣一個帶寬100Mbps的HUB,如果有10個端口,則每個端口的平均帶寬為10
63、Mbps,如圖3-1所示。</p><p> 圖3-1交換機數(shù)據(jù)轉(zhuǎn)發(fā)原理圖</p><p> 交換機的MAC地址表中,一條表項主要由一個主機MAC地址和該地址所位于的交換機端口號組成。整張地址表的生成采用動態(tài)自學習的方法,即當交換機收到一個數(shù)據(jù)幀以后,將數(shù)據(jù)幀的源地址和輸入端口記錄在MAC地址表中。思科的交換機中,MAC地址表放置在內(nèi)容可尋址存儲器(Content-Address ab
64、le Memory,CAM)中,因此也被稱為CAM表。</p><p> 當然,在存放MAC地址表項之前,交換機首先應該查找MAC地址表中是否已經(jīng)存在該源地址的匹配表項,僅當匹配表項不存在時才能存儲該表項。每一條地址表項都有一個時間標記,用來指示該表項存儲的時間周期。地址表項每次被使用或者被查找時,表項的時間標記就會被更新。如果在一定的時間范圍內(nèi)地址表項仍然沒有被引用,它就會從地址表中被移走。因此,MAC地址表
65、中所維護的一直是最有效和最精確的MAC地址/端口信息。</p><p> 交換機的MAC地址表也可以手工靜態(tài)配置,靜態(tài)配置的記錄不會被老化。由于MAC地址表中對于同一個MAC地址只能有一個記錄,所以如果靜態(tài)配置某個目的地址和端口號的映射關系以后,交換機就不能再動態(tài)學習這個主機的MAC地址。</p><p> 以圖3-2所示為例,來說明交換機的地址學習過程</p><
66、p> 圖3-2 交換機地址學習圖</p><p> (1)最初交換機MAC地址表為空。(2)如果有數(shù)據(jù)需要轉(zhuǎn)發(fā),如主機PC1發(fā)送數(shù)據(jù)幀給主機PC3,此時,在MAC地址表中沒有記錄,交換機將向除向E0/1以外的其它所有端口轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前,它首先檢查這個幀的源MAC地址M1,并記錄與之對應的端口E0/1,于是交換機生成(M1,E0/1)這樣一條記錄,并加入到MAC地址表內(nèi)。交換機是通過識別數(shù)據(jù)幀的源
67、MAC地址學習到AMC地址和端口的對應關系的。當?shù)玫組AC地址與端口的對應關系后,交換機將檢查MAC地址表中是否已經(jīng)存在該對應關系。如果不存在,交換機就將該對應關系添加到MAC地址表;如果已經(jīng)存在,交換機將更新該表項。(3)循環(huán)上一步,MAC地址表不斷加入新的MAC地址與端口對應信息。直到MAC地址表記錄完成為止。此時,如主機PC1再次發(fā)送數(shù)據(jù)幀給主機PC3時,由于MAC地址表中已經(jīng)記錄了該幀的目的地址的對應交換機端口號,則直接將數(shù)據(jù)轉(zhuǎn)
68、發(fā)到E0/3端口,不再向其他端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。</p><p> 3.3 嗅探交換機的數(shù)據(jù)轉(zhuǎn)發(fā)方式和幀過濾</p><p> 以太網(wǎng)交換機的數(shù)據(jù)交換與轉(zhuǎn)發(fā)方式可以分為直接交換、存儲轉(zhuǎn)發(fā)交換和改進的直接交換3類。</p><p><b> ?。?)直接交換</b></p><p> 在直接交換方式下,交換機邊接收邊檢測
