第3章网络嗅探.pptVIP

第三章 网络嗅探 3.1 嗅探器概述 嗅探器（Sniffer）是一种在网络上常用的收集有用信息的软件，可以用来监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时，便可以使用网络嗅探的方式来进行攻击，分析出用户敏感的数据，例如用户的账号、密码，或者是一些商用机密数据等。 我们经常使用的FTP、Telent、SMTP、POP协议等都采用明文来传输数据。 嗅探器攻击也是在网络环境中非常普遍的攻击类型之一。 3.1 嗅探器概述 嗅探器的定义 Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 一部电话上的窃听装置, 可以用来窃听双方通话的内容，而嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 后者的目的就是为了破环信息安全中的保密性，即越是不想让我知道的内容我就一定要知道。 计算机直接传送的数据，事实上是大量的二进制数据。那么，嗅探器是怎样能够听到在网络线路上边传送的二进制数据信号呢？可不可以在一台普通的PC机上边就可以很好的运作起来完成嗅探任务呢？ 3.1 嗅探器概述 嗅探器必须也使用特定的网络协议来分析嗅探到的数据，也就是说嗅探器必须能够识别出哪个协议对应于这个数据片断，只有这样才能够进行正确的解码。 其次，嗅探器能够捕获的通信数据量与网络以及网络设备的工作方式是密切相关的。 3.1 嗅探器概述 局域网介质访问控制方法 共享式局域网 共享式局域网的典型设备是集线器（Hub） 该设备把一个端口接收的信号向所有其它端口分发出去。 Hub连接形成LAN 经过3个Hub串联形成的局域网，当主机A需要与主机E通信时，A所发送的数据报通过Hub的时候就会向所有与之相连的端口转发。在一般情况下，不仅主机E可以收到数据报，其余的主机也都能够收到该数据包 3.1 嗅探器概述 交换式局域网 典型设备是交换机（Switch） 该设备引入了交换的概念，是对共享式的一个升级，能够通过检查数据包中的目标物理地址来选择目标端口，从而将数据只转发到与该目标端口相连的主机或设备中。 上页描述的网络，如转发设备都采用Switch，那么只有主机E会正常收到主机A发送的数据，而其余的主机都不能接收到。 3.1 嗅探器概述 共享式局域网存在的主要问题是每个用户的实际可用带宽随网络用户数的增加而递减。这是因为所有的用户都通过一条共同的通道讲话，如果两个用户同时说话必然会造成相互的干扰，数据产生碰撞而出错。 而在交换式局域网中，交换机供给每个用户专用的信息通道，除非两个源端口企图将信息同时发往同一目的端口，否则各个源端口与各自的目的端口之间可同时进行通信而不发生冲突。 对于两种结构的网络，前者相对来说易于窃听，而后者需要用更为复杂的技术才能实现。 嗅探器只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备。因此，对一般拨号上网的用户来说，是不可能利用嗅探器来窃听到其他人的通信内容的。 3.1 嗅探器概述 嗅探器分为软件和硬件两种 软件的嗅探器： NetXray、Packetboy、Net monitor等， 优点是物美价廉，易于学习使用，同时也易于交流 缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况 硬件的Sniffer通常称为协议分析仪 一般都是商业性的，价格也比较贵 目前主要使用的嗅探器是软件的。 3.1 嗅探器概述 MAC地址 48bit 固化在网卡EPROM中的，且应该保证在全网是唯一的 IEEE注册委员会为每一个生产厂商分配物理地址的前三字节，即公司标识 后面三字节由厂商自行分配，即一个厂商获得一个前三字节的地址可以生产的网卡数量 3.1 嗅探器概述 正常模式 当网卡处于正常的工作模式时，主机A收到一帧数据后，网卡会直接将自己的地址与接收帧目的地址比较，以决定是否接收。 如果匹配成功接收，网卡通过CPU产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理；如果匹配不成功则抛弃。也就是说，即使是共享式的网络，虽然所有网络上的主机都能够“听到”全部通过的流量，但如果不是发给本机的数据，我会主动的抛弃，而不会响应。 就是利用这个原理，可以保证在局域网范围内可以有序的接收和发送数据。 通常，一个合法的网络接口应该可以响应两种数据帧 帧的目标物理地址和本地网卡相同 帧的目标区域为广播地址（48bit全部为1，即FF- FF- FF- FF- FF- FF）。 3.1 嗅探器概述 混杂模式 Sniffer通过将网卡的工作模式由正常改变为混杂（promiscuous），就可以对所有听到的数据帧都