当前位置:文档之家 › 网络监听技术

网络监听技术

  • 格式:pptx
  • 大小:673.63 KB
  • 文档页数:22

下载文档原格式

  / 22

合集下载

网络监听的原理及实现技术

网络监听的原理及实现技术
安 全 管 理提 供 重 要信 息 。 使 用 网络 监 听技 术 可 以用来 监 视 网络 的
据 包 中地址 一致 的主机 才 会 对 接 收到 的 数据 包 进 行 处理 ,其 它 主 机 虽 然也 能够 收到 数据 包 。但 由于 其 I P 地 址不 一致 ,因此 并不 会对 数 据 包 进 行处 理 ,而 是简 单 的 丢弃 。但 是 。当主 机 工作 在 监 听模 式 下 时 ,无论 数 据 包 中 的 目标 地址 是 什 么 ,主 机 都会 将 数 据 包 接 收下 来 ,不过 也是 只能 接收 那些 经过 自 己网络 接 1 3的数据 包 。 在 互联 网上 有很 多使 用 以太 网协 议 的局 域 网 ,根据 计 算 机 网 络 分 层 协议 ,数 据包 从 应用 层 出发 ,经传 输 层 ( 使 用T CP 或 UDP 协 议 )、网络 层 ( 使用 I P 协 议 ),再 经数 据链 路层 。最 后在物 理 层 上进 行 传 输 。物 理 层 只 负责 传 送信 息 流 ,不对 信 息做 任 何 处 理 , 而数 据 链 路层 和 网络 层都 需 要 数 据包 中的 地址 信 息 ,网络 层 处理 的是 l P 地址 。数据链 路层 处理 的是 物理 地址 ,l P 地 址 包含在 l P 数 据 包 的包头 ,而 物理 地址 包含 在数 据帧 的帧 头。 传输 数 据时 。包 含物 理地 址 的数 据帧 从 网络 接 1 : 3 ( 网卡 ) 发送 到 物理 的线 路 上 。同一 条物 理 链 路 上 的主 机 都能 够 接 收到 这 个 数 据 帧 。 当数 字 帧到 达 一 台 主机 的 网 络接 口时 ,正 常情 况 下 ,网 络 接 1 3读取 数 据 帧 ,进 行 目的地 址 检 查 。如 果 数据 帧 中携带 的物 理 地 : 址 是 自 己的 或者 是 广 播地 址 ,则 将数 据 帧 交给 上 层 协议 软 件 ,也 就是 l P 层 软件 。否则就 将 这个 帧丢弃 。对 于每 一个 到达 网络 接 口的 数据 帧 ,都要 进行 这个 过程 。 然 而 ,当主 机 工作 在 监 听模 式 下 时 ,所有 的数 据 帧都 将 被 接 收下 来 。然后 交给 上层 协议 软件 (  ̄ I ] I P 层) 处 理 。而且 ,就 算连 接 在 同一 条 电 缆或 集 线 器 上 的主 机 被逻 辑 地 划分 为几 个 不 同的 子 网 时 ,处 于 监 听模 式 下 的 主机 也 能 接 收到 发 向 与 自 己不在 同一 子 网 ( 使用 了不 同的掩 码 、I P 地 址和 网 关) 的 主机 的数 据包 。也 就是 说 , 在 同一 条 物 理信 道 上 传输 的所 有 信 息都 可 以被 接 收 到 。此 时 网络 监 控者 可 以再通 过 其 它 方式 对 接 收 到 的数 据包 进 行 分析 ,从 中提 取 自 己感 兴趣 的信 息 。 三 、局域 网监 听 的简单 实现 —— 嗅探器 设计 原理 嗅 探 器 是 一 种 网 络 通 讯 程 序 , 通 过 对 网 卡 使 用 套 接 字 ( S O C k e t ) 方 式 进行 编 程来 实 现 网络通 讯 。但 是 ,跟普 通 主机 处 理 网络 数 据 包 的 方式 类似 ,通 常 的 套 接字 程 序 只能 处 理 目的地 址 是 自 身物 理 地 址 的数 据 帧 或者 是 广 播 数据 帧 ,对于 其 它 数据 帧 , 即 使套 接 字 程 序 已经 在 网 络接 1 3上 接 收到 了 ,但 经 验 证 目的地 址 并 非是 本 机 地 址 ,因此 将 不对 此 种 数据 帧 进 行 处理 。 而 网络 嗅 探 器 的 目的恰 恰 在于 从 网卡 接收 所 有 经过 它 的 数 据帧 ,这 些数 据 帧

