第5章

網(wǎng)絡(luò)監(jiān)聽攻防5內(nèi)容介紹網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)知識網(wǎng)絡(luò)監(jiān)聽技術(shù)網(wǎng)絡(luò)監(jiān)聽的防范25.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)3“水門事件”1972年6月17日凌晨，有5個人企圖潛入位于華盛頓水門大廈的美國民主黨總部時被警方抓獲。他們潛入水門大廈是為了更換此前被安放在民主黨總部但已失效的竊聽設(shè)備，不料當(dāng)場被擒。經(jīng)過兩年的調(diào)查，“水門事件”終于暴露了尼克松在1972年利用非法手段贏得總統(tǒng)連任的政治丑聞，尼克松的兩名競選顧問和其他近30名政府官員先后遭到起訴，尼克松也在強大的壓力下于1974年8月9日辭職，成為美國歷史上唯一一位辭職的總統(tǒng)。4斯諾登事件——棱鏡門2013年6月，美國中央情報局前雇員愛德華?斯諾頓披露了美國國家安全局主導(dǎo)的“棱鏡”項目，自2007年開始實施的絕密電子監(jiān)聽計劃：一方面是監(jiān)視、監(jiān)聽民眾電話的通話記錄，要求電信巨頭威瑞森公司必須每天上交數(shù)百萬用戶的通話記錄；另一方面是通過進入微軟、谷歌、蘋果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。10月份，美國情報機構(gòu)又被曝出曾監(jiān)聽至少35名國際政要的電話。55.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)1．網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽，又叫網(wǎng)絡(luò)嗅探顧名思義這是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽技術(shù)對于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍目前只限于局域網(wǎng)，在目前以以太網(wǎng)為主的局域網(wǎng)環(huán)境下，網(wǎng)絡(luò)監(jiān)聽技術(shù)具有原理簡單、易于實現(xiàn)、難以被察覺的優(yōu)勢。它是主機的一種工作模式，主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。65.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)2．相關(guān)網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點到點。廣播式網(wǎng)絡(luò)傳輸技術(shù)點到點網(wǎng)絡(luò)傳輸技術(shù)點對點傳輸網(wǎng)絡(luò)拓撲構(gòu)型主要有4種:星形、樹型、環(huán)型和網(wǎng)狀型。75.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)3．網(wǎng)卡的四種工作模式廣播模式：物理地址（MAC）地址是0xffff-ffff-ffff的幀為廣播幀。該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。組播傳送地址作為目的物理地址的幀，可以被組內(nèi)的其它主機同時接收，而組外主機卻接收不到。但是，如果將網(wǎng)卡設(shè)置為組播傳送模式，它可以接收所有的組播傳送幀，而不論它是不是組內(nèi)成員。直接模式：在這種模式下，網(wǎng)卡只接收目的地址是自己Mac地址的幀?；祀s模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其目的MAC地址是什么。85.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)實例：用Ethereal嗅探sina郵箱密碼U=hack_tesingPsw=hacktesting95.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)4．網(wǎng)絡(luò)監(jiān)聽（Sniffer）的分類Sniffer這個名稱最早是一種網(wǎng)絡(luò)監(jiān)聽工具的名稱，后來其也就成為網(wǎng)絡(luò)監(jiān)聽的代名詞。在最初的時候，它是作為網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的一種工具。實際應(yīng)用中的嗅探器分軟、硬兩種。軟件嗅探器便宜易于使用，缺點是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片)，也就可能無法全面了解網(wǎng)絡(luò)的故障和運行情況；硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件嗅探器所欠缺的，但是價格昂貴。目前主要使用的嗅探器是軟件的。105.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)5．Sniffer軟件的主要工作機制需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊，作為網(wǎng)卡驅(qū)動與上層應(yīng)用的“中間人”。它將網(wǎng)卡設(shè)置成混雜模式從上層Sniffer接收下達的各種抓包請求，對來自網(wǎng)卡驅(qū)動程序的數(shù)據(jù)幀進行過濾最終將符合Sniffer要求的數(shù)據(jù)返回給Sniffer鏈路層的網(wǎng)卡驅(qū)動程序上傳的數(shù)據(jù)幀就有了兩個去處：正常的協(xié)議棧分組捕獲即過濾模塊對于非本地的數(shù)據(jù)包，前者會丟棄（通過比較目的IP地址），而后者則會根據(jù)上層應(yīng)用要求來決定上傳還是丟棄.11Sniffer軟件的主要工作機制許多操作系統(tǒng)都提供這樣的“中間人”機制，即分組捕獲機制。在UNIX類型的操作系統(tǒng)中，主要有3種：BSD系統(tǒng)中的BPF(BerkeleyPacketFilter)SVR4中的DLPI(DateLinkInterface)Linux中的SOCK_PACKET類型套接字在Windows平臺上主要有NPF過濾機制。目前大部分Sniffer軟件都是基于上述機制建立起來的。如著名的Sniffer軟件Tcpdump等。125.1網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)6．網(wǎng)絡(luò)監(jiān)聽的功能與危害現(xiàn)在的Sniffer技術(shù)發(fā)展比較成熟，可以協(xié)助網(wǎng)絡(luò)管理員測試網(wǎng)絡(luò)數(shù)據(jù)通信流量、實時監(jiān)控網(wǎng)絡(luò)。然而事情往往都有兩面性，Sniffer的隱蔽性非常好，它只是“被動”的接收數(shù)據(jù)，所以在傳輸數(shù)據(jù)的過程中，根本無法察覺到有人在監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽給網(wǎng)絡(luò)維護提供便利同時，也給網(wǎng)絡(luò)安全帶來了很大隱患。135.2網(wǎng)絡(luò)監(jiān)聽技術(shù)5.2.1局域網(wǎng)中的硬件設(shè)備簡介5.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)5.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)145.2.1局域網(wǎng)中的硬件設(shè)備簡介1．集線器(Hub)集線器的原理集線器是一種重要的網(wǎng)絡(luò)部件，主要在局域網(wǎng)中用于將多個客戶機和服務(wù)器連接到中央?yún)^(qū)的網(wǎng)絡(luò)上。集線器屬于物理層設(shè)備。集線器的工作特點首先是集線器只是一個多端口的信號放大設(shè)備；其次集線器只與它的上聯(lián)設(shè)備(如上層Hub、交換機或服務(wù)器)進行通信，同層的各端口之間不會直接進行通信，而是通過上聯(lián)設(shè)備再將信息廣播到所有端口上。15集線器用集線器組建的局域網(wǎng)示意圖D-LINKDES-1024D24PORT165.2.1局域網(wǎng)中的硬件設(shè)備簡介2．交換機（Switch）交換機的原理交換機在局域網(wǎng)的環(huán)境下，工作在比集線器更高一層的鏈路層上。交換機被定義成一個能接收發(fā)來的信息幀，加以暫時存儲，然后發(fā)到另一端的網(wǎng)絡(luò)部件，其本質(zhì)上就是具有流量控制能力的多端口網(wǎng)橋。

