当前位置:文档之家 › 网络监听技术全解

网络监听技术全解

  • 格式:doc
  • 大小:82.50 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

网络监听的原理及实现技术

网络监听的原理及实现技术
安 全 管 理提 供 重 要信 息 。 使 用 网络 监 听技 术 可 以用来 监 视 网络 的
据 包 中地址 一致 的主机 才 会 对 接 收到 的 数据 包 进 行 处理 ,其 它 主 机 虽 然也 能够 收到 数据 包 。但 由于 其 I P 地 址不 一致 ,因此 并不 会对 数 据 包 进 行处 理 ,而 是简 单 的 丢弃 。但 是 。当主 机 工作 在 监 听模 式 下 时 ,无论 数 据 包 中 的 目标 地址 是 什 么 ,主 机 都会 将 数 据 包 接 收下 来 ,不过 也是 只能 接收 那些 经过 自 己网络 接 1 3的数据 包 。 在 互联 网上 有很 多使 用 以太 网协 议 的局 域 网 ,根据 计 算 机 网 络 分 层 协议 ,数 据包 从 应用 层 出发 ,经传 输 层 ( 使 用T CP 或 UDP 协 议 )、网络 层 ( 使用 I P 协 议 ),再 经数 据链 路层 。最 后在物 理 层 上进 行 传 输 。物 理 层 只 负责 传 送信 息 流 ,不对 信 息做 任 何 处 理 , 而数 据 链 路层 和 网络 层都 需 要 数 据包 中的 地址 信 息 ,网络 层 处理 的是 l P 地址 。数据链 路层 处理 的是 物理 地址 ,l P 地 址 包含在 l P 数 据 包 的包头 ,而 物理 地址 包含 在数 据帧 的帧 头。 传输 数 据时 。包 含物 理地 址 的数 据帧 从 网络 接 1 : 3 ( 网卡 ) 发送 到 物理 的线 路 上 。同一 条物 理 链 路 上 的主 机 都能 够 接 收到 这 个 数 据 帧 。 当数 字 帧到 达 一 台 主机 的 网 络接 口时 ,正 常情 况 下 ,网 络 接 1 3读取 数 据 帧 ,进 行 目的地 址 检 查 。如 果 数据 帧 中携带 的物 理 地 : 址 是 自 己的 或者 是 广 播地 址 ,则 将数 据 帧 交给 上 层 协议 软 件 ,也 就是 l P 层 软件 。否则就 将 这个 帧丢弃 。对 于每 一个 到达 网络 接 口的 数据 帧 ,都要 进行 这个 过程 。 然 而 ,当主 机 工作 在 监 听模 式 下 时 ,所有 的数 据 帧都 将 被 接 收下 来 。然后 交给 上层 协议 软件 (  ̄ I ] I P 层) 处 理 。而且 ,就 算连 接 在 同一 条 电 缆或 集 线 器 上 的主 机 被逻 辑 地 划分 为几 个 不 同的 子 网 时 ,处 于 监 听模 式 下 的 主机 也 能 接 收到 发 向 与 自 己不在 同一 子 网 ( 使用 了不 同的掩 码 、I P 地 址和 网 关) 的 主机 的数 据包 。也 就是 说 , 在 同一 条 物 理信 道 上 传输 的所 有 信 息都 可 以被 接 收 到 。此 时 网络 监 控者 可 以再通 过 其 它 方式 对 接 收 到 的数 据包 进 行 分析 ,从 中提 取 自 己感 兴趣 的信 息 。 三 、局域 网监 听 的简单 实现 —— 嗅探器 设计 原理 嗅 探 器 是 一 种 网 络 通 讯 程 序 , 通 过 对 网 卡 使 用 套 接 字 ( S O C k e t ) 方 式 进行 编 程来 实 现 网络通 讯 。但 是 ,跟普 通 主机 处 理 网络 数 据 包 的 方式 类似 ,通 常 的 套 接字 程 序 只能 处 理 目的地 址 是 自 身物 理 地 址 的数 据 帧 或者 是 广 播 数据 帧 ,对于 其 它 数据 帧 , 即 使套 接 字 程 序 已经 在 网 络接 1 3上 接 收到 了 ,但 经 验 证 目的地 址 并 非是 本 机 地 址 ,因此 将 不对 此 种 数据 帧 进 行 处理 。 而 网络 嗅 探 器 的 目的恰 恰 在于 从 网卡 接收 所 有 经过 它 的 数 据帧 ,这 些数 据 帧