69、。一旦檢測到目的地址字段,便將數(shù)據(jù)幀傳送到相應的端口上,而不管這一數(shù)據(jù)是否出錯,出錯檢測任務由結(jié)點主機完成。這種交換方式交換延遲時間短,但缺乏差錯檢測能力,不支持不同輸入/輸出速率的端口之間的數(shù)據(jù)轉(zhuǎn)發(fā)。</p><p><b> ?。?)存儲轉(zhuǎn)發(fā)交換</b></p><p> 在存儲轉(zhuǎn)發(fā)方式中,交換機首先要完整地接收站點發(fā)送的數(shù)據(jù),并對數(shù)據(jù)進行差錯檢測。如接收數(shù)據(jù)是
70、正確的,再根據(jù)目的地址確定輸出端口號,將數(shù)據(jù)轉(zhuǎn)發(fā)出去。這種交換方式具有差錯檢測能力并能支持不同輸入/輸出速率端口之間的數(shù)據(jù)轉(zhuǎn)發(fā),但交換延遲時間較長[7]。</p><p> ?。?)改進的直接交換</p><p> 改進的直接交換方式是將直接交換與存儲轉(zhuǎn)發(fā)交換結(jié)合起來,在接收到數(shù)據(jù)的前64字節(jié)之后,判斷數(shù)據(jù)的頭部字段是否正確,如果正確則轉(zhuǎn)發(fā)出去。這種方式對于短數(shù)據(jù)來說,交換延遲與直接交換
71、方式比較接近;而對于長數(shù)據(jù)來說,由于它只對數(shù)據(jù)前部的主要字段進行差錯檢測,交換延遲將會減少。</p><p> 交換機建立起MAC地址表后,它就可以對通過的信息進行過濾了。以太網(wǎng)交換機在地址學習的同時還檢查每個幀,并基于幀中的目的地址做出是否轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)到何處的決定。如圖3-3所示為兩個以太網(wǎng)和三臺計算機通過以太網(wǎng)交換機相互連接的示意圖。通過一段時間的地址學習,交換機形成了圖3-3所示的MAC地址表。</p
72、><p> 圖3-3 交換機的幀過濾</p><p> 假設主機A需要向主機G發(fā)送數(shù)據(jù),因為主機A通過集線器連接到交換機的端口1,所以,交換機從端口1讀入數(shù)據(jù),并通過MAC地址表決定將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到哪個端口。在圖3-3中,主機G通過集線器連接到交換機的端口5,于是,交換機將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到端口5,不再向端口1、端口2、端口3和端口4轉(zhuǎn)發(fā)。</p><p> 假設主機
73、A需要向主機B發(fā)送數(shù)據(jù)幀,交換機同樣在端口1接收該數(shù)據(jù)。通過搜索地址映射表,交換機發(fā)現(xiàn)主機B與端口1相連,與發(fā)送的源主機處于同一端口。這時交換機不再轉(zhuǎn)發(fā),簡單地將數(shù)據(jù)丟棄,數(shù)據(jù)幀被限制在本地流動。這是交換機和集線器截然不同的地方。</p><p> 3.4 嗅探數(shù)據(jù)包的轉(zhuǎn)發(fā)過程</p><p> 關于嗅探與ARP欺騙的原理,需要深刻的了解數(shù)據(jù)在網(wǎng)絡中的轉(zhuǎn)發(fā)過程。在不同網(wǎng)絡環(huán)境中,數(shù)據(jù)的
74、傳輸過程有著不同的傳輸過程。這里簡單的分析在交換式和共享式局域網(wǎng)環(huán)境中的傳輸過程,對數(shù)據(jù)在傳輸過程中發(fā)生的變化,嗅探在其中扮演的角色,對于數(shù)據(jù)包的傳輸影響。因為嗅探包含主動嗅探和被動嗅探,而ARP欺騙又是一個單獨的技術,欺騙的目的只是讓數(shù)據(jù)經(jīng)過本機,即:主動嗅探=ARP欺騙+抓包。</p><p> 其實真正在傳輸過程中是靠計算機的網(wǎng)卡地址即MAC來傳輸.有兩臺計算機A (IP : 192.168.0.1 M
