网络嗅探完整版.docVIP

网

网

络

嗅

探

本章目标

了解网络嗅探的基本原理能够使用SnifferPro对网络的运行状况进行监对网络的运行状况进行控能够使用SnifferPro捕获以太网和无线局域网捕获以太网和无线局域的数据包能够定义SnifferPro捕获过滤器过滤数据包捕获过滤器过滤数据包能够使用Ethereal捕获以太网的数据包能够定义Ethereal的显示过滤器过滤数据包能够定义TcpDump捕获过滤器过滤数据包能够使用Cain嗅探和恢复口令和

本章内容

3.3

3.3

Ethereal

3.1网络嗅探概述

对黑客来说，通过嗅探技术能以非常隐蔽的方式捕获网络中传输的大量的敏感信息。

与主动扫描相比，嗅探行为更难以被察觉，也更容易操作对于安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并及时发现各种网络攻击行为

3.1网络嗅探概述

——网络嗅探原理

将本地网络接口设成混杂模式

（Promiscuous），则该网络接口对所收到的每一个数据帧都产生一个硬件中断，以提醒操作系统处理流经该物理介质上的每一个报文帧，以达到捕获网络中每个数据帧的目的

3.2SnifferPro

SnifferPro简介使用SnifferPro监控网络使用SnifferPro捕获网络数据包使用SnifferPro捕获特定的数据包使用SnifferPro捕获无线网络数据包

3.2.1简介

SnifferPro是一个功能强大的网络可视化工具分为两大功能模块

?监视?捕获

3.2.2使用SnifferPro监控网络

主界面

主界面

3.2.2使用SnifferPro监控网络（续）

3.2.2使用SnifferPro监控网络（续）

3.2.2使用SnifferPro监控网络（续）

主工具栏

主机表

流量矩阵:连线的两台主机表示有数据流量，线越粗代表流量越大

应用程序响应时间：可分析服务器响应客户端的延时，以及服务器的建康状况

历史采样：对网络的使用状况进行分析，包括数据包/S丢弃/s校验错/秒

协议分布：显示网络流量中各种协议的分部状况，包括各个协议的字节数，占总字节百分比。数据包的流量占总数据包数量的百分比

全局统计数据

警报记录

捕获窗口：可查看捕获的数据包的流量以及缓存的使用率

地址簿：可查看主机名，IP地址mac地址

使用SnifferPro

3.2.3 捕获网络数据包

3.2.3使用SnifferPro捕获网络数据包（续）

查看捕获的数据

可以看到主机33向38发送了DNS查询，查询地址为，然后主机10.1向10.233回复了网络不可达的信息，然后10.233向0.20查询信息。由此可知10.1为网

关，219.138和0.20是DNS

3.2.4使用SnifferPro捕获特定的数据包

定义捕获过滤器：（打开定义过滤器）配置文件

(profiles)－捕获配置文件(captureprofiles)-新建

(new)-DNS-OK-完成

3.2.4使用SnifferPro捕获特定的数据包（续）

定义捕获过滤器（续）

标签栏高级－IP-UDP-DNS－确定

3.2.5使用SnifferPro捕获无线网络数据包

被SnifferPro支持的无线网卡

ORiNOCOGoldAdapter

EnterasysAdapter

Spectrum24Adapter

CiscoAironetAdapter

3.2.5使用SnifferPro捕获无线网络数据包（续）

3.2.5使用SnifferPro捕获无线网络数据包（续）

3.2.5使用SnifferPro捕获无线网络数据包（续）

安装驱动程序

新建网络配置

设置无线配置

捕获和分析无线数据包

3.3Ethereal

Ethereal简介安装Ethereal使用Ethereal捕获数据包

使用Ethereal显示特定数据包

3.3.1Ethereal简介

Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件，是免费的网络协议检测程序支持各种常见的操作系统

UNIX

Linux

Windows

3.3.2安装Ethereal

Ethereal程序可以从官方网站

/免费获得Ethereal在Windows平台上运行时，需要用到WinPcap程序支持运行

3.3.3使用Ethereal捕获数据包

Ethereal主界面

3.3.3使用Ethereal捕获数据包（续）

选择网卡并开始捕获数据包

3.3.3使用Ethereal捕获数据包（续）

解码数据包

3.3.4使用Ethereal显示特定数据包

捕获完成以后，可以用显示过滤器来找到感兴趣的数