基于winpcap的嗅探器设计与实现
计算机与信息学院 《计算机网络系统实践》报告 设计题目:嗅探器的设计与实现 学生姓名:*** 学号:2010**** 专业班级:信息安全****
2013 年9 月25 一、设计要求 1.不限平台,可以使用Libpcap、WinPcap 或 Linux的原始套接字; 2.实现一个功能比较简单的、具有图形界面的Sniffer,主线程响应用户界 面操作,工作线程完成抓包等工作; 3.能够解析出IP层和传输层的协议头,能够过滤TCP、UDP等数据包; 4.能够输出文本方式传送的数据包的内容; 5.能够进行简单的流量统计。 二、开发环境与工具
操作系统:windows7 开发工具:visual studio 开发语言:C++ 附加库:Winpcap 三、设计原理 网络嗅探器是一种常用的监听网络的工具。所谓嗅探器( Sniffer) ,是一种利用计算机网络接口截获网络数据的软件或硬件,可用于网络管理、网络协议分析以及网络安全等众多方面。嗅探器不同于一般的键捕获工具,后者只能捕获当地终端控制台上的按键内容,而嗅探器所“嗅”到的是动态的以信息包形式( 如IP 数据包或者以太网包) 封装的信息流。其中可能携带了重要数据或敏感信息。可以将这些捕获到的信息包存档,以利用相应工具可以作进一步分析。 计算机网络的设计为嗅探器的使用创造了最基本的条件。在目前的网络环境中,所有计算机节点都是共享传输介质,任意节点发出或发往任意节点的数据帧必将经过网内每一个节点的网络接口,此时只需对嗅探节点的网络接口( 网卡) 进行适当的设置便可为实现嗅探的做好准备工作。在计算机网络系统中,网卡是用来接收网络上其他节点发来的数据帧,其内嵌的单片处理程序会检测数据帧来源的MAC 地址,并根据网卡所设置的接收方式来是否接收处理数据,如果认为应该处理,则网卡就会产生中断信号通知中央处理器,接收该数据帧并传输给操作系统处理。否则就简单丢弃,所对应节点的网卡就截断,计算机的中央处理器并不参与。 网卡是网络中节点主机的关键硬件设备。对数据的接收一般有四种设置模式: 广播模式: 接收在网络中进行广播数据信息。组播模式: 接收组播数据信息。单播模式: 只有匹配的目的网卡才能接收数据信息。混杂模式: 网卡能够可以接收一切通过它的数据信息。 四、系统功能描述及软件模块划分 系统功能设计 本系统的基本功能为实现网络数据包的捕获, 并将其数据内容解析显示。网络数据包捕获功能主要负责从网络中捕获和过滤数据,这可以通过调
计算机网络课程设计 题目网络嗅探器的设计与实现 系 (部) 姓名 学号 指导教师 2015年7月18日
计算机网络课程设计任务书
网络嗅探器的设计与实现 摘要:网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现,其功能包括实现网络层抓包,对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。 关键字:网络嗅探器;数据包捕获; 套接字 引言 由于网络技术的发展,计算机网络的应用越来越广泛,其作用也越来越重要。计算机网络安全问题更加严重,网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。 嗅探器是一种常用的收集有用数据的方法,可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的,对网卡的编程是使用通常的套接字(socket)方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。 1 基本概念 1.1 嗅探器 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址唯一地表示了网络上的机器。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层,在网络上监听数据包来获取敏感信息。从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,其内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。对于网卡来说一般有四种接收模式: a)广播方式:该模式下的网卡能够接收网络中的广播信息。 b)组播方式:设置在该模式下的网卡能够接收组播数据。 c)直接方式:在这种模式下,只有目的网卡才能接收该数据。
实验2 使用Wireshark嗅探器分析网络协议 实验日期: 实验目的: 1、掌握嗅探器工具Wireshark的下载和安装方法 2、掌握Wireshark的简单使用方法,了解抓包结果的分析方法 3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层,了 解各层的一些常用协议。 实验步骤: 1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的容(4.4节),通过搜索引擎了解什么是嗅探器,了解嗅探器工具Wireshark的下载、安装和使用方法 2、自己下载安装并启动Wireshark(安装程序里附带的WinPcap也一定要安装)如有时间可搜索Wireshark的中文使用说明,作为实验的辅助资料。FTP上有《Wireshark 网络分析就这么简单》的电子版,供参考。 3、选择正确的网络适配器(俗称网卡)。这一步很重要。选错了网卡,可能抓不到任何包。 4、开始抓包。 5、在Wireshark的显示过滤器输入栏中输入正确的表达式,可过滤出需要的数据包。
7、单击选中其中一个报文,可在树形视图面板中看它各层协议首部的详细信息。 8、过滤出http流量,选择其中的一个数据包,回答以下问题:(以下
4个问题需回答并截图证明) 1)此http包的http协议版本号是多少? 此http包的http协议版本号是HTTP/1.1 2)http协议在传输层使用的是TCP协议还是UDP协议? http协议在传输层使用的是TCP协议 3)此http包在网络层使用的是什么协议?