75、AC : AA-AA-AA-AA-AA-AA)、B (IP : 192.168.0.100 MAC : BB-BB-BB-BB-BB-BB)。</p><p> 現(xiàn)在用A去ping B:看見Reply from 192.168.0.100: bytes=32 time<10ms TTL=32 這樣的信息。然后在命令行中輸入 ARP -a,會看見192.168.0.100 BB-BB-BB-BB-BB-BB
76、 dynamic這樣的信息。</p><p> 這就是ARP高速緩存中IP地址和MAC地址的一個映射關系,在以太網(wǎng)中,數(shù)據(jù)傳遞靠的是MAC,而并不是IP地址。其實在這背后就隱藏著ARP的秘密。但是網(wǎng)絡上這么多計算機,A是怎么找到B的?那么下面就讓我們就來分析一下細節(jié)。</p><p> 首先A并不知道B在哪里,那么A首先就會發(fā)一個廣播的ARP請求,即目的MAC為FF-FF-FF- FF
77、-FF-FF,目的IP為B的192.168.0.100,再帶上自己的源IP和源MAC。那么這個網(wǎng)段上的所有計算機都會接收到來自A的ARP請求,由于每臺計算機都有自己唯一的MAC和IP,那么它會分析目的IP即192.168.0.100是不是自己的IP?如果不是,網(wǎng)卡會自動丟棄數(shù)據(jù)包。如果B接收到了,經(jīng)過分析,目的IP是自己的,于是更新自己的ARP高速緩存,記錄下A的IP和MAC。然后B就會回應A一個ARP應答,就是把A的源IP,源MAC變
78、成現(xiàn)在目的IP,和目的MAC,再帶上自己的源IP和源MAC,發(fā)送給A。當A機接收到ARP應答后,更新自己的ARP高速緩存,即把ARP應答中的B機的源IP,源MAC的映射關系記錄在高速緩存中。那么現(xiàn)在A機中有B的MAC和IP,B機中也有A的MAC和IP。請求和應答過程就結(jié)束了。</p><p> 由于ARP高速緩存是會定時自動更新的,在沒有靜態(tài)綁定的情況下,IP和MAC的映射關系會隨時間流逝自動消失。在以后的通信
79、中,A在和B通信時,會首先察看ARP高速緩存中有沒有B的IP和MAC的映射關系,如果有,就直接取得MAC地址,如果沒有就再發(fā)一次ARP請求的廣播,B再應答即重復上面動作。</p><p> 3.4.1交換式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)</p><p> 局域網(wǎng)數(shù)據(jù)包的傳輸過程十分復雜。在不同的TCP/IP協(xié)議的不同層次,數(shù)據(jù)的格式不同,作用不同。在公網(wǎng)網(wǎng)絡中,不考慮內(nèi)網(wǎng)和私有網(wǎng)絡,數(shù)據(jù)在交換網(wǎng)絡
80、中的轉(zhuǎn)發(fā)過程如下圖3-4表示。</p><p> ?。?)PC1發(fā)現(xiàn)目標IP 110.1.1.2的網(wǎng)絡號為110.1.1.0與本機不在同一網(wǎng)段內(nèi),掩碼為24位,所以本機網(wǎng)絡號為1.1.1.0,因此PC1會將數(shù)據(jù)包丟給網(wǎng)關,為了數(shù)據(jù)報文能夠到達網(wǎng)關,PC1封裝的報文里頭會以網(wǎng)關的MAC作為目的MAC網(wǎng)絡數(shù)據(jù)傳輸,源目的IP不變,源目的MAC通過三層網(wǎng)絡時會不斷改變。</p><p> ?。?
