下载文档原格式
网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。
目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。
一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。
当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。
二、在局域网实现监听的基本原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。
但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。
在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。
当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。
但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。
在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。
当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。
已经确定了自己以后的职业了,现在就应该努力提高技术了。
偶尔也写写对一些技术原理的个人理解,当做检验自己的学习情况了。
也希望能对光临我空间的人有所帮助。
这是自己写的第一篇,有不足的地方欢迎大家指教。
网络监听,又称为网络嗅探。
网络监听可以说是网络安全领域一个非常敏感的话题了。
作为一种发展比较成熟的技术,网络监听就像一把双刃剑,一方面它为网络管理员提供了一种管理网络的手段,监听在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用;另一方面,网络监听也是黑客获取在局域网上传输的敏感信息的一种重要手段,因为网络监听是一种被动的攻击方式,不易被察觉。
在我们使用的局域网技术中,以太网技术是最经常使用的一种。
在以太网中,又可分为共享型以太网和交换型以太网。
在讨论网络监听时,我们先使用最简单的共享型以太网来进行讨论。
共享型以太网,使用CSMA/CD媒体访问控制方式,通过集线器相连,网络拓扑为总线型。
同一个以太网中的所有节点共享传输介质。
根据CSMA/CD媒体访问控制方法,节点在发送数据帧之前先侦听传输介质上是否有数据帧在传输,如果没有的话即进行数据传输。
这就意味着在同一个以太网上,当有数据帧在传输时,这个以太网中的所有节点都能接受到这个数据帧。
节点根据帧头部所携带的目的MAC地址来判断这个帧是否是发给自己的:当所接收到的帧的目的MAC地址为本机MAC地址是,接收该帧;当所接收到的帧的目的MAC地址不是本机MAC 地址时,则丢弃该帧。
但是,当节点的网卡工作在混杂模式时,该节点将接收所有在以太网上传输的数据帧,包括在网络上传输的口令等敏感信息。
而在交换型以太网中,情况就有所不同了。
交换型以太网通过交换机连接。
交换机工作于数据链路层,通过将接收到的数据帧的目的MAC地址与自身的地址对照表相比较来确定将数据帧转发给哪个端口,只有当交换机接收到广播帧或者是交换机的地址对照表上没有该MAC 地址的对应端口时,才把该帧向所有端口广播。
网络嗅探器网络嗅探器是一种网络安全工具,可以监听、捕捉和分析网络数据包,用于发现网络中的漏洞和安全问题。
本文将从网络嗅探器的原理、使用方法和应用场景三个方面来介绍网络嗅探器。
一、网络嗅探器的原理网络嗅探器的原理是通过监听网络通信,捕捉网络数据包,并对其进行分析。