此http包在网络层使用的是IPV4协议 4)此http包在数据链路层使用的是什么协议? 此http包在数据链路层使用的是Ethernet II协议 9、过滤出QQ流量(协议名称为OICQ),选择其中的一个数据包,回答以下问题:(以下4个问题需回答并截图证明) 1)此QQ包的OICQ协议版本号是多少? 此QQ包的OICQ协议版本号是OICQ 121
课程设计II报告 (2011 / 2012 学年第一学期) 题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析 题目2:IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日
指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容,能准确有条理回答各 种问题,系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种:优秀、良好、中等、及格、不及格
实验一Sniffer Pro的使用 一.课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点:1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点:Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
浅谈网络嗅探 邹宁 随着信息化进程的加快、宽带网的普及,计算机网络在各个领域得到了广泛的应用,网络通信安全成为电信运营商和广大用户所关心的重要问题。病毒肆虐、黑客攻击,常常会导致网络莫名其妙的变慢甚至中断。而嗅探器,既是网络维护人员分析捕获网络故障的有效工具,也成为黑客进行网络入侵的得力助手。 嗅探器,是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以捕获网络信息流的工具。嗅探器分软件和硬件两种,硬件的有网络分析仪,软件的如sniffer则是著名的嗅探器程序。嗅探器所捕获到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流。其中可能携带了重要数据或敏感信息,譬如明文密码。嗅探器可以将捕获到的数据流分类,并可以作进一步分析。 享即意味着网络中的一台机器可以嗅探到传递给本网段(冲突域)中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术,以太网卡收到报文后,通过对目的地址进行检查,来判断是否是传递给自己的,如果是则把报文传递给操作系统;否则将报文丢弃而不进行处理;网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将他收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,就称之为混杂模式。网络嗅探器通过将网卡设置为混杂模式,并利用数据链路访问技术来实现对网络的嗅探。实现了数据链路层的访问,就可以把嗅探能力扩展到任意类型的数据链路帧,而不光是IP数据报。 嗅探器用于网络维护上是个得力的工具,在日常的网络查障中也发挥着重要的作用。嗅探器能够分析网络的流量,以便找出所关心的网络中潜在的问题。例如,网络的某一段频繁掉线、网速缓慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。系统管理员通过嗅探器可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助嗅探器,系统管理
《网络与信息安全》课程设计报告 班级学号:姓名: 题目: 评阅: 成绩: 2011年1月
目录 一、开发背景 1、网络安全现状。 2、开发意义。 二、设计分析 1、实现目标。 2、开发技术简介。 三、详细设计 1、嗅探原理。 2、代码设计。 四、测试运行 五、总结 六、参考文献
摘要 网络嗅探器是作用在网络上的一种监听程序,它是系统管理员的一个得力助手,管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙,数据报文是属于哪一种协议,这样可以计算出哪种业务受欢迎。但是当有黑客使用它时,它又变得很可怕。它可以非法获取一些保密性信息,如帐号、密码等,它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说,要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件,实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型,源、目的地址和端口、数据包 的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成,本人主要负责主界面的设计和网络数据包的抓取,韩 瑞彬同学负责对数据包的解析设计。 关键字:嗅探器,安全,黑客,数据报文 一、开发背景
1、网络安全现状 随着各种新的网络技术的不断出现、应用和发展,计算机网络的应用越来越广泛,其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。计算机网络安全问题越来越严重,网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器,以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法,可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具,而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题的所在。 2、开发意义 本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型,源、目的地址和端口、数据包的大小等加以分析,而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说,要想有效地利用它、防范它,就得深入地学习、分析网络嗅探技术。最为重要的是,对于网络嗅探器的设计与实现,使我对网络通信,数据传输和网络信息安全等有了切身的体会与融入,同时也是对网络安全技术这门课的学以致用,不断提高自我的一种有效途径。 二、设计分析 1、实现目标 (1)实现网络嗅探器的界面。 (2)实现抓取数据包的功能。
目 录 一、什么是嗅探器 二、嗅探器的作用 三、网络嗅探器原理 四、反嗅探技术 五、网络嗅探器的设计 六、总结: 一、什么是嗅探器 嗅探器,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃
