《计算机网络安全》清华课件_第 5 章安全防护与入侵检测.ppt

第 5 章　安全防护与入侵检测 Sniffer Pro网络管理与监视 Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。 网络技术与设备简介 数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 网络监听原理 Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包 普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF。但一般情况下，网络硬件和TCP／IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。 Sniffer产品的基本功能包括功能 1） 网络安全的保障与维护 2) 面向网络链路运行情况的监测 3) 面向网络上应用情况的监测 4） 强大的协议解码能力，用于对网络流量的深入解析 5） 网络管理、故障报警及恢复 实时监控统计和告警功能 根据用户习惯，Sniffer可提供实时数据或图表方式显示统计结果，统计内容包括： 网络统计：如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。 协议统计：如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。　　 差错统计：如错误的CRC校验数、发生的碰撞数、错误帧数等。　　 站统计：如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。 帧长统计：如某一帧长的帧所占百分比，某一帧长的帧数等。　　 当某些指标超过规定的阈值时，Sniffer可以自动显示或采用有声形式的告警。 Sniffer可根据网络管理者的要求，自动将统计结果生成多种统计报告格式，并可存盘或打印输出。 Sniffer实时专家分析系统 Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(Expert System)。简单地说，Sniffer能自动实时监视网络，捕捉数据，识别网络配置，自动发现网络故障并进行告警，它能指出： 网络故障发生的位置，以及出现在OSI第几层。　　 网络故障的性质，产生故障的可能的原因以及为解决故障建议采取的行动。　　 Sniffer 还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。　　 Sniffer Pro的登录与界面 Sniffer Pro报文的捕获与解析 基本捕获条件 基本的捕获条件有两种： 1) 链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2) IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：。如果选择IP层捕获条件则ARP等报文将被过滤掉，如图5.3所示。 高级捕获条件 在“Advance”页面下，你可以编辑你的协议捕获条件 任意捕获条件 捕获过程报文统计 捕获报文查看 Sniffer软件提供