网络监听与协议.doc

第 2 章 网络监听与 TCP/IP 协议分析 教学目标 通过对本章的学习，了解网络监听和协议分析的概念，掌握网络层协议和传输层协议 的报头结构，熟悉 Sniffer Pro 的安装和基本操作方法，熟练掌握使用 Sniffer Pro 进行通信流量 和协议分析的步骤。 教学要求 知识要点 网络监听 TCP/IP 数据报 监听工具 能力要求 相关知识 了解网络监听的基本原理，熟悉网络监听在网络管理中的应用 病毒、黑客攻击 了解 IP 数据报结构、ARP、ICMP 协议、TCP、UDP 学会安装和使用网络监听工具 Sniffer Pro IPv4、IPv6 Wire shark 引例 计算机网络带给人们的便捷不言而喻，然而每一位网络用户一定都有这样的体验：上 网速度时快时慢、时通时断，蠕虫泛滥、病毒干扰、黑客攻击屡见不鲜，安装了杀毒软件 和防火墙还是不能一劳永逸，令人无所适从。还有些用户工作时间用 P2P 软件下载文件或 播放视频，严重占有带宽、影响正常工作却很难被发现。 采用有效的技术手段检测和分析当前的网络流量，及时发现干扰网络运行、消耗网络 带宽的害群之马，十分必要。这种技术就是网络监听。要从事网络管理工作，就有必 要了解网络监听的基本原理，熟悉网络通信协议，特别是 TCP/IP 协议数据报结构，理解其 中关键字段或标识的含义，熟练掌握网络监听工具的使用方法和技巧，从而学会捕获并分 析网络数据。 本章的内容就是介绍网络监听的基本原理、概括网络层和传输层协议的数据报结构， 讲解网络监听工具 Sniffer Pro 的安装和使用方法。  第 2章 网络监听与 TCP/IP 协议分析 •15· 2.1 网络监听与数据分析 以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问 到物理媒体上传输的数据，而每一个网络接口都有一个唯一的硬件地址，即 MAC 地址， 长度为 48 字节，一般来说每一块网卡上的 MAC 地址都是不同的。在 MAC 地址和 IP 地址 间使用 ARP 和 RARP 协议进行相互转换。 2.1.1 网络监听的基本原理 通常一个网络接口只接收以下两种数据帧。 (1) 与自己硬件地址相匹配的数据帧。 (2) 发向所有机器的广播数据帧。 网卡负责数据的收发，它接收传输来的数据帧，然后网卡内的单片机程序查看数据帧 的目的 MAC 地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。如果 接收则接收后通知 CPU，否则就丢弃该数据帧，所以丢弃的数据帧直接被网卡截断，计算 机根本不知道。CPU 得到中断信号产生中断，操作系统根据网卡的驱动程序设置的网卡中 断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 网卡通常有以下 4 种接收方式。 (1) 广播方式：接收网络中的广播信息。 (2) 组播方式：接收组播数据。 (3) 直接方式：只有目的网卡才能接收该数据。 (4) 混杂模式：接收一切通过它的数据，而不管该数据是否是传给它的。 以太网的工作机制是把要发送的数据包发往连接在同一网段中的所有主机，在包头中 包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包。 图 2.1 是一个简单的网络连接，机器 A、B、C 与集线器 HUB 连接，集线器 HUB 通过 路由器访问外部网络。 图 2.1 简单的网络连接 •15·  •16· 网络安全基础教程与实训（第 2 版） 管理员在机器 A 上使用 FTP 命令向机器 C 进行远程登录，在这个网络里数据的传输过 程是这样的：首先机器 A 上的管理员输入登录机器 C 的 FTP 密码，经过应用层 FTP 协议、 传输层 TCP 协议、网络层 IP 协议、数据链路层上的以太网驱动程序一层一层的包裹，最 后送到物理层。接下来数据帧传输到 HUB 上，然后由 HUB 向每一个结点广播此数据帧， 机器 B 接收到由 HUB 广播发出的数据帧，并检查数据帧中的地址是否和自己的地址匹配， 结果不匹配。故丢弃此数据帧。而机器 C 也接收到了数据帧，并先进行比较，发现与自己 的地址匹配，接收下来并对此数据帧进行分析处理。 但是当主机工作在监听模式下时，不管数据包中的目标物理地址是什么，主机都可以 接收到。并且所有收到的数据帧都将被交给上层协议软件处理。 早期的 HUB 是共享介质的工作方式，只要把主机网卡设置为混杂模式，网络监听就可 以在任何接口上实现，现在的网络基本都用交换机，必须把执行网络监听的主机接在镜像 端口上，才能监听到整个交