当前位置:文档之家 › 网络监听技术原理及常用监听工具

网络监听技术原理及常用监听工具

  • 格式:pdf
  • 大小:5.00 MB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

网络监听的原理及实现技术

网络监听的原理及实现技术
安 全 管 理提 供 重 要信 息 。 使 用 网络 监 听技 术 可 以用来 监 视 网络 的
据 包 中地址 一致 的主机 才 会 对 接 收到 的 数据 包 进 行 处理 ,其 它 主 机 虽 然也 能够 收到 数据 包 。但 由于 其 I P 地 址不 一致 ,因此 并不 会对 数 据 包 进 行处 理 ,而 是简 单 的 丢弃 。但 是 。当主 机 工作 在 监 听模 式 下 时 ,无论 数 据 包 中 的 目标 地址 是 什 么 ,主 机 都会 将 数 据 包 接 收下 来 ,不过 也是 只能 接收 那些 经过 自 己网络 接 1 3的数据 包 。 在 互联 网上 有很 多使 用 以太 网协 议 的局 域 网 ,根据 计 算 机 网 络 分 层 协议 ,数 据包 从 应用 层 出发 ,经传 输 层 ( 使 用T CP 或 UDP 协 议 )、网络 层 ( 使用 I P 协 议 ),再 经数 据链 路层 。最 后在物 理 层 上进 行 传 输 。物 理 层 只 负责 传 送信 息 流 ,不对 信 息做 任 何 处 理 , 而数 据 链 路层 和 网络 层都 需 要 数 据包 中的 地址 信 息 ,网络 层 处理 的是 l P 地址 。数据链 路层 处理 的是 物理 地址 ,l P 地 址 包含在 l P 数 据 包 的包头 ,而 物理 地址 包含 在数 据帧 的帧 头。 传输 数 据时 。包 含物 理地 址 的数 据帧 从 网络 接 1 : 3 ( 网卡 ) 发送 到 物理 的线 路 上 。同一 条物 理 链 路 上 的主 机 都能 够 接 收到 这 个 数 据 帧 。 当数 字 帧到 达 一 台 主机 的 网 络接 口时 ,正 常情 况 下 ,网 络 接 1 3读取 数 据 帧 ,进 行 目的地 址 检 查 。如 果 数据 帧 中携带 的物 理 地 : 址 是 自 己的 或者 是 广 播地 址 ,则 将数 据 帧 交给 上 层 协议 软 件 ,也 就是 l P 层 软件 。否则就 将 这个 帧丢弃 。对 于每 一个 到达 网络 接 口的 数据 帧 ,都要 进行 这个 过程 。 然 而 ,当主 机 工作 在 监 听模 式 下 时 ,所有 的数 据 帧都 将 被 接 收下 来 。然后 交给 上层 协议 软件 (  ̄ I ] I P 层) 处 理 。而且 ,就 算连 接 在 同一 条 电 缆或 集 线 器 上 的主 机 被逻 辑 地 划分 为几 个 不 同的 子 网 时 ,处 于 监 听模 式 下 的 主机 也 能 接 收到 发 向 与 自 己不在 同一 子 网 ( 使用 了不 同的掩 码 、I P 地 址和 网 关) 的 主机 的数 据包 。也 就是 说 , 在 同一 条 物 理信 道 上 传输 的所 有 信 息都 可 以被 接 收 到 。此 时 网络 监 控者 可 以再通 过 其 它 方式 对 接 收 到 的数 据包 进 行 分析 ,从 中提 取 自 己感 兴趣 的信 息 。 三 、局域 网监 听 的简单 实现 —— 嗅探器 设计 原理 嗅 探 器 是 一 种 网 络 通 讯 程 序 , 通 过 对 网 卡 使 用 套 接 字 ( S O C k e t ) 方 式 进行 编 程来 实 现 网络通 讯 。但 是 ,跟普 通 主机 处 理 网络 数 据 包 的 方式 类似 ,通 常 的 套 接字 程 序 只能 处 理 目的地 址 是 自 身物 理 地 址 的数 据 帧 或者 是 广 播 数据 帧 ,对于 其 它 数据 帧 , 即 使套 接 字 程 序 已经 在 网 络接 1 3上 接 收到 了 ,但 经 验 证 目的地 址 并 非是 本 机 地 址 ,因此 将 不对 此 种 数据 帧 进 行 处理 。 而 网络 嗅 探 器 的 目的恰 恰 在于 从 网卡 接收 所 有 经过 它 的 数 据帧 ,这 些数 据 帧