网络安全与应用技术-第8章 网络监听与防御技术

网络安全与应用技术-第8章 网络监听与防御技术

软件嗅探器便宜易于使用,缺点是往往无 法抓取网络上所有的传输数据(比如碎片),也 就可能无法全面了解网络的故障和运行情况;
������ 硬件嗅探器的通常称为协议分析仪,它 的优点恰恰是软件嗅探器所欠缺的,但是价格 昂贵。
������ 目前主要使用的嗅探器是软件的。
2.Sniffer软件的主要工作机制及常用软件 需要一个直接与网卡驱动程序接口的驱动模
块,作为网卡驱动与上层应用的“中间人”,它 将网卡设置成混杂模式,并从上层Sniffer接收 下达的各种抓包请求,对来自网卡驱动程序的数 据帧进行过滤,最终将符合Sniffer要求的数据 返回给Sniffer。
链路层的网卡驱动程序上传的数据帧就有了
两个去处:一个是正常的协议栈,另一个就是分 组捕获即过滤模块,对于非本地的数据包,前者 会丢弃(通过比较目的IP地址),而后者则会根 据上层应用的要求来决定上传还是丢弃。
2.交换机 (1) 交换机的原理:
交换机是一种网络开关(Switch),也称交 换器,由于和电话交换机对出入线的选择有相似 的原理,因此被人称为交换机。
交换机在局域网的环境下,工作在比集线器
更高一层链路层上。交换机被定义成一个能接收 发来的信息帧,加以暂时存储,然后发到另一端 的网络部件,其本质上就是具有流量控制能力的 多端口网桥。
点到点网络传输技术:点到点网络由一对对 机器之间的多条连接构成,分组的传输是通 过这些连接直接发往目标机器,因此不存在 发送分组被多方接收的问题。
3.网卡的四种工作模式
(1)广播模式:该模式下的网卡能够接收网络中 的广播信息。
(2)组播模式:该模式下的网卡能够接受组播数 据。
(3)直接模式:在这种模式下,只有匹配目的 MAC地址的网卡才能接收该数据帧。

