局域网的安全与攻防-基于sniffer pro.ppt

局域网的安全与攻防 基于sniffer pro实现 SNIFF原理 SNIFF就是嗅探器，网络窃听器。 SNIFF可以是软件，也可以是硬件 硬件的SNIFF称为网络分析仪，价格昂贵； 软件有WINDOWS、UNIX等不同平台下的； 不管硬件软件，目标只有一个，就是获取在网络上传输的各种信息。 仅介绍软件的SNIFF。 网络基础知识 TCP/IP的网络体系结构（部分） -------------------------------------------------------?? | SMTP | DNS | HTTP | FTP | TELNET | 应用层 -------------------------------------------------------?? | 　 　TCP 　 　|　 　UDP 　 　 　 |　 传输层 -------------------------------------------------------?? | 　IP　 | 　 ICMP 　　| ARP RARP | 网络层　 -------------------------------------------------------?? | IEEE 802 以太网 SLIP/PPP PDN etc | 数据链路层 -------------------------------------------------------?? |　 　　网卡 电缆 双绞线 etc 　　 | 物理层 --------------------------------------------------------??  SNIFF原理 在以太网中，所有的通讯都是广播的。 也就是说，通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据。 每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备。 在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。 SNIFF原理 在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1.与自己硬件地址相匹配的数据帧。　 　　 　　　　 　　 　　　　 　　 　　 　　 　　 　 　　 　　　　 　　 　　 　　 　　 　　 2.发向所有机器的广播数据帧。　 在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收，接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。  SNIFF原理 CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 对于网卡来说一般有四种接收模式：广播方式：该模式下的网卡能够接收网络中的广播信息。　　　　　　　 　　 　　 　　 　　 　　 　　 　　 　 　　 　　　　 　　　　 组播方式：设置在该模式下的网卡能够接收组播数据。 　　　 　　　 　　　　 　　 　　 　　 　　 　　 　　 　　 　 　　 　　　　　直接方式：在这种模式下，只有目的网卡才能接收该数据。 　　　　　　 　　　　 　　 　　 　　 　　 　　 　　 　　 　 　　 　　　混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。 SNIFF原理 总结 在以太网中是基于广播方式传送数据的 网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是它。 这实际上就是SNIFF工作的基本原理： 让网卡接收一切他所能接收的数据。 常用的SNIFF （1）windows环境下 sniffer pro netxray （2）UNIX环境下Sniffit、Snoop、Tcpdump、dsniff等都是比较常见的，他们都有一个好处就是发布源代码，可以让你研究，当然也都是免费的。 1. sniffit 　 sniffit可以运行在Solaris、SGI和Linux等平台上，由Lawrence Berkeley Laboratory 实验室开发的一个免费的网络监听软件。最近Sniffit 0.3.7也推出了NT版本，并也支持WINDOWS2000. 举例说明:#sniffit -a -p 21 -t xxx.xxx.xxx.xxx  监听流向机器xxx.xx