浅析网络嗅探技术.docxVIP

中国传媒大学 2011-2012学年第1学期网络安全课程题目浅析网络嗅探技术学生姓名圣　　冬学号200810113001班级　电信一班学生所属学院信息工程学院任课教师张　宜　春　教师所属学院信息工程学院　成绩　　　浅析网络嗅探技术圣冬08电信1班，200810113001，shengdongchina@163.com摘要：网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。文章分析了本机嗅探、广播网络嗅探和基于交换机的嗅探等网络嗅探技术的基本原理，阐述了网络嗅探技术在网络行为审计网络蠕虫病毒抑制等信息安全防御领域的作用，探讨了网络嗅探技术应用前景和发展方向。关键词：网络；嗅探；嗅探器；信息安全应用0.引言嗅探（sniff），有时也被称为监听，在网络安全的范畴中，一般是指通过某种方式窃听不是发送给本机或本进程的数据包的过程。嗅探器（sniffer），即能够实现嗅探的工具，有软件和硬件两种类型。网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。了解网络嗅探技术的原理、应用和发展方向有助于防范由于嗅探技术滥用引发的信息安全问题；通过将网络嗅探技术应用在信息安全防御领域，可以协助信息安全人员进行安全体系、特别是安全监控体系的架构和实现。1.嗅探的分类和原理根据功能不同，嗅探器可以分为通用网络嗅探器和专用嗅探器。前者支持多种协议，如：tcpdump、Snifferit等；后者一般是针对特定软件或只提供特定功能的，如：专门针对MSN 等即时通讯软件的嗅探器、专门嗅探邮件密码的嗅探器等。根据工作环境和工作原理不同，嗅探技术又可以分为：本机嗅探、广播网嗅探、交换机嗅探等类型。1.1 本机嗅探本机嗅探是指在某台计算机内，嗅探程序通过某种方式，获取发送给其他进程的数据包的过程。例如，当邮件客户端在收发邮件时，嗅探程序可以窃听到所有的交互过程和其中传递的数据。本机嗅探实现的原理如图1 所示。图1 中展示了操作系统处理网络数据包的流程，网络数据包需要经过多次解析才能获得其中的应用数据。一般来说，网络数据包被获取后，将经过硬件驱动、操作系统协议栈之后才进入应用程序处理。因此，如果在硬件驱动层或操作系统协议栈层编写数据包捕获代码，就可以获得其他应用程序的网络数据。1.2 广播网嗅探广播网，一般是基于集线器（HUB）的局域网络，其工作原理是基于总线方式的，所有的数据包在该网络中都会被广播发送（即发送给所有端口）。广播网的数据传输是基于“共享”原理的，所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”，这个过滤器将忽略掉一切和自己无关的网络信息，事实上是忽略掉了与自身MAC 地址不符合的信息。换句话说，在广播网中，每一个网络数据包都被发送到所有的端口，然后由各端口所连接的网卡来判断是否需要接收，所有目的地址与网卡实际地址不符的数据包将被网卡驱动自动丢弃，这确保了广播网中每台主机只接受到以自己为目标的数据包。广播网嗅探是在广播网（如HUB 环境）中的网络嗅探行为。广播网嗅探利用了广播网“共享”的通讯方式。在广播网中所有的网卡都会收到所有的数据包，然后再通过自身的过滤器过滤不需要的数据包，因此，只要将本机网卡设为混杂模式，就可以使嗅探工具支持广播网或多播网的嗅探。广播嗅探的基本原理如图2 所示。嗅探器将所处主机的网卡设为混杂模式，因此可以获得该广播网段的所有数据。1.3 基于交换机的嗅探交换机的工作原理与HUB 不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。1.3.1 通过端口镜像进行嗅探端口镜像也称作巡回分析端口（Roving Analysis Port），它从网络交换机的一个端口转发每个进出分组的拷贝到另一个端口，分组将在此端口进行分析，端口镜像是监视网络通信量和通讯内容的一种方法。网络管理员可将端口镜像作为一种诊断或调试的工具，尤其是在分析网络情况的时候。它使管理员能跟踪交换机的性能并在必要时对其更改。大部分可管理的交换机都支持端口镜像功能，有些交换机称之为“Port Span”，有些称之为“Port Monitor”，还有一些则称之为“Port Mirror”。端口镜像是交换机为调试预留的功能。通过端口镜像，可以将交换机中任意端口的数据复制给镜像端口，通过端口镜像，本机嗅探工具就可以嗅探