第二章 网络监听技术1.pptVIP

第2章 网络监听与TCP/IP协议分析 教学提示：本章主要介绍网络监听的基本原理，概括网络层和传输层各协议的数据报结构，讲解Sniffer Pro的安装和使用方法。 教学要求：了解网络监听的基本原理，熟悉网络监听在网络管理中的应用，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。 网络监听技术 2.1 网络监听技术概览 2.2网络监听技术定义及原理 2.3网络监听的实现方式 2.4网络监听工具简介 2.5网络监听工具sniffer 2.1 网络监听技术概览 基础知识简介 以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，一般来说每一块网卡上的MAC地址都是不同的。一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上需要网卡，在软件上需要网卡驱动程序。 基础知识简介 以太网的网卡设备驱动程序不关心IP数据报中的目的IP地址，它所需要的仅仅是MAC地址，所以我们需要在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。 一般网络接口接收的两种数据：与自己硬件地址相匹配的数据帧；发向所有机器的广播地址。 网卡有4种接收方式：广播方式；组播方式；直接方式；混杂方式。 以太网的工作机制： 把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包。 2.2网络监听技术定义及原理 2.2.1网络监听定义 网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。 网络监听是一种网络监测设备，既可以是硬件，也可以是软件。 2.2.2网络监听原理 2.原理 以太网数据是以广播方式发送的，也就是说局域网内的每台主机都在监听网内传输数据。以太网硬件将监听到的数据帧所包含的MAC地址与自己的滤MAC地址相比较，如果相同，则接收该帧，否则丢掉它，这就是以太网的过滤规则。但是，如果把网卡设置为“混杂模式”，它就能接收传输在网络上的每一个信息包。Sniffer就是依据这种原理来监测网络中流动着的数据。 2.2.3网络监听的组成 (1)网络硬件设备如网卡、集线器、路由器等。 (2)监听驱动程序截获数据流，进行过滤并把数据存入缓冲区。 (3)捕获驱动程序这是最重要的部件，它直接控制网络硬件从信道上抓取数据，并将数据存入缓冲器。 (4)缓冲器用来存放捕获到的数据的容器。由于缓冲器容量有限，监听器使用缓冲器时，通常有两种方式：一是如果缓冲器满，马上停止捕获；二是缓冲器满了还继续捕获，但是新的数据会覆盖旧的数据。 (5)实时分析程序实时分析数据帧中所包含的数据，目的是发现网络性能问题和故障，侧重于网络性能和故障方面的问题。 (6)解码程序将接收到的加密数据进行解密，构造自己的加密数据包并把它发送到网络中。 (7)数据包分析器对截取到的数据包进行模式匹配和分析，将感兴趣的信息从原始数据包中剥离出来。 2.2.4网络监听的用途 1.把网络中的数据流转化成可读格式。 2.进行性能分析以发现网络瓶颈。 3.进行入侵检测以发现外界入侵者。 4.生成网络活动日志和安全审计。 5.进行故障分析以发现网络中潜在的问题。 2.2.5网络监听的意义 在网络安全中，sniffer起着“双刀刃”的作用：一方面，通过网络监听软件，管理员可以监视网络的状态、数据流动的情况以及网络上传输的信息，可以观测分析实时的数据包，从而快速地进行网络故障定位。另一方面，sniffer给以太网带来很大的隐患，很多网络入侵事件往往伴随着以太网内的Sniffer行为，从而造成口令失窃，敏感数据被截获等恶性安全事件。 2.3网络监听的实现方式 (1)针对集线器的监听 首先从TCP/IP模型的角度来看数据包在局域网内发送的过程：当数据由应用层自上而下地传递时，在网络层形成IP数据报，再向下到达数据链路层，由数据链路层将IP数据报分割为数据帧，增加以太网包头，再向下一层发送。需要说明的是，以太网的包头中包含着本机和目标设备的MAC地址，也就是说，数据链路层的数据帧发送时，是依靠48bit/s的以太网地址而非IP地址来确认的，以太网的网卡设备驱动程序不会关心IP数据报中的目的IP地址，它所需要的仅仅是MAC地址。当局域网内的主机通过集线器连接时，集线器的作用就是局域网上面的一个共享的广播媒体，所