局域网中网络监听技术研究.doc

局域网中网络监听技术研究.doc

局域网中网络监听技术研究作者:兰诗梅李松来源:《信息安全与技术》2013年第05期【摘要】本文对网络监听技术的概念、原理及危害进行了详细分析,并在局域网中进行了简单的实现,研究了局域网网络监听的检测和防范方法。

【关键词】局域网;网络监听;检测;防范1 引言随着因特网的不断普及和广泛应用,因特网给我们的生活带来很多便利的同时,网络安全问题给我们带来了许多的麻烦,甚至会给个人、企业甚至国家带来巨大的损失。

在局域网诸多网络安全问题中,最常遇到的安全问题就是网络监听。

局域网采用广播方式,入侵者利用监听系统可以通过局域网中的接口捕获其他计算机的数据包,这样像用户名、密码、邮件内容、QQ聊天内容等一些很隐私的重要数据都可以轻易被窃取。

因此,如何防止网络监听已成为局域网网络安全急需解决的问题。

本文首先介绍了网络监听的工作原理并利用常用的网络监听软件做了一个监听实验,然后提出了相应的防范措施。

2 网络监听技术概述2.1 网络监听技术的概念网络监听技术主要就是为了获取网络上传输的信息,网络监听技术是一种比较成熟的技术,它原本是为网络管理人员有效管理网络的工具,可以协助网络管理人员监控网络运行情况,了解网络中数据流的动向以及监控网络中传输信息的内容等,一直备受网络管理人员的喜爱。

但是网络监听技术在帮助网络管理人员有效管理网络的同时,也给网络安全带来了极大地安全隐患。

当我们将网络端口设置成为监听模式,就可以捕获在局域网中以明文形式传输的任何信息。

所以当入侵者在局域网中的一台主机上取得超级用户权限并登录以后便可使用网络监听技术捕获到网络上传输的数据。

但是,这一入侵方法只能应用于同一个网段上。

2.2 网络监听技术原理在局域网中普遍使用的网络协议是基于广播机制的IEEE802.3协议,即以太网协议。

以太网协议的主要特点是以广播的方式发送文件,在局域网中的主机很多是通过电缆或集线器连接在一起的。

当一台主机需要与另一台主机通信时,源主机会将包含目的主机地址的数据包直接发送给目的主机。

局域网监听工作原理与常见防范措施

局域网监听工作原理与常见防范措施

由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。

而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。

如现在很多黑客在入侵时,都会把局域网扫描与监听作为他们入侵之前的准备工作。

因为凭这些方式,他们可以获得用户名、密码等重要的信息。

如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。

可见,网络监听如果用得不好,则会给企业的网络安全以致命一击。

一、局域网监听的工作原理要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。

知己知彼,百战百胜。

只有如此,才能有针对性的提出一些防范措施。

现在企业局域网中常用的网络协议是“以太网协议”。

而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。

在正常情况下,只有主机B才会接收这个数据包。

其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。

但是,若此时局域网内有台主机C,其处于监听模式。

则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。

这就是网络监听的基本原理。

在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。

此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。

当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。

如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。

如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。

在这种工作模式下,若把主机设臵为监听模式,则其可以了解在局域网内传送的所有数据。

网络监听技术最全面解析

网络监听技术最全面解析

编者按: 网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,但它同时又带来了信息失窃等极大隐患,也因此,网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。

网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。

然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。

网络监听在安全领域引起人们普遍注意是在94年开始的,在那一年2月间,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。

上述事件可能是互联网上最早期的大规模的网络监听事件了,它使早期网络监听从"地下"走向了公开,并迅速的在大众中普及开来。

关于网络监听常常会有一些有意思的问题,如:"我现在有连在网上的计算机了,我也有了窃听的软件了,那么我能不能窃听到微软(或者美国国防部,新浪网等等)的密码?又如:我是公司的局域网管理员,我知道hub很不安全,使用hub这种网络结构将公司的计算计互连起来,会使网络监听变得非常容易,那么我们就换掉h ub,使用交换机,不就能解决口令失窃这种安全问题了么?这是两个很有意思的问题,我们在这里先不做回答,相信读者看完全文后会有自己正确的答案。

