[第二章监听技术.pptVIP

第2章 网络监听与TCP/IP协议分析 教学提示：本章主要介绍网络监听的基本原理，概括网络层和传输层各协议的数据报结构，讲解Sniffer Pro的安装和使用方法。 教学要求：了解网络监听的基本原理，熟悉网络监听在网络管理中的应用，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 网络监听技术 2.1 网络监听技术概览 2.2网络监听技术定义及原理 2.3网络监听的实现方式 2.4网络监听工具简介 2.5网络监听工具sniffer Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 网络监听技术概览 基础知识简介 以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，一般来说每一块网卡上的MAC地址都是不同的。一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上需要网卡，在软件上需要网卡驱动程序。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 基础知识简介 以太网的网卡设备驱动程序不关心IP数据报中的目的IP地址，它所需要的仅仅是MAC地址，所以我们需要在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。 一般网络接口接收的两种数据：与自己硬件地址相匹配的数据帧；发向所有机器的广播地址。 网卡有4种接收方式：广播方式；组播方式；直接方式；混杂方式。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 以太网的工作机制： 把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.2网络监听技术定义及原理 2.2.1网络监听定义 网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。 网络监听是一种网络监测设备，既可以是硬件，也可以是软件。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.2.2网络监听原理 2.原理 以太网数据是以广播方式发送的，也就是说局域网内的每台主机都在监听网内传输数据。以太网硬件将监听到的数据帧所包含的MAC地址与自己的滤MAC地址相比较，如果相同，则接收该帧，否则丢掉它，这就是以太网的过滤规则。但是，如果把网卡设置为“混杂模式”，它就能接收传输在网络上的每一个信息包。Sniffer就是依据这种原理来监测网络中流动着的数据。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.2.3网络监听的组