其基本工作原理可以概括为以下几点:1. 网络嗅探器通过网络接口卡(NIC)来读取网络数据包。
2. 当数据包到达网卡时,嗅探器会复制一份数据包,然后将其传输到嗅探器中。
3. 嗅探器将捕获到的数据包分解成协议层次,以便更好的分析。
4. 嗅探器将分析数据包的内容,并记录下其中的关键信息。
5. 最后,嗅探器会将分析结果返回给用户,以帮助他们识别网络漏洞和安全问题。
网络嗅探器的工作原理虽然简单,但其使用需要一定的技能和知识。
因此,用户需要花费一些时间学习并掌握网络嗅探器的使用方法。
二、网络嗅探器的使用方法1. 安装网络嗅探器首先,需要下载并安装网络嗅探器。
常见的网络嗅探器有Wireshark和Tcpdump等,这些工具都可从官方网站上免费下载。
2. 选择需要监听的网卡安装完成后,需要选择要监听的网络接口卡(NIC)。
用户可以在嗅探器界面上选择需要监听的网卡。
一般来说,用户需要选择与其所使用的网络环境相对应的网卡。
3. 分析网络数据包成功选择网卡后,用户可以开始分析网络数据包了。
为了提高分析效率,用户可以根据需要进行过滤,比如只监控某个IP地址或端口等信息。
4. 查找网络漏洞当找到一个网络包时,网络嗅探器会对其进行分析,并提供相关的信息。
用户可以利用这些信息来查找网络漏洞,并采取相应的措施。
5. 提高嗅探器的可用性为了提高嗅探器的可用性,用户可以在嗅探器界面上设置相关的参数,比如数据包缓冲区大小、捕获窗口大小等。
这些参数可以帮助用户找到更多的网络漏洞和安全问题。
三、网络嗅探器的应用场景网络嗅探器在网络安全领域中有着广泛的应用场景。
以下是几个常见的应用场景:1. 监听网络流量网络嗅探器可以帮助管理员监控网络流量,了解网络使用情况,并识别潜在的网络攻击。
网络嗅探与监听一、背景与意义随着计算机网络技术的飞速发展,借助网络嗅探器进行网络流量监控和网络问题分析已成为网络管理员不可缺少的工作内容。
网络嗅探器是利用计算机的网络接口截获在网络中传输的数据信息的一种工具,主要用于分析网络的流量,以便找出所关心的网络中潜在的问题--例如:现在正在兴起的网络支付业务,在使用这个业务中我们的账户安全显得尤其重要,我们可以利用网络嗅探器来提高我们自己的账户安全。
网络嗅探器是一种利用网络传输机制工作的网管工具,同时又是一种黑客工具,主要是用来被动监听、捕捉、解析网络上的数据包并作出各种相应的参考数据分析;其既可以是一种软件也可以是一种硬件。
硬件的网络嗅探器也称为协议分析器,是一种监视网络数据运行的设备,协议分析器既能用于合法网络管理也能用于窃取网络信息,但协议分析器价格非常昂贵。
狭义的网络嗅探器是指软件嗅探器,由于简单实用,目前对于软件网络嗅探器的研究Et益成为热点。
将网络接口卡NIC (Network Interface Card)设置为杂收模式,嗅探器程序就有了捕获经过网络传输报文的能力。
二、网络嗅探器的基本原理网络嗅探器通常由4部分组成。
1)网络硬件设备。
2)监听驱动程序。
截获数据流,进行过滤并把数据存人缓冲区。
3)实时分析程序。
实时分析数据帧中所包含的数据,目的是发现网络性能问题和故障,与入侵检测系统不同之处在于它侧重于网络性能和故障方面的问题,而不是侧重发现黑客行为。
4)解码程序。
将接收到的加密数据进行解密,构造自己的加密数据包并将其发送到网络中。
网络嗅探器作为一种网络通讯程序,是通过对网卡的编程实现网络通讯的,对网卡的编程使用通常的套接字(socket)方式进行。
但通常的套接字程序只能响应与自己硬件地址相匹配的,或是以广播形式发出的数据帧,对于其他形式的数据帧,如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址后将不引起响应,即应用程序无法收取到达的数据包。
什么是网络嗅探?如何避免被嗅探?
