lecture05-网络攻击的分析(监听).ppt

网络攻击的分析（附加） 王丽苹 华东师范大学软件学院 * Outline Internet的安全缺陷（附加） TCP/IP overview 监听 欺骗 拒绝服务 其它的一些攻击 TCP/IP overview 协议栈 一些数据包的格式(IPV4) IP数据包 TCP/UDP数据包 常用的上层协议 几个常用工具 [参考]TCP/IP Illustrated Volume 1：The Protocols W.Richard Stevens 著 TCP/IP协议栈 协议栈各层数据包的结构 IP网络互连的原理 广播子网内部 ARP地址解析 从MAC地址到IP地址之间的解析 以太网络间路由 IP数据包格式 UDP数据包格式 TCP数据包格式 TCP的三次握手过程 TCP连接的建立和终止时序图 常用的上层协议 DNS: 53/tcp,udp FTP: 20,21/tcp,udp telnet: 23/tcp,udp HTTP: 80/tcp,udp NNTP: 119/tcp,udp SMTP: 25/tcp,udp POP3: 110/tcp,udp 端口号的分类(0-65535): the Well Known Ports: from 0 through 1023 the Registered Ports: from 1024 through 49151 the Dynamic and/or Private Ports: from 49152 through 65535 [参考] IANA提供的port-numbers.txt 2005-03 常用的网络工具 Netstat Ipconfig/ifconfig Ping Tracert …… Outline Internet的安全缺陷（附加） TCP/IP overview 监听 欺骗 拒绝服务 其它的一些攻击 监听 在一个共享式网络，可以听取所有的流量 网络监听的作用： 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer) 以太网络的工作原理 载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据 以太网卡的工作模式 网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，以太网卡接收包的类型： MAC地址与自己相匹配的数据帧 广播包 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包) 为了监听网络上的流量，必须设置为混杂模式 共享网络和交换网络 共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 共享式网络示意图 应用程序抓包的技术 Linux/UNIX实现监听的方式有两种，都是通过系统的API来实现： Packet socket BPF（Berkeley Packet Filter) Windows平台上实现监听的方式： raw socket WinPcap IRIS-windows下的网络监测工具 安装： 环境要求 Windows 95/98/NT/2000 Internet Explorer 5.x or higher 主要功能： 抓数据包 分析统计数据包 数据包重新编码 数据包过滤 日志，敏感信息报警等 软件类别共享软件，版本3.1评估版 实现结果（1） 实现结果（2） 实现结果（3） 在交换式网络上监听数据包 交换机的特点将数据包发送到指定的端口，而端口之间数据隔离。 交换网络避免了利用网卡混杂模式进行的监听。 在交换网络中可能的监听方法： 网络管理人员可以把监听器连接在交换机的监视端口（probe），通过网络报文镜像，获取整个网络中的数据包。 MAC地址复制 ARP欺骗 反监听技术 检测处于混杂模式下的网卡: 基于主机的检查 Solaris，BSD，lin