81、)數(shù)據(jù)報文到達二層交換機(這里只涉及二層交換,如果是三層交換機并設置了端口IP,則會有所不同)后,由于二層交換機拆解數(shù)據(jù)報文時只拆解到二層,即只拆解到源目的MAC,根本看不懂IP,所以會查找MAC-接口映射表,發(fā)現(xiàn)網(wǎng)關MAC對應的是E5口,則將數(shù)據(jù)包從E5口丟出去。</p><p> ?。?)路由器R1收到數(shù)據(jù)報文后查看源目的IP。路由器屬于三層設備,拆解數(shù)據(jù)包到IP層,查看數(shù)據(jù)包的目的IP為110.1.1.1,
82、進而查找路由表,發(fā)現(xiàn)數(shù)據(jù)要到達目的網(wǎng)絡,數(shù)據(jù)包必須往下一跳218.1.1.2發(fā)送,因此路由器對數(shù)據(jù)包進行重封裝,查看ARP表,源目的IP保持不變,將源MAC修改成R1出接口(連接到R2的那個端口)的MAC地址,目的MAC改成R2的進接口(R2接R1的接口MAC地址),接下來和二層傳輸一樣,將數(shù)據(jù)包丟給R2。</p><p> ?。?)R2收到數(shù)據(jù)包后與R1做的操作一樣,直到數(shù)據(jù)報文到達目標。根據(jù)之前的步驟可以推出
83、數(shù)據(jù)報文到達目標后,源IP、目的IP不變,源MAC為R2接PC2的接口MAC、目的MAC為PC2的MAC。PC2發(fā)現(xiàn)數(shù)據(jù)報文的目的IP和目的MAC與本機相符(非攻擊者),從而拆解數(shù)據(jù)包,獲得數(shù)據(jù)報文內(nèi)容?;貜蛨笪牡臅r候和之前的傳輸一樣。</p><p> 圖3-4交換式局域網(wǎng)中數(shù)據(jù)轉(zhuǎn)發(fā)圖</p><p> 3.4.2共享式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)</p><p>
84、數(shù)據(jù)報文在共享網(wǎng)絡中的傳輸和交換網(wǎng)絡唯一的不同在于第二個步驟,交換網(wǎng)絡中交換機會根據(jù)MAC-端口對應表進行傳輸,也就是說除了網(wǎng)關,其他同交換機下的PC機無法收到數(shù)據(jù)報文。而在共享網(wǎng)絡中,由于HUB屬于一層設備,對于到達本身的數(shù)據(jù)報文,HUB會對報文進行廣播,除了收到報文的那個接口,因此接在同HUB的所有PC都能收到該報文。注意:通常情況下,網(wǎng)卡都是工作在非混雜模式,也就是說即使收到數(shù)據(jù)報文,網(wǎng)卡會判斷目的MAC是否和自己的一樣,不一樣的
85、話代表數(shù)據(jù)包不是給自己的,因此會丟棄,只接收那些目的MAC和自己一樣的數(shù)據(jù)報文。在嗅探時必須開啟混雜模式,在該模式下,網(wǎng)卡不對數(shù)據(jù)報文進行判斷,全部接收。</p><p> 4嗅探工具Wireshark</p><p> 網(wǎng)絡嗅探器無論是在網(wǎng)絡安全還是在黑客攻擊方面均扮演了很重要的角色。通過使用網(wǎng)絡嗅探器可以把網(wǎng)卡設置于混雜模式,并可實現(xiàn)對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。此分析結(jié)果可供
86、網(wǎng)絡安全分析之用,但如為黑客所利用也可以為其發(fā)動進一步的攻擊提供有價值的信息??梢?,嗅探器實際是一把雙刃劍。雖然網(wǎng)絡嗅探器技術被黑客利用后會對網(wǎng)絡安全構成一定的威脅,但嗅探器本身的危害并不是很大,主要是用來為其他黑客軟件提供網(wǎng)絡情報,真正的攻擊主要是由其他黑客軟件來完成的。而在網(wǎng)絡安全方面,網(wǎng)絡嗅探手段可以有效地探測在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包信息,通過對這些信息的分析利用是有助于網(wǎng)絡安全維護的。權衡利弊,有必要對網(wǎng)絡嗅探器的實現(xiàn)原理進行深入的
87、了解。</p><p> 網(wǎng)絡嗅探器主要以兩種形式來存在,一種是以單獨的軟件形式存在,另一種是以瀏覽器插件的形式存在[8]。</p><p><b> 4.1 簡介</b></p><p> Wireshark(前稱Ethereal)是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析軟件的功能是擷取網(wǎng)絡封包,并盡可能顯示出最為詳細的網(wǎng)絡封包資料。Wir
88、eshark使用WinPCAP作為接口,直接與網(wǎng)卡進行數(shù)據(jù)報文交換。</p><p> Wireshark最初由Gerald Combs開發(fā)。目前由Wireshark team進行進一步開發(fā)和維護。Wireshark team是一個由修補bug提高Wireshark功能的獨立成員組成的松散組織。Wireshark是開源軟件項目,用GPL協(xié)議發(fā)行。您可以免費在 任意數(shù)量的機
