下载文档原格式
Sniffer的数据包分析与防范Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。
然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。
鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。
最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。
关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1.信息监听的意义;我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。
监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。
2、Sniffer的介绍;Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。
Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。
Sniffer可以是硬件也可以是软件。
主要用来接收在网络上传输的信息。
网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。
Siniffer软件的使用题目下载网络数据包捕获工具(如Ethereal,Sniffer,Iris等),安装,运行,进行数据捕获。
找出TCP数据包。
进行如下操作:1)分析某个TCP数据包各字段的值并解释;2)找出建立连接时的TCP数据包进行分析;3)找出TCP数据包,解释TCP的确认机制;4)找出TCP数据包,解释TCP的流量控制和拥塞控制机制。
以Iris为例,具体实验步骤如下:1.组建对等网,2.在两台计算机上分别安装siniffer软件,指定服务器和客户机,3.在服务器上安装FTP服务器软件,4.在客户机上运行FTP程序,从服务器上下载一个文件到客户机,5.利用Iris捕获数据包,按要求分析TCP各字段的值。
1 组建对等网这个环节省略,因为实验室中都已经建好了。
但要自己要决定哪一台作为服务器,哪一台作为客户器,现在分别记为server和client。
2 在两台计算机上分别安装siniffer,简单使用注:这里只讲解在一台计算机(server)上安装网络数据包捕获工具s iniffer。
2.1 sniffer的大概工作原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦网络卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
2.2 siniffer安装过程(1)安装过程提醒sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。
需要说明的是: 在选择sniffer pro的安装目录时,默认安装目录即可,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,注册信息随便填写即可,不过EMAIL一定要符合规范,需要带“@”。
在随后出现的“Sniffer Pro Uesr Registration”对话框中,大家注意有一行"Sniffer Serial Number"需要大家填入注册码(SR4 24-255RR-255OO-255RR,这个只能保证现在还可以,以后可能就失效,如失效各位使用者可尝试上网搜索新的可用的)(2)开始安装截图(这些资料来自51CTO技术“子旭”个人博客)在安装开始时通常会提醒你,系统要重启才能继续安装,这是正常的过程。
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。
2.掌握SnifferPro工具软件的基本使用方法。
3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
FortiGate 用Sniffer 命令命令抓包分析说明文档抓包分析说明文档说明说明::本文档针对FortiGate 产品的后台抓包命令使用进行说明,相关详细命令参照相关手册。
在使用后台抓包分析命令时,建议大家使用如SecureCRT 这样的远程管理工具,通过telnet 或者ssh 的方式登陆到网关,由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间,因此需要借助SecureCRT 这样远程管理工具接收文件。
1.基本命令命令: diagnose sniffer packet.# diag sniffer packet <interface> <'filter'> <verbose> <count>2.参数说明2.1 interface<interface> 指定实际的接口名称,可以是真实的物理接口名称,也可以是VLAN 的逻辑接口名称,当使用“any ”关键字时,表示抓全部接口的数据包。
例:#diag sniffer packet port1 //表示抓物理接口为port1的所有数据包#diag sniffer packet any //表示抓所有接口的所有数据包#diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口,其逻辑接口名为port1-v10,此时表示抓port1-v10接口的所有数据包,此处一定注意一个问题,由于抓包命令中的空格使用来区分参数字段的,但是在逻辑接口创建时,接口名称支持空格,考虑到今后抓包分析的方便,建议在创建逻辑接口时不要带有空格。
2.2 verbose<verbose> 指控制抓取数据包的内容1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers 为系统缺省设置2: print header and data from ip of packets, //抓取IP数据包的详细信息,包括IP数据的payload。
MySniffer抓包程序一、开发思路在windows操作系统下,要想捕获网络上的数据包,必须要对网卡进行控制,因为本机的数据报从网络上来到本机是通过网卡然后再保存到本地缓冲区上的,所以要抓获网包就必须调用网卡驱动中的对外函数.因此,通过调用网卡驱动函数,将网卡设置为杂乱模式状态,使得网卡不能阻塞、过滤或控制其他应用程序数据报的收发,以达到抓取数据包的目的.开发环境:系统:Windows XP;IDE:MyEclipse6.0。
1;工具包: winpcap;Jpcap;开发语言:java二、开发流程1、MySniffer功能本程序基本功能:包括对ipv6数据包的抓取,分析.扩展功能:提供友好的可视化界面和操作。
2、MySniffer层次结构MySniffer抓包程序分为三大部分:访问网络底层部分、数据包分析部分、可视化界面部分。
因此,层次结构大概为下图所示:图一、MySniffer抓包程序层次结构图从MySniffer抓包程序层次结构图可知,程序各部分的主要功能包括:●可视化界面部分:提供友好界面显示,抓包操作(网卡选择、开始抓包、停止抓包)及显示数据包分析结果。
●数据包分析部分:负责分析数据包及保存抓取到的数据包.●访问网络底层部分:提供底层服务,检测网卡设备及抓取网络中的原始数据包.3、MySniffer操作流程MySniffer操作流程具体为:初始化界面—〉检测网卡—〉调用网卡抓包—〉对抓到的数据包即时统计、分析->停止抓包—〉显示数据包内容。
如下图所示:图二、MySniffer抓包程序操作流程图4、MySniffer具体实现MySniffer抓包程序包括4个类,分别是IPV6Main(主函数)、IPV6Frame(界面)、IPV6Packet(数据包信息)、IPV6Captor(抓包)。
IPV6Frame提供界面显示,有以下方法:startButton()//开始按钮触发方法,调用doCapture()。
