当前位置:文档之家 › 局域网中网络监听技术研究.doc

局域网中网络监听技术研究.doc

  • 格式:doc
  • 大小:611.00 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

网络监听的原理及实现技术

网络监听的原理及实现技术
安 全 管 理提 供 重 要信 息 。 使 用 网络 监 听技 术 可 以用来 监 视 网络 的
据 包 中地址 一致 的主机 才 会 对 接 收到 的 数据 包 进 行 处理 ,其 它 主 机 虽 然也 能够 收到 数据 包 。但 由于 其 I P 地 址不 一致 ,因此 并不 会对 数 据 包 进 行处 理 ,而 是简 单 的 丢弃 。但 是 。当主 机 工作 在 监 听模 式 下 时 ,无论 数 据 包 中 的 目标 地址 是 什 么 ,主 机 都会 将 数 据 包 接 收下 来 ,不过 也是 只能 接收 那些 经过 自 己网络 接 1 3的数据 包 。 在 互联 网上 有很 多使 用 以太 网协 议 的局 域 网 ,根据 计 算 机 网 络 分 层 协议 ,数 据包 从 应用 层 出发 ,经传 输 层 ( 使 用T CP 或 UDP 协 议 )、网络 层 ( 使用 I P 协 议 ),再 经数 据链 路层 。最 后在物 理 层 上进 行 传 输 。物 理 层 只 负责 传 送信 息 流 ,不对 信 息做 任 何 处 理 , 而数 据 链 路层 和 网络 层都 需 要 数 据包 中的 地址 信 息 ,网络 层 处理 的是 l P 地址 。数据链 路层 处理 的是 物理 地址 ,l P 地 址 包含在 l P 数 据 包 的包头 ,而 物理 地址 包含 在数 据帧 的帧 头。 传输 数 据时 。包 含物 理地 址 的数 据帧 从 网络 接 1 : 3 ( 网卡 ) 发送 到 物理 的线 路 上 。同一 条物 理 链 路 上 的主 机 都能 够 接 收到 这 个 数 据 帧 。 当数 字 帧到 达 一 台 主机 的 网 络接 口时 ,正 常情 况 下 ,网 络 接 1 3读取 数 据 帧 ,进 行 目的地 址 检 查 。如 果 数据 帧 中携带 的物 理 地 : 址 是 自 己的 或者 是 广 播地 址 ,则 将数 据 帧 交给 上 层 协议 软 件 ,也 就是 l P 层 软件 。否则就 将 这个 帧丢弃 。对 于每 一个 到达 网络 接 口的 数据 帧 ,都要 进行 这个 过程 。 然 而 ,当主 机 工作 在 监 听模 式 下 时 ,所有 的数 据 帧都 将 被 接 收下 来 。然后 交给 上层 协议 软件 (  ̄ I ] I P 层) 处 理 。而且 ,就 算连 接 在 同一 条 电 缆或 集 线 器 上 的主 机 被逻 辑 地 划分 为几 个 不 同的 子 网 时 ,处 于 监 听模 式 下 的 主机 也 能 接 收到 发 向 与 自 己不在 同一 子 网 ( 使用 了不 同的掩 码 、I P 地 址和 网 关) 的 主机 的数 据包 。也 就是 说 , 在 同一 条 物 理信 道 上 传输 的所 有 信 息都 可 以被 接 收 到 。此 时 网络 监 控者 可 以再通 过 其 它 方式 对 接 收 到 的数 据包 进 行 分析 ,从 中提 取 自 己感 兴趣 的信 息 。 三 、局域 网监 听 的简单 实现 —— 嗅探器 设计 原理 嗅 探 器 是 一 种 网 络 通 讯 程 序 , 通 过 对 网 卡 使 用 套 接 字 ( S O C k e t ) 方 式 进行 编 程来 实 现 网络通 讯 。但 是 ,跟普 通 主机 处 理 网络 数 据 包 的 方式 类似 ,通 常 的 套 接字 程 序 只能 处 理 目的地 址 是 自 身物 理 地 址 的数 据 帧 或者 是 广 播 数据 帧 ,对于 其 它 数据 帧 , 即 使套 接 字 程 序 已经 在 网 络接 1 3上 接 收到 了 ,但 经 验 证 目的地 址 并 非是 本 机 地 址 ,因此 将 不对 此 种 数据 帧 进 行 处理 。 而 网络 嗅 探 器 的 目的恰 恰 在于 从 网卡 接收 所 有 经过 它 的 数 据帧 ,这 些数 据 帧

光纤通信网络窃听方法与防御对策研究

光纤通信网络窃听方法与防御对策研究

光纤通信网络窃听方法与防御对策研究随着信息技术的不断发展和网络的广泛应用,光纤通信网络已成为现代通信的主要方式之一,其信息传输速度和带宽都具有极高的优势。

然而,光纤通信网络也存在着一些安全风险,其中最重要的就是窃听攻击。

本文从光纤通信网络的窃听方式和相应的防御措施两个方面来进行深入研究。

一、光纤通信网络窃听方式1.光纤割接攻击光纤割接攻击是利用钢钻、激光或割切工具等手段将光纤缆线割断,然后将一定长度的光纤连接到窃听器上进行窃听攻击的一种方式。

光纤割接攻击手段简单,效果明显,但需要在网络覆盖区域附近进行操作,较容易被发现。

2.光纤束监听攻击光纤束监听攻击利用被动式光纤束分离器,在无需打开光缆表面开关的情况下直接实现对光信号的监听和窃取。

该攻击手段无需在现场直接操作,可以在远距离实施。

随着技术的不断进步,可以把一个分光器放到本地分光器,可以在退出企业后再行截取分光器进行监听,这就是一种非常难以发现的“内鬼”攻击方式。

3.光学电缆信号克隆攻击光学电缆信号克隆攻击利用我们在通信过程中使用的光纤光源,根据源地址和目的地址的不同,将光信号克隆一份重定向给攻击者进行监听,对于此种攻击方式,半对称密码技术可以很好的保护人们的安全,并不容易泄露,不过如果攻击者有足够的技术,完全可以通过进行光纤插入攻击来窃取信息。