89、器上使用它,不用擔心授權和付費問題,所有的源代碼在GPL框架下都可以免費使用。因為以上原因,人們可以很容易在Wireshark上添加新的協(xié)議,或者將其作為插件整合到您的程序里,這種應用十分廣泛。</p><p><b> 4.2主要應用</b></p><p> 網(wǎng)絡封包分析軟件的功能可想像成電工技師使用電表來量測電流、電壓、電阻的工作只是將場景移植到網(wǎng)絡上,并將
90、電線替換成網(wǎng)絡線。在過去,網(wǎng)絡封包分析軟件是非常昂貴,或是專門屬于營利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下,使用者可以以免費的代價取得軟件與其源代碼,并擁有針對其源代碼修改及客制化的權利。Ethereal是目前全世界最廣泛的網(wǎng)絡封包分析軟件之一。</p><p> 網(wǎng)絡管理員使用Wireshark來檢測網(wǎng)絡問題,網(wǎng)絡安全工程師使用Wireshark來檢查資訊安全相
91、關問題,開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯,普通使用者使用Wireshark來學習網(wǎng)絡協(xié)定的相關知識。當然,有的人也會“居心叵測”的用它來尋找一些敏感信息。</p><p> Wireshark不是入侵偵測系統(tǒng)(Intrusion Detection System, IDS),對于網(wǎng)絡上的異常流量行為,Wireshark不會產(chǎn)生警示或是任何提示。然而,仔細分析Wireshark擷取的封包能夠幫助使
92、用者對于網(wǎng)絡行為有更清楚的了解。Wireshark不會對網(wǎng)絡封包產(chǎn)生內(nèi)容的修改,它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網(wǎng)絡上。</p><p> 圖4-1 Wireshark抓包圖</p><p> 4.3使用過濾器捕捉數(shù)據(jù)包</p><p> Wireshark的使用和普通抓包軟件大同小異,區(qū)別就在于Wireshark的過濾
93、器的不同。安裝、運行Wireshark并開始分析網(wǎng)絡是非常簡單的。使用Wireshark時最常見的問題,是當您使用默認設置時,會得到大量冗余信息,以至于很難找到自己需要的部分。這就是為什么過濾器會如此的重要,它可以幫助我們在眾多的雜亂信息中迅速的找到我們所需要的重要信息。</p><p> 在Wireshark中有兩種過濾器:捕捉過濾器和顯示過濾器。捕捉過濾器是用于我們需要什么樣的信息,從所有的數(shù)據(jù)包中找到我們
94、所需要的一些數(shù)據(jù)包,中是開始捕捉前就已經(jīng)設定好的屬性[9]。而顯示過濾器是在捕捉過濾器捕捉到的信息匯總中再次進行挑選,更加確切的找出我們所需要的數(shù)據(jù)包。這些數(shù)據(jù)包時可以隨意修改的條件值,用于分門別類的挑選,從而得到更加詳細的數(shù)據(jù)包。</p><p> 那么我應該使用哪一種過濾器呢?兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器,它用于控制捕捉數(shù)據(jù)的數(shù)量,以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更
95、為強大(復雜)的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。</p><p> 捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發(fā)的軟件一樣,比如著名TCPdump。捕捉過濾器必須在開始捕捉前設置完畢,這一點跟顯示過濾器是不同的。</p><p> 設置捕捉過濾器的步驟是:</p><p> - 選擇 c
96、apture –>options。</p><p> - 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存,以便在今后的捕捉中繼續(xù)使用這個過濾器。</p><p> - 點擊開始(Start)進行捕捉。</p><p> 圖4-2 Wireshark的過
97、濾器</p><p> 圖4-3 Wireshark的捕捉過濾器</p><p> 下面來講述捕捉過濾器的輸入語法結(jié)構。通過表4-1來具體講解捕捉過濾器的語法結(jié)構。由圖可知其結(jié)構包含六部分,分別是協(xié)議Protocol、方向Direction、主機Host、邏輯運算Logical Operations 和其他表達式Other expression。六部分每一部分都很重要,都可以單獨組成一