网络嗅探是一种通过监听和分析网络通信数据包来获取敏感信
息的技术。
通过嗅探工具,黑客可以截获传输的数据,并从中获取
用户的登录凭据、银行账户信息等敏感数据。
要避免被嗅探,可以采取以下措施:
2. 避免使用公共Wi-Fi:公共Wi-Fi网络通常是黑客进行嗅探
攻击的目标之一。
避免在这些网络上访问敏感信息,尤其是进行金
融交易或输入账户密码等操作。
3. 使用防火墙和安全软件:在个人电脑或移动设备上安装防火
墙和安全软件,以便检测和阻止嗅探工具的操作。
定期更新安全软件,确保其能够识别最新的威胁。
4. 尽量使用加密协议的网站和应用程序:对于重要的在线服务,优先选择使用加密协议的网站和应用程序。
这些网站和应用程序通
常会使用安全措施来保护用户数据的隐私。
总之,网络嗅探是一种威胁网络安全的技术,但通过采取一系列防护措施,我们可以降低被嗅探的风险。
采用加密连接、避免使用公共Wi-Fi、使用防火墙和安全软件,以及小心防范网络钓鱼攻击,都是有效的防御方法。
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。
然后点击"Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1. Display Filter(显示过滤器),用于过滤2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。
颜色不同,代表3. Packet Details Pane(封包详细信息), 显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏,杂项)使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。
搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。
在Capture -> Capture Filters 中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。
比如"Filter 102",Filter栏上就多了个"Filter 102" 的按钮。
过滤表达式的规则表达式规则1. 协议过滤比如TCP,只显示TCP协议。
2. IP 过滤比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,ip.dst==192.168.1.102, 目标地址为192.168.1.1023. 端口过滤tcp.port ==80, 端口为80的tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
wifi嗅探技术原理让我们了解一下什么是wifi嗅探技术。
简单来说,wifi嗅探技术是通过监听无线网络中的数据包来获取相关信息的一种技术。
这些数据包中包含了发送和接收的信息,包括设备的MAC地址、IP地址、传输的数据内容等。
那么,wifi嗅探技术是如何实现的呢?我们需要了解一下无线网络是如何工作的。
无线网络是通过无线路由器将互联网信号转换成无线信号,并通过无线适配器将信号传输到设备上。
当设备连接到无线网络时,会与无线路由器建立一个连接,然后通过该连接进行数据的传输。
在这个过程中,wifi嗅探技术利用了无线网络中的一些特性。
它通过监听无线信道上的数据包来获取相关信息。
无线信道是指无线网络中用于传输数据的频段,一般有2.4GHz和5GHz两种频段。
接下来,我们来看一下具体的实现步骤。
第一步,嗅探器需要扫描附近的无线网络。
它会监听无线信道上的信号,并获取到信号的强度和频率等信息。
通过这些信息,嗅探器可以判断出附近的无线网络设备。
第二步,嗅探器会监听无线信道上的数据包。
当设备发送或接收数据时,会将数据封装成数据包进行传输。
嗅探器可以通过监听数据包来获取相关信息。
它会解析数据包中的头部信息,包括源MAC地址、目的MAC地址、源IP地址、目的IP地址等。
第三步,嗅探器会将获取到的信息进行分析和处理。
它可以将数据包中的信息保存到日志文件中,以便后续分析和使用。
嗅探器还可以对数据包进行过滤,只保留特定类型的数据包,如DNS请求、HTTP请求等。
第四步,嗅探器可以进行一些高级的操作,如数据包的重组和解密。
有些无线网络使用加密算法进行数据的传输,嗅探器可以对加密的数据包进行解密,以获取其中的信息。
通过以上步骤,wifi嗅探技术可以获取到无线网络中的相关信息。
这些信息可以用于网络管理、安全分析、用户行为分析等方面。
需要注意的是,wifi嗅探技术虽然可以获取到无线网络中的数据包,但并不意味着可以获取到数据包中的全部内容。
网络嗅探器的工作原理随着网络技术的不断进化和普及,人们使用网络的频率越来越高。
