第3章：网络监听及防御技术要点分析.ppt

网络入侵与防范讲义 第3章 网络监听及防御技术 张玉清 内容介绍 3.1 网络监听概述 3.2 监听技术 3.3 监听的防御 3.4 小结 3.1 网络监听概述 3.1.1 基础知识与实例 3.1.2 网络监听技术的发展情况 3.1.1 基础知识与实例 1．网络监听的概念 网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。 在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。 网络监听技术的能力范围目前只限于局域网。 3.1.1 基础知识与实例 2．相关网络基础 网络传输技术：广播式和点到点。 广播式网络传输技术：仅有一条通信信道，由网络上的所有机器共享。信道上传输的分组可以被任何机器发送并被其他所有的机器接收。 点到点网络传输技术：点到点网络由一对对机器之间的多条连接构成，分组的传输是通过这些连接直接发往目标机器，因此不存在发送分组被多方接收的问题。 3.1.1 基础知识与实例 3．网卡的四种工作模式 （1）广播模式：该模式下的网卡能够接收网络中的广播信息。 （2）组播模式：该模式下的网卡能够接受组播数据。 （3）直接模式：在这种模式下，只有匹配目的MAC地址的网卡才能接收该数据帧。 （4）混杂模式：（Promiscuous Mode）在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。 3.1.1 基础知识与实例 4 实例：用Ethereal嗅探sina邮箱密码 3.1.1 基础知识与实例 4 实例：上届学生实验编写的sniffer，嗅探FTP用户名和密码 3.1 网络监听概述 3.1.1 基础知识与实例 3.1.2 网络监听技术的发展情况 3.1.2 网络监听技术的发展情况 1．网络监听（Sniffer）的发展历史 Sniffer这个名称最早是一种网络监听工具的名称，后来其也就成为网络监听的代名词。在最初的时候，它是作为网络管理员检测网络通信的一种工具。 网络监听器分软、硬两种 3.1.2 网络监听技术的发展情况 1．网络监听（Sniffer）的发展历史 软件嗅探器便宜易于使用，缺点是功能往往有限，可能无法抓取网络上所有的传输数据(比如碎片)，或效率容易受限； 硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，处理速度很高，但是价格昂贵。 目前主要使用的嗅探器是软件的。 3.1.2 网络监听技术的发展情况 2．Sniffer软件的主要工作机制 驱动程序支持：需要一个直接与网卡驱动程序接口的驱动模块，作为网卡驱动与上层应用的“中间人”，它将网卡设置成混杂模式，捕获数据包，并从上层接收各种抓包请求。 分组捕获过滤机制：对来自网卡驱动程序的数据帧进行过滤，最终将符合要求的数据交给上层。 链路层的网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获过滤模块，对于非本地的数据包，前者会丢弃（通过比较目的IP地址），而后者则会根据上层应用的要求来决定上传还是丢弃。 3.1.2 网络监听技术的发展情况 2．Sniffer软件的主要工作机制 许多操作系统都提供这样的“中间人”机制，即分组捕获机制。在UNIX类型的操作系统中，主要有3种：BSD系统中的BPF(Berkeley Packet Filter)、SVR4中的DLPI(Date Link Interface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。 目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。 3.1.2 网络监听技术的发展情况 3．网络监听的双刃性 现在的监听技术发展比较成熟，可以协助网络管理员测试网络数据通信流量、实时监控网络状况。 然而事情往往都有两面性，Sniffer的隐蔽性非常好，它只是“被动”的接收数据，所以在传输数据的过程中，根本无法察觉到有人在监听。网络监听给网络维护提供便利同时，也给网络安全带来了很大隐患。 3.2 监听技术 3.2.1 局域网中的硬件设备简介 3.2.2 共享式局域网的监听技术 3.2.3 交换式局域网的监听技术 3.2.4 网络监听工具举例 3.2.1 局域网中的硬件设备简介 1．集线器 (1) 集线器的原理： 集线器（又称为Hub）是一种重要的网络部件，主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。 集线器工作在局域网的物理环境下，其主要应用在OSI参考模型第一层，属于物理层设备。它的内部