4.直接光遥测攻击直接光遥测攻击也称之为反向误码分析攻击,根据反向误码分析原理实现信息窃听。

攻击者可以在光路上加入小型的光学分析仪,对信号进行捕获、解析和摆放,然后对服务端端口进行欺骗性伪装,将用户目的端口的传输数据转到攻击者的伪装端口上,从而达到窃取目的。

二、光纤通信网络防御措施为了有效防御光纤通信网络的窃听攻击,需要采取以下措施:1.光缆线路保护光缆线路应在安装时或者经检查后进行施工,确保光缆的完整性和连接情况。

应该采用防水工艺,以减小噪声和误码率,同时还应使用防护管等保护设备加强保护。

2.物理实施可以在通信线路中采用双层物理安全措施,定期对通信线路进行巡视检查,如发现线路上有痕迹等不正常情况及时报警,并进行维护。

以太网监听技术的研究与实现

以太网监听技术的研究与实现

这种情况下 B A在不 同的 网络段 , 与 显然 用上面的办法 的话 , 即使欺骗成功 , 由主机 那么 B 和主机 A之 间也无法建立 tnt e e会话, l 因为路
由器会发现地址 在 12 6 .这个 网段之内 , 9. 8 . 1 0 而
不会把 主机 A发 给主机 B的包向外转发 。如果 要实 现把这 样 的数据 包转 发 出来就 必须 使用 IM 重定 向技术 , A P 骗和IMP CP 把 R欺 C 重定向 结合在 一起 就可 以基 本实 现跨 网段欺 骗 的 目
连, 交换 机将对 每个 端 口收到数据帧进行源和 目的 M C A 地址检测 ,然后 与内部动态 的 MA C 端 口映射表进行 比较 , 若数据帧 的源 M C地址 A 不在映射表 中, 则将该 M C地址和对应接收端 A 口加入 映射 表 中 ,同时 根据 映射 表 中与 目的 M C A 地址对应 的端 口号 , 交换机把数 据帧仅从 该端 口发送出去。因此交换 机的每个端 口可平 行、 安全 、 同时地互 相传输 信息 , 它端 口的主 其 机即使将 网卡设 置为混杂模式 , 只能监 听到 也 连结在 同一端 口上主机间的数 据传输 。 2共享介质 以太网监听
CC: CCCC CC: :
器 c当掉 的 同时 ,将 机 器 B的 I 址 改 为 P地 12 6 .3 这样就可以成功的通过 2 端 口 t — 9. 8 . 1 0, 3 e l nt e到机器 A上面 ,而成 功的绕过 防火墙的 限 制。 不在同一子网慢 用了不同的掩码 、 I P地址和网 但 是如果 主机 A和主 机 C之 间的信 任关 关) 的主机 的那些信包 。 也就是说 , 同一条物理 系是建立在硬件地址的基础上 的,上面的方法 在 信道上传输的所有信 息 都可以被接 收到。 就失效 了。 这个时候还需要用 A P R 欺骗 的手段 交换式 以太网是通过交换机将网内主机相 让 主 机 A 把 自 己 的 A P缓 存 中 的 关 于 R

网络监听系统的设计与实现

网络监听系统的设计与实现

网络监听系统的设计与实现简介:随着计算机网络技术的迅速发展,网络的安全问题也显得越发重要。

网络监听技术是系统安全领域内一个非常敏感的话题,也是一项重要的技术,具有很强的现实应用背景。

网络监听是网络监测、负载分析等管理活动常用的方法,同时也是黑客非法窃取信息的手段。

网络监听工具通过网络传输介质的共享特性实现抓包,获得当前网络的使用状况,为网络管理员对网络中的信息进行实时的监测、分析提供一个合适的工具;同时也让黑客截获本网段的一些敏感信息,威胁网络安全。

目录论文总页数:30页1引言 (1)1.1课题背景 (1)1.2研究现状 (2)2网络监听技术综述 (3)2.1网络监听概念 (3)2.2以太网监听的原理 (3)2.3WinPcap的原理 (4)2.4综述 (7)3相关网络协议的分析 (7)3.1网络的原理体系结构 (7)3.2网络协议的分析与实现 (8)3.2.1链路层 (8)3.2.2网络层 (9)3.2.3传输层 (12)3.3小结 (16)4局域网监听系统的设计及实现 (16)4.1局域网监听系统的设计 (17)4.1.1功能设计 (17)4.1.2模块设计 (17)4.2局域网监听系统程序的实现 (19)4.2.1数据包的捕获 (19)4.2.2数据包的分析 (21)4.2.3数据流量的统计 (23)4.2.4实现过程中的难点和解决 (24)4.3系统程序运行 (25)结论 (27)参考文献 (27)致谢 (29)声明 (30)1引言随着Internet的迅猛发展和信息社会的到来,网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。

以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。

同时,随着人们对网络信息系统依赖的日益增强,网络正在逐渐改变人们的工作方式和生活方式,成为当今社会发展的一个主题。

但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。

网络监听技术最全面解析

网络监听技术最全面解析

编者按: 网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,但它同时又带来了信息失窃等极大隐患,也因此,网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。

网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。

然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。

网络监听在安全领域引起人们普遍注意是在94年开始的,在那一年2月间,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。

