计算机网络安全sniffer软件.pptVIP

第 2 章 安全防护与入侵检测 蜜罐系统 2.3 入侵检测系统 2.2 Sniffer Pro网络管理与监视 2.1 2.1 Sniffer Pro网络管理与监视 2.1.1 Sniffer Pro的功能 ? 实时监测网络活动。 ? 数据包捕捉与发送。 ? 网络测试与性能分析。 ? 利用专家分析系统进行故障诊断。 ? 网络硬件设备测试与管理。 2.1.2 Sniffer Pro的登录与界面 1．Sniffer Pro的登录 图2.2 Sniffer Pro的工作界面 2．Sniffer Pro的界面 菜单栏 捕获栏 工具栏 状态栏 （1）仪表盘 ? 显示网络带宽利用率和错误统计。 ? 通过表格显示网络利用率、数据规模分布和错误的详细统计。 ? 可以设定阀值进行报警、保存历史信息产生日志。 （2）主机列表 （3）矩阵 （4）应用程序响应时间 （2）历史抽样 （6）协议分布 （7）全局统计 （8）警告日志 （9）捕获面板 （10）地址本 2.1.3 Sniffer Pro报文的捕获与解析 步骤1：单击定义过滤器按钮，会看到如图2.12所示的对话框。 表2.1 捕获栏功能介绍 图2.12 Sniffer Pro过滤器摘要 步骤2：单击“配置文件”（Profiles）按钮，新建（New）一个配置文件，取名为ARP,如图2.16所示。 图2.16 Sniffer Pro过滤器配置 步骤3：单击“完成”（Done）按钮回到图2.12，在右侧选择ARP，然后单击“高级”（Advance）标签，进入高级选项卡，因为只需要监听ARP的帧，所以只选中ARP复选框，如图2.17所示。 图2.17 Sniffer Pro过滤器配置高级选项视图 步骤4：单击“确定”按钮，完成定义过滤器。选择ARP过滤器，进行监听，单击开始按钮，开始捕获过程，如图2.18所示。 图2.18 Sniffer Pro捕获过程 步骤2：当捕获到ARP帧时，单击停止并显示按钮，单击视图下方的“解码”（Decode）选项，如图2.9所示。 图2.19 Sniffer Pro捕获停止解码视图 步骤6：可以看到监听到了ARP帧，用ipconfig /all查看自己的MAC地址，找一个源地址为自己本机MAC地址的ARP帧。 2.1.4 Sniffer Pro的高级应用 表2.2 Sniffer Pro高级系统层次与OSI对应关系 网络监听： 当信息在网络中传播时，可利用工具将网络接口设置在监听的模式，从而截获或捕获正在传播的信息，进行攻击。网络监听在网络中的任何一个位置都可实施。 1 监听的原理 以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。包头中包括目的地址，因为只有与目的地址一致的主机才能接收到信息包，但是当主机工作在 监听模式下，则不管数据包中的物理地址是什么，主机都可以接收到。 当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如果数据帧中携带的物理地址与自己的相同或者是广播地址，就将数据帧交给IP层，否则丢弃该帧。当主机处于监听模式时，所有的数据帧交给上层协议软件处理。 当连接在同一条电缆或集线器上的主机进行了子网划分，只要有一台主机处于监听模式，就可以接收到其他子网中传输的数据包。在同一个物理信道上传输的所有信息都可以被接收到 监听模式的设置： 要使主机工作在监听模式，需要向网络接口发送i/o控制命令。在windows系统中，不论用户是否有权限都可以运行监听工具来实现监听 网络监听的缺点： 1）响应速度慢：网络监听时要保存大量的信息，并对收集的信息进行整理，导致正在监听的机器对其他用户的请求响应很慢 2）漏包：监听程序运行时需要消耗大量的处理时间，如果监听到就马上详细分析包中内容，就导致来不及接受其他包而漏掉。所以监听程序一般讲监听的包存放在文件中等待以后分析 3）包分析困难:在监听到的结果中会存在一些别的主机交互的数据包，如要将用户的详细信息整理出来，需要根据协议对包进行大量的分析。