基本概念:认清mac地址和ip地址首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。

而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。

同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址。

安全高手的必备技术—网络监听SNIFFER

安全高手的必备技术—网络监听SNIFFER

( LB)或 交换 H 饥 , 几 台计算 把 机 连接 在 一起 。
几 个 网 段 再 通 过 一 个路 由 器 连 到 j tre n e n t。
图 1
『、 囊篓 .
离宣 离

l … 十 算
图 3
( 1 图 )
维普资讯
s J f r也叫 嗅探 器 ,专 业一 点的 称呼 是 “ n e f 网络 备 。当一 台机 器 发送 数据 时 ,H B会把 这 份数 据送 到 U 监听 ” ,其 实就 是 网络 上的 “ 窃听 器 ” 。对 于监听 ,人 它 的所 有端 口 。 如 :在 图 2中 ,当机 器 ,向机 器 B 例 、 发
图 2
送 数据 时 ,集线 器 把数据 送 到它 的 每一 个 端 口 , 这样 就 把信 息发 送到 了连接 其端 口的 每 台机器 , 当然也 包
1 .局 域网 括 机器 B 当机 器B , 确认 数 据是 送 给他 时 , 收 该数据 。 接 的 组成

交换 机则 是 一种 工作 在链路 层 的设 备 , 它能 识别 出计算 机的 网卡连 接在 交换 机 的那 个端 口上 , 实就 其 是 交换 机有 一 个 M C ( 理介 质 访 问层 )表 ,它 保存 A 物
3 .网 卡如 何工 作 ?
入 门级 的 分析 软 件 ,可 以分 析 以太 网 、令牌 环 等 ;
n e f 前 面我们 看 到 H B可 以把 数 据送 到所 有 的端 口 。 S i f r P o L N 也就 是本 文下 面 要介 绍 的s i f r U n f e r A , r .,是 对局域 网的专 家级 的 分析 软件 ;分析 对 计 算机 的 网卡 在接 收数 据 时 , 常 会判 断该 数据 的 接 p o 46 通

局域网中网络监听技术研究

局域网中网络监听技术研究
池 措 施
2 . 2 网络 监听 技术 原理
在 局 域 网 中普 遍 使 用 的 网 络 协 议 是 基 于 广 播 机 制
的I E E E 8 0 2 . 3协 议 , 即 以 太 网 协 议 。 以 太 网 协 议 的 主 要
特 点 是 以 厂‘ 播 的方式 发送 文件 , 在 局 域 网 中 的 主 机 很 多
据 包 直 接 发 送 给 目的 主 机 。 此 时 该 数 据 包 不 是 在 I P层
直接 发 送 , 而是 通过 数 据 链路 层 传送 到 网络接 口 , 而 网
络 接 口不 能 识 别 I P地 址 , 此 必 须 在 该 数 据 包 上加 上
以 太帧头 的信息 。 在 帧头 中有 源主机 和 目的主机 的物理 地 址 两 个 域 ,这 是 一 个 与 I P地 址 对 应 的 4 8位 地 址 , 只
I n f o r m a t i oቤተ መጻሕፍቲ ባይዱn S e c u r i t y・信 息安 全 ・网络控制
局 域 网 中网络监 听技 术研 究
兰诗 梅 李 松 ( 贵 阳 学 院 贵 州 贵 阳 5 5 0 0 0 5 )
【 摘
要 】 本 文对 网络监 听技术 的概念 、 原理及 危害进 行 了详 细分析 , 并在局 域 网 中进行 了简 单 的实 现 , 研 究 了局域
理 网 络 的 同 时 , 也 给 网 络 安 全 带 来 了 极 大 地 安 全 隐 患 当我们 将 网络端 E l 设 置成 为监 听模 式 . 就 可 以 捕 获 存 局
的生活带 米很多便 利 的同时 ,网络 安全 问题给我 们带来
r许 多 的 麻 烦 , 甚至 会给个人 、 企 业 甚 至 国 家 带 来 巨 大 的 损 火 存 局 域 网诸 多 网 络 安 全 问 题 中 , 最 常 遇 到 的 安 全 问 题 就 是 络 监 听 局 域 网采 用 广 播 方 式 , 入 侵 者 利 用 监 听 系 统 呵 以 通 过 局 域 网 中 的 接 口 捕 获 其 他 计 算 机 的 数 擗

