以太网监听技术分析报告.docVIP

以太网监听技术分析报告 以太网监听技术原理： 以太网嗅探原理 　　以太网环境下的嗅探本身是比较简单的，只要网卡能设置成混杂模式且有数据包到达网卡，则可用多种方法捕获数据包并进行各种协议分析。在LINUX下可用RAW套接字，SOCK_PACKET套接字， LIBPCAP函数包等方法捕获数据包，典型的应用程序如TCPDUMP， LINUX_SNIFFER等。 　　在共享型以太网中，上述两个条件显然是满足的。所有的主机都连接到HUB，而HUB对数据包传输形式是广播。这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中，任何设置成混杂模式的主机，都可以捕获发送给其它主机的数据包，从而窃听网络上的所有通信。 在交换型以太网中，上述条件2是不满足的。所有的主机连接到SWITCH，SWITCH比HUB更聪明，它知道每台计算机的MAC地址信息和与之相连的特定端口，发给某个主机的数据包会被SWITCH从特定的端口送出，而不是象HUB那样，广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高，同时还有一个附加的作用：使传统的嗅探器无法工作。 以太网监听实验 （一）将PC机挂在局域网中，是无法监听到目标地址不是本机网卡的信息包。如下图： 目标地址主机中：只有目标地址是本机IP的信息包到达。HUB隔离了目标地址不是本机地址的数据包。 （二）在正在运行的PC机和HUB之间用一个三口以态网来监听网络，如下结构图： 在这种状态下，监听PC会影响PC正常的网络连接，PC无法正常通过网口与外界联系。 将监听PC的SEND线减断，如下图： 可能出现以下几种状况: (一)最常见的状况 这时监听PC无法监听到PC的TCP数据包，但是可以监听到PC的UDP数据包。此时被监听的PC机不能联网，如下图： (二)短时间内监听到TCP包 偶尔也会监听到TCP包，但是过一段时间后，被监测PC与网络连接失败。变成第一种状态。 结论：在现有的条件下，只要监测主机与被监测PC通过3口以太网物理连接着，被监测PC就无法获得IP地址，因此无法连接网络。（即使是被监测PC设定IP地址，被监测PC仍然无法与网络通讯。）