窃听的原理

窃听的原理

窃听的原理窃听是指未经允许,利用特殊设备或手段获取他人的隐私信息或机密信息的行为。

窃听行为不仅侵犯了他人的隐私权,也可能造成严重的安全隐患。

了解窃听的原理,有助于我们更好地保护个人隐私和信息安全。

窃听的原理主要包括以下几个方面:一、电磁波窃听。

电磁波窃听是利用电磁波传输信息的特性进行窃听的一种方式。

无线电波、微波等电磁波可以穿透墙壁和屏蔽物,因此可以被用来窃听他人的通信内容。

窃听者利用窃听设备接收目标物体发出的电磁波,并通过解调等技术将其转化为可识别的语音或数据信息。

二、声音窃听。

声音窃听是指利用麦克风等设备获取他人的语音信息。

窃听者可以安装窃听设备在目标场所,通过麦克风收集目标对象的语音,并将其传输到窃听者所在的位置。

现代科技的发展,使得声音窃听设备变得越来越小巧,难以被察觉。

三、网络窃听。

网络窃听是指利用黑客技术或恶意软件窃取网络通信内容的行为。

通过网络窃听,窃听者可以获取他人在互联网上的通信内容、个人信息、财务数据等敏感信息。

网络窃听可能会给个人、企业甚至国家造成严重的损失。

四、无线电频率窃听。

无线电频率窃听是指利用无线电频率接收目标对象的无线通信内容。

窃听者可以通过监听无线电频率的方式,获取目标对象在无线通信中传输的语音、数据等信息。

这种窃听方式通常需要专业的设备和技术支持。

为了防范窃听行为,我们可以采取一些有效的防范措施。

比如加密通信内容、定期对环境进行安全检查、使用防窃听设备等。

同时,对于窃听行为,法律也有严格的规定和处罚。

因此,我们应该增强对窃听行为的认识,提高安全意识,做好个人信息和隐私的保护工作。

总之,窃听是一种严重侵犯他人隐私和信息安全的行为,了解窃听的原理有助于我们更好地防范和对抗窃听行为。

我们应该加强对窃听技术的研究和监测,同时也要提高自身的安全意识,做好信息安全防护工作。

只有这样,我们才能更好地保护个人隐私和信息安全。

转:网络监听原理

转:网络监听原理

转:⽹络监听原理⽹络监听是指利⽤计算机的⽹络接⼝截获⽬的地为第三⽅计算机的数据报⽂的⼀种技术。

利⽤这种技术可以监听⽹络的当前流量状况;⽹络程序的运⾏以及⾮法窃取⽹络中传输的机密信息。

在共享式以太⽹中,所有的通讯都是⼴播的,也就是说通常在同⼀⽹段的所有⽹络接⼝都可以访问在物理媒体上传输的所有数据,使⽤ARP 和RARP协议进⾏相互转换。

在正常的情况下,⼀个⽹络接⼝应该只响应两种数据帧:与⾃⼰硬件地址相匹配的数据帧和发向所有机器的⼴播数据帧。

在⼀个实际的系统中,数据的收发由⽹卡来完成。

每个以太⽹卡拥有⼀个全球难⼀的以太⽹地址。

以太⽹地址是⼀个48位的⼆进制数。

在以太⽹卡中内建有⼀个数据报过滤器。

该数据包过滤器的作⽤是保留以本⾝⽹卡的MAC地址为通讯⽬的的数据包和⼴播数据包,丢弃所有其它⽆关的数据包,以免除CPU对⽆关的数据包做⽆谓的处理。

这是以太⽹卡在⼀般情况下的⼯作⽅式。

在这种⽅式下,以太⽹卡只将接收到的数据包中与本机有关部分向上传递。

然⽽数据包过滤器是可以通过编程禁⽤的。

禁⽤数据包过滤器后,⽹卡将把接收到的所有的数据包向上传递,上⼀层软件因此可以监听以太⽹中其它计算机之间的通讯。

我们称这种⼯作模式为“混杂模式”。

多数⽹卡⽀持“混杂模式”,⽽该模式还是微软公司的“pC99”规范中对⽹卡的⼀个要求。

⽹卡的“混杂模式”使得采⽤普通⽹卡作为⽹络探针,实现⽹络的侦听变得⾮常容易。

⼀⽅⾯⽅便了⽹络管理,另⼀⽅⾯,普通⽤户也能轻易地侦听⽹络通讯,对⽤户的数据通讯保密是⼀个很⼤的威胁。

在进⾏此种⽅式的数据监听时,是在⽹络的节点处设置⽹络设备为混杂模式,进⾏数据监听管理⽹络;⿊客则是利⽤ARP侦探⽹络上出于混杂模式的⽹络节点并将⿊客软件放置在节点处进⾏窃听的。

还有⼀种窃听⽅式是利⽤ARP欺骗达到的。

ARP欺骗⼜被称为ARP重定向技术,ARP地址解析协议虽然是⼀个⾼效的数据链路层协议,但是作为⼀个局域⽹的协议,它是建⽴在各主机之间互相信任基础之上的,因此存在⼀定的安全问题:(1)主机地址映射表是基于⾼速缓存动态更新的,这是ARP协议的特⾊,也是安全问题之⼀。

