网络嗅探技术和扫描技术.pdfVIP

1.网络嗅探技术 网络嗅探指局域网环境下网络数据的截获，针对不同的局域网环境嗅探的技术有所不 同，分共享式网络和交换式网络。 1. 共享式网络嗅探， 共享式网络是最早期的局域网环境，主要设备是Hub，这种设备 无法针对接口进行转发，数据转发采用的是广播式，网络内每台主机都可以收到其他主机的 网络数据，只是网卡在正常情况会丢弃非本地的数据报。数据嗅探时只需交网卡设置为混杂 模式，即可获得其他主机的通讯数据。 2. 交换式网络嗅探，随着网络技术的发展，交换式网络设备逐步普及。局域网多采用交 换机，可针对接口转发，网络内主机仅能收到本地MAC 相关数据包及广播包，要想获得网 络数据必须通过ARP 欺骗，改变目标主机的通信路径。然而，ARP 欺骗必须配合数据转发 才不会导致异常，这样如果大范围使用，会导致网络效率下降以及嗅探主机异常，故通常针 对特定主机进行网络嗅探。 交换式网络嗅探也需要设置网卡为混杂模式，以实施数据包转发。 交换式网络嗅探是局域网欺骗的一种应用，还可利用其实施中间人攻击。 补充材料：SNIFFER （嗅探器）-简介 Sniffer （嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码， 可以是一些商用机密数据等等。Snifffer 可以作为能够捕获网络报文的设备,ISS为Sniffer 这 样定义：Sniffer 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 Sniffer 的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如, 假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方, 此时就可以用嗅探器来作出精确的问题判断。 在合理的网络中，sniffer 的存在对系统管理 员是致关重要的，系统管理员通过sniffer 可以诊断出大量的不可见模糊问题，这些问题涉 及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C 系 统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一 台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔 时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。 嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器 则捕获真实的网络报文。为了对sniffer 的工作原理有一个深入的了解，我们先简单介绍一 下HUB 与网卡的原理。 预备知识 HUB 工作原理 由于以太网等很多网络 （常见共享HUB 连接的内部网）是基于总线方式，物理上是广 播的，就是当一个机器发给另一个机器的数据，共享HUB 先收到然后把它接收到的数据再 发给其他的 （来的那个口不发了）每一个口，所以在共享HUB 下面同一网段的所有机器的 网卡都能接收到数据。 交换式HUB 的内部单片程序能记住每个口的MAC 地址，以后就该哪个机器接收就发往 哪个口，而不是像共享HUB 那样发给所有的口，所以交换HUB 下只有该接收数据的机器 的网卡能接收到数据，当然广播包还是发往所有口。显然共享HUB 的工作模式使得两个机 器传输数据的时候其他机器别的口也占用了，所以共享HUB 决定了同一网段同一时间只能 有两个机器进行数据通信，而交换HUB 两个机器传输数据的时候别的口没有占用，所以别 的口之间也可以同时传输。这就是共享HUB 与交换HUB 不同的两个地方，共享HUB 是同 一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB 同一时 间可以有对机器进行数据传输并且数据是私有的。 网卡工作原理 再讲讲网卡的工作原理。网卡收到传输来的数据，网卡内的单片程序先接收数据头的 目的MAC 地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接 收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网 卡就截断了，计算机根本就不知道。CPU 得到中断信号产生中断，操作系统就根据网卡驱 动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆 栈让操作系统处理。 局域网如何工作 数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成，不同的部分 执行不同的功能。（例如，以太网的前12 个字节存放的是源和目的的地址，这些位告诉网络： 数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP 的报文头或IPX