网络安全之网络监听


网络安全之网络监听
1
总之,网络安全是一个 持续的挑战,需要不断 更新和发展技术、政策
和最佳实践来应对
2
我们应该不断关注新技术的发 展,加强安全意识和培训,提 高网络安全防护能力,以确保 网络通信的安全性和可靠性
网络安全之网络监听
网络安全教育与意识
网络安全并不仅仅是技术问题,而是一个涉及多个层面的复杂议题。因此,除了技术层面 的防范措施外,网络安全教育也是至关重要的
定期审计和监控
定期检查和监控网络设备和 系统的日志文件,以便及时 发现异常活动或潜在的安全 威胁。通过审计和监控,可 以及时采取措施应对安全事
件或潜在的网络攻击
使用加密技术保护数据存储
对于存储在本地或云端的数 据,应使用加密技术进行保 护。这可以确保即使数据被 盗或泄露,攻击者也无法轻 易地访问或解密敏感信息
启用防火墙和入侵检测系统
防火墙可以限制对网络的访 问,防止未经授权的访问和 数据泄漏。入侵检测系统能 够实时监控网络活动,并检 测任何可疑行为或攻击活动
教育和培训
提高员工对网络安全的认识 和意识,让他们了解如何避 免常见的安全风险和识别潜 在的网络威胁。定期进行安 全培训和演练,确保员工具 备足够的安全知识和技能
使用VPN:使用虚拟专用网络(VPN)可以在公共网络上建立加密的连接,保护用户的个 人信息和通信内容
网络安全之网络监听
使用安全的网络设备
确保使用的网络设备和软件 是最新版本,并及时更新安 全补丁。这可以减少漏洞和
潜在的安全风险
使用强密码
使用复杂且难以猜测的密码 来保护账户和系统安全。定 期更改密码,并避免在多个 账户上重复使用相同的密码
网络安全之网络监听
结论

网络监听是指什么

网络监听是指什么
网络监听技术是网络管理者监测网络、分析网络故障常用的技术,也是黑客非盗取取信息的手段。

网络监听本是网络安全管理人员用于监视网络状态、数据流动等的技术,但当攻击者将其作为一种攻击手段时,也会引发安全问题。

在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。

网络监听在网络中的任何一个位置模式下都可实施行。

而黑客一般都是利用网络监听来截取用户口令。

比如当有人占领了一台主机之后,那么他要再想进将战果扩大到这个主机所在的整个局域网话,监听往往是他们选择的捷径。

网络监听原理

网络监听原理
网络监听原理是指通过某种技术手段对网络通信进行监控和捕获的过程。

在网络通信中,数据传输通过网络协议进行,而网络监听就是在其中的某个环节或节点上截取和分析网络数据流的过程。

网络监听通常是在网络中的某个关键节点上进行,这个节点可以是网络中的设备(如交换机、路由器、网关等)或者是部署在网络边缘的特殊设备(如防火墙、入侵检测系统等)。

这些设备通过特定的监听模块或软件,在传输层或应用层上截取网络数据包,并进行相应的解析和处理。

网络监听原理主要包括以下几个方面:
1. 数据截获:网络监听设备使用技术手段(如端口镜像、ARP 欺骗、MAC地址欺骗等)来获取网络数据包,将其复制到监
听设备上进行分析。