网 络 监 听

网 络 监 听
• sniffer要捕获的报文必须是物理信号能收到的数据信息。 在以太网中,根据连接的网络设备不同,可分为共享式 网络和交换式网络。
1)共享式网络中的嗅探器
• 网卡对数据包
• 地址欺骗的过程示意图
1.3 网络监听的工具
• 使用嗅探器能够帮助管理员检查和解决在本地计算机上 遇到的一些网络问题。常见的嗅探器有以下几种:
• 若认为应该接收,就在接收后产生中断信号通知CPU,CPU得到中断信号 产生中断,操作系统就根据程序中设置的网卡中断程序地址调用驱动程序 接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理;若认为不 该接收,则丢弃不管。
2.局域网的工作原理
• 数据在数据链路层以帧为单位进行传输。 • 传输数据时,包含MAC地址的帧从网络接口(网卡)
• 1.Sniffer Pro • 2.Windump
1.4 网络监听的防范
• 1.规划网络 • 2. 采用加密通信 • 3. 监测sniffer
网络安全与管理
网络安全与管理
1.1 网络监听的概念
• 网络监听,也称为网络嗅探,主要工作在网络的底层, 通过在互相通信的两台计算机之间利用技术手段插入一 台可以接收并记录通信内容的设备,最终实现对通信双 方的数据记录。
• 由于网络监听的“被动性”和“非干扰”性,使得网络 监听具有很强的隐蔽性,让网络信息泄密变得不容易发 现。网络监听可以在网上的任何位置实施,如网关、路 由器、远程网的调制解调器或者网络中的某一台主机等。
嗅探器(sniffer)
• 嗅探器是一类用于捕获网络报文的软件。它可以用来 进行网络流量分析,以找出网络中潜在的问题。当一 段网络运行不好,速度较慢而又找不出问题所在时, 用sniffer往往可以作出精确的判断。

安全高手的必备技术—网络监听SNIFFER

安全高手的必备技术—网络监听SNIFFER

( LB)或 交换 H 饥 , 几 台计算 把 机 连接 在 一起 。
几 个 网 段 再 通 过 一 个路 由 器 连 到 j tre n e n t。
图 1
『、 囊篓 .
离宣 离

l … 十 算
图 3
( 1 图 )
维普资讯
s J f r也叫 嗅探 器 ,专 业一 点的 称呼 是 “ n e f 网络 备 。当一 台机 器 发送 数据 时 ,H B会把 这 份数 据送 到 U 监听 ” ,其 实就 是 网络 上的 “ 窃听 器 ” 。对 于监听 ,人 它 的所 有端 口 。 如 :在 图 2中 ,当机 器 ,向机 器 B 例 、 发
图 2
送 数据 时 ,集线 器 把数据 送 到它 的 每一 个 端 口 , 这样 就 把信 息发 送到 了连接 其端 口的 每 台机器 , 当然也 包
1 .局 域网 括 机器 B 当机 器B , 确认 数 据是 送 给他 时 , 收 该数据 。 接 的 组成

交换 机则 是 一种 工作 在链路 层 的设 备 , 它能 识别 出计算 机的 网卡连 接在 交换 机 的那 个端 口上 , 实就 其 是 交换 机有 一 个 M C ( 理介 质 访 问层 )表 ,它 保存 A 物
3 .网 卡如 何工 作 ?
入 门级 的 分析 软 件 ,可 以分 析 以太 网 、令牌 环 等 ;
n e f 前 面我们 看 到 H B可 以把 数 据送 到所 有 的端 口 。 S i f r P o L N 也就 是本 文下 面 要介 绍 的s i f r U n f e r A , r .,是 对局域 网的专 家级 的 分析 软件 ;分析 对 计 算机 的 网卡 在接 收数 据 时 , 常 会判 断该 数据 的 接 p o 46 通

