网络嗅探、抓包工具、集线器、交换机和路由器介绍

网络嗅探网络嗅探 定义 定义 网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段 嗅探的原理 嗅探的原理 要知道在以太网中 所有的通讯都是广播的 也就是说通常在同一个网段的所有网络 接口都可以访问在物理媒体上传输的所有数据 而每一个网络接口都有一个唯一的硬件地 址 这个硬件地址也就是网卡的 MAC 地址 大多数系统使用 48 比特的地址 这个地址用 来表示网络中的每一个设备 一般来说每一块网卡上的 MAC 地址都是不同的 每个网卡厂 家得到一段地址 然后用这段地址分配给其生产的每个网卡一个地址 在硬件地址和 IP 地 址间使用 ARP 和 RARP 协议进行相互转换 在正常的情况下 一个网络接口应该只响应这样的两种数据帧 1 与自己硬件地址相匹配的数据帧 2 发向所有机器的广播数据帧 在一个实际的系统中 数据的收发是由网卡来完成的 网卡接收到传输来的数据 网 卡内的单片程序接收数据帧的目的 MAC 地址 根据计算机上的网卡驱动程序设置的接收模 式判断该不该接收 认为该接收就接收后产生中断信号通知 CPU 认为不该接收就丢掉不 管 所以不该接收的数据网卡就截断了 计算机根本就不知道 CPU 得到中断信号产生中 断 操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据 驱 动程序接收数据后放入信号堆栈让操作系统处理 而对于网卡来说一般有四种接收模式 广播方式 该模式下的网卡能够接收网络中的广播信息 组播方式 设置在该模式下的网卡能够接收组播数据 直接方式 在这种模式下 只有目的网卡才能接收该数据 混杂模式 在这种模式下的网卡能够接收一切通过它的数据 而不管该数据是否 是传给它的 好了 现在我们总结一下 首先 我们知道了在以太网中是基于广播方式传送数据的 也就是说 所有的物理信号都要经过我的机器 再次 网卡可以置于一种模式叫混杂模式 promiscuous 在这种模式下工作的网卡能够接收到一切通过它的数据 而不管实际上 数据的目的地址是不是他 这实际上就是我们 SNIFF 工作的基本原理 让网卡接收一切他 所能接收的数据 积极意义 积极意义 网络嗅探需要用到网络嗅探器 其最早是为网络管理人员配备的工具 有了嗅探器网 络管理员可以随时掌握网络的实际情况 查找网络漏洞和检测网络性能 当网络性能急剧 下降的时候 可以通过嗅探器分析网络流量 找出网络阻塞的来源 嗅探器也是很多程序 人员在编写网络程序时抓包测试的工具 因为我们知道网络程序都是以数据包的形式在网 络中进行传输的 因此难免有协议头定义不对的 网络嗅探的基础是数据捕获 网络嗅探系统是并接在网络中来实现对于数据的捕获的 这种方式和入侵检测系统相同 因此被称为网络嗅探 网络嗅探是网络监控系统的实现基 础 首先就来详细地介绍一下网络嗅探技术 接下来就其在网络监控系统的运用进行阐述 消极意义 消极意义 任何东西都有它的两面性 在黑客的手中 嗅探器就变成了一个黑客利器 如利用 ARP 欺骗手段 很多攻击方式都要涉及到 arp 欺骗 如会话劫持和 ip 欺骗 首先要把网络 置于混杂模式 再通过欺骗抓包的方式来获取目标主机的 pass 包 当然得在同一个交换环 境下 也就是要先取得目标服务器的同一网段的一台服务器 Arp 是什么 arp 是一种将 ip 转化成以 ip 对应的网卡的物理地址的一种协议 或者说 ARP 协议是一种将 ip 地址转化 成 MAC 地址的一种协议 它靠维持在内存中保存的一张表来使 ip 得以在网络上被目标机 器应答 ARP 就是 IP 地址与物理之间的转换 当你在传送数据时 IP 包里就有源 IP 地址 源 MAC 地址 目标 IP 地址 如果在 ARP 表中有相对应的 MAC 地址 那么它就直接访问 反之 它就要广播出去 对方的 IP 地址和你发出的目标 IP 地址相同 那么对方就会发一个 MAC 地址给源主机 而 ARP 欺骗就在此处开始 侵略者若接听到你发送的 IP 地址 那么 它就可以仿冒目标主机的 IP 