交換機的工作特點把每個端口所連接的網(wǎng)絡(luò)分割為獨立的LAN，每個LAN成為一個獨立的沖突域。每個端口都提供專用的帶寬。這是交換機與集線器的本質(zhì)區(qū)別，集線器不管有多少端口，都是共享其全部帶寬。轉(zhuǎn)發(fā)機制。交換機維護有每個端口對應(yīng)的地址表，其中保存與該端口連接的各個主機的MAC地址。17交換機用交換機組建的局域網(wǎng)示意圖CISCOWS-C2950-24交換機185.2網(wǎng)絡(luò)監(jiān)聽技術(shù)5.2.1局域網(wǎng)中的硬件設(shè)備簡介5.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)5.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)19什么是共享式局域網(wǎng)共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波檢測多路偵聽（Carries SenseMultipleAccesswithCollision Detection，簡稱CSMA/CD）機制來進行傳輸控制。共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因為集線器不能識別幀，所以它就不知道一個端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機都可以收到這些幀。20共享式局域網(wǎng)的監(jiān)聽的工作原理在正常的情況下，網(wǎng)卡應(yīng)該工作在廣播模式、直接模式，一個網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：與自己的MAC地址相匹配的數(shù)據(jù)幀發(fā)向所有機器的廣播數(shù)據(jù)幀但如果共享式局域網(wǎng)中的一臺主機的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的話，那么，對于這臺主機的網(wǎng)絡(luò)接口而言，任何在這個局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦牭降?。主機的這種狀態(tài)也就是監(jiān)聽模式。處于監(jiān)聽模式下的主機可以監(jiān)聽到同一個網(wǎng)段下的其他主機發(fā)送信息的數(shù)據(jù)包。21共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法在共享式局域網(wǎng)中，集線器會廣播所有數(shù)據(jù)，這時，如果局域網(wǎng)中一臺主機將網(wǎng)卡設(shè)置成混雜模式，它就可以接收到該局域網(wǎng)中的所有數(shù)據(jù)了。共享式局域網(wǎng)監(jiān)聽示意圖。22共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法正常工作時，應(yīng)用程序只能接收到以本主機為目標(biāo)主機的數(shù)據(jù)包，其他數(shù)據(jù)包過濾后被丟棄不做處理。該過濾機制可以作用在鏈路層、網(wǎng)絡(luò)層和傳輸層這幾個層次，工作流程如圖所示：23共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法通過混雜模式嗅探到的數(shù)據(jù)包上傳到網(wǎng)絡(luò)層之后，網(wǎng)絡(luò)層處理程序還要對其目的IP地址進行判斷，如果不是本地IP，則丟棄。這時如果沒有一個特定的機制，上層應(yīng)用也無法抓到本不屬于自己的“數(shù)據(jù)包”。這就需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊，它將網(wǎng)卡設(shè)置成混雜模式，并從監(jiān)聽軟件接收下達的各種抓包請求，對來自網(wǎng)卡驅(qū)動程序的數(shù)據(jù)幀進行過濾，最終將符合監(jiān)聽軟件要求的數(shù)據(jù)返回給監(jiān)聽軟件Sniffer。有了驅(qū)動模塊，鏈路層的網(wǎng)卡驅(qū)動程序上傳的數(shù)據(jù)幀就有了兩個去處：一個是正常的協(xié)議棧，另一個就是分組捕獲即過濾模塊。對于非本地的數(shù)據(jù)包，前者會丟棄（通過比較目的IP地址），而后者則會根據(jù)上層應(yīng)用的要求來決定上傳還是丟棄，如圖所示。24共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法在實際應(yīng)用中，監(jiān)聽時存在不需要的數(shù)據(jù)，嚴重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽模塊過濾機制的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵。信息的過濾包括以下幾種：站過濾，協(xié)議過濾，服務(wù)過濾，通用過濾。根據(jù)過濾的時間，可以分為兩種過濾方式：捕獲前過濾（只捕獲滿足條件的數(shù)據(jù)包）、捕獲后過濾（捕獲所有數(shù)據(jù)包，根據(jù)條件只顯示滿足條件數(shù)據(jù)包）。25嗅探軟件開發(fā)庫包捕獲和過濾模塊是在內(nèi)核層工作的，具體實現(xiàn)依賴于操作系統(tǒng)?；谙到y(tǒng)移植考慮，希望用戶程序可以不依賴于具體的操作系統(tǒng)，這就需要提供這樣的庫：建立在包捕獲和過濾模塊之上，依賴于操作系統(tǒng)；但提供了一套于操作系統(tǒng)無關(guān)的調(diào)用接口供用戶程序使用，用戶程序通過它與內(nèi)核部分通信，同時獨立于具體的操作系統(tǒng)。26嗅探軟件開發(fā)庫(1)基于UNIX系統(tǒng)的開發(fā)庫libpcap對開發(fā)者而言，網(wǎng)卡驅(qū)動程序和BPF捕獲機制是透明的，系統(tǒng)中最主要的部分是libpcap。