网络安全之网络监听


网络安全之网络监听
1
总之,网络安全是一个 持续的挑战,需要不断 更新和发展技术、政策
和最佳实践来应对
2
我们应该不断关注新技术的发 展,加强安全意识和培训,提 高网络安全防护能力,以确保 网络通信的安全性和可靠性
网络安全之网络监听
网络安全教育与意识
网络安全并不仅仅是技术问题,而是一个涉及多个层面的复杂议题。因此,除了技术层面 的防范措施外,网络安全教育也是至关重要的
定期审计和监控
定期检查和监控网络设备和 系统的日志文件,以便及时 发现异常活动或潜在的安全 威胁。通过审计和监控,可 以及时采取措施应对安全事
件或潜在的网络攻击
使用加密技术保护数据存储
对于存储在本地或云端的数 据,应使用加密技术进行保 护。这可以确保即使数据被 盗或泄露,攻击者也无法轻 易地访问或解密敏感信息
启用防火墙和入侵检测系统
防火墙可以限制对网络的访 问,防止未经授权的访问和 数据泄漏。入侵检测系统能 够实时监控网络活动,并检 测任何可疑行为或攻击活动
教育和培训
提高员工对网络安全的认识 和意识,让他们了解如何避 免常见的安全风险和识别潜 在的网络威胁。定期进行安 全培训和演练,确保员工具 备足够的安全知识和技能
使用VPN:使用虚拟专用网络(VPN)可以在公共网络上建立加密的连接,保护用户的个 人信息和通信内容
网络安全之网络监听
使用安全的网络设备
确保使用的网络设备和软件 是最新版本,并及时更新安 全补丁。这可以减少漏洞和
潜在的安全风险
使用强密码
使用复杂且难以猜测的密码 来保护账户和系统安全。定 期更改密码,并避免在多个 账户上重复使用相同的密码
网络安全之网络监听
结论

监听机制的工作原理

监听机制的工作原理监听机制是一种常见的计算机安全技术,它可以监控计算机系统中的各种活动,以便及时发现和处理安全问题。

在本文中,我们将探讨监听机制的工作原理,包括其基本原理、实现方式和应用场景。

一、基本原理监听机制的基本原理是通过监控计算机系统中的各种活动,来发现和处理安全问题。

具体来说,它可以监控网络流量、系统日志、进程活动、文件访问等,以及检测恶意软件、入侵行为、数据泄露等安全威胁。

当发现异常情况时,监听机制会立即发出警报,并采取相应的措施,如阻止网络连接、关闭进程、删除恶意文件等。

二、实现方式监听机制的实现方式有多种,其中比较常见的包括以下几种:1. 网络流量监控:通过在网络设备上安装监听器,可以实时监控网络流量,包括数据包的来源、目的地、协议类型、数据内容等。

这种方式可以检测网络攻击、数据泄露等安全威胁。

2. 系统日志监控:通过监控系统日志,可以了解系统的运行情况,包括登录记录、进程活动、文件访问等。

这种方式可以检测入侵行为、恶意软件等安全威胁。

3. 进程监控:通过监控系统中的进程活动,可以了解进程的运行情况,包括进程的启动、停止、资源占用等。

这种方式可以检测恶意软件、僵尸网络等安全威胁。

4. 文件监控:通过监控系统中的文件访问,可以了解文件的读写情况,包括文件的创建、修改、删除等。

这种方式可以检测数据泄露、恶意软件等安全威胁。

三、应用场景监听机制在计算机安全中有着广泛的应用场景,其中比较常见的包括以下几种:1. 网络安全:监听机制可以监控网络流量,及时发现和处理网络攻击、数据泄露等安全威胁。