网络安全问题也日益受到重视,为了保障网络安全,网络嗅探器应运而生。
网络嗅探器是一种被广泛应用于网络管理、网络安全等领域的工具,它可以对网络数据包进行抓取、分析和查询,从而帮助管理员监控网络、检测网络中的安全隐患。
本文就是要介绍网络嗅探器的工作原理。
一、网络嗅探器的基本原理网络嗅探器是一种软件工具,主要用于抓取和分析网络数据包。
网络数据包是在网络中流动的载体,其中包含了各种信息,比如网址、IP、端口和数据等。
网络嗅探器利用网络适配器(网卡)和操作系统提供的底层 API,通过监听网络传输的原始数据包,并对数据包进行分析,从而提取出其中的重要信息。
网络嗅探器的基本工作流程如下:1. 打开网络适配器并指定分析的数据包类型(例如,IP、TCP、UDP、ICMP等)和过滤规则:网络嗅探器首先需要打开一个适配器,并且指定要分析的数据包类型。
根据实际需要,管理员可以选择不同的适配器和分析模式。
例如,在 Windows 系统中,可以通过 WinPCap 库实现网络嗅探功能,WinPCap 提供了捕获和处理网络数据包的 API 接口,用户可以通过这些接口实现对数据包的分析。
通过设置过滤规则,可以帮助用户只抓取指定类型的网络数据包,并排除无关的数据包,从而减少抓包数据量,提高分析效率。
2. 监听网络数据包并进行抓取和分析:网络嗅探器的第二个重要任务是监听网络数据流,并抓取要分析的数据包。
当数据包被捕获后,嗅探器会对其进行解码和解析,还原出 IP 头、TCP 头或 UDP 头等数据内容,从而得到数据包中包含的重要信息,如 IP 地址、源目标端口、协议类型等。
对于加密或压缩过的数据包,网络嗅探器无法直接处理,需要对其进行解密和解压缩处理后才能进行分析。
3. 分析抓包数据、生成统计信息并输出结果:网络嗅探器的第三个任务是对抓包数据进行分析并输出结果。
局域网嗅探与监听技术电脑资料一. 网络日记并不平安检察员小洁从小就有写日记的习惯,毕业后上了工作岗位也不曾改变,无论工作多忙多累,每天晚上临近睡觉前她总会把今日发生的事情记录进日记本里,例如一些工作问题、心情想法、同事和上级的事情等等,这天小洁和往常一样来到办公室,却发现气氛不同往常了:同事们面对她的时候笑容很不自然,有几个女同事还偷偷对她指指点点的,小洁看过去时她们却又不了,她只好竖起耳朵偷听,隐隐约约听到一句“……连别人还欠着50元没还她都写上去,这个人真……”,小洁的脸瞬间变得煞白:这不是她某天的日记内容吗?……究竟是谁把小洁的日记偷看了呢?你正在使用的局域网,又能真的很平安吗?小洁不知道,大院的局域网里,有一双耳朵正在悄悄的记录着她的电脑上发送和接收的一切信息……这双耳朵的名词被称为“网络嗅探”(Network Sniffing)或“网络监听”(Network Listening),它并不是最近才出现的技术,也并非专门用在黑道上的技术,监听技术作为一种辅助手段,在协助网络员监测网络传输数据、排除网络故障等方面具有不可替代的作用,因此一直倍受网络管理员的青睐并逐渐开展完善,所谓“监听”技术,就是在互相通讯的两台计算机之间通过技术手段插入一台可以接收并记录通讯内容的设备,最终实现对通讯双方的数据记录。
一般都要求用作监听途径的设备不能造成通讯双方的行为异常或连接中断等,即是说,监听方不能参与通讯中任何一方的通讯行为,仅仅是“被动”的接收记录通讯数据而不能对其进行篡改,一旦监听方违反这个要求,这次行为就不是“监听”,而是“劫持”(Hijacking)了。
看了以上对于“监听”概念的描述,有人也许已经跃跃欲试了:我有网络,也有电脑,还有网络嗅探工具,那我能不能把某个收费电影站甚至国防部网站的账号密码记录下来呢?当然这也不是不可能,但是前提是你有足够能力在相关站点实体效劳器的网关或路由设备上接入一个监听设备,否那么凭一台你自己家里的计算机是无法实现的。
网络嗅探原理网络嗅探是指通过监听网络数据包来获取网络通信信息的一种技术手段。
它能够帮助网络管理员监控网络流量、发现网络安全问题,同时也可以用于网络分析、性能优化和故障排查。
在实际应用中,网络嗅探技术发挥着重要的作用,下面我们将介绍网络嗅探的原理和实现方式。
首先,网络嗅探利用的是网络数据包的传输原理。
在计算机网络中,数据是以数据包的形式进行传输的,而网络嗅探就是通过监听这些数据包来获取网络通信的信息。
在数据包中,包含了发送方和接收方的IP地址、端口号、数据内容等信息,通过解析这些数据包,就可以获取网络通信的详细信息。
其次,网络嗅探依赖于网络接口的混杂模式。
网络接口的混杂模式是指网卡可以接收所有经过它的数据包,而不仅仅是发往自己的数据包。
通过将网卡设置为混杂模式,就可以实现对整个网络数据包的监听和捕获,从而实现网络嗅探的功能。
此外,网络嗅探还需要借助相应的软件工具来实现。
常见的网络嗅探工具有Wireshark、Tcpdump等,这些工具能够帮助用户捕获网络数据包,并对数据包进行解析和分析,从而获取网络通信的相关信息。