其工作:向用戶程序提供一套功能強大的抽象接口，根據(jù)用戶要求生成過濾指令，管理用戶緩沖區(qū)，并負責(zé)用戶程序和內(nèi)核的交互。libpcap隱藏了用戶程序和操作系統(tǒng)內(nèi)核交互的細節(jié)，開發(fā)者只需要使用其提供的功能函數(shù)即可?；贐SD系統(tǒng)的監(jiān)聽程序結(jié)構(gòu)27嗅探軟件開發(fā)庫(2)基于Windows系統(tǒng)的開發(fā)庫WinPcapWinPcap是基于Windows操作系統(tǒng)環(huán)境下的Libpcap，其在監(jiān)聽程序中起的作用和UNIX系統(tǒng)下的libpcap類似。但是比libpcap多一些功能，如WinPcap可以發(fā)送數(shù)據(jù)，但是libpcap則不行。WinPcap（windowspacketcapture）是一個Win32平臺下用于抓包和分析的系統(tǒng)。包括一個內(nèi)核級別的packetfilter，一個底層的DLL(packet.dll)一個高級的獨立于系統(tǒng)的DLL（Wpcap.dll）28嗅探軟件開發(fā)庫WinPcap的架構(gòu)內(nèi)核級的數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序可把設(shè)備驅(qū)動增加在Windows，它直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包，不加修改地傳遞給運行在用戶層的應(yīng)用程序，也允許用戶發(fā)送原始數(shù)據(jù)包。低級動態(tài)連接庫packet.dll運行在用戶層，把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序隔離開，使得應(yīng)用程序可以不加修改地在不同Windows系統(tǒng)上運行。高級系統(tǒng)無關(guān)庫Wpcap.dll它和應(yīng)用程序編譯在一起，它使用低級動態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口，不同Windows平臺上的高級系統(tǒng)無關(guān)庫是相同的。29WinPcap的架構(gòu)305.2網(wǎng)絡(luò)監(jiān)聽技術(shù)5.2.1局域網(wǎng)中的硬件設(shè)備簡介5.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)5.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)315.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)什么是交換式局域網(wǎng)交換式以太網(wǎng)就是用交換機或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機的哪個端口。因為端口間的幀傳輸彼此屏蔽，因此節(jié)點就不擔(dān)心自己發(fā)送的幀會被發(fā)送到非目的節(jié)點中去。產(chǎn)生交換式局域網(wǎng)的原因：系統(tǒng)管理人員常常通過在本地網(wǎng)絡(luò)中加入交換設(shè)備，來預(yù)防sniffer(嗅探器)的侵入。交換機工作在數(shù)據(jù)鏈路層，工作時維護著一張MAC地址與端口的映射表CAM表。映射表中記錄著交換機每個端口綁定的MAC地址。不同于HUB的報文廣播方式，交換機轉(zhuǎn)發(fā)的報文是一一對應(yīng)的。325.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽的困擾。但是交換機的安全性也面臨著嚴峻的考驗，隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來實現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽：溢出攻擊ARP欺騙（常用技術(shù)）溢出攻擊原理：交換機工作時要維護一張MAC地址與端口的映射表。但是用于維護映射表的內(nèi)存是有限的。如用大量錯誤的MAC地址數(shù)據(jù)幀對交換機進行攻擊，交換機就可能出現(xiàn)溢出。這時交換機就會退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容易了。3334ARP欺騙dsniff和parasite等交換式局域網(wǎng)中的嗅探工具就是利用ARP欺騙來實現(xiàn)的。ARP欺騙具體過程會在欺騙攻擊章節(jié)講解。在這里大家只要知道，通過ARP欺騙，攻擊者可以成為被攻擊者與交換機之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。ARP欺騙示意圖見下頁。35ARP欺騙365.2.4網(wǎng)絡(luò)監(jiān)聽工具賞析常用的網(wǎng)絡(luò)監(jiān)聽工具Tcpdump/WindumpNgrepEthereal/WiresharkSnifferProNetXray網(wǎng)絡(luò)監(jiān)聽工具完成的功能大部分相同，這里以Wireshark為例。37Wireshark簡介Ethereal是一個有名的網(wǎng)絡(luò)端口探測器，可以在Linux、Solaris、Windows等多種平臺運行，它主要是針對TCP/IP協(xié)議的不安全性對運行該協(xié)議的機器進行監(jiān)聽。其功能是在一個共享的網(wǎng)絡(luò)環(huán)境下對數(shù)據(jù)包進行捕捉和分析，還能夠自由地為其增加某些插件以實現(xiàn)額外功能。2006年6月8號,Ethereal軟件的創(chuàng)始人GeraldCoombs宣布了一則通知:我離開了NIS公司(Ethereal所屬公司),現(xiàn)加入CaceTech公司(Winpcap所屬的公司)。由于Coombs最終沒有與NIS公司達成協(xié)議,Coombs想保留Ethereal商標(biāo)權(quán),因此Ethereal改名為Wireshark。Wireshark官網(wǎng)：