2. 系统安全:监听机制可以监控系统日志、进程活动、文件访问等,及时发现和处理入侵行为、恶意软件等安全威胁。

3. 数据安全:监听机制可以监控文件访问、数据传输等,及时发现和处理数据泄露、非法访问等安全威胁。

4. 应用安全:监听机制可以监控应用程序的运行情况,及时发现和处理漏洞、错误等安全威胁。

总之,监听机制是一种重要的计算机安全技术,它可以帮助我们及时发现和处理各种安全威胁,保障计算机系统的安全稳定运行。

计算机网络监听检测技术浅析

ao g wi t e ewo k ln t h n t r wiea s s ro h r t p i e ius,i mo e s r ma y t n t r r tp, e a n t n n he n o e wo k wie a x mi ai a d t o r s a c u r i g a an td y b y Th ewo k wiea h c i e t c i u o d s o e r tp e e r h g a d n g i s a y da . e n t r r t p c e ksa sd e hn q e t ic v rwiea b h v o n t n tp wiea ff rh rd v lpme t e r a e c t me o s e a ir i i a d so r t p o u t e e e o me n ,d c e s uso rls . Ke r s n t r r tp;d s o e r t p;n t r ae y ywo d : ewo k wiea ic v rwiea ewo k s f t
收稿 日期 :0 1 0 — 8 2 1 — 4 1 修 回 日期 :0 1 0 — 8 2Fra bibliotek1 - 5 0
基金项 目 : 铜陵学院教研项 目“ 应用型本科 院校计算 机实验室网络安全研究” Jl05 基金资助. (Y O2 ) 作者简介 : 张 吴 (92 )男 , 18一 , 江苏南 京人 , 陵学 院教务处讲师 , 铜 硕士 ; 研究方 向 : 网络安全 , 全技 术 安
关键词 : 网络 监 听 ; 听 检 测 ; 络 安全 监 网
中图分类 号: P 9 T 33
文献标识码 : A
文章编 号 :6 3 12 2 1 ) 3 0 4 一 4 17 — 6 X( 0 1 O ~ o 4 o

网络监听原理

网络监听原理
网络监听原理是指通过某种技术手段对网络通信进行监控和捕获的过程。

在网络通信中,数据传输通过网络协议进行,而网络监听就是在其中的某个环节或节点上截取和分析网络数据流的过程。

网络监听通常是在网络中的某个关键节点上进行,这个节点可以是网络中的设备(如交换机、路由器、网关等)或者是部署在网络边缘的特殊设备(如防火墙、入侵检测系统等)。

这些设备通过特定的监听模块或软件,在传输层或应用层上截取网络数据包,并进行相应的解析和处理。

网络监听原理主要包括以下几个方面:
1. 数据截获:网络监听设备使用技术手段(如端口镜像、ARP 欺骗、MAC地址欺骗等)来获取网络数据包,将其复制到监
听设备上进行分析。

2. 数据解析:在监听设备上对截获的网络数据包进行解析,获取其中的关键信息,如源IP地址、目的IP地址、TCP/UDP端口号等。

根据协议的不同,数据解析的方式也会有所不同。

3. 数据过滤:监听设备可以根据设置的规则或者特定的关键字,对截获的网络数据包进行过滤,只保留符合条件的数据包。

这样可以减少数据量,提高监听效率。

4. 数据分析:通过对截获的网络数据包进行深入分析,以获取
更多的信息,如通信双方的具体内容、协议的使用情况、异常情况等。

这有助于进行网络故障排查、安全威胁检测等工作。

需要注意的是,网络监听原理虽然可以帮助网络管理者进行网络监控和故障排查,提高网络安全性,但也存在一定的隐私和安全问题。

未经允许的网络监听可能侵犯用户的隐私权,甚至被黑客用来进行非法活动。

因此,在进行网络监听时,必须遵守相关的法律法规,确保合法合规。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

从入门到精通网络监听技术全解作者: , 出处:中国IT实验室, 责任编辑: 韩博颖,2008-04-07 09:24网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,成为了普通的网络管理员想真正成长为资深的网络工程师的必经之路。

编者按: 网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,但它同时又带来了信息失窃等极大隐患,也因此,网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。

网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。

然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。

网络监听在安全领域引起人们普遍注意是在94年开始的,在那一年2月间,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。

上述事件可能是互联网上最早期的大规模的网络监听事件了,它使早期网络监听从"地下"走向了公开,并迅速的在大众中普及开来。

关于网络监听常常会有一些有意思的问题,如:"我现在有连在网上的计算机了,我也有了窃听的软件了,那么我能不能窃听到微软(或者美国国防部,新浪网等等)的密码?又如:我是公司的局域网管理员,我知道hub很不安全,使用hub这种网络结构将公司的计算计互连起来,会使网络监听变得非常容易,那么我们就换掉hub,使用交换机,不就能解决口令失窃这种安全问题了么?这是两个很有意思的问题,我们在这里先不做回答,相信读者看完全文后会有自己正确的答案。

基本概念:认清mac地址和ip地址首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。

而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。

同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址。

下面用一个常见的unix命令ifconfig来看一看作者本人的一台正常工作的机器的网卡:[yiming@server/root]# ifconfig -ahme0: flags=863 mtu 1500inet 192.168.1.35 netmask ffffffe0ether 8:0:20:c8:fe:15从这个命令的输出中我们可以看到上面讲到的这些概念,如第二行的192.168.1.35是ip 地址,第三行的8:0:20:c8:fe:15是mac地址。