地址 然后返回自己主机的 MAC 地址给源主机 因为源主机 发送的 IP 包没有包括目标主机的 MAC 地址 而 ARP 表里面又没有目标 IP 地址和目标 MAC 地址的对应表 所以 容易产生 ARP 欺骗 例如 我们假设有三台主机 A B C 位于同一个 交换式局域网中 监听者处于主机 A 而主机 B C 正在通信 现在 A 希望能嗅探到 B C 的 数据 于是 A 就可以伪装成 C 对 B 做 ARP 欺骗 向 B 发送伪造的 ARP 应答包 应答包 中 IP 地址为 C 的 IP 地址而 MAC 地址为 A 的 MAC 地址 这个应答包会刷新 B 的 ARP 缓存 让 B 认为 A 就是 C 说详细点 就是让 B 认为 C 的 IP 地址映射到的 MAC 地址为主机 A 的 MAC 地址 这样 B 想要发送给 C 的数据实际上却发送给了 A 就达到了嗅探的目的 我 们在嗅探到数据后 还必须将此数据转发给 C 这样就可以保证 B C 的通信不被中断 以上也是基于 ARP 欺骗的嗅探基本原理 VC 实现网络嗅探器实现网络嗅探器 嗅探器作为一种网络通讯程序 也是通过对网卡的编程来实现网络通讯的 对网卡的 编程也是使用通常的套接字 socket 方式来进行 但是 通常的 套接字程序只能响应与 自己硬件地址相匹配的或是以广播形式发出的数据帧 对于其他形式的数据帧比如已到达 网络接口但却不是发给此地址的数据帧 网络接口在 验证投递地址并非自身地址之后将不 引起响应 也就是说应用程序无法收取到达的数据包 而网络嗅探器的目的恰恰在于从网 卡接收所有经过它的数据包 这些数据 包即可以是发给它的也可以是发往别处的 显然 要达到此目的就不能再让网卡按通常的正常模式工作 而必须将其设置为混杂模式 具体到编程实现上 这种对网卡混杂模式的设置是通过原始套接字 raw socket 来 实现的 这也有别于通常经常使用的数据流套接字和数据报套接字 在创建了原始套接字 后 需要通过 setsockopt 函数来设置 IP 头操作选项 然后再通过 bind 函数将原始套 接字绑定到本地网卡 为了让原始套接字能接受所有的数据 还需要通过 ioctlsocket 来进行设 置 而且还可以指定是否亲自处理 IP 头 至此 实际就可以开始对网络数据包 进行嗅探了 对数据包的获取仍象流式套接字或数据报套接字那样通过 recv 函数来完 成 但是与其他两种套接字不同的是 原始套接字此时捕获到的数据包并不仅仅是单纯的 数据信息 而是包含有 IP 头 TCP 头等信息头的最原始的数据信息 这些信息保留了它 在网络传输时的原貌 通过对这些在低层传输的原始信息的分析可以得到有关网络的一些 信息 由于这些 数据经过了网络层和传输层的打包 因此需要根据其附加的帧头对数据包 进行分析 下面先给出结构 数据包的总体结构 数据包 IP 头 TCP 头 或其他信息头 数据 数据在从应用层到达传输层时 将添加 TCP 数据段头 或是 UDP 数据段头 其中 UDP 数据段头比较简单 由一个 8 字节的头和数据部分组成 具体格式如下 16 位 16 位 源端口 目的端口 UDP 长度 UDP 校验和 而 TCP 数据头则比较复杂 以 20 个固定字节开始 在固定头后面还可以有一些长度不 固定的可选项 下面给出 TCP 数据段头的格式组成 16 位 16 位 源端口 目的端口 顺序号 确认号 TCP 头 长 保 留 7 位 URG ACK PSH RST SYN FIN 窗口大小 校验和 紧急指针 可选项 0 或更多的 32 位字 数据 可选项 对于此 TCP 数据段头的分析在编程实现中可通过数据结构 TCP 来定义 typedef struct TCP WORD SrcPort 源端口 WORD DstPort 目的端口 DWORD SeqNum 顺序号 DWORD AckNum 确认号 BYTE DataOff TCP 头长 BYTE Flags 标志 URG ACK 等 WORD Window 窗口大小 WORD Chksum 校验和 WORD UrgPtr 紧急指针 TCP typedef