上述事件可能是互联网上最早期的大规模的网络监听事件了,它使早期网络监听从"地下"走向了公开,并迅速的在大众中普及开来。

关于网络监听常常会有一些有意思的问题,如:"我现在有连在网上的计算机了,我也有了窃听的软件了,那么我能不能窃听到微软(或者美国国防部,新浪网等等)的密码?又如:我是公司的局域网管理员,我知道hub很不安全,使用hub这种网络结构将公司的计算计互连起来,会使网络监听变得非常容易,那么我们就换掉h ub,使用交换机,不就能解决口令失窃这种安全问题了么?这是两个很有意思的问题,我们在这里先不做回答,相信读者看完全文后会有自己正确的答案。

基本概念:认清mac地址和ip地址首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。

而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。

同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址。

网络监听技术及其防范措施研究

网络监听技术及其防范措施研究
课 题 。
2 网络 监 听基 本 原 理
局 域 网 内信 息 的传 送 是 以 广 播 的 方 式 向局 域 网 内 的
所 有 主机 发 送 数 据 包 , 数 据 包 中携 带 目的 主 机 的 MAC地 址, 只有 MAC地址 与 数 据 包 中 携 带 的 M AC地 址 相 同 的
重 点研 究 了 网络 监 听技 术 及 其 防 范 措施 , 以保 障 网络 的安 全 运 行 。
关键词 : 计算机 网络; 网络监 听; 网络 安全 中图分类号 : TP 3 0 9 文献标识码 : A 文章 编 号 : 1 6 7 2 — 7 8 0 0 ( 2 0 1 4 ) 0 0 4 — 0 1 4 2 O 2
主机 才 会 接 收 数 据 包 并 作 出回 应 , 其 它 主机 将 忽 略 此 数 据
包 。 当主 机 被 人 侵 者 操 纵 处 于 监 听模 式 下 时 , 无 论 数 据 包
中 目的 主机 的 MAC地址 是 否 与 自 己 的相 匹 配 , 都 将 接 收
网络安全中 , 网 络 监 听 对 网 络 信 息 的威 胁 最 大 , 它 可 以对 计算 机 进行 监控 , 从计 算 机发 送 或 接 收 的信 息 中获 取
的 信 息 提 供 了 可 能性 】 。
( 1 ) 观 察 法 。计 算 机 不 在 监 听 模 式 下 时 , 信 息 的 传 输 及 电脑 对 信 息 的反 应 等 均 处 于 正 常 速 度 。而 当 计 算 机 处
于 监 听模 式 下 时 , 电脑 就 会 现 异 常 反 应 , 通 过 比较 观 察
或 不常 见 的进 程 出现 , 本 机 可 能 处 于 网 络 监 听模 式 下 。

网络安全实验wireshark网络监听实验

网络安全实验wireshark网络监听实验

实验报告机将写有目的的主机地址的数据包直接发向目的主机,或者当网络中的一台主机同外界的主机通信时,源主机将写有目的的主机IP地址的数据包发向网关。

但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP层交给网络接口,也就是所说的数据链路层。

网络接口不会识别IP地址的。

在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。

在祯头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址,这个48位的地址是与IP地址相对应的,换句话说就是一个IP地址也会对应一个物理地址。

对于作为网关的主机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。

而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中,也就是从网卡中发送出去传送到物理的线路上。

如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。

再当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。

这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。

当数字信号到达一台主机的网络接口时,正常状态下网络接口对读入数据祯进行检查,如果数据祯中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据祯交给IP层软件。

对于每个到达网络接口的数据祯都要进行这个过程的。

但是当主机工作在监听模式下的话,所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候,那么要是有一台主机处于监听模式,它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包,在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上,当拥有超级权限的用户要想使自己所控制的主机进入监听模式,只需要向Interface(网络接口)发送I/O控制命令,就可以使主机设置成监听模式了。

局域网中网络监听技术研究

局域网中网络监听技术研究
池 措 施
2 . 2 网络 监听 技术 原理
在 局 域 网 中普 遍 使 用 的 网 络 协 议 是 基 于 广 播 机 制
的I E E E 8 0 2 . 3协 议 , 即 以 太 网 协 议 。 以 太 网 协 议 的 主 要
特 点 是 以 厂‘ 播 的方式 发送 文件 , 在 局 域 网 中 的 主 机 很 多
据 包 直 接 发 送 给 目的 主 机 。 此 时 该 数 据 包 不 是 在 I P层
直接 发 送 , 而是 通过 数 据 链路 层 传送 到 网络接 口 , 而 网
络 接 口不 能 识 别 I P地 址 , 此 必 须 在 该 数 据 包 上加 上
以 太帧头 的信息 。 在 帧头 中有 源主机 和 目的主机 的物理 地 址 两 个 域 ,这 是 一 个 与 I P地 址 对 应 的 4 8位 地 址 , 只
I n f o r m a t i oቤተ መጻሕፍቲ ባይዱn S e c u r i t y・信 息安 全 ・网络控制
局 域 网 中网络监 听技 术研 究
兰诗 梅 李 松 ( 贵 阳 学 院 贵 州 贵 阳 5 5 0 0 0 5 )
【 摘
要 】 本 文对 网络监 听技术 的概念 、 原理及 危害进 行 了详 细分析 , 并在局 域 网 中进行 了简 单 的实 现 , 研 究 了局域
理 网 络 的 同 时 , 也 给 网 络 安 全 带 来 了 极 大 地 安 全 隐 患 当我们 将 网络端 E l 设 置成 为监 听模 式 . 就 可 以 捕 获 存 局
的生活带 米很多便 利 的同时 ,网络 安全 问题给我 们带来
r许 多 的 麻 烦 , 甚至 会给个人 、 企 业 甚 至 国 家 带 来 巨 大 的 损 火 存 局 域 网诸 多 网 络 安 全 问 题 中 , 最 常 遇 到 的 安 全 问 题 就 是 络 监 听 局 域 网采 用 广 播 方 式 , 入 侵 者 利 用 监 听 系 统 呵 以 通 过 局 域 网 中 的 接 口 捕 获 其 他 计 算 机 的 数 擗