听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出那个协议对应于这个数据片断,只有这样才能够进行正确的解码。 计算机的嗅探器比起电话窃听器,有他独特的优势: 很多的计算机网络采用的是“共享媒体"。也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”(promiscuous mode) 。 尽管如此,这种“共享” 的技术发展的很快,慢慢转向“交换” 技术,这种技术会长期内会继续使用下去, 它可以实现有目的选择的收发数据。 二、嗅探器的作用 嗅探器是网络的抓包工具,可以对网络中大量数据抓取,从而方便使用者对网络中用户的一些信息进行分析,所以,通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计,可以将它运用与网络故障检测、网络状况的监视,还可以加强企业信息安全防护。三、网络嗅探器原理 嗅探器是如何工作的?如何窃听网络上的信息? 网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网是由错综复杂的各种网络交汇而成的,也就是说:当你的数据从网络的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中,有人看到了传输中的数据,那么问题就出现了——这就好比给人发了一封邮件,在半路上被人拆开偷看一样,这样说或许还不是很可怕,那要是传送的数据是企业的机密文件那,或是用户的信用卡帐号和密码呢……? 嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的
网络扫描与网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包与协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图
(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:
第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节
- - -. 《网络与信息安全》课程设计报告
2011年1月 目录 一、开发背景 1、网络安全现状。 2、开发意义。 二、设计分析 1、实现目标。 2、开发技术简介。 三、详细设计 1、嗅探原理。 2、代码设计。 四、测试运行 五、总结
六、参考文献 摘要 网络嗅探器是作用在网络上的一种监听程序,它是系统管理员的一个得力助手,管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙,数据报文是属于哪一种协议,这样可以计算出哪种业务受欢迎。但是当有黑客使用它时,它又变得很可怕。它可以非法获取一些XX性信息,如XX、密码等,它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说,要想有效地利用它、防X它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件,实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型,源、目的地址和端口、数据包 的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成,本人主要负责主界面的设计和网络数据包的抓取,韩 瑞彬同学负责对数据包的解析设计。 关键字:嗅探器,安全,黑客,数据报文
一、开发背景 1、网络安全现状 随着各种新的网络技术的不断出现、应用和发展,计算机网络的应用越来越广泛,其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。计算机网络安全问题越来越严重,网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器,以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法,可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具,而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题
《网络与信息安全技术》课程报告 课题名称:网络嗅探器提交报告时间:2010年12月17 日 网络嗅探器 专业 组号指导老师 [摘要]随着网络技术的飞速发展,网络安全问题越来越被人重视。嗅探技术作为网络安全攻防中最基础的技术,既可以用于获取网络中传输的大量敏感信息,也可以用于网络管理。通过获取网络数据包的流向和内容等信息,可以进行网络安全分析和网络威胁应对。因此对网络嗅探器的研究具有重要意义。 本课程设计通过分析网络上常用的嗅探器软件,在了解其功能和原理的基础上,以VC为开发平台,使用Windows环境下的网络数据包捕获开发库WinPcap,按照软件工程的思想进行设计并实现了一个网络嗅探工具。该嗅探工具的总体架构划分为5部分,分别是最底层的数据缓存和数据访问,中间层的数据捕获,协议过滤,协议分析和最顶层的图形画用户界面。 本嗅探器工具完成了数据包捕获及分析,协议过滤的主要功能,实现了对网络协议,源IP 地址,目标IP地址及端口号等信息的显示,使得程序能够比较全面地分析出相关信息以供用户参考决策。 关键词:网络嗅探;WinPcap编程接口;数据包;网络协议;多线程 (中文摘要在150字左右。摘要正文尽量用纯文字叙述。用五号宋体字。姓名与摘要正文之间空二行。关键词与摘要之间不空行。“摘要”这两个字加粗) 关键词:入侵检测系统;感应器;分析器;分布式入侵检测系统模型 Network sniffer Major: software engineering Group Number: 29 [Abstract] With the rapid development of network technology, network security is increasingly being attention. Sniffing network security technology as the most basic offensive and defensive
计算机科学与技术学院课程设计报告 2012— 2013学年第二学期 课程名称计算机网络 设计题目简单的网络嗅探器 姓名 学号 专业班级 指导教师 2013年 6 月17日