TCP LPTCP typedef TCP UNALIGNED ULPTCP 在网络层 还要给 TCP 数据包添加一个 IP 数据段头以组成 IP 数据报 IP 数据头以大 端点机次序传送 从左到右 版本字段的高位字节先传输 SPARC 是大端点机 Pentium 是小端点机 如果是小端点机 就要在发送和接收时先行转换然后才能进行传输 IP 数 据段头格式如下 16 位 16 位 版本 IHL 服务类型 总长 标识 标志 分段偏移 生命期 协议 头校验和 源地址 目的地址 选项 0 或更多 同样 在实际编程中也需要通过一个数据结构来表示此 IP 数据段头 下面给出此数据 结构的定义 typedef struct IP union BYTE Version 版本 BYTE HdrLen IHL BYTE ServiceType 服务类型 WORD TotalLen 总长 WORD ID 标识 union WORD Flags 标志 WORD FragOff 分段偏移 BYTE TimeToLive 生命期 BYTE Protocol 协议 WORD HdrChksum 头校验和 DWORD SrcAddr 源地址 DWORD DstAddr 目的地址 BYTE Options 选项 IP typedef IP LPIP typedef IP UNALIGNED ULPIP 在明确了以上几个数据段头的组成结构后 就可以对捕获到的数据包进行分析了 检测网络嗅探的方法检测网络嗅探的方法 检测单独一台主机中是否正在被嗅探 相对来说是比较简单的 可以通过查看系 统进程 或者通过检查网络接口卡的工作模式是否为混杂模式来决定是否已经 被嗅探 而 对于整个网络来说 检测就要复杂得多 下面 给出了在以太网和无线局域网中检测单台 主机或网络中是否已经存在嗅探器的一些方法 1 检查网络接口卡是否为混杂模式 PROMISC 要想嗅探整个网络中的网络报文 就得将网卡的工作方式设混杂模式 检查网卡是否工作在这种模式下 在 Linux 系统中是 很容易做到的 以根用户权限进入 字符终端 在提示符下输入 ifconfig a 就可以将 系统中所有接口卡的详细信息都显示出来 你可以检查每一个接口所显示的信息 当发现 某一个接口信息中出现了 PROMISC 标志 就说明 这个接口卡已经工作在混杂模式下了 也就说明 如果不是你自己设置的 那么就可能是网络嗅探软件设置的 在 Linux 系统下 你还可以通过输入 ip link 命令来得到接口的详细信息 如果要在 Windows 系统下检查网络接口卡的工作模式 就不会这么简单 因为没有一 个具体的标准命令来输出这些信息 我们不得不通过使用第三 方软件来检测网络接口卡的 工作模式 PromiScan 软件 就是一个可以在 Windows NT 2000 XP 系统下检测出网络接口 卡是否工作在混杂模式下的工具 使用 PromiScan 之前 你需要从 网站下载 PromiScan 的压缩包 还需要从 www winpcap org 网站 下载 Winpcap 的安 装包 安装好 Winpcap 然后解压 PromiScan 压缩包后 直接运行解压 目录中的 PromiScan 就可以进行检测工作 图 1 就是这个软件的主界 面 图 1 PromiScan 的主界面 另外 在 Linux BSD 系统下 也有一些可以检测网络接口卡工作模式的软件 例如 Sentinel 它是一个免费的检测软件 也需要 Libpcap 库才能工作 你可以从 下载它 但是 有些嗅探器会将表示网络接口卡混杂模式的字符 PROMISC 隐藏 来躲避上述 这种检测方式 这样 你就不得不使用其它方法来检测网络中是否有网络嗅探器在运行了 2 监视 DNS Reverse Lookups 一些嗅探器在收到一个网络请求时 就会执行 DNS 反向查询 试着将 IP 地址解释为主机名 因此 如果你在网络中执行一个 Ping 扫描或者 Pinging 一个不存在的 IP 地址 就会触发这种活动 如果得到了回应 就说明网络中安装 有网络嗅探器 如果没有收到任何回应 