2. 数据解析:在监听设备上对截获的网络数据包进行解析,获取其中的关键信息,如源IP地址、目的IP地址、TCP/UDP端口号等。

根据协议的不同,数据解析的方式也会有所不同。

3. 数据过滤:监听设备可以根据设置的规则或者特定的关键字,对截获的网络数据包进行过滤,只保留符合条件的数据包。

这样可以减少数据量,提高监听效率。

4. 数据分析:通过对截获的网络数据包进行深入分析,以获取
更多的信息,如通信双方的具体内容、协议的使用情况、异常情况等。

这有助于进行网络故障排查、安全威胁检测等工作。

需要注意的是,网络监听原理虽然可以帮助网络管理者进行网络监控和故障排查,提高网络安全性,但也存在一定的隐私和安全问题。

未经允许的网络监听可能侵犯用户的隐私权,甚至被黑客用来进行非法活动。

因此,在进行网络监听时,必须遵守相关的法律法规,确保合法合规。

网络攻防原理第12讲-网络监听技术

1 234 5 6
管理员为了部署网络分析仪等 设备,通过配置交换机端口镜 像功能来实现对网络的监听。
16
(三)交换网络监听:MAC洪泛
MAC地址 端口 攻击思路:
CAM
伪M造AMCA1 C 13 伪M造AMCA2 C 23 伪M造AMCA3 C 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3
10.10.10.1 11:22:33:44:55:ACAC
10.10.10.3 11:22:33:44:55:CC
10.10.10.8 11:22:33:44:55:RR
A:10.10.10.1
内网 外网
IP地址 10.10.10.2 10.10.10.3 10.10.10.8
MAC地址 11:22:33:44:55:CBBC 11:22:33:44:55:CC 11:22:33:44:55:RR
12
共享网络监听的原理
广播特性的总线:主机发送的物理信号能被 物理连接在一起的所有主机接收到。
网卡处于混杂模式:接收所有的数据帧。
13
交换机的工作方式
交换机
CAM
Content Addressable Memory,内容可寻址 存储器
端口管理
MAC ① ② ③
端口 1 2 3
以太网 交换机
5
网络监听环境
主机A
内网 外网
主机B
LAN
路由器R
监听点
主机C
6
Internet
黑客
内容提要
1 网络监听概述 2 网络监听的原理 3 网络监听工具的使用 4 网络监听的防范
7
计算机之间的数据发送
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络监听技术
• 2.1 网络监听技术概览 • 2.2网络监听技术定义及原理 • 2.3网络监听的实现方式 • 2.4网络监听工具简介 • 2.5网络监听工具sniffer
2.1 网络监听技术概览
• 基础知识简介
以太网的通信是基于广播方式的,这意味着 在同一个网段的所有网络接口都可以访问到物理 媒体上传输的数据,而每一个网络接口都有一个 惟一的硬件地址,即MAC地址,一般来说每一块 网卡上的MAC地址都是不同的。一台接在以太网 内的计算机为了和其他主机进行通讯,在硬件上 需要网卡,在软件上需要网卡驱动程序。
ห้องสมุดไป่ตู้
• 基础知识简介
以太网的网卡设备驱动程序不关心IP数据报中 的目的IP地址,它所需要的仅仅是MAC地址,所 以我们需要在MAC地址和IP地址间使用ARP和 RARP协议进行相互转换。
一般网络接口接收的两种数据:与自己硬件地 址相匹配的数据帧;发向所有机器的广播地址。
网卡有4种接收方式:广播方式;组播方式; 直接方式;混杂方式。
2.4网络监听工具简介
• 1.WinDump是最经典的Unix平台上的TcpDump的Window移植版,和 TcpDump几乎完全兼容,采用命令行方式运行,对用惯TcpDump的 人来讲会非常容易上手。目前版本是3.5.2,可运行在 Windows95/98/ME/WindowsNT/2000/XP平台上。
第2章 网络监听与TCP/IP协议分析
• 教学提示:本章主要介绍网络监听的基本 原理,概括网络层和传输层各协议的数据 报结构,讲解Sniffer Pro的安装和使用方法。
• 教学要求:了解网络监听的基本原理,熟 悉网络监听在网络管理中的应用,掌握网 络层协议和传输层协议的报头结构,熟悉 Sniffer Pro的安装和基本操作方法,熟练掌 握使用Sniffer Pro进行抓包并分析的步骤。