请注意第一行的BR OA DCAST,MULT IC AST,这是什么意思?一般而言,网卡有几种接收数据帧的状态,如unicast,broadcast,multicast,promiscuous等,unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。

Broadcast是指接收所有类型为广播报文的数据帧。

Multicast是指接收特定的组播报文。

Promiscuous则是通常说的混杂模式,是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式。

对照这几个概念,看看上面的命令输出,我们可以看到,正常的网卡应该只是接收发往自身的数据报文,广播和组播报文,请大家记住这个概念。

对网络使用者来说,浏览网页,收发邮件等都是很平常,很简便的工作,其实在后台这些工作是依靠tcp/ip协议族实现的,大家知道有两个主要的网络体系:O SI参考模型和TCP/IP参考模型,OSI模型即为通常说的7层协议,它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层,而tcp/ip模型中去掉了会话层和表示层后,由剩下的5层构成了互联网的基础,在网络的后台默默的工作着。

下面我们不妨从tcp/ip模型的角度来看数据包在局域网内发送的过程:当数据由应用层自上而下的传递时,在网络层形成ip数据报,再向下到达数据链路层,由数据链路层将ip数据报分割为数据帧,增加以太网包头,再向下一层发送。

需要注意的是,以太网的包头中包含着本机和目标设备的mac地址,也即,链路层的数据帧发送时,是依靠48bits的以太网地址而非ip地址来确认的,以太网的网卡设备驱动程序不会关心ip数据报中的目的ip地址,它所需要的仅仅是mac地址。

目标ip的mac地址又是如何获得的呢?发端主机会向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧(称为arp数据包),并期望目的主机回复,从而得到目的主机对应的mac地址,并将这个mac地址存入自己的一个arp缓存内。

当局域网内的主机都通过HUB等方式连接时,一般都称为共享式的连接,这种共享式的连接有一个很明显的特点:就是HUB会将接收到的所有数据向HUB上的每个端口转发,也就是说当主机根据mac地址进行数据包发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯,只是在正常状况下其他主机会忽略这些通讯报文而已!如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。

隐患:混杂模式下接收所有信息我们不妨举一个例子来看看:我们现在有A,B两台主机,通过hub相连在一个以太网内,现在A机上的一个用户想要访问B机提供的WWW服务,那么当A机上的用户在浏览器中键入B的ip地址,得到B机提供的web服务时,从7层结构的角度上来看都发生了什么呢?1:首先,当A上的用户在浏览器中键入B机的地址,发出浏览请求后,A机的应用层得到请求,要求访问IP地址为B的主机,2:应用层于是将请求发送到7层结构中的下一层传输层,由传输层实现利用tcp对ip 建立连接。

3:传输层将数据报交到下一层网络层,由网络层来选路4:由于A,B两机在一个共享网络中,IP路由选择很简单:IP数据报直接由源主机发送到目的主机。

5:由于A,B两机在一个共享网络中,所以A机必须将32bit的IP地址转换为48bit 的以太网地址,请注意这一工作是由arp来完成的。

6:链路层的arp通过工作在物理层的hub向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧,在这份请求报文中申明:谁是B机IP地址的拥有者,请将你的硬件地址告诉我。

7:在同一个以太网中的每台机器都会"接收"(请注意这一点!)到这个报文,但正常状态下除了B机外其他主机应该会忽略这个报文,而B机网卡驱动程序识别出是在寻找自己的ip地址,于是回送一个arp应答,告知自己的ip地址和mac地址。

8:A机的网卡驱动程序接收到了B机的数据帧,知道了B机的mac地址,于是以后的数据利用这个已知的MAC地址作为目的地址进行发送。

同在一个局域网内的主机虽然也能"看"到这个数据帧,但是都保持静默,不会接收这个不属于它的数据帧。

上面是一种正常的情况,如果网卡被设置为为混杂模式(promiscuous),那么第8步就会发生变化,这台主机将会默不作声的听到以太网内传输的所有信息,也就是说:窃听也就因此实现了!这会给局域网安全带来极大的安全问题,一台系统一旦被入侵并进入网络监听状态,那么无论是本机还是局域网内的各种传输数据都会面临被窃听的巨大可能性。

