截包工具〔wireshark〕.ppt

网络截包培训 培训以后你应该学会: 网络截包的理论基础; 网络截包工具的基本使用; * * 培训目标 * * 什么是“MSN偷窥门” 2006年7月,沸沸扬扬的”MSN偷窥门”; 一个网友向记者报料，称最近这段时间一款叫“MSN Chat Monitor Sniffer”的软件在中国互联网上悄然盛行，很多下载站点都提供有软件的下载，只要下载安装这个软件，任何一个普普通通的人就能在网上监听本地局域网内所有人的MSN聊天记录。 网络工程师告诉记者，监听即时通信的软件越来越成熟了，操作也变得非常便捷，现在就应用软件几个简单的操作就能达到这个目的。即使在安全度较高的网络中，配合使用一个网关欺骗软件，也能够很方便地监听。 载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，这是捕获数据包的物理基础。 * * 以太网络的工作原理（1） 以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的 CSMA/CD 协议进行信道的争用和共享。 每个站点网卡实现这种功能。网卡主要的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站的而将它丢弃。如果是的话，接收该数据帧，进行物理数据帧的 CRC 校验，然后将数据帧提交给LLC 子层。 * * 以太网络的工作原理（2） 网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧（单播包） 广播包（Broadcast）和属于自己的组播包（Multicast） 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包 * * 以太网卡的工作方式 * * 单播、组播和广播 单播 服务器 组播 广播 主机 10.10.1.0/24 共享式网络 通过网络的所有数据包发往每一个主机； 最常见的是通过HUB连接起来的子网； 交换式网络 通过交换机连接网络； 由交换机构造一个“MAC地址-端口”映射表； 发送包的时候，只发到特定的端口上； 交换机的镜像端口功能 * * 共享网络和交换网络 * * 共享网络和交换网络 A B C D to C 镜像端口 UNIX系统提供了标准的API支持 Packet socket BPF Windows平台上通过驱动程序来获取数据包 通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包 在Windows不同操作系统平台下有所不同 不同sniffer采用的技术不同 WinPcap是一个重要的抓包工具底层，它是libpcap的Windows版本 * * 应用程序抓包的技术 WinPcap包括三个部分 第一个模块NPF(Netgroup Packet Filter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码 第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译 第三个模块 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。 * * WinPcap * * WinPcap和NPF NDIS(Network Driver Interface Specification)描述了网络驱动与底层网卡之间的接口规范，以及它与上层协议之间的规范 通过截包调试自己程序； 在用户故障现场截包可以发现可能的网络问题和与其他厂家产品的兼容问题； 为了特定产品的需要（电视墙）； * * 截包的目的 免费的网络协议检测程序，可以用来监视所有在网络上被传送的包，并分析其内容； 软件前身的名字是Ethereal; 最新的版本是0.99.5; 自带Wipcap4.0; 安装文件位置(\\10.100.0.1\000-002.software-offi