/38Wireshark簡介系統(tǒng)安裝在安裝Wireshark時，要同時安裝Winpcap，它是提供Windows系統(tǒng)所需要的封包捕獲驅(qū)動程序。支持很多通訊接口（如Ethernet、Token-ring、X.25等）及封包類型（如ARP、TCP、UDP等），可以組合TCP上的封包且顯示出以ASCII或是EBCDIC型態(tài)的數(shù)據(jù)（TCPStream），所捕獲的封包可以被儲存。freeware免費開源軟件。數(shù)據(jù)可以用CaptureFilter（捕獲前過濾）和DisplayFilter（捕獲后過濾）找出想要的封包（可以用Filter顯示自己要的封包）。39Wireshark簡介Capturefilter（捕獲前過濾）在抓取封包前就要設(shè)定，用來設(shè)定抓取封包時的條件。好處:可以選擇要抓取的封包。Examples:tcptcporudptcp||udp（此過濾規(guī)則是上一條的不同寫法）tcpandip.addr=4Displayfilter（捕獲后過濾）在抓取封包結(jié)束后要顯示的時候才要設(shè)定，用來設(shè)定顯示封包時的條件好處:可以選擇要看的封包Example:同Capturefiltertcp.port==80tcpport80（此過濾規(guī)則是上一條的不同寫法）40Wireshark使用簡介首先大家可以去官網(wǎng)上下載最新的版本，也可以下載到以前發(fā)布的舊版本。安裝完成之后，將進入如圖所示的wireshark運行開始界面（以Wireshark1.12.4為例）。41Wireshark使用簡介wireshark是捕獲機器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機器上有多塊網(wǎng)卡的時候，你需要選擇一個網(wǎng)卡。點擊InterfacesList或點擊Caputre->Interfaces..出現(xiàn)下面對話框，選擇正確的網(wǎng)卡。42Wireshark使用簡介如果您的電腦上有多塊網(wǎng)卡，您可以首先點擊captureoptions查看有哪些網(wǎng)卡可以獲取流量。確定好用來抓取流量的網(wǎng)卡，注意網(wǎng)卡一定要選中混雜模式usepromiscuousmodeonallinterfaces，否則無法獲取內(nèi)網(wǎng)的其他信息。如果要獲取內(nèi)網(wǎng)的所有信息，capturefilter為空。然后點start，開始捕獲數(shù)據(jù)包。

