信息安全网络嗅探和监听大作业.docVIP

网络嗅探与监听 背景与意义 随着计算机网络技术的飞速发展，借助网络嗅探器进行网络流量监控和网络问题分析已成为网络管理员不可缺少的工作内容。网络嗅探器是利用计算机的网络接口截获在网络中传输的数据信息的一种工具，主要用于分析网络的流量，以便找出所关心的网络中潜在的问题--例如：现在正在兴起的网络支付业务，在使用这个业务中我们的账户安全显得尤其重要，我们可以利用网络嗅探器来提高我们自己的账户安全 。网络嗅探器是一种利用网络传输机制工作的网管工具，同时又是一种黑客工具，主要是用来被动监听、捕捉、解析网络上的数据包并作出各种相应的参考数据分析；其既可以是一种软件也可以是一种硬件。硬件的网络嗅探器也称为协议分析器，是一种监视网络数据运行的设备，协议分析器既能用于合法网络管理也能用于窃取网络信息，但协议分析器价格非常昂贵。狭义的网络嗅探器是指软件嗅探器，由于简单实用，目前对于软件网络嗅探器的研究Et益成为热点。将网络接口卡NIC (Network Interface Card)设置为杂收模式，嗅探器程序就有了捕获经过网络传输报文的能力。 网络嗅探器的基本原理 网络嗅探器通常由4部分组成。1)网络硬件设备。2)监听驱动程序。截获数据流，进行过滤并把数据存人缓冲区。3)实时分析程序。实时分析数据帧中所包含的数据，目的是发现网络性能问题和故障，与入侵检测系统不同之处在于它侧重于网络性能和故障方面的问题，而不是侧重发现黑客行为。4)解码程序。将接收到的加密数据进行解密，构造自己的加密数据包并将其发送到网络中。 网络嗅探器作为一种网络通讯程序，是通过对网卡的编程实现网络通讯的，对网卡的编程使用通常的套接字(socket)方式进行 。但通常的套接字程序只能响应与自己硬件地址相匹配的，或是以广播形式发出的数据帧，对于其他形式的数据帧，如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址后将不引起响应，即应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包。显然，要达到此目的就不能再让网卡按通常的模式工作，而必须将其设置为混杂模式。 现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，就是某个主机A如果要发送一个主机给B，其不是一对一的发送，而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下，只有主机B才会接收这个数据包。其他主机在收到数据包的时候，看到这个数据库的目的地址跟自己不匹配，就会把数据包丢弃掉。但是，若此时局域网内有台主机C，其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配，就会接收这个数据包，并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。 　在以太网内部传输数据时，包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上，如网线或者光纤。此时，发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后，这台主机的网卡会先接收这个数据包，进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话，就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话，就会把数据包交给上层进行后续的处理。在这种工作模式下，若把主机设置为监听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。“Ethernet II”协议； 网络层对应“IP”协议； 传输层对应“TCP”协议； 下面我们就分别对这三层协议做详细解释。 以太网数据包结构 Ethernet II的协议结构为： 7 1 6 6 2 46-1500bytes 4 Pre SFD DA SA Length Type Data unit + pad FCS 下图是Iris对Ethernet II协议解码后的内容 字段 说明 Destination address DA，目标MAC地址6 字节 Source addresses SA，源MAC地址6 字节 Protocol Length Type，承载的上层协议类型 Data unit + pad，数据字段（46-1500bytes） FCS检验（4bytes） MAC地址： MAC地址为16进制编码，在解码中可以将前3 bytes代表厂商的字段翻译出来，方便定位问题，如网络上有两台设备IP地址冲突，可以通过厂商信息方便的将故障设备找到，如00e04C为TP-LINK，000AKB为迅捷，00A0C9为Intel等等，此资料可参见科来软件提供的Ethernet Codes master page (Ethernet.txt)。 上层协议： Ethernet II 承载的上层协议主要包括0x800为IP协议和0x