sniffer嗅探器基本知识.pptxVIP

学 海 无 涯 嗅探器 百科名片 嗅探器保护网络 嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理 也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流 量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数 据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它 实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。 目录 简介 网络技术与设备简介 网络监听原理 Snifffer 的分类 网络监听的目的 编辑本段简介 嗅探器最初由 Network General 推出，由 Network Associates 所有。 最近，Network Associates 决定另开辟一个嗅探器产品单元，该单元组成 一家私有企业并重新命名为 Network General，如今嗅探器已成为 Network General 公司的一种特征产品商标，由于专业人士的普遍使用，嗅探器广泛 应用于所有能够捕获和分析网络流量的产品。 编辑本段网络技术与设备简介 在讲述 Sniffer 的概念之前，首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分 组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件 进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在 目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并 告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程 中，存在安全方面的问题。 学 海 无 涯 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地 表示了网络上的机器（这一点与 Internet 地址系统比较相似）。当用户发 送一个数据包时，这些数据包就会发送到 LAN 上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不 属于自己的数据包则不予响应（换句话说，工作站 A 不会捕获属于工作站 B 的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂 模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有 的数据包和帧。 编辑本段网络监听原理 Sniffor 程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太 网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模 式，它就能接收传输在网络上的每一个信息包。 普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地 主机的信息包。要使 Sniffer 能接收并处理这种方式的信息，系统需要支持 BPF，Linux 下需要支持 SOCKET-PACKET。但一般情况下，网络硬件和 TCP／ IP 堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标 准的 TCP／IP 堆栈，网卡就必须设置为混杂模式。一般情况下，要激活这种 方式，内核必须支持这种伪设备 BPFilter，而且需要 root 权限来运行这种 程序，所以 Sniffer 需要 root 身份安装，如果只是以本地用户的身份进入 了系统，那么不可能嗅探到 root 的密码，因为不能运行 Sniffer。 基于 Sniffer 这样的模式，可以分析各种信息包并描述出网络的结构和 使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存 在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成 为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。 编辑本段 Snifffer 的分类 Sniffer 分为软件和硬件两种，软件的 Sniffer 有 NetXray、Packetboy、 Net Monitor、Sniffer Pro、WireShark、WinNetCap 等，其优点是物美价廉， 易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些 情况下也就无法真正了解网络的故障和运行情况。硬件的 Sniffer 通常称为 协议分析仪，一般都是商业性的，价格也比较贵。 实际上本章所讲的 Sniffer 指的是软件。它把包抓取下来，然后打开并 查看其中的内容，可以得到密码等。Sniffer 只能抓取一个物理网段内的包， 就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点 很重要。所以，对一般拨号上网的用户来说，是不可能利用 Sniffer 来窃听 到其他人的通信内容的。 编辑本段网络监听的目的 当一个黑客成功地攻陷了一台主机，并拿到了 root 权限，而且还想利 用这