浅谈局域网监听的原理及其防范对策

浅谈局域网监听的原理及其防范对策

中图分类 号 :T 3 3 P 9
文献标 识码 : A
文章编 号 :6 1 7 2(0 30 8 .3 1 7 — 9 一 1 ).0 20 4 2 1
Ab ta t s r c:W i ed v lp e t fc mp tr e h oo yn t r a e o d u l.d es r . t r t t e eo m n o ue c n lg ,ewokh sb c mea o bee g wod Newo k hh o t
sc ryh s enp sda e o s hetT i a il i b sdma l e rwb c sh t e r ntr gae eu t a e oe sr u ra, hs r c  ̄e i yo t a ak a t kmo i i r i b i t t es n nhd t n wo on
B才会接收这个数据包,其他主机在收到数据包的 时候, 看到这个数据库的 目的地址跟 自己不匹配, 就
主机 A的攻击者也就可以从监 听到的数 据包 中轻
易获得 了该员工的帐户和密码。 2 局域网监听的检测和防范
原 的
广播方式, 因此, 在某个广播域 ( 往往是一个企业局
域 网就 是一个 广 播域 ) 中可 以监 听到所有 的信 息包 。
1 局域 网监听 的基本 原理 和简 单实现 方式
局域网技术是 “ 把分散在一个建筑物或相邻几
个建筑物中的计算机 、 终端 、 大容量存储器的外围设
备、 控制器 、 显示器, 以及为连接其它 网络而使用的 网络连接器等相互连接起来,以很高的速度进行通 讯的手段”局域网具有设备共享、 。 信息共享、 可进行

P n P1 o L N Mo t ri 9 n i s O n e m a u e ri ci e f A ni o a d t C u t r e s r s n

计算机网络监听检测技术浅析

计算机网络监听检测技术浅析
ao g wi t e ewo k ln t h n t r wiea s s ro h r t p i e ius,i mo e s r ma y t n t r r tp, e a n t n n he n o e wo k wie a x mi ai a d t o r s a c u r i g a an td y b y Th ewo k wiea h c i e t c i u o d s o e r tp e e r h g a d n g i s a y da . e n t r r t p c e ksa sd e hn q e t ic v rwiea b h v o n t n tp wiea ff rh rd v lpme t e r a e c t me o s e a ir i i a d so r t p o u t e e e o me n ,d c e s uso rls . Ke r s n t r r tp;d s o e r t p;n t r ae y ywo d : ewo k wiea ic v rwiea ewo k s f t
收稿 日期 :0 1 0 — 8 2 1 — 4 1 修 回 日期 :0 1 0 — 8 2Fra bibliotek1 - 5 0
基金项 目 : 铜陵学院教研项 目“ 应用型本科 院校计算 机实验室网络安全研究” Jl05 基金资助. (Y O2 ) 作者简介 : 张 吴 (92 )男 , 18一 , 江苏南 京人 , 陵学 院教务处讲师 , 铜 硕士 ; 研究方 向 : 网络安全 , 全技 术 安
关键词 : 网络 监 听 ; 听 检 测 ; 络 安全 监 网
中图分类 号: P 9 T 33
文献标识码 : A
文章编 号 :6 3 12 2 1 ) 3 0 4 一 4 17 — 6 X( 0 1 O ~ o 4 o

检测和防范局域网监听方法的设计

检测和防范局域网监听方法的设计

检测和防范局域网监听方法的设计
段严兵
【期刊名称】《机械设计与制造》
【年(卷),期】2007(000)009
【摘要】文章通过对局域网监听技术的基本工作原理的研究,分析了在局域网中检测网络监听的方法,包括根据局域网内出现的异常现象检测和主动检测两个方面,详
细设计了八种常见的防范局域网监听的方法:网络分段、交换式集线器、划分VLAN(虚拟局域网)、访问控制、静态ARP(地址解析协议)、加密技术、防御软件、安全意识.
【总页数】3页(P168-170)
【作者】段严兵
【作者单位】中国刑警学院,计算机犯罪侦查系,沈阳,110035
【正文语种】中文
【中图分类】TG339
【相关文献】
1.浅谈局域网监听的原理及其防范对策 [J], 林莲芳
2.网络的攻防战--网络监听的检测技术与防范方法 [J], 薛剑;郭玉
3.局域网监听的原理、实现方法与防范措施 [J], 张芳芳
4.基于局域网的网络监听技术及其防范分析 [J], 周思吉
5.局域网的监听检测分析与设计 [J], 鄢鹏;王忠
因版权原因,仅展示原文概要,查看原文内容请购买。

局域网监听系统的设计与实现论文

局域网监听系统的设计与实现论文

局域网中的网络监听系统的设计与实现摘要随着计算机网络技术的迅速发展,网络的安全问题也显得越发重要。

网络监听技术是系统安全领域内一个非常敏感的话题,也是一项重要的技术,具有很强的现实应用背景。

网络监听是网络监测、负载分析等管理活动常用的方法,同时也是黑客非法窃取信息的手段。

网络监听工具通过网络传输介质的共享特性实现抓包,获得当前网络的使用状况,为网络管理员对网络中的信息进行实时的监测、分析提供一个合适的工具;同时也让黑客截获本网段的一些敏感信息,威胁网络安全。

