网络信息对抗第三章网络嗅探与协议分析.pptVIP

WireShark （Ethereal） Wireshark (Ethereal) 1998-2006: Ethereal Gerald Combs, University of Missouri-Kansas City 2006-now: wireshark Renamed from Ethereal due to trademark issues eWEEKLabs named Wireshark one of The Most Important Open-Source Apps of All Time“ Wireshark特性 图形化界面/命令行(tshark) 在线/离线抓包(支持标准pcap二进制日志文件) 支持BPF过滤器 支持分析几百种常见网络协议 跨平台：类UNIX、Win32(依赖libpcap/WinPcap) WireShark界面 WireShark基本功能 抓包(Capture) Capture Filter: BPF过滤器 分析(Analyze) 自动协议解码: 支持数百种协议, 显示各层包头和内容字段 灵活选择协议对网络流进行解码Decode As… 统计(Statistics) 协议分类(Protocol Hierarchy) 会话列表(Conversations) 2层(以太网)/3层(IP)/4层(TCP,UDP) 会话终端(EndPoints) I/O Graph: 随时间统计的流量曲线 会话重组(Follow TCP/UDP Stream)和会话图(Flow Graph) WireShark的两类过滤规则 嗅探过滤规则 支持BPF规则 用于嗅探抓包时的过滤 显示过滤规则 用于在界面中选择显示哪些数据包 与BPF规则有所不同 流重组/会话重组 流重组/会话重组 TCP/UDP会话发送字节数可能很大 IP包最大长度(64K-20≈64K) 以太网帧最大长度(1500-20=1480) 协议栈发送大量TCP/UDP报文时，必然分组传送 流重组: 将同属于一个TCP/UDP会话的IP包负载按序重新组装，还原应用层数据的过程 流重组工具 Wireshark: Follow TCP/UDP Stream nstreams: nstreams -f pcap_file nstreams.txt Snort: Log规则(snort.conf): log tcp any any any any (sid:1000001; session: printable;) snort -r pcap_file –l ./log -csnort.conf 网络流记录和高层统计分析 Netflow 定义了网络会话流记录的业界标准-Cisco RFC 3334/3954/3955 IP Flow Information Export (netflowv10)-IETF 网络流记录 商业路由器、交换机支持Netflow日志输出 开源软件: nfdump(支持Netflow标准), Argus 网络流分析 基于pcap文件上的流重组和统计分析 Wireshark: 协议分类/会话列表… SnifferPro NetflowAnalyzer: HP openview/cacti/nfsen WireShark演示 提纲 网络嗅探技术 课堂实践：使用Tcpdump 网络协议分析技术 课堂实践：使用Wireshark 作业 课堂实践3.2-使用Wireshark 任务：使用wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程： 你所登录的BBS服务器的IP地址与端口各是什么？ TELNET协议是如何向服务器传送你输入的用户名及登录口令？ 如何利用wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？ 提纲 网络嗅探技术 课堂实践：使用Tcpdump 网络协议分析技术 课堂实践：使用Wireshark 作业 攻防对抗作业 网络扫描攻防 要求： 构建网络攻防实验环境； 学会初步使用wireshark，并分析ping命令、Http访问； 撰写实验分析报告； Deadline：3月30日。 网络信息对抗 主讲人：张 瑜 Email:bullzhangyu@ QQ:344248003 网络信息对抗 第三章：网络嗅探与协议分析 提纲 网络嗅探技术 课堂实践：使用Tcpdump 网络协议分析技术 课堂实践：使用Wireshark 作业 “墙有耳，伏寇在侧。墙有耳者，微谋外泄之谓也。” －－－春秋·管仲《管子·君臣下》 网络嗅探的定义 网络嗅探(Sniff) 网络监听、网络窃听 类似于传统的电话线窃听 网络嗅探技术定义