在实际应用中,网络嗅探可以用于多种场景。
首先,它可以用于网络安全监控,通过对网络数据包的监听和分析,及时发现网络攻击、异常流量等安全问题。
其次,网络嗅探可以用于网络性能优化,通过分析网络通信的情况,找出网络瓶颈和性能问题,从而进行优化。
另外,网络嗅探还可以用于网络故障排查,通过分析网络数据包的传输情况,找出网络故障的原因,加快故障排查的速度。
总的来说,网络嗅探是一种重要的网络技术手段,它通过监听网络数据包来获取网络通信的信息,能够帮助用户进行网络安全监控、性能优化和故障排查。
在实际应用中,需要借助网络接口的混杂模式和相应的软件工具来实现网络嗅探的功能。
希望本文对网络嗅探的原理和实现方式有所帮助,让读者对网络嗅探有更深入的了解。
嗅探的原理
嗅探指窃听网络中流经的数据包,这里的网络一般指用集线器或路由器组建的局域网。
通过嗅探并解析数据包,便可知道数据包中的信息,一旦含有账户密码等隐私信息就可能造成个人资金损失。
嗅探数据包无法通过输入命令实现,需要使用专业的工具。
嗅探原理是指让安装了嗅探工具的计算机能够接收局域网中所有计算机发出的数据包,并对这些数据包进行分析。
局域网中,数据包会广播到所有主机的网络接口,在没有使用嗅探工具之前,计算机网卡只会接收发给自己的数据包,但安装了嗅探工具后,计算机则能接收所有流经本地计算机的数据包,从而实现监听。
嗅探工具不仅适合黑客用,而且适合网络管理员和码农使用。
对黑客而言,嗅探工具可以监听网络中所有的数据包,通过分析这些数据包达到窃取他人隐私信息的目的;而对网络管理员和码农来说,嗅探工具则是用于找出网络堵塞的原因或调试程序。
网络扫描与及监听实验报告一、实验目的1.学习和了解网络扫描和监听的概念、原理和方法;2.掌握使用工具进行网络扫描和监听的操作;3.增强网络安全意识,提高网络攻防能力。
二、实验内容1.对目标主机进行网络扫描;2.进行网络监听,捕获网络流量数据。
三、实验仪器与软件1. 一台装有Kali Linux操作系统的虚拟机;2. Nmap工具;3. Wireshark软件。
四、实验过程1.对目标主机进行网络扫描首先,打开Kali Linux虚拟机,登录系统后打开终端。
使用Nmap工具进行网络扫描,输入以下命令:```nmap -sP 192.168.0.0/24```其中,"-sP"表示进行Ping扫描,"192.168.0.0/24"表示扫描192.168.0.0网段的IP地址。
扫描结果显示了该网段内存活的主机的IP和MAC地址。
2.进行网络监听打开Wireshark软件,点击"Capture"按钮开始捕获网络流量数据。
在"Interface"选项中选择要监听的网络接口,如"eth0"。
捕获到的网络流量数据会以列表形式显示出来,包括目的IP地址、源IP地址、协议类型、数据包长度等信息。
点击一些数据包,可以查看其详细信息,包括数据包的具体内容和源地址等。
五、实验结果与分析1.网络扫描结果分析扫描结果显示了目标主机的IP和MAC地址。
通过对主机进行扫描,可以获取主机的基本信息,如所在网络的IP地址范围、存活的主机等。
2.网络监听结果分析通过对网络流量数据的监听,可以获取网络中传输的数据信息。
分析捕获到的数据包可以获得协议类型、通信双方的IP地址、数据包长度等信息。
六、实验总结通过本次实验,我深入了解了网络扫描和监听的概念、原理和方法,并成功地进行了实验操作。
网络扫描和监听是网络安全的重要方面,对于保护网络安全、防范网络攻击具有重要意义。
网络嗅探原理网络嗅探是一种通过监视网络通信流量来获取信息的技术。
它可以用于网络安全监控、流量分析、网络故障诊断等领域。
网络嗅探器通常是一种软件或硬件设备,能够捕获经过网络的数据包,并对其进行分析。
在本文中,我们将深入探讨网络嗅探的原理以及其在网络管理和安全领域的应用。
首先,让我们来了解一下网络嗅探的基本原理。
网络嗅探器通常工作在网络的数据链路层或网络层,它可以监听经过网络的数据包,并提取其中的信息。
在数据链路层,网络嗅探器可以直接访问网络接口,捕获经过网络的所有数据包;而在网络层,它可以通过监听网络中的路由器或交换机来获取数据包。
一旦捕获到数据包,网络嗅探器就可以对其进行解析和分析,从中提取出所需的信息。
网络嗅探器可以通过多种方式来捕获数据包。
其中最常见的方式是使用混杂模式(promiscuous mode)来监听网络接口。
在混杂模式下,网络接口可以接收经过网络的所有数据包,而不仅仅是目标地址是自己的数据包。
这样一来,网络嗅探器就可以捕获到网络中的所有数据包,无论其目的地是不是自己。
一旦捕获到数据包,网络嗅探器就可以对其进行分析。
它可以提取出数据包中的源地址、目的地址、协议类型、数据长度等信息,并根据这些信息来进行进一步的处理。