表明没有嗅探器在运行 3 发送一个带有网络中不存在的 MAC 地址的广播包到网络中的所有主机 正常情况 下 网络中的主机接口卡在收到带有不存在的 MAC 地址的数 据包时 会将它丢弃 而当某 台主机中的网络接口卡处于混杂模式时 它就会回应一个带有 RST 标志的包 这样 就可 以认为网络中已经有嗅探器在运行 但是 在交换网络环境当中 由于交换机在转发广播 包时不需要 MAC 地址 所以也有可能做出与上相同响应的 你得根据实际情况来决定 在 Linux 系统下 这种方法是很容易实现的 你首先以根用户权限进入字符终端 在 此终端下输入如下命令就可以完成 ifconfig eth0 down 关闭 eth0 接口 ifconfig eth0 hw ether 00 03 C2 00 00 AA 用不存在的 MAC 地址指定到 eth0 接口 ifconfig eht0 up 重新启用 eth0 ping c 1 b 192 168 0 255 发布含不存在 MAC 地址的广播包 4 小心监控网络中各种交换机和路由器的运行情况 来及时发现这些网络设备出现 的某种不正常的现象 比如当你发现有些本来关闭了的端口又被 启用 而某些端口连接的 主机在运行却没有流量时 你就得重新登录交换机或路由器中 仔细查看它现在的系统设 置和端口设置情况 并和你的记录对比 以此来发 现交换机或路由器是否已经被入侵 5 使用 Honeypot 蜜罐 技术来设计一个陷阱 以此来诱骗攻击者对它进行嗅探 并通过它来找到嗅探的源头 6 小心监视你网络中的主机 经常查看主机中的硬盘空间是否增长过快 CPU 资源 是否消耗过多 系统响应速度是否变慢 以及系统是否经常莫名其妙地断网等等 7 在 Linux 发行版本中运行 ARPWatch 来监控网络中是否有新的 MAC 地址加入 8 无线局域网是以广播的方式来转发数据包的 从理论上来说 处于同一个无线局 域网中的所有无线客户都可以 听 到所有在网络中传输的数据 包 就如同共享式以太网 一样 只要将无线嗅探器中所使用的无线适配器置为监控模式 它就再也不会与无线局域 网中的访问点或其它无线客户进行会话 只会被动 接收来自网络中的所有数据 就更不会 对收到的数据包进行修改了 无线嗅探器这种被动嗅探的方式 使得要想检测出它们 变 得非常困难 但也并不是说完全不能被检测到 我们可以使用以其人之道还施彼身的方式 使用与 攻击都一样的网络嗅探软件 就可以来发现非法的嗅探点 使用 NetStumbler 和 Kismet 都可以达到检测非法嗅探点的目的 但是 使用 Kismet 的效果要优于 NetStumbler 这是 因 为 Kismet 不仅能够找出被隐藏了 SSID 的无线网络嗅探器 而且 它还可以找出无线 局域网中是否有安装 NetStumbler 软件的主机 更绝的 是 你可以通过 Kismet 来找到你 所在的无线局域网中所有的访问点和无线客户 并且利用 GPS 定位功能 Kismet 就可以在 地图上用圆点标出这些访问 点和无线客户的位置 将这位置地图状态保存 以便给下次扫 描结果提供对比标准 这样一来 你就可以使用 Kismet 在某个时间重新对整个无线局域网 进行扫 描 然后将扫描的结果和上次保存的结果进行比对 看看是否有不同之处 通过这 种方法 就可以很容易地找到非法无线嗅探器 有些攻击者会在安装网络嗅探器的主机之中 再安装上一些 rootkits 类的工具 用它 来掩盖他 她 在这台主机当中的行动踪迹 例如清除系统 日志 来躲避你的检测 有些攻 击者还会在这台主机当中安装一些后门程序或木马程序 以方便控制 这就要求 在你经 常进行检测的同时 你还应用使用一些方法 来实时监控你的网络 以察觉这些隐秘行为 防御网络嗅探的方法防御网络嗅探的方法 应对网络嗅探 只进行被动的检查是不行 有些攻击者会想法躲避你的检测 因此 你还应当采取一些积极的方法来防御网络嗅探 下面分别说明在以太网和无线局域网中防 御网络嗅探的方法 1 在以太网中防御网络嗅探的方法 在以太网中 你可以使用下列的方法来防御网络嗅探 1 尽量在网络中使用交换机和路由器 