网络监听

网络监听

Y(Cc-cc-cc- Cc-cc-cc)计算机的缓存 10.9.31.1 10.9.31.2 aa-aa-aa- aa-aa-aa aa-aa-aa- aa-aa-aa
基于ARP欺骗的监听
实验演示
嗅探的防范
交换环境下的网络嗅探主要是利用ARP缓 存的缺陷。 嗅探防范:静态ARP缓存
小结
X的缓存
X
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
交换机的数据库 端口 1 2 MAC aa-aa-aa- aa-aa-aa bb-bb-bb- bb-bb-bb
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
3
Cc-cc-cc- Cc-cc-cc
基于ARP欺骗的监听
实施欺骗后,X,Y的通信如下:
A
A(aa-aa-aa- aa-aa-aa)
X
X(bb-bb-bb- bb-bb-bb) 10.9.31.2
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
P174
基于交换机的监听
基于端口镜像的网络监听 其具体步骤为: 首先在交换机上开设一个RMON的监听端 口(Port 10)(一般现在的交换机都支持RMON方式),然后 可以在交换机上指定被监听的端口,如Port l、2、3、4, 那么这些端口收发的数据都会被监听端口所捕获。基于端 口镜像的网络监听方法通过监听一个指定端口,可以达到 从更高层次上对一个网络监听的目的。在3COM交换机用 户手册中,端口监听被称为“漫游分析端口(Roving Analysis)”,网络流量被监听的端口称做“监听口(Monitor Port)”,连接监听设备的端口称做“分析口(Analyzer Port)”。

转:网络监听原理

转:网络监听原理

转:⽹络监听原理⽹络监听是指利⽤计算机的⽹络接⼝截获⽬的地为第三⽅计算机的数据报⽂的⼀种技术。

利⽤这种技术可以监听⽹络的当前流量状况;⽹络程序的运⾏以及⾮法窃取⽹络中传输的机密信息。

在共享式以太⽹中,所有的通讯都是⼴播的,也就是说通常在同⼀⽹段的所有⽹络接⼝都可以访问在物理媒体上传输的所有数据,使⽤ARP 和RARP协议进⾏相互转换。

在正常的情况下,⼀个⽹络接⼝应该只响应两种数据帧:与⾃⼰硬件地址相匹配的数据帧和发向所有机器的⼴播数据帧。

在⼀个实际的系统中,数据的收发由⽹卡来完成。

每个以太⽹卡拥有⼀个全球难⼀的以太⽹地址。

以太⽹地址是⼀个48位的⼆进制数。

在以太⽹卡中内建有⼀个数据报过滤器。

该数据包过滤器的作⽤是保留以本⾝⽹卡的MAC地址为通讯⽬的的数据包和⼴播数据包,丢弃所有其它⽆关的数据包,以免除CPU对⽆关的数据包做⽆谓的处理。

这是以太⽹卡在⼀般情况下的⼯作⽅式。

在这种⽅式下,以太⽹卡只将接收到的数据包中与本机有关部分向上传递。

然⽽数据包过滤器是可以通过编程禁⽤的。

禁⽤数据包过滤器后,⽹卡将把接收到的所有的数据包向上传递,上⼀层软件因此可以监听以太⽹中其它计算机之间的通讯。

我们称这种⼯作模式为“混杂模式”。

多数⽹卡⽀持“混杂模式”,⽽该模式还是微软公司的“pC99”规范中对⽹卡的⼀个要求。

⽹卡的“混杂模式”使得采⽤普通⽹卡作为⽹络探针,实现⽹络的侦听变得⾮常容易。

⼀⽅⾯⽅便了⽹络管理,另⼀⽅⾯,普通⽤户也能轻易地侦听⽹络通讯,对⽤户的数据通讯保密是⼀个很⼤的威胁。

在进⾏此种⽅式的数据监听时,是在⽹络的节点处设置⽹络设备为混杂模式,进⾏数据监听管理⽹络;⿊客则是利⽤ARP侦探⽹络上出于混杂模式的⽹络节点并将⿊客软件放置在节点处进⾏窃听的。

还有⼀种窃听⽅式是利⽤ARP欺骗达到的。

ARP欺骗⼜被称为ARP重定向技术,ARP地址解析协议虽然是⼀个⾼效的数据链路层协议,但是作为⼀个局域⽹的协议,它是建⽴在各主机之间互相信任基础之上的,因此存在⼀定的安全问题:(1)主机地址映射表是基于⾼速缓存动态更新的,这是ARP协议的特⾊,也是安全问题之⼀。