数据包捕获技术是设计网络分析软件的基础,而WinPcap则是Windows系统中实现的一个优秀的包捕获架构。

文中结合该软件包的结构与功能对包捕获原理进行了详细的分析,并介绍了其在网络安全监控系统中的应用。

该系统的基本原理是通过调用WinPcap库捕获本地网络上的所有数据包,然后对数据包进行协议分析,从而可以实时地监控网络。

关键词:网络监听;WinPcap;包捕获;协议分析Design and Implementation of Network SniffingSystem in LANAbstractWith the rapid development and extensive application of computer network technology, the security problem of network becomes more important. Network sniffer is an important issue and technique in the domain of system security, so it has strong realism application background. Network sniffer is a way which is used in network monitor, load analysis; at the same time it is also a way which is used by hacker to get the information illegally. Network sniffer tools snap packets to get the network’s current status by the shared characteristic of the network transmission medium. It provides a useful tool for network manager which can help them inspect and analyze the information of network; simultaneously hackers also get some important information, so threaten system security.Packet capturing technology is the basis for designing analyzing software. WinPcap is one of the excellent packet capturing architectures under Windows. This paper analyzes packet capturing principle in detail combined with the structure and functions of the software and introduces its application in designing a network security and watch system. The fundamental principle of this system is to capture all packets of the local network using WinPcap library, and perform protocol analyzing and decoding on these packets, so can monitor the network on real-time and find its problem and alarm automatically. The result from the application in LAN also confirms that the system is steady and very effective.Key words:Network Sniffer; WinPcap; Packet capture; Protocol Analysis目录论文总页数:30页1引言 (1)1.1课题背景 (1)1.2研究现状 (2)2网络监听技术综述 (3)2.1网络监听概念 (3)2.2以太网监听的原理 (3)2.3WinPcap的原理 (4)2.4综述 (7)3相关网络协议的分析 (7)3.1网络的原理体系结构 (7)3.2网络协议的分析与实现 (8)3.2.1链路层 (8)3.2.2网络层 (9)3.2.3传输层 (12)3.3小结 (16)4局域网监听系统的设计及实现 (16)4.1局域网监听系统的设计 (17)4.1.1功能设计 (17)4.1.2模块设计 (17)4.2局域网监听系统程序的实现 (19)4.2.1数据包的捕获 (19)4.2.2数据包的分析 (21)4.2.3数据流量的统计 (23)4.2.4实现过程中的难点和解决 (24)4.3系统程序运行 (25)结论 (27)参考文献 (27)致谢 (29)声明 (30)1引言随着Internet的迅猛发展和信息社会的到来,网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。

网络监听技术

网络监听技术


停捕

止获

查设

看置
• 2、网络协议分析软件sniffer pro的配置
选择停止查看按钮会出现如下图所示对话框,选择最下面的 Decode选项卡。即可以看捕获后的数据的解码。
• 在以太网中Sniffer将系统的网络接口设定为混杂模式。 这样,它就可以监听到所有流经同一以太网网段的数 据包,而不管它的接受者或发送者是不是运行Sniffer 的主机。
2.5工具及软件选用
• 1、网络协议分析软件sniffer pro的安装 • 第一步:安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出
2.4.2 深入了解Sniffer
• Sniffer是一种常用的收集有用数据的方法,这些数据 可以是用户的账号和密码,还可以是一些商用机密数 据等。随着Internet及电子商务的日益普及,Internet 的安全也越来越受到重视。Sniffer在Internet安全隐患 中显示了很重要的作用。
• Sniffer通常运行在路由器或有路由器功能的主机上, 这样就能对大量的数据进行监控。Sniffer几乎能得到 任何以太网上传送的数据包。
2.3网络监听的实现方式
• (2)针对交换机的监听
不同于工作在物理层的集线器,交换机是工作在数据 链路层的。交换机在工作时维护着一张ARP的数据库表, 在这个库中记录着交换机每个端口所绑定的MAC地址,当 有数据报发送到交换机时,交换机会将数据报的目的MAC 地址与自己维护的数据库内的端口对照,然后将数据报发 送到“相应的”端口上,交换机转发的报文是一一对应的。 对交换机而言,仅有两种情况会发送广播方式,一是数据 报的目的MAC地址不在交换机维护的数据库中,此时报文 向所有端口转发;二是报文本身就是广播报文。因此,基 于交换机以太网建立的局域网并不是真正的广播媒体,交 换机限制了被动监听工具所能截获的数据。为了实现监听 的目的,可以采用MAC Flooding和ARP欺骗等方法。

第八讲 局域网监听的原理、实现与防范

第八讲 局域网监听的原理、实现与防范

第八讲局域网监听的原理、实现与防范一、引言随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。

由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。

而黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息。

事实上,很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息。

但另一方面,我们对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。

因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。

二、局域网监听的基本原理根据IEEE的描述,局域网技术是"把分散在一个建筑物或相邻几个建筑物中的计算机、终端、大容量存储器的外围设备、控制器、显示器、以及为连接其它网络而使用的网络连接器等相互连接起来,以很高的速度进行通讯的手段"。