虽然这种方法不能够完全杜绝被嗅探 但是 攻击者要想达到目的 也不是一件很容易的事 况且 你还可以在交换机中使用静态 MAC 地址与端口绑定功能 来防止 MAC 地址欺骗 2 对在网络中传输的数据进行加密 不管是局域网内部还是互联网传输都应该对传 输的数据进行加密 现在 已经有许多提供加密功能的网络传输 协议 例如 SSL SSH IPSEC OPENVPN 等等 这样 一些网络嗅探器对这些加密了的数据就无法进行 正确的解码了 3 对于 E mail 你也应该对它的内容进行加密后再传输 应用于 E Mail 加密的方 法主要有数字认证与数字签名 4 划分 VLAN 虚拟局域网 应用 VLAN 技术 将连接到交换机上的所有主机逻辑分开 将它们之间的通信变为点到 点通信方式 可以防止大部分网络嗅探器的嗅探 5 在你的网络中布置入侵检测系统 IDS 或入侵防御系统 IPS 以网络防火墙等安 全设备 它们对于许多针对交换机和路由器的攻击方法 很容易就识别出来 6 你应当强化你的安全策略 加强员工安全培训和管理工作 7 在内部关键位置布置防火墙和 IDS 防止来自内部的嗅探 8 如果要在你的网络中布置网络分析器 应当保证你的网络分析器本身的安全 最 好事先制定一个网络分析策略来规范使用 2 在无线局域网中防御无线网络嗅探的方法 尽管检测无线网络嗅探器有一定的难度 但是 还是可以使用一些方法来防御无线网 络嗅探的 这些方法有 1 禁止 SSID 广播 2 对数据进行加密 你可以在无线访问点 AP 后再连接一个 VPN 网关 通过 VPN 强 大的数据加密功能来保护无线数据传输 3 使用 MAC 地址过滤 强制访问控制 4 使用定向天线 5 采取屏蔽无线信号方法 将超出使用范围的无线信号屏蔽得 6 使用无线嗅探软件实时监控无线局域网中无线访问点 AP 和无线客户连入情况 嗅探器嗅探器 概述 概述 使用 WinPcap 开发包 嗅探流过网卡的数据并智能分析过滤 快速找到所需要的网络信息 音乐 视频 图片等 功能特点 1 支持 WINPCAP 的各个版本 不再挑食 2 支持所有操作系统 WIN9X WIN2K WINXP 适应能力加强 3 增加支持无线网卡的嗅探能力 软件适用面更广泛 4 软件用 Delphi 7 编写 杜绝了类似 VB 特有的错误 如 运行时错误 软件更加稳定 5 不再使用 PACKETB DLL 连接文件 软件 绿色环保 6 使用多线程编程技术 内存和 CPU 占用大幅度减少 7 集成超强 HTTP 下载软件 突破 HTTP 下载难题 应用背景 应用背景 网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色 通过使用 网络嗅探器可以把网卡设置于混杂模式 并可实现对网络上传输的数据包的捕获与分析 此分析结果可供网络安全分析之用 但如为黑客所利用也可以为其发动进一步的攻击提供 有价值的信息 可见 嗅探 器实际是一把双刃剑 虽然网络嗅探器技术被黑客利用后会对 网络安全构成一定的威胁 但嗅探器本身的危害并不是很大 主要是用来为其他黑客软件 提供网络情 报 真正的攻击主要是由其他黑软来完成的 而在网络安全方面 网络嗅探手 段可以有效地探测在网络上传输的数据包信息 通过对这些信息的分析利用是有助于网络 安全维护的 权衡利弊 有必要对网络嗅探器的实现原理进行深入的了解 相关知识相关知识 互连网络层是 TCP IP 协议参考模型中的关键部分 IP 协议把传输层送来消息组装成 IP 数 据包 并把 IP 数据包传递给数据链路层 IP 协议 TCP IP 协议族中处于核心地位 IP 协议 制定了统一的 IP 数据包格式 以消除各通信子网间的差异 从而为信息发送方和接受方提 供了透明的传输通道 作用作用 当我们处理自身网络问题的时候 一个信息包嗅探器向我们展示出正在网络上进行的 一切活动 于是 借助一定的知识水准 我们就可以确定问题的根源所在 必须记住的是 信息嗅探器并不会告诉你问题究竟是什么 而只会告诉你究竟发生了什么 黑客一般会使 用嗅探器来盗取他人的信息 游戏币等东西 相关软件 相关软件 相关软件 