安全防护与入侵检测课件.pptVIP

安全防护与入侵检测

SnifferPro网络管理与监视Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。

网络技术与设备简介数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。

每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。

网络监听原理Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包

普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF。但一般情况下，网络硬件和TCP／IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。

Sniffer产品的基本功能包括功能1）网络安全的保障与维护2)面向网络链路运行情况的监测3)面向网络上应用情况的监测4）强大的协议解码能力，用于对网络流量的深入解析

实时监控统计和告警功能根据用户习惯，Sniffer可提供实时数据或图表方式显示统计结果，统计内容包括：网络统计：如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。协议统计：如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。差错统计：如错误的CRC校验数、发生的碰撞数、错误帧数等。站统计：如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。帧长统计：如某一帧长的帧所占百分比，某一帧长的帧数等。当某些指标超过规定的阈值时，Sniffer可以自动显示或采用有声形式的告警。Sniffer可根据网络管理者的要求，自动将统计结果生成多种统计报告格式，并可存盘或打印输出。

Sniffer实时专家分析系统Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(ExpertSystem)。简单地说，Sniffer能自动实时监视网络，捕捉数据，识别网络配置，自动发现网络故障并进行告警，它能指出：网络故障发生的位置，以及出现在OSI第几层。网络故障的性质，产生故障的可能的原因以及为解决故障建议采取的行动。Sniffer还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。

SnifferPro的登录与界面File-selectsettings

SnifferPro报文的捕获与解析

基本捕获条件基本的捕获条件有两种：1)链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。2)IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：。如果选择IP层捕获条件则ARP等报文将被过滤掉，如图5.3所示。

高级捕获条件在“Advance”页面下，你可以编辑你的协议捕获条件

任意捕获条件

捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率

捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。对于捕获的