网络监听实验(2013-4-3)重点.ppt

主要内容 Sniffer概述 共享局域网的嗅探 CuteSniffer嗅探实例 交换局域网的嗅探 交换局域网嗅探实例 什么是Sniffer 网络监听的作用：监视网络的流量、状态、数据等信息，分析数据包，获得有价值的信息。 网络监听工具：Sniffer(嗅探器)，有硬件和软件两种类型。 一把双刃剑 管理员的管理工具，主要是进行数据包分析，通过网络监听软件，观测分析实时经由的数据包，从而进行网络故障定位 攻击者们常用的收集信息的工具 Sniffer的网络环境 共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 被监听的网络 以太网 FDDI、Token- ring 使用电话线 通过有线电视信道 微波和无线电 截获的信息 口令 金融帐号 偷窥机密或敏感的信息数据（如e-mail内容） 窥探低级的协议信息（如用于IP欺骗） 网络监听原理 网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。 普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。 在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。 网络监听原理 共享式集线器（HUB）连接 Sniffer软件 Wireshark NetxRay Sniffer Pro CuteSniffer(小巧，功能较全) CuteSniffer 设置过滤器 过滤器。Options - Program options... [not] primitive [and|or [not] primitive ...] 类型（Type） - host, net and port. 如, `host foo, `net 128.3, `port 20. 方向（dir） - src, dst, src or dst, src and dst.如, `src foo, `dst net 128.3, `src or dst port ftp-data. 协议（proto） - ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp and udp.如, , `ether src foo, `arp net 128.3, `tcp port 21. 设置过滤器 1. 捕捉特定主机的 ftp 流 : tcp port 21 and host 2. 捕捉特定主机流出的包: src host 3. 捕捉 80端口发出的包: src port 80 设置过滤器 设置规则 从文本文件rules.ini 读规则 header (option1; option2; ...) 规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口 规则选项 设置规则 设置规则 例子rules.ini tcp any any - any any (flags:S+; msg:SYN packet;symbol:SYN;) tcp any any - any any (flags:F+; msg:FIN packet;symbol:FIN;) tcp any any - any 143 (content:|90C8 C0FF FFFF|/bin/sh; msg:IMAP buffer overflow!;) tcp any any - any 80 (content: cgi-bin/phf;offset: 3; depth: 22; msg: CGI-PHF access;) tcp any any - any 21 (msg:FTP Password; content:PASS; nocase; symbol:PASS;) tcp any any - any 110 (msg:E-mail Password; content:PASS; nocase; symbol:PASS;) 捕捉矿大邮箱口令 捕捉矿大邮箱口令 查看源文件，输入的口令名字为Password 捕捉矿大邮箱口令 设置过滤器为 Dst host 7 或者 Dst host 捕捉矿大邮箱口令 查找捕捉的包 捕捉矿大邮箱口令 帧头 捕捉矿大邮箱口令 包头 捕捉矿大邮箱口令 TCP头 捕捉SINA邮箱口令 捕捉SINA邮箱口令 捕捉POP3邮箱口令 设置过滤器（矿大POP3邮件服务器地址） 捕捉POP3邮箱口令 在登录前启动捕捉 捕捉POP3邮箱口令 捕捉结果 捕捉POP3邮箱口令 捕捉POP3邮箱口令 捕捉FTP口令 这是一个FTP站点 捕捉FTP口令 准备登录 捕捉FTP口令 启动捕