例如,网络嗅探器可以根据数据包中的源地址和目的地址来进行流量分析,以便识别出网络中的流量模式和异常行为;它还可以根据数据包中的协议类型和数据长度来进行协议识别,以便对网络通信进行深入分析。
在网络管理和安全领域,网络嗅探器有着广泛的应用。
它可以用于监控网络流量,及时发现网络中的异常行为和安全威胁;它还可以用于分析网络性能,帮助网络管理员及时发现和解决网络故障。
此外,网络嗅探器还可以用于实时监控网络通信,对网络中的恶意流量进行检测和防御。
总之,网络嗅探是一种重要的网络技术,它可以帮助我们监控网络流量、分析网络性能、发现网络安全威胁。
通过深入了解网络嗅探的原理和应用,我们可以更好地保障网络的安全和稳定运行。
嗅探也称“网络监听”或“网络分析”,这是一个对于新手显得比较神秘的领域。
起初,网络监听通常被网络管理员用于在以太网中监测传输的网络数据,它在排除网络故障等方面起到了重要的作用。
后来,有一些人发现网络监听可以用于口令监听等敏感数据的截获,于是开始将这种技术引人到了黑客领域,进而就给以太网的安全带来了极大的隐患。
我们可以把网络监听想象成“电气工程师使用万用表测量电流、电压和电阻”的工作,在看似无迹可循的电流中也有着这样或是那样令人感兴趣的数据。
同样的道理,在网络中流动的数据里也可以通过专业的工具找出各种有用的数据,比方说密码。
在1994年2月,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100,000个有效的用户名和口令。
上述事件可能是互联网上最早期的大规樓的网络监听事件了,它使早期网络监听从“地下”走向了公开,并迅速地在大众中普及开来。
在网络监听引起人们普遍注意后,很多疑问随之而生,如: *我可以监听Internet中任意电脑的数据吗? *我可以使用交換机来解决网络监听问题吗? *是不是监听的数据都是明文的? 其实,之所以产生这些疑惑,都是因为对网络监听技术的基本知识不了解导致的。
要了解网络监听,首先需要知道如下网络传输组成: *每台电脑都是通过网卡进行数据传输; *每块网卡都需要安装专用的驱动程序才能使用; *每块网卡都有独自的mac地址; *电脑之间需要使用TCP/IP协议进行通信; *网卡都会自动或手工綁定一个IP地址。
网卡有数种用于接收数据帧的状态,如unicast,broadcast,multicast、promiscuous,它们的含义是: *广播摸式:可以接受网络里的广播信息。
*直接槟式:只能接受目的地址是本机的数搪包,其它的统统被忽略。
*多播槟式:可以接受特定的多播数据。
*混杂樓式:就是我们今天要讲的主角,在这种模式下,只要流经网卡的数据都将被截获。
网络嗅探原理网络嗅探是一种网络安全分析工具,它可以监视网络上的数据流量,并且可以分析这些数据包中的内容。
网络嗅探可以帮助网络管理员识别网络中的安全问题,监视网络流量,并且可以用于网络犯罪调查。
在本文中,我们将探讨网络嗅探的原理以及其在网络安全领域中的应用。
首先,让我们来了解一下网络嗅探的原理。
网络嗅探器通常是一种软件或硬件设备,它可以监听网络上的数据包,并且可以分析这些数据包中的内容。
网络嗅探器通常工作在网络的数据链路层,它可以捕获经过网络的数据包,并且可以提取出其中的数据内容。
网络嗅探器可以通过监听网络上的数据包来获取网络流量的信息,这些信息可以包括用户的用户名、密码、网站的访问记录等敏感信息。
网络嗅探器的工作原理是通过网络接口卡来监听网络上的数据包,然后将这些数据包传输到网络嗅探器的分析引擎中进行分析。
网络嗅探器可以通过分析数据包的头部信息和内容来获取网络流量的信息,然后将这些信息呈现给用户进行分析。
网络嗅探器可以通过过滤规则来筛选出用户感兴趣的数据包,并且可以对这些数据包进行存储和分析。
网络嗅探在网络安全领域中有着广泛的应用。
首先,网络嗅探可以帮助网络管理员监视网络流量,及时发现网络中的异常流量和攻击行为。
其次,网络嗅探可以帮助网络管理员识别网络中的安全问题,及时采取措施加强网络安全防护。
此外,网络嗅探还可以用于网络犯罪调查,通过分析网络流量来获取证据,帮助警方追踪犯罪嫌疑人。
总之,网络嗅探是一种重要的网络安全分析工具,它可以帮助网络管理员监视网络流量,及时发现网络中的安全问题,保护网络安全。
网络嗅探的原理是通过监听网络上的数据包,分析其中的内容来获取网络流量的信息,然后将这些信息呈现给用户进行分析。
网络嗅探在网络安全领域中有着广泛的应用,可以帮助网络管理员识别网络中的安全问题,并且可以用于网络犯罪调查。
希望本文对您了解网络嗅探有所帮助。
网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。
目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。