捕獲前過濾43wireshark

抓包主界面

菜單欄，用于開始操作

主工具欄,提供快速訪問菜單中經(jīng)常用到的項目的功能

過濾工具欄,實現(xiàn)捕獲后過濾顯示PacketList面板，顯示捕獲數(shù)據(jù)包的摘要。

Packetdetail面板，顯示在Packetlist中選擇包的更多詳情。

Packetbytes面板，顯示您在Packetlist面板選擇的包的數(shù)據(jù)。

狀態(tài)欄，顯示當(dāng)前程序狀態(tài)44封包詳細信息(PacketDetailsPane)這個面板用來查看協(xié)議中的每一個字段。Frame:

物理層的數(shù)據(jù)幀概況;Ethernet

II:

數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息;InternetProtocolVersion4:

互聯(lián)網(wǎng)層IP包頭部信息;TransmissionControlProtocol:

傳輸層T的數(shù)據(jù)段頭部信息;HypertextTransferProtocol:

應(yīng)用層的信息，此處是HTTP協(xié)議.45包的具體內(nèi)容46wireshark

抓包捕獲后過濾47過濾表達式的規(guī)則表達式規(guī)則

1.協(xié)議過濾比如TCP，只顯示TCP協(xié)議。2.IP過濾ip.src==12,顯示源地址為12，ip.dst==12,目標(biāo)地址為123.端口過濾tcp.port==80,