网络嗅探器主要以两种形式来存在 一种是以单独的软件形式存在 另一种是以浏览 器插件的形式存在 1 嗅探软件 比较知名的网络嗅探器软件主要有以下三个 网络嗅探器 影音神探 影音嗅探专家 和酷抓 经过测试 酷抓可以良好的在 Windows7 的环境下运行 2 嗅探插件 火狐浏览器的 netvideohunter 插件 能够直接找出网页上的流媒体资源地址 下载工具迅雷 7 默认下会在其支持的浏览器中加载迅雷下载助手 用于嗅探网页上的 flv 视 频 并提供下载 不过加载此程序对浏览器的启动速度有一定的影响 设备简介 设备简介 在讲述 Sniffer 的概念之前 首先需要讲述局域网设备的一些基本概念 数据在网络上是以很小的称为帧 Frame 的单位传输的 帧由几部分组成 不同的 部分执行不同的功能 帧通过特定的称为网络驱动程序的软件进行成型 然后通过网卡发 送到网线上 通过网线到达它们的目的机器 在目的机器的一端执行相反的过程 接收端 机器的以太网卡捕获到这些帧 并告诉操作系统帧已到达 然后对其进行存储 就是在这 个传输和接收的过程中 存在安全方面的问题 每一个在局域网 LAN 上的工作站都有其硬件地址 这些地址惟一地表示了网络上 的机器 这一点与 Internet 地址系统比较相似 当用户发送一个数据包时 这些数据包就 会发送到 LAN 上所有可用的机器 在一般情况下 网络上所有的机器都可以 听 到通过的流量 但对不属于自己的数 据包则不予响应 换句话说 工作站 A 不会捕获属于工作站 B 的数据 而是简单地忽略这 些数据 如果某个工作站的网络接口处于混杂模式 关于混杂模式的概念会在后面解释 那么它就可以捕获网络上所有的数据包和帧 分类 分类 Sniffer 分为软件和硬件两种 软件的 Sniffer 有 NetXray Packetboy Net Monitor Sniffer Pro WireShark WinNetCap 等 其优点是物美价廉 易于学习使用 同 时也易于交流 缺点是无法抓取网络上所有的传输 某些情况下也就无法真正了解网络的 故障和运行情况 硬件的 Sniffer 通常称为协议分析仪 一般都是商业性的 价格也比较贵 实际上本章所讲的 Sniffer 指的是软件 它把包抓取下来 然后打开并查看其中的内容 可以得到密码等 Sniffer 只能抓取一个物理网段内的包 就是说 你和监听的目标中间不 能有路由或其他屏蔽广播包的设备 这一点很重要 所以 对一般拨号上网的用户来说 是不可能利用 Sniffer 来窃听到其他人的通信内容的 监听目的 监听目的 当一个黑客成功地攻陷了一台主机 并拿到了 root 权限 而且还想利用这台主机去攻 击同一网段上的其他主机时 他就会在这台主机上安装 Sniffer 软件 对以太网设备上传送 的数据包进行侦听 从而发现感兴趣的包 如果发现符合条件的包 就把它存到一个 LOG 文件中去 通常设置的这些条件是包含字 username 或 password 的包 这样的包里 面通常有黑客感兴趣的密码之类的东西 一旦黑客截获得了某台主机的密码 他就会立刻 进入这台主机 如果 Sniffer 运行在路由器上或有路由功能的主机上 就能对大量的数据进行监控 因 为所有进出网络的数据包都要经过路由器 Sniffer 属于第 M 层次的攻击 就是说 只有在攻击者已经进入了目标系统的情况下 才能使用 Sniffer 这种攻击手段 以便得到更多的信息 Sniffer 除了能得到口令或用户名外 还能得到更多的其他信息 比如一个重要的信息 在网上传送的金融信息等等 Sniffer 几乎能得到任何在以太网上传送的数据包 Sniffer 是一种比较复杂的攻击手段 一般只有黑客老手才有能力使用它 而对于一个 网络新手来说 即使在一台主机上成功地编译并运行了 Sniffer 一般也不会得到什么有用 的信息 因为通常网络上的信息流量是相当大的 如果不加选择地接收所有的包 然后从 中找到所需要的信息非常困难 而且 如果长时间进行监听 还有可能把放置 Sniffer 的机 器的硬盘撑爆 附 抓包工具介绍 集线器 Hub 交换机 路由器的差异 