实用的网络监听工具介绍上面我们看到,一切的关键就在于网卡被设置为混杂模式的状态,这种工作复杂吗?不幸的是,这种工作并不复杂,目前有太多的工具可以做到这一点。

自网络监听这一技术诞生以来,产生了大量的可工作在各种平台上相关软硬件工具,其中有商用的,也有free 的。

在google上用sniffer tools作为关键字,可以找到非常多。

作者在这里列举一些作者喜欢的软件,供有兴趣的读者参考使用。

Windows平台下的:WindumpWindump是最经典的unix平台上的tcpdump的window移植版,和tcpdump几乎完全兼容,采用命令行方式运行,对用惯tcpdump的人来讲会非常顺手。

目前版本是3.5.2,可运行在Windows 95/98/ME/Windows NT/2000/XP平台上IrisEeye公司的一款付费软件,有试用期,完全图形化界面,可以很方便的定制各种截获控制语句,对截获数据包进行分析,还原等。

对管理员来讲很容易上手,入门级和高级管理员都可以从这个工具上得到自己想要得东西。

运行在Windows 95/98/ME/WindowsNT/2000/XP平台上unix平台下的:tcpdump不多说,最经典的工具,被大量的*nix系统采用,无需多言。

ngrep和tcpdump类似,但与tcpdump最大的不同之处在于,借助于这个工具,管理员可以很方便的把截获目标定制在用户名,口令等感兴趣的关键字上。

snort目前很红火的免费的ids系统,除了用作ids以外,被用来sniffer也非常不错,可以借助工具或是依靠自身能力完全还原被截获的数据。

Dsniff作者设计的出发点是用这个东西进行网络渗透测试,包括一套小巧好用的小工具,主要目标放在口令,用户访问资源等敏感资料上,非常有特色,工具包中的arpspoof,macof 等工具可以令人满意的捕获交换机环境下的主机敏感数据。

Ettercap和dsniff在某些方面有相似之处,也可以很方便的工作在交换机环境下提示:国内用户访问这个站点需要使用代理服务器。

Sniffit被广泛使用的网络监听软件,截获重点在用户的输出。

正途:网络监听解决邮件发送时间长问题在系统管理员看来,网络监听的主要用途是进行数据包分析,通过网络监听软件,管理员可以观测分析实时经由的数据包,从而快速的进行网络故障定位。

我们可以举个例子: server是邮件服务器,下面带了很多的client用户,邮件服务器收发邮件工作正常,但下面的client用户总是抱怨发邮件时连接到邮件服务器后要等待很久的时间才能开始发送工作,问题出在哪里呢?在server上使用tcpdump对来自其中的一个client的数据包进行捕获分析,看看结果如何?server#tcpdump host clienttcpdump: listening on hme019:04:30.040578 client.1065 > server.smtp: S 1087965815:1087965815(0) win 64240 (DF)19:04:30.040613 server.smtp > client.1065: S 99285900:99285900(0) ack 1087965816 win 10136 (DF)19:04:30.040960 client.1065 > server.smtp: . ack 1 win 64240 (DF)client连接服务器的25端口,三次握手正常,没有问题,我们再往下看19:04:30.048862 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 19:04:33.411006 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 19:04:40.161052 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF) 19:04:56.061130 server.33152 > client.113: R 99370917:99370917(0) win 8760 (DF) 19:04:56.070108 server.smtp > client.1065: P 1:109(108) ack 1 win 10136 (DF) 这里有问题了,我们看到server端试图连接client的113认证端口,然而client端并不会去回应它,server端从19点04分30秒到19点04分56秒尝试3次,费时26秒后,才放弃认证尝试,主动reset了client端的113端口,开始push后面的数据,而正是在这个过程中所花费的时间,使用户发送邮件时产生了漫长的等待。