局域网监听工作原理与常见防范措施

局域网监听工作原理与常见防范措施

由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。

而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。

如现在很多黑客在入侵时,都会把局域网扫描与监听作为他们入侵之前的准备工作。

因为凭这些方式,他们可以获得用户名、密码等重要的信息。

如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。

可见,网络监听如果用得不好,则会给企业的网络安全以致命一击。

一、局域网监听的工作原理要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。

知己知彼,百战百胜。

只有如此,才能有针对性的提出一些防范措施。

现在企业局域网中常用的网络协议是“以太网协议”。

而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。

在正常情况下,只有主机B才会接收这个数据包。

其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。

但是,若此时局域网内有台主机C,其处于监听模式。

则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。

这就是网络监听的基本原理。

在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。

此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。

当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。

如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。

如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。

在这种工作模式下,若把主机设臵为监听模式,则其可以了解在局域网内传送的所有数据。

网络安全实验wireshark网络监听实验

网络安全实验wireshark网络监听实验

实验报告机将写有目的的主机地址的数据包直接发向目的主机,或者当网络中的一台主机同外界的主机通信时,源主机将写有目的的主机IP地址的数据包发向网关。

但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP层交给网络接口,也就是所说的数据链路层。

网络接口不会识别IP地址的。

在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。

在祯头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址,这个48位的地址是与IP地址相对应的,换句话说就是一个IP地址也会对应一个物理地址。

对于作为网关的主机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。

而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中,也就是从网卡中发送出去传送到物理的线路上。

如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。

再当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。

这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。

当数字信号到达一台主机的网络接口时,正常状态下网络接口对读入数据祯进行检查,如果数据祯中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据祯交给IP层软件。

对于每个到达网络接口的数据祯都要进行这个过程的。

但是当主机工作在监听模式下的话,所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候,那么要是有一台主机处于监听模式,它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包,在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上,当拥有超级权限的用户要想使自己所控制的主机进入监听模式,只需要向Interface(网络接口)发送I/O控制命令,就可以使主机设置成监听模式了。

网络安全之网络监听

网络安全之网络监听

网络安全之网络监听
1
总之,网络安全是一个 持续的挑战,需要不断 更新和发展技术、政策
和最佳实践来应对
2
我们应该不断关注新技术的发 展,加强安全意识和培训,提 高网络安全防护能力,以确保 网络通信的安全性和可靠性
网络安全之网络监听
网络安全教育与意识
网络安全并不仅仅是技术问题,而是一个涉及多个层面的复杂议题。因此,除了技术层面 的防范措施外,网络安全教育也是至关重要的
定期审计和监控
定期检查和监控网络设备和 系统的日志文件,以便及时 发现异常活动或潜在的安全 威胁。通过审计和监控,可 以及时采取措施应对安全事
件或潜在的网络攻击
使用加密技术保护数据存储
对于存储在本地或云端的数 据,应使用加密技术进行保 护。这可以确保即使数据被 盗或泄露,攻击者也无法轻 易地访问或解密敏感信息
启用防火墙和入侵检测系统
防火墙可以限制对网络的访 问,防止未经授权的访问和 数据泄漏。入侵检测系统能 够实时监控网络活动,并检 测任何可疑行为或攻击活动
教育和培训
提高员工对网络安全的认识 和意识,让他们了解如何避 免常见的安全风险和识别潜 在的网络威胁。定期进行安 全培训和演练,确保员工具 备足够的安全知识和技能
使用VPN:使用虚拟专用网络(VPN)可以在公共网络上建立加密的连接,保护用户的个 人信息和通信内容
网络安全之网络监听
使用安全的网络设备
确保使用的网络设备和软件 是最新版本,并及时更新安 全补丁。这可以减少漏洞和
潜在的安全风险
使用强密码
使用复杂且难以猜测的密码 来保护账户和系统安全。定 期更改密码,并避免在多个 账户上重复使用相同的密码
网络安全之网络监听
结论

8.网络攻防基础


第六部分
DDos攻击体系
获取目标主机 击
拒绝服务攻击
占领傀儡攻击机 实施攻
占领傀儡主机
第六部分
如何防范DDos攻击
拒绝服务攻击
及时发现系统漏洞并更新补丁;
禁止系统不必要的服务,注意查看系统日志; 部署防火墙加强网络安全性,过滤掉所有可能的伪造数据包 与网络服务提供商协作,让ISP帮助实现路由的访问控制和带宽总 量的限制; 及时发现并清除系统中存在的DDoS攻击软件;
网络攻防基础
常见的网络攻击及防范
第一部分 网络监听
什么是网络监听
网络监听又称为sniffer,中文意思就是“嗅探器” 网络监听工具可以协助管理员监视网络状态,分析数据传输,排 除网络故障。。
网络监听也给网络带来了极大的隐患,因为它可以捕获网络数据 报文,获取敏感信息,黑客可以利用它得到用户的口令和其它机密信 息。
第三部分 网络攻击的步骤
保留后门
上传木马,预留后门,等待连接。 木马可以远程控制他人计算机,而不需要经过任何认证,所以攻 击者在使用进行入侵时,经常使用木马来制作后门。
第三部分 网络攻击的步骤
清除日志
黑客完成入侵后,最重要的就是清除入侵主机的脚印——日志。 手动清除日志 创建批处理文件,上传到远程计算机上,通过计划任务执行。
需要注意:1)企业在带宽的申请或者VPN设备的购置时,都要有 这个预算。2)访问权限的设置与管理。
第二部分 VPN的部署及应用
VPN的三种解决方案
企业扩展虚拟网(Intranet VPN) 随着信息化技术的发展,有时候,信息化管理已经不再是企业自 己的事情,更是一种跟客户进行沟通的手段。为此,我们就可以使用 VPN技术,实现企业扩展虚拟局域网,让客户也能够访问我们公司企 业内部的ERP服务器。 需要注意:1)数据的过滤 2)访问内容的限制