端口為80的tcp.srcport==80,

只顯示TCP協(xié)議的愿端口為80的。4.Http模式過濾http.request.method=="GET",

只顯示HTTPGET方法的。5.邏輯運算符為AND/OR48實例分析TCP三次握手過程打開wireshark,打開瀏覽器輸入

在wireshark中輸入http過濾，然后選中GET/su?wd=&action=opensearch&ie=utf-8HTTP/1.1的那條記錄，右鍵然后點擊"FollowTCPStream"49第一次握手數(shù)據(jù)包客戶端發(fā)送一個TCP，標(biāo)志位為SYN，序列號為0，代表客戶端請求建立連接。如下圖50第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認包,標(biāo)志位為SYN,ACK.將確認序號(AcknowledgementNumber)設(shè)置為客戶的ISN加1以.即0+1=1,如下圖51第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認包(ACK)SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且將ISN的+1,如下圖:52網(wǎng)絡(luò)監(jiān)聽FTP明文口令實驗網(wǎng)絡(luò)監(jiān)聽FTP明文口令實驗FTP工具：FileZilla/index.php客戶端軟件：FileZilla免費/download.php?type=client服務(wù)器端軟件：FileZillaServer/download.php?type=server5.3網(wǎng)絡(luò)監(jiān)聽的防范5.3.1通用策略5.3.2共享式網(wǎng)絡(luò)下的防監(jiān)聽5.3.3交換式網(wǎng)絡(luò)下的防監(jiān)聽545.3.1通用策略由于嗅探器是一種被動攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。通用的防御措施：網(wǎng)絡(luò)分段會話加密55網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段目的：將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離。網(wǎng)絡(luò)分段越細，嗅探器能夠收集的信息就越少。將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個網(wǎng)段的集線器被連接到一個交換器(Switch)上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩余部分（不在同一網(wǎng)段）便被保護了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過的：交換機、路由器、網(wǎng)橋?？梢酝ㄟ^靈活的運用這些設(shè)備來進行網(wǎng)絡(luò)分段。以交換式集線器代替共享式集線器56會話加密一種是建立各種數(shù)據(jù)傳輸加密通道正常的數(shù)據(jù)都是通過事先建立的通道進行傳輸?shù)?，如果對通道加密，則以往許多應(yīng)用協(xié)議中明文傳輸?shù)馁~號、口令的敏感信息將受到嚴密保護。目前的數(shù)據(jù)加密通道方式主要有SSH、SSL(SecureSocketLayer，安全套接字應(yīng)用層)和VPN。一種是對于數(shù)據(jù)內(nèi)容的加密主要采用目前被證實的較為可靠的加密機制對互聯(lián)網(wǎng)上傳輸?shù)奈募蛿?shù)據(jù)進行加密。例如郵件加密機制PGP同時注意重點區(qū)域的安全防范：比如網(wǎng)關(guān)、交換機、路由器等設(shè)備575.3網(wǎng)絡(luò)監(jiān)聽的防范5.3.1通用策略5.3.2共享式網(wǎng)絡(luò)下的防監(jiān)聽5.3.3交換式網(wǎng)絡(luò)下的防監(jiān)聽585.3.2共享式網(wǎng)絡(luò)下的防監(jiān)聽雖然共享式局域網(wǎng)中的嗅探很隱蔽，但是可以通過以下兩個特征來檢測網(wǎng)絡(luò)中是否有人在進行嗅探：網(wǎng)絡(luò)通訊丟包率非常高網(wǎng)絡(luò)帶寬出現(xiàn)反常檢測技術(shù)網(wǎng)絡(luò)和主機響應(yīng)時間測試ARP檢測（如AntiSniffer工具）595.3.2共享式網(wǎng)絡(luò)下的防監(jiān)聽1.網(wǎng)絡(luò)和主機響應(yīng)時間測試測試原理：處于非監(jiān)聽模式的網(wǎng)卡提供了一定的硬件底層過濾機制，即目標(biāo)地址為非本地(廣播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。這種情況下驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量對操作系統(tǒng)的影響很小。而處于混雜模式下的機器則缺乏底層的過濾，驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量會對該機器造成較明顯的影響。實現(xiàn)方法：利用