局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。

目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。

1.网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。

当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。

网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。

2.在局域网实现监听的基本原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。

但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。

局域网网络监听技术概述

局域网网络监听技术概述

2 局 域 网 监 听 的 实 现 方 法
要 在局 域 网中 监 听 , 需要 主机 工 作 在 监 听 模 式 下 , 就
域 中可 以 听 到所 有 的 信 息包 。黑客 通 过信 息包 进 行 分 析 , 能 获 取 局 域 刚 中 传 输 的 一 些 重 要 信 息 。 但 另 一 方 就
监 听 流 向 机 器 X X X X X X X X的 2 端 口 ( T 的 X. I 显 示 。 并 CI
1 局 域 网 络 监 听 的 基 本 原 理
在 以太 中的一 台计算 机 要 和其 他计 算 机进 行通 信 , 在 硬件层 次上需要 具备 网卡 设备 , 软件 』 是需 要 网卡 驱 存
动 程 序 的 。网 一 般 具 有 两 种 接 收 模 式 : 混 杂 模 式 。不 管 数 据 帧 中 的 H 的 地 址 是 否 自 己 的
及 广 播 数 据 包 ( 括 组 播 数 据 包 ) 包 。 日前 的 以 太 网 工 作 方 式 足 : 要 发 送 的 数 据 包 发 往 连 将 接 在 一 起 的 所 有 主 机 , 中 包 含 着 应 该 接 受 数 据 包 的 主 机 包
由 L w e c ek lyI b rtr 发 的 一 个 免 费 的 网 络 a rn eB r ee a 0ao y开 监 听 软 件 。举 例 说 明 :
的 时 候 , 他 处 于 监 听 模 式 下 , 还 能 接 收 到 不 问 子 网 的 当 它
随 着 计 算 机 技 术 的 发 展 , 络 早 已 渗 透 到 人 们 的 I常 网 j 生 活 工 作 中 , 随 之 而 来 的 非 法 入 侵 也 一 直 威 胁 着 计 算 机 但 网 络 的 安 令 。 局 域 网 具 有 设 备 共 享 、 息 共 享 、 进 行 高 信 可 速 数 据 通 讯 和 多 媒 体 信 息 通 信 、 布 式 处 理 、 有 较 高 兼 分 具

基于局域网的网络监听技术及其防范分析

基于局域网的网络监听技术及其防范分析

基于局域网的网络监听技术及其防范分析摘要:随着现代社会人们使用网络频次的几何式增长,网络信息安全已经成为一个热点。

而作为人们使用网络的主场所,局域网技术的实施也处于一个不断的演进和发展成熟过程。

该文针对局域网络监听技术的分析,给出了加强防范局域网网络监听技术的一些方法。

为维护网络信息安全和局域网安全运行体系提出了一些建议。

关键词:网络信息安全中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)05-0990-02近年来,互联网的迅速推广和普及应用使越来越多的人认识到了网络的优势和价值。

网络中大量信息的流通和使用给人们的工作、学习和生活娱乐等都带来了极大的便利。

但是随着网络应用的不断丰富和发展,网络信息安全等问题逐渐变得越发突出。

身份泄密、信息篡改、不良信息发布等问题日益严重。

许多不法分子从中获取不法利益,对国家和个人造成各种经济损害和生活困扰,严重扰乱了正常的社会秩序。

因此,分析网络信息安全隐患,利用网络监听技术实施网络监控,减少网络的负面效果对国家和个人的影响具有非常重要的现实意义。

1 网络监听技术概述1.1 网络监听的定义监听一词在百度百科里的解释就是采取比较隐蔽的手段或设备等技术,对相应的声音或事态的发展进行探听的一种行为。

众所周知,声音可以监听,无线电可以监听,而计算机网络作为一种数字信号在实体中的传播同样是可以监听的。

网络监听也叫嗅探,既将网络上传输的数据捕获并进行分析的行为。

目前应用较广的网络监听器又叫嗅探器,英文名是sniffer,既有硬件形式,又有软件形式。

它是利用计算机的网络接口捕获目的地向其它计算机传送的数据报文的一种工具。

它最初是网络管理员用来监视网络的运行状态、数据流动以及信号传输等的管理工具。

但是黑客们也常通过该技术来对网络进行信息窃取和攻击。

1.2 网络监听的原理我们目前所熟知和广泛使用的internet互联网其实就是由众多的局域网组成,这种结构我们一般叫做以太网或令牌网。

实训7 网络监听

实训7 网络监听

实训7 网络监听实训名称:网络监听。

实训目的:掌握使用网络监听软件捕获数据包并对数据包进行分析。

技术原理:网络监听技术可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。

当信息以明文的形式在网络上传输时,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。

网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。

实现功能:利用Wireshark软件监听网络基于HTTP协议传送的数据包,并查看数据包内包含的帐户与密码信息。

实训设备:PC机2台,安装Windows XP操作系统,Wireshark软件1套,ASP源码一套。

实训步骤:1、在PC1上架设WEB服务器:(1)安装IIS。

“控制面板”—>“添加或删除程序”—>“添加或删除Windows组件”,选中“Internet信息服务(IIS)”项,点击“下一步”按钮,按提示访问系统安装盘即完成IIS 的安装。

(2)设置IIS。

“控制面板”—>“管理工具”—>“Internet 信息服务”,“本地计算机”—>“网站”—>“默认网站”,单击右键选择“属性”。

在“默认网站属性”窗口中,点选“主目录”选项卡,点击“浏览”按钮:选择ASP网站源码所在文件夹后,点击“确定”按钮。

回到“默认网站属性”窗口,点选“文档”选项卡,点击“添加”按钮。

在弹出的“添加默认文档”窗口中输入“index.asp”,点击“确定”按钮,回到“默认网站属性”窗口中,再点击“确定”按钮,完成IIS的设置。

(3)测试IIS。

运行IE浏览器,在地址栏输入本机IP地址(固定IP地址或127.0.0.1),查看是否可以正常显示网站首页内容。

2、在PC2上,运行IE浏览器,在地址栏输入WEB服务器IP地址,确认可以正常访问网站。

3、在PC2上运行Wireshark软件(如本机没有安装WinPcap_4_1_1,软件会自动提示安装),进到主界面。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