一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。
当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。
二、在局域网实现监听的基本原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。
但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。
在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。
当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。
但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。
在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。
当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。
当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。
对于每一个到达网络接口的数据帧,都要进行这个过程。
然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。
而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。
也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。
因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。
同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。
三、局域网监听的简单实现要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。
在Unix系统中,发送这些命令需要超级用户的权限。
在Windows 系列操作系统中,则没有这个限制。
要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。
1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子(1)IP数据报首部概述(1).版本占4位,指IP协议的版本。
通信双方使用的IP协议版本必须一致。
目前广泛使用的IP协议版本号为4(即IPv4)。
关于IPv6,目前还处于草案阶段。
(2).首部长度占4位,可表示的最大十进制数值是15。
请注意,这个字段所表示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就达到60字节。
当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充。
因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为方便。
首部长度限制为60字节的缺点是有时可能不够用。
但这样做是希望用户尽量减少开销。
最常用的首部长度就是20字节(即首部长度为0101),这时不使用任何选项。
(3).区分服务占8位,用来获得更好的服务。
这个字段在旧标准中叫做服务类型,但实际上一直没有被使用过。
1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。
只有在使用区分服务时,这个字段才起作用。
(4).总长度总长度指首部和数据之和的长度,单位为字节。
总长度字段为16位,因此数据报的最大长度为216-1=65535字节。
在IP层下面的每一种数据链路层都有自己的帧格式,其中包括帧格式中的数据字段的最大长度,这称为最大传送单元MTU(Maximum Transfer Unit)。
当一个数据报封装成链路层的帧时,此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的MTU值。
(5).标识(identification) 占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
(6).标志(flag) 占3位,但目前只有2位有意义。
●标志字段中的最低位记为MF(More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
●标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