目录 摘要 (2) 关键词 (2) 1 网络嗅探概述 (3) 1.1 网络嗅探的简介 (3) 1.2 相关的网络知识 (3) 1.2.1 交换基础 (3) 1.2.2 路由基础 (4) 1.2.3网卡的工作原理 (5) 1.3 基于网卡混杂模式的嗅探原理 (6) 1.4 基于arp欺骗的嗅探原理 (6) 1.5 网络嗅探的安全威胁 (7) 1.6 网络嗅探的防范 (8) 1.6.1 检测嗅探器 (8) 1.6.2 将数据隐藏,使嗅探器无法发现 (8) 2 基于原始套接字的嗅探程序 (9) 2.1 嗅探实现 (9) 2.2 嗅探运行结果 (26) 2.2.1 嗅探普通数据包 (26) 2.2.2 嗅探HTTP敏感信息 (26) 2.2.3 嗅探FTP敏感信息 (27) 小结 (29) 参考资料 (29)
网络嗅探器的设计与实现 Design and implementation of network sniffer 摘要 近年来,伴随着网络技术的发展和网络应用的普及,互联网已经成为信息资源的重要载体和主要传布途径,从而使得网络的安全性和可靠性越来越受到关注和重视。因此,对于能够很好的分析与诊断网络,测试网络性能与安全性的工具软件的需求越发迫切。 网络嗅探器作为分析与诊断网络,测试网络性能与安全性的工具软件之一,具有两面性。攻击者可以通过使用它来监听网络中数据,达到非法截取信息的目的,网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析,分析结果可供网络安全分析之用。 本文对网络嗅探技术进行了简要分析,研究了网络数据包的捕获机制,如winpcap、原始套接字。文中首先分析了嗅探的原理和危害,并介绍了几种常见的嗅探器,然后研究了入侵检测系统中使用的包捕获技术。本文利用原始套接字在windows平台下实现了一个网络嗅探器程序,完成了对数据包进行解包、分析数据包的功能。 关键词:网络嗅探器数据包捕获数据包分析原始套接字网络安全C语言VC++6.0
嗅探器 嗅探器保护网络 嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。 目录 编辑本段简介 嗅探器最初由 Network General 推出,由 Network Associates 所有。最近,Network Associates 决定另开辟一个嗅探器产品单元,该单元组成一家私有企业并重新命名为 Network General,如今嗅探器已成为 Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。 编辑本段网络技术与设备简介 在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,存在安全方面的问题。 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B 的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂
目录 1 引言 (1) 1.1 开发背景 (1) 1.2 开发意义 (1) 2 系统分析 (2) 2.1 设计概述 (2) 2.1.1 实现目标 (2) 2.1.2 开发环境 (2) 2.2 开发相关技术简介 (2) 2.2.1 C#语言简介 (2) 2.2.2 嗅探技术简介 (3) 2.2.3 TCP/IP协议 (4) 2.2.4 数据包简介 (6) 2.3 可行性分析 (8) 3 详细设计 (9) 3.1 设计原理 (9) 3.2 功能说明 (12) 3.3 系统实施 (12) 3.4 系统测试 (14) 4 论文总结 (19) 5 参考文献 (20) 6 致谢 (21)
1 引言 1.1 开发背景 随着各种新的网络技术的不断出现、应用和发展,计算机网络的应用越来越广泛,其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。计算机网络安全问题越来越严重,网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器,以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法,可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具,而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题的所在。[1] 1.2 开发意义 本次毕业设计是基于C#的网络嗅探器的设计与实现,由于本人能力上的限度,只是对抓取到的本机在网络中的通信数据,比如说协议类型,源、目的地址和端口、数据包的大小等加以分析,而无法做到像Sniffer或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说,要想有效地利用它、防范它,就得深入地学习、分析网络嗅探技术。最为重要的是,对于网络嗅探器的设计与实现,使我对网络通信,数据传输和网络信息安全等有了切身的体会与融入,同时也是对大学四年的学以致用,不断提高自我的一种有效途径。
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析 实验目的:使用Sniffer抓取ftp的数据报 分析FTP的三次“握手”的过程。 分析FTP客户端和服务器端通信过程 实验环境:Windows环境下常用的协议分析工具:sniffer 搭建Serv-U FTP Server,在计算机上建立FTP服务器 VMware虚拟机,用虚拟机进行登录FTP。 实验内容和步骤: 1.建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为:192.168.0.10。在Serv-U FTP Server中已设定用户xyz,密码123123。(也可以自行设定其他帐号) 2.在此计算机上安装了sniffer。 3.启动该机器上的虚拟机作为一台FTP客户端,设置IP地址为:192.168.0.12。 4.使用ping命令看是否连通。记录结果。 5.使用虚拟机登录FTP服务器。 6.运行sniffer嗅探器,并在虚拟机的“运行”中输入ftp://192.168.0.10,点确定后出现如下图的登录窗口: 在登录窗口中输入:用户名(xyz),密码(123123) 7.使用sniffer抓包,再在sniffer软件界面点击“stop and display”,选择“Decode”选项,完成FTP命令操作过程数据包
的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图,再点击“DECODE(反解码)。 记录FTP三次握手信息,写出判断这三个数据包的依据(如syn及ack)。记录端口信息等内容。 9.找出数据包中包含FTPUSER命令的数据包,记录显示的用户名。10.捕获用户发送PASS命令的数据包,记录显示的密码。 11.找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。
信息安全实验报告 学号: 学生姓名: 班级:
实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理,掌握网络监听软件的使用方法,以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1)扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2)打开X-Scan,如下图所示。 3)点击“设置”->“扫描参数”,弹出扫描参数设置对话框,在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置,也可以根据实际需要进行选择。最后点击“确定”回到主界面。
网络扫描和网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包和协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包和协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图
(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:
第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:
TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节 使用superscan 扫描 (1)下载并安装 (2)主界面如下所示:
无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用,但由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题。在网络上窃取数据就叫嗅探,它是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层,可以在不易被察觉的情况下将网络传输的全部数据记录下来,从而捕获账号和口令、专用的或机密的信息,甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。 WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性,运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息,它不会跟其它的主机交换信息,也不修改在网络中传输的信息包,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。尽管它没有对网络进行主动攻击和破坏的危害明显,但由它造成的损失也是不可估量的。只有通过分析网络嗅探的原理与本质,才能更有效地防患于未然,增强无线局域网的安全防护能力。 网络嗅探原理 要理解网络嗅探的实质,首先要清楚数据在网络中封装、传输的过程。根据TCP/IP协议,数据包是经过层层封装后,再被发送的。假设客户机A、B和FTP服务器C通过接入点(AP)或其他无线连接设备连接,主机A通过使用一个FTP命令向主机C进行远程登录,进行文件下载。那么首先在主机A上输入登录主机C的FTP口令,FTP口令经过应用层FTP 协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层包裹,最后送到了物理层,再通过无线的方式播发出去。主机C接收到数据帧,并在比较之后发现是发给自己的,接下来它就对此数据帧进行分析处理。这时主机B也同样接收到主机A 播发的数据帧,随后就检查在数据帧中的地址是否和自己的地址相匹配,发现不匹配就把数据帧丢弃。这就是基于TCP/IP协议通信的一般过程。 网络嗅探就是从通信中捕获和解析信息。假设主机B想知道登陆服务器C的FTP口令是什么,那么它要做的就是捕获主机A播发的数据帧,对数据帧进行解析,依次剥离出以太帧头、IP包头、TCP包头等,然后对报头部分和数据部分进行相应的分析处理,从而得到包含在数据帧中的有用信息。 在实现嗅探时,首先设置用于嗅探的计算机,即在嗅探机上装好无线网卡,并把网卡设置为混杂模式。在混杂模式下,网卡能够接收一切通过它的数据包,进而对数据包解析,实现数据窃听。其次实现循环抓取数据包,并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析,依次提取出以太帧头、IP包头、TCP包头等,然后对各个报头部分和数据部分进行相应的分析处理。 相应防范策略 尽管嗅探隐蔽而不易被察觉,但并不是没有防范方法,下面的策略都能够防范嗅探。 加强网络访问控制。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,通过强大的网络访问控制可以减少无线网络配置的风险。同时配置勘测工具也可以测量和增强
{ 计算机网络课程设计 题目网络嗅探器的设计与实现] 系 (部) 姓名 学号 指导教师 # 2015年7月18日
计算机网络课程设计任务书
网络嗅探器的设计与实现 摘要:网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现,其功能包括实现网络层抓包,对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。 关键字:网络嗅探器;数据包捕获; 套接字 引言 由于网络技术的发展,计算机网络的应用越来越广泛,其作用也越来越重要。计算机网络安全问题更加严重,网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。 嗅探器是一种常用的收集有用数据的方法,可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的,对网卡的编程是使用通常的套接字(socket)方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。 1基本概念 1.1嗅探器 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址唯一地表示了网络上的机器。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层,在网络上监听数据包来获取敏感信息。从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,其内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。对于网卡来说一般有四种接收模式: a)广播方式:该模式下的网卡能够接收网络中的广播信息。 b)组播方式:设置在该模式下的网卡能够接收组播数据。 c)直接方式:在这种模式下,只有目的网卡才能接收该数据。
#include