局域网中网络监听技术研究作者:兰诗梅李松来源:《信息安全与技术》2013年第05期【摘要】本文对网络监听技术的概念、原理及危害进行了详细分析,并在局域网中进行了简单的实现,研究了局域网网络监听的检测和防范方法。

【关键词】局域网;网络监听;检测;防范1 引言随着因特网的不断普及和广泛应用,因特网给我们的生活带来很多便利的同时,网络安全问题给我们带来了许多的麻烦,甚至会给个人、企业甚至国家带来巨大的损失。

在局域网诸多网络安全问题中,最常遇到的安全问题就是网络监听。

局域网采用广播方式,入侵者利用监听系统可以通过局域网中的接口捕获其他计算机的数据包,这样像用户名、密码、邮件内容、QQ聊天内容等一些很隐私的重要数据都可以轻易被窃取。

因此,如何防止网络监听已成为局域网网络安全急需解决的问题。

本文首先介绍了网络监听的工作原理并利用常用的网络监听软件做了一个监听实验,然后提出了相应的防范措施。

2 网络监听技术概述2.1 网络监听技术的概念网络监听技术主要就是为了获取网络上传输的信息,网络监听技术是一种比较成熟的技术,它原本是为网络管理人员有效管理网络的工具,可以协助网络管理人员监控网络运行情况,了解网络中数据流的动向以及监控网络中传输信息的内容等,一直备受网络管理人员的喜爱。

但是网络监听技术在帮助网络管理人员有效管理网络的同时,也给网络安全带来了极大地安全隐患。

当我们将网络端口设置成为监听模式,就可以捕获在局域网中以明文形式传输的任何信息。

所以当入侵者在局域网中的一台主机上取得超级用户权限并登录以后便可使用网络监听技术捕获到网络上传输的数据。

但是,这一入侵方法只能应用于同一个网段上。

2.2 网络监听技术原理在局域网中普遍使用的网络协议是基于广播机制的IEEE802.3协议,即以太网协议。

以太网协议的主要特点是以广播的方式发送文件,在局域网中的主机很多是通过电缆或集线器连接在一起的。

当一台主机需要与另一台主机通信时,源主机会将包含目的主机地址的数据包直接发送给目的主机。

此时该数据包不是在IP层直接发送,而是通过数据链路层传送到网络接口,而网络接口不能识别IP地址,因此必须在该数据包上加上以太帧头的信息。

在帧头中有源主机和目的主机的物理地址两个域,这是一个与IP地址对应的48位地址,只有网络接口才能识别。

当数据传送时,包含物理地址的帧从网络接口发送到物理线路上,如果该局域网是由一条电缆连接而成,则信号通过电缆进行传输,便能够到达该电缆上的每一台主机。

而如果该局域网是使用集线器连接时,便由集线器再发送到连接在该集线器上的每条线路,信号便能到达连接在该集线器上的每一台主机。

当数据到达一台主机的网络接口时,网络接口便对其进行检查,如果物理地址与自己的地址相符,则将该数帧据包交给上层协议软件,否则就将其丢弃。

而如果当主机处在监听模式下,所有的数据帧无论地址是否与自己相符,都会交给上层协议软件处理。

此时,该主机可以接收到在同一条物理信道上传输的所有数据。

例如:主机A要给主机B发送一个数据包,它并不是只发送给主机B,而是发送给局域网内的所有主机,因为只有主机B的地址与之相匹配,所有一般情况下只有主机B收到,其他主机发现目的地址与自己的地址不匹配,就会自动丢弃这个数据包,但是如果这时主机C正处于监听模式,即便是数据包的目的地址不与之相匹配,也能收到这个数据包,这就是局域网监听的基本原理。

2.3 网络监听的危害(1)捕获口令。

现在流行的网络传输协议如FTP、Telnet等,都是以明文的形式进行数据传输的,而传输的数据如果是未加密的明文,那么嗅探器就便可以很容易地截取到数据包中的口令信息,包含用户名及密码等重要信息。

(2)捕获机密信息。

为了方便客户的需求,大部分银行都在网上开通了网上银行,提供用户查询、转账、缴费等业务,在给用户提供方便的同时,也带来了一定的安全隐患,当用户在网上银行上使用自己的银行卡号登陆时,嗅探器便可以截取到银行卡号、用户名、密码等重要信息。

(3)获取更高级别的用户访问权限。

访问权限的提高,让入侵者在计算机系统里更加肆意妄为,给计算机系统带来不可估量的损害。

(4)捕获底层协议信息。

通过嗅探器入侵者可以获取到计算机系统底层协议的内容,比如IP路由信息、两台主机间网络接口的地址、TCP连接的序列号、远程网络接口的IP地址等。

当入侵者获取了这些关键信息后将会对计算机网络系统的安全构成更大的危害,如果入侵者捕获到了TCP连接的序列号便可以进行IP欺骗。

3 局域网网络监听技术的实现3.1 常见的监听工具如果你在百度中搜索“网络监听软件”,你可以找到5,230,000个结果,各式各样的监听软件在不断地被开发出来,现在我们介绍一下常用的一些监听软件,在Unix系统下,常用的网络监听工具有Sniffit、Snoop、Dsniff等,而且这些软件都是免费的源代码,方便我们进行研究。

在Windows系统下,最常用的网络监听工具是Sniffer pro,大多数入侵者都是用它在Windows系统下捕获数据包来进行分析。

3.2 网络监听实验3.2.1实验目的:运用Sniffer pro软件抓ping传送的数据包和自己的邮箱及密码。

3.2.2实验过程(1)启动Sniffer pro软件(2)抓包的条件设置在默认条件下,sniffer pro可以抓到本网段内的所有数据包,但是这样信息量太大,为了便于分析,我们可以在抓包之前进行条件设置,这样就可以只抓取我们想要的数据包。