(7).片偏移占13位。
片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。
也就是说,相对用户数据字段的起点,该片从何处开始。
片偏移以8个字节为偏移单位。
这就是说,每个分片的长度一定是8字节(64位)的整数倍。
(8).生存时间占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。
由发出数据报的源点设置这个字段。
其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。
最初的设计是以秒作为TTL的单位。
每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。
若数据报在路由器消耗的时间小于1秒,就把TTL值减1。
当TTL值为0时,就丢弃这个数据报。
(9).协议占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。
(10).首部检验和占16位。
这个字段只检验数据报的首部,但不包括数据部分。
这是因为数据报每经过一个路由器,路由器都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。
不检验数据部分可减少计算的工作量。
(11).源地址占32位。
(12).目的地址占32位。
(2)实例解析是用sniffer pro进行监听时捕获的IPv4协议报头。
第一部分显示的是关于IP的版本信息,它的当前版本号为4;然后是头部的长度,其单位是32-bit的字,本例中值为20bytes。
第二部分是有关服务类型的信息。
第三部分为头部长度字段,本例中IP报头长为56字节。
第四部分是关于分段的内容。
第五部分是生存时间字段,一般为64或128,本例为128seconds/hops。
第六部分是协议部分,说明了上层使用的服务类型,本例中为UDP。
第七部分以下各字段分别为校验和、源地址、目的地址等。
2. 一个使用sniffer pro进行监听获取邮箱密码的例子通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息。
例如,对一些明码传输的邮箱用户名和口令可以直接显示出来。
weizhong为邮箱用户名,123456为邮箱密码,都以明码显示,由此也可以看到局域网监听技术如果用于不正当的目的会有多大的危害。
在以上各部分中还有更详细的信息,在此不作更多的分析。
通过这个例子想说明的是通过网络监听可以获得网络上实时传输的数据中的一些非常重要的信息,而这些信息对于网络入侵或入侵检测与追踪都会是很关键的。
四、网络嗅探造成的危害sniffing是作用在网络基础结构的底层。
通常情况下,用户并不直接和该层打交道,有些甚至不知道有这一层存在。
所以,应该说Sniffer的危害是相当之大的,通常,使用Sniffer是在网络中进行欺骗的开始。
它可能造成的危害:嗅探器能够捕获口令。
这大概是绝大多数非法使用Sniffer的理由,Sniffer可以记录到明文传送的用户名和口令。
能够捕获专用的或者机密的信息。
比如金融帐号,许多用户很放心在网上使用自己的信用卡或现金帐号,然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。
比如偷窥机密或敏感的信息数据,通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限窥探低级的协议信息。
这是很可怕的事,通过对底层的信息协议记录,比如记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。
这些信息由非法入侵的人掌握后将对网络安全构成极大的危害,通常有人用Sniffer收集这些信息只有一个原因:他正要进行一次欺骗(通常的ip地址欺骗就要求你准确插入TCP连接的字节顺序号),如果某人很关心这个问题,那么Sniffer对他来说只是前奏,今后的问题要大得多。
事实上,如果在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。
一般Sniffer只嗅探每个报文的前200到300个字节。
用户名和口令都包含在这一部分中,这是我们关心的真正部分。
简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。
将嗅探器放置于被攻击机器或网络附近,这样将捕获到很多口令,还有一个比较好的方法就是放在网关上。
Sniffer通常运行在路由器,或有路由器功能的主机上。
这样就能对大量的数据进行监控。
Sniffer属第二层次的攻击。
通常是攻击者已经进入了目标系统,然后使用Sniffer这种攻击手段,以便得到更多的信息。