监听机制的工作原理

监听机制的工作原理监听机制是一种常见的计算机安全技术,它可以监控计算机系统中的各种活动,以便及时发现和处理安全问题。

在本文中,我们将探讨监听机制的工作原理,包括其基本原理、实现方式和应用场景。

一、基本原理监听机制的基本原理是通过监控计算机系统中的各种活动,来发现和处理安全问题。

具体来说,它可以监控网络流量、系统日志、进程活动、文件访问等,以及检测恶意软件、入侵行为、数据泄露等安全威胁。

当发现异常情况时,监听机制会立即发出警报,并采取相应的措施,如阻止网络连接、关闭进程、删除恶意文件等。

二、实现方式监听机制的实现方式有多种,其中比较常见的包括以下几种:1. 网络流量监控:通过在网络设备上安装监听器,可以实时监控网络流量,包括数据包的来源、目的地、协议类型、数据内容等。

这种方式可以检测网络攻击、数据泄露等安全威胁。

2. 系统日志监控:通过监控系统日志,可以了解系统的运行情况,包括登录记录、进程活动、文件访问等。

这种方式可以检测入侵行为、恶意软件等安全威胁。

3. 进程监控:通过监控系统中的进程活动,可以了解进程的运行情况,包括进程的启动、停止、资源占用等。

这种方式可以检测恶意软件、僵尸网络等安全威胁。

4. 文件监控:通过监控系统中的文件访问,可以了解文件的读写情况,包括文件的创建、修改、删除等。

这种方式可以检测数据泄露、恶意软件等安全威胁。

三、应用场景监听机制在计算机安全中有着广泛的应用场景,其中比较常见的包括以下几种:1. 网络安全:监听机制可以监控网络流量,及时发现和处理网络攻击、数据泄露等安全威胁。

2. 系统安全:监听机制可以监控系统日志、进程活动、文件访问等,及时发现和处理入侵行为、恶意软件等安全威胁。

3. 数据安全:监听机制可以监控文件访问、数据传输等,及时发现和处理数据泄露、非法访问等安全威胁。

4. 应用安全:监听机制可以监控应用程序的运行情况,及时发现和处理漏洞、错误等安全威胁。

总之,监听机制是一种重要的计算机安全技术,它可以帮助我们及时发现和处理各种安全威胁,保障计算机系统的安全稳定运行。

网络攻防原理第12讲-网络监听技术

1 234 5 6
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送

网络监听和窥探:如何防止被监听和跟踪


02
嗅探器
• 一种用于监听网络传输的工具
• 可以捕获网络中的数据包,分析网络通信内容
• 有线嗅探器、无线嗅探器等不同类型
03
数据包捕获
• 通过工具捕获网络中的数据包
• 分析数据包中的信息,获取敏感数据和隐私
• Wireshark、TCPDump等是常用的数据包捕获工具
网络监听与窥探的危害:隐私泄露、数据损失、网络安全风险
03
识别和应对网络监听与窥探
发现网络监听与窥探的迹象:流量异常、性能下降、安全事件
安全事件
• 检测到黑客攻击、恶意软件等安全事件
• 分析安全事件,查找监听和窥探的源头
流量异常
• 网络流量突然增加或减少,可能有人在监听或窥探
• 检查网络流量,分析异常数据包
性能下降
• 网络设备运行缓慢,可能是受到网络监听和窥探的影响
加密通信:SSL/TLS、VPN、端到端加密
SSL/TLS
• 安全套接层/传输层安全协议
• 对网络通信进行加密,防止数据被窃听 -广泛应用于电子商务、金融服务等领域
VPN
• 虚拟专用网络,通过加密技术在公共网络中建立私有网络
• 保护用户的数据传输,防止被监听和窥探
• 可以用于翻墙、跨地域访问等场景
⌛️
定期检查账户安全
• 定期检查账户安全,发现异常及时处理
• 如查看登录记录、修改密码等
使用安全软件:杀毒软件、防火墙、数据备份与恢复工具
杀毒软件
• 安装杀毒软件,防止恶意软件的侵入
• 定期更新病毒库,提高杀毒效果
防火墙
• 使用防火墙,保护网络设备的安全
• 阻止未经授权的访问,防止网络监听和窥探
数据备份与恢复工具
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。