(3)抓ping命令传递的数据包第一步:在抓包过滤器的窗口中,可以选择Address选项卡。

第二步:在窗口中进行两处设置:在Address的下拉列表中,选择抓包的类型为IP,在Station1下输入本机的IP地址:172.18.25.110;在Station2下面输入目标机的IP地址:172.18.25.109。

第三步:点击该Advanced选项卡,拖动滚动条找到IP项,将IP和ICMP选中。

第四步:完成了Sniffer的抓包过滤器就设置后,选择菜单栏Capture下拉菜单Start,启动抓包以后,就可以在主机的DOS窗口中Ping目标机了。

第五步:等待Ping命令执行完毕,按下工具栏中的停止并分析按钮。

第六步:在新出现的窗口中选择Decode选项卡,就可以看到数据包在两台主机之间的传输过程了,如图2所示。

(4)抓取邮箱账号密码第一步:在窗口中capture中选择define filter菜单项:在Address中选择IP;在station 1中填上本机IP地址,在station 2中填any。

第二步:点击该Advanced选项卡,选择ip---tcp---http。

第三步:抓包。

按抓包键开始抓包。

第四步:访问访问网站,输入你的邮箱名和密码。

第五步:查看结果。

当望远镜图标变红时,表示已捕获到数据,点击该图标,选择Decode选项即可看到捕捉到的所有数据包。

在Summary中寻找含有POST关键字的包,便可以看到用户名为yxa222,密码为111111。

4 局域网网络监听的检测与防范4.1 局域网网络监听的检测在局域网中由于监听的主机只是被动接受局域网中传输的信息,不修改这些信息,也不主动向其他主机传送信息,所以在局域网中的监听行为一般很难被发现。

介绍几种检测局域网是否被监听的方法。

(1)通常情况下我们可以通过ps-aux或ps-ef进行检测,但大多数的入侵者都会用几个shell把监听程序的名称过滤掉,用这样的简单方法修改ps的命令来防止被ps-ef的,这样就很难被发现了。

(2)如果怀疑某一台主机运行了监听程序,我们可以分别用正确的IP地址和一个错误的物理地址执行Ping命令。

使监听程序对之做出反应,因为一般情况下正常运行的主机不会接收错误物理地址的Ping命令,只有正在监听的主机可以接收,但是这种方法依赖于系统的IP stack,不能适用于所有系统。

(3)可以向局域网发送大量错误物理地址的数据包,由于监听程序的特性,实施监听的主机都会一一处理这些数据包,使该主机机器性能下降,便可以利用icmp echo delay来进行判断和比较。

(4)搜索监听程序,一般情况下的监听都是使用监听软件进行的,要检测出系统是否被监听,可以在目录中搜索是否有监听程序正在运行,不过这样的工作量极大,管理员可以在反监听软件的帮助下完成以上的各步操作。

4.2 局域网网络监听的防范(1)数据加密。

在数据传送前,先将数据进行加密,即便是该数据包被捕获,但是由于没有密钥,入侵者也不能真正获取数据包内容,这是最简单易行的保护数据的方法。

如今最常用的局域网加密方法是IPSec协议,IPSec 协议不是一个单独的协议,它是应用于IP层上保证网络数据安全性的一整套体系,包括了网络认证协议(AH)、密钥管理协议(IKE)、封装安全载荷协议(ESP)和一些加密算法等,以保证数据认证、数据完整性和加密性。

(2)利用路由进行网络分段。

在局域网中改共享式集线器或普通交换机为路由器,利用路由器来进行网络物理分段,把局域网分成一个个小段,使数据包在每个小段中进行通信,可以使单播包(Unicast Packet)点对点传输。

当路由器接受到一个数据包以后,会检查该数据包的目的地址,再根据这个目的地址将数据包准确的转发到对应的主机,这样就只有与目的地址相匹配的主机才可以接受该数据包,所以利用在局域网中利用路由器可以有效地防止网中的监听。

(3)利用VLAN技术进行网络分段。

利用虚拟局域网(VLAN)技术可以使实现局域网中点到点的通信,这种方法不需要购置路由器等硬件,大大地节约了成本,但是同时也可以有效地防止局域网中的监听行为。

(4)使用检测软件。

如在单机上可以使用的检测软件:TripWare,它是一款MD5校验工具,可以有效地在单机上搜索到嗅探器。

但是想要在网络中寻找嗅探器就不是一件容易的事情了,有一些检测软件可以帮助管理人员在网络上寻找嗅探器,如promisc、Anti.Snif-fer、cmp 等,其中Anti.Sniffer版本较多,但对管理员的水平要求较高,需要结合自己知识分析网络中的异常情况,从而判断网络中是否存在嗅探器。

(5)使用网络管理工具。

网络监听是影响网络安全一个很重要的因素,因此很多网络管理软件都少不了监听这一块工作。

有效地使用网络管理工具,也可以有效地防范网络监听行为。

参考文献[1] 邓亚平.计算机网络安全.北京:人民邮电出版社,2007.7.[2] 崔晶,刘广忠.计算机网络基础.北京:清华大学出版社,2010.1.[3] 徐其兴.计算机网络技术及应用[M] .北京:高等教育出版社,2008:277.[4] 吴功宜,吴英.计算机网络教程[M].北京:电子工业出版社,2009.[5] 任伟.物联网安全架构与技术路线研究.?信息网络安全,2012.(5).[6] 朱鹏飞,于华章,陆舟.物联网信息完整性保护方案.信息网络安全,2012.(8).作者简介:兰诗梅(1982-),女,汉族,重庆人,硕士,贵阳学院数学与信息科学学院,讲师。