98、個篩選過濾語句,所以說每一部分都很重要,但都不是不可或缺的。</p><p> 表4-1捕捉過濾器的語法表</p><p> Protocol(協(xié)議):</p><p> 可能的值: ether, fddi, ip, ARP, rARP, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議,則默
99、認使用所有支持的協(xié)議。</p><p> Direction(方向):可能的值: src, dst, src and dst, src or dst</p><p> 如果沒有特別指明來源或目的地,則默認使用 "src or dst" 作為關鍵字。</p><p> 例如,"host 10.2.2.2"與"s
100、rc or dst host 10.2.2.2"是一樣的。</p><p><b> Host(主機):</b></p><p> 可能的值: net, port, host, portrange.</p><p> 如果沒有指定此值,則默認使用"host"關鍵字。</p><p>
101、 例如,"src 10.1.1.1"與"src host 10.1.1.1"相同。</p><p> Logical Operations(邏輯運算):</p><p> 可能的值:not, and, or.</p><p> 否("not")具有最高的優(yōu)先級?;?"or")和與(
102、"and")具有相同的優(yōu)先級,運算時從左至右進行。</p><p><b> 例如:</b></p><p> "not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。</p><p>
103、 "not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。</p><p><b> 例子:</b></p><p> Tcp dst port 3218</p><p> 顯示目的TCP端口為3128
104、的封包。</p><p> Ip src host 10.1.1.1</p><p> 顯示來源IP地址為10.1.1.1的封包。</p><p> Host 10.1.2.3</p><p> 顯示目的或來源IP地址為10.1.2.3的封包。</p><p> Src portrnag 2000-2500&
105、lt;/p><p> 顯示來源為UDP或TCP,并且端口號在2000至2500范圍內(nèi)的封包。</p><p> (src host 10.4.1.12 or src net 10.6.0.0/16)and tcp dst portrange 200-10000 and dst net 10.0.0.0/8</p><p> 顯示來源IP為10.4.1.12或者來源
106、網(wǎng)絡為10.6.0.0/16,目的地TCP端口號在200至10000之間,并且目的位于網(wǎng)絡10.0.0.0/8內(nèi)的所有封包。</p><p><b> 注意事項:</b></p><p> 當使用關鍵字作為值時,需要使用反斜杠“\”。</p><p> "other proto\ip"與關鍵字ip相同,這樣寫將會以IP
107、協(xié)議作為目標。</p><p> "ip proto \icmp"與關鍵字icmp相同,這樣寫將會以ping工具常用的icmp作為目標。</p><p> 可以在ip 或other后面使用multicast及broadcast作為關鍵字,當你想排除廣播請求是,"no broadcast"就會非常有用。</p><p>
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡嗅探器畢業(yè)論文
- 畢業(yè)論文——招聘風險及其防范措施
- 保險企業(yè)風險防范措施研究【畢業(yè)論文】
- 計算機網(wǎng)絡安全分析與防范措施 畢業(yè)論文
- 畢業(yè)論文 企業(yè)招聘過程中的風險與防范措施
- 信用證結(jié)算方式的風險防范措施畢業(yè)論文
- 畢業(yè)論文---企業(yè)財務風險的成因及防范措施
- 會計畢業(yè)論文--公司內(nèi)控風險防范措施調(diào)研報告
- 計算機網(wǎng)絡安全分析及防范措施--畢業(yè)論文
- 畢業(yè)論文淺析海運提單的種類風險及防范措施
- 會計畢業(yè)論文--論金融會計風險及防范措施
- 畢業(yè)論文淺談計算機網(wǎng)絡安全漏洞及防范措施
- 網(wǎng)絡攻擊與防范畢業(yè)論文
- 畢業(yè)論文范文——探討u盤病毒的特點及防范措施
- 網(wǎng)絡攻擊與防范畢業(yè)論文
- 國際結(jié)算中信用證欺詐行為及防范措施-畢業(yè)論文
- 注冊會計師審計風險及防范措施-畢業(yè)論文初稿
- 鉆孔灌注樁質(zhì)量問題的處置與防范措施-本科畢業(yè)論文
- 供電企業(yè)網(wǎng)絡信息安全防范措施應用與探討
- 畢業(yè)論文范文——刑事冤假錯案成因和防范措施的思考
評論
0/150
提交評論