网络监听是一种网络监测设备,既可以 是硬件,也可以是软件。
2.2.2网络监听原理
• 2.原理 以太网数据是以广播方式发送的,也就是说
局域网内的每台主机都在监听网内传输数据。以 太网硬件将监听到的数据帧所包含的MAC地址与 自己的滤MAC地址相比较,如果相同,则接收该 帧,否则丢掉它,这就是以太网的过滤规则。但 是,如果把网卡设置为“混杂模式”,它就能接 收传输在网络上的每一个信息包。Sniffer就是依 据这种原理来监测网络中流动着的数据。
2.2.4网络监听的用途
1.把网络中的数据流转化成可读格式。 2.进行性能分析以发现网络瓶颈。 3.进行入侵检测以发现外界入侵者。 4.生成网络活动日志和安全审计。 5.进行故障分析以发现网络中潜在的问题。
2.2.5网络监听的意义
• 在网络安全中,sniffer起着“双刀刃”的作 用:一方面,通过网络监听软件,管理员 可以监视网络的状态、数据流动的情况以 及网络上传输的信息,可以观测分析实时 的数据包,从而快速地进行网络故障定位。 另一方面,sniffer给以太网带来很大的隐患, 很多网络入侵事件往往伴随着以太网内的 Sniffer行为,从而造成口令失窃,敏感数据 被截获等恶性安全事件。
• 以太网的工作机制:
把要发送的数据包发往连接在同一网段 中的所有主机,在包头中包括有目标主机 的正确地址,只有与数据包中目标地址相 同的主机才能接收到信息包。
2.2网络监听技术定义及原理
• 2.2.1网络监听定义 网络监听也叫嗅探器,其英文名是
Sniffer,即将网络上传输的数据捕获并进行 分析的行为。
• 2.IrisEeye公司的一款付费软件,有试用期,完全图形化界面,可以 很方便的定制各种截获控制语句,对截获数据包进行分析,还原等。 对管理员来讲很容易上手,入门级和高级管理员都可以从这个工具上 得到自己想要得东西。运行在Windowsgx/ME/NT/2000/xP平台上。
2.3网络监听的实现方式
• (1)针对集线器的监听
首先从TCP/IP模型的角度来看数据包在局域网内发送 的过程:当数据由应用层自上而下地传递时,在网络层形 成IP数据报,再向下到达数据链路层,由数据链路层将IP 数据报分割为数据帧,增加以太网包头,再向下一层发送。 需要说明的是,以太网的包头中包含着本机和目标设备的 MAC地址,也就是说,数据链路层的数据帧发送时,是依 靠48bit/s的以太网地址而非IP地址来确认的,以太网的网 卡设备驱动程序不会关心IP数据报中的目的IP地址,它所 需要的仅仅是MAC地址。当局域网内的主机通过集线器连 接时,集线器的作用就是局域网上面的一个共享的广播媒 体,所有通过局域网发送的数据首先被送到集线器,然后 集线器将接收到的所有数据向它的每个端口转发。
2.2.3网络监听的组成
(1)网络硬件设备如网卡、集线器、路由器等。 (2)监听驱动程序截获数据流,进行过滤并把数据存入缓冲区。 (3)捕获驱动程序这是最重要的部件,它直接控制网络硬件从
信道上抓取数据,并将数据存入缓冲器。 (4)缓冲器用来存放捕获到的数据的容器。由于缓冲器容量有
限,监听器使用缓冲器时,通常有两种方式:一是如果缓 冲器满,马上停止捕获;二是缓冲器满了还继续捕获,但 是新的数据会覆盖旧的数据。 (5)实时分析程序实时分析数据帧中所包含的数据,目的是发 现网络性能问题和故障,侧重于网络性能和故障方面的问 题。 (6)解码程序将接收到的加密数据进行解密,构造自己的加密 数据包并把它发送到网络中。 (7)数据包分析器对截取到的数据包进行模式匹配和分析,将 感兴趣的信息从原始数据包中剥离出来。
2.3网络监听的实现方式
• (2)针对交换机的监听
不同于工作在物理层的集线器,交换机是工作在数据 链路层的。交换机在工作时维护着一张ARP的数据库表, 在这个库中记录着交换机每个端口所绑定的MAC地址,当 有数据报发送到交换机时,交换机会将数据报的目的MAC 地址与自己维护的数据库内的端口对照,然后将数据报发 送到“相应的”端口上,交换机转发的报文是一一对应的。 对交换机而言,仅有两种情况会发送广播方式,一是数据 报的目的MAC地址不在交换机维护的数据库中,此时报文 向所有端口转发;二是报文本身就是广播报文。因此,基 于交换机以太网建立的局域网并不是真正的广播媒体,交 换机限制了被动监听工具所能截获的数据。为了实现监听 的目的,可以采用MAC Flooding和ARP欺骗等方法。