网络与信息安全网络扫描技术.pptVIP

* 一个简单的sniffer程序 * 共享网络和交换网络 共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 * 共享式网络示意图 * 应用程序抓包的技术 UNIX系统提供了标准的API支持 Packet socket BPF Windows平台上通过驱动程序来获取数据包 驱动程序 WinPcap * Packet socket 设置混杂(promiscuous)模式 用ioctl()函数可以设置 打开一个packet socket packet_socket = socket(PF_PACKET, int socket_type, int protocol); 以前的做法，socket(PF_INET, SOCK_PACKET, protocol) 不同的UNIX或者Linux版本可能会有不同的函数调用，本质上 打开一个socket(或者通过open打开一个设备) 通过ioctl()或者setsockopt()设置为混杂模式 * BPF(Berkeley Packet Filter) BSD抓包法 BPF是一个核心态的组件，也是一个过滤器 Network Tap接收所有的数据包 Kernel Buffer，保存过滤器送过来的数据包