集线器集线器 hub 简介 简介 集线器 Hub 是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的 设备 集线器是运作在 OSI 模型中的物理层 它可以视作多端口的中继器 若它侦测 到碰撞 它会提交阻塞信号 2 集线器通常会附上 BNC and or AUI 转接头来连接传统 10BASE2 或 10BASE5 网络 2 由于集线器会把收到的任何数字信号 经过再生或放大 再从集线器的所有端口 提交 这会造成信号之间碰撞的机会很大 而且信号也可能被窃听 并且这代表所有 连到集线器的设备 都是属于同一个碰撞域名以及广播域名 因此大部份集线器已被 交换机取代 集线器集线器 hub 原理 原理 信号转发原理 集线器工作于 OSI RM 参考模型的物理层和数据链路层的 MAC 介质访问控制 子层 物理层定义了电气信号 符号 线的状态和时钟要求 数据编码和数据传输用 的连接器 因为集线器只对信号进行整形 放大后再重发 不进行编码 所以是物理 层的设备 10M 集线器在物理层有 4 个标准接口可用 那就是 10BASE 5 10BASE 2 10BASE T 10BASE F 10M 集线器的 10BASE 5 AUI 端口用来连接层 1 和层 2 集线器采用了 CSMA CD 载波帧听多路访问 冲突检测 协议 CSMA CD 为 MAC 层协议 所以集线器也含有数据链路层的内容 2 10M 集线器作为一种特殊的多端口中继器 它在连网中继扩展中要遵循 5 4 3 规 则 即 一个网段最多只能分 5 个子网段 一个网段最多只能有 4 个中继器 一个网 段最多只能有三个子网段含有 PC 如图 19 子网段 2 和子网段 4 是用来延长距离的 2 集线器的工作过程是非常简单的 它可以这样的简单描述 首先是节点发信号到 线路 集线器接收该信号 因信号在电缆传输中有衰减 集线器接收信号后将衰减的 信号整形放大 最后集线器将放大的信号广播转发给其他所有端口 交换机定义 交换机定义 交换 switching 是按照通信两端传输信息的需要 用人工或设备自动完成的方 法 把要传输的信息送到符合要求的相应路由上的技术的统称 交换机根据工作位置 的不同 可以分为广域网交换机和局域网交换机 广域的交换机 switch 就是一种 在通信系统中完成信息交换功能的设备 它应用在数据链路层 交换机有多个端口 每个端口都具有桥接功能 可以连接一个局域网或一台高性能服务器或工作站 实际 上 交换机有时被称为多端口网桥 1 在计算机网络系统中 交换概念的提出改进了共享工作模式 而 HUB 集线器就是 一种物理层共享设备 HUB 本身不能识别 MAC 地址和 IP 地址 当同一局域网内的 A 主机给 B 主机传输数据时 数据包在以 HUB 为架构的网络上是以广播方式传输的 由 每一台终端通过验证数据报头的 MAC 地址来确定是否接收 也就是说 在这种工作方 式下 同一时刻网络上只能传输一组数据帧的通讯 如果发生碰撞还得重试 这种方 式就是共享网络带宽 通俗的说 普通交换机是不带管理功能的 一根进线 其他接 口接到电脑上就可以了 1 在今天 交换机以更多的却是以应用需求为导向 在选择方案和产品时用户还非 常关心如何有效保证投资收益 在用户提出需求后 由系统集成商或厂商来为其需求 来提供相应的服务 然后再去选择相应的技术 这点是在网络方面表现尤其明显 广 大用户 不论是重点行业用户还是一般的企业用户 在应用 IT 技术方面更加明智 也 更加稳健 此外 宽带的广泛应用 大容量视频文件的不断涌现等等都对网络传输的 中枢 交换机的性能提出了新的要求 1 据 2013 2018 年中国交换机市场竞争格局及投资前景评估报告 中显示 随着 网络的发展从技术驱动应用 转为从应用选择技术 网络的融合也从理论走向实践 网络的安全越来越受到重视 而交换网络的智能化提供了解决这些问题的方法 网络 将在综合应用 速度和覆盖范围等方面继续发展 交换机原理 交换机原理 交换机工作于 OSI 参考模型的第二层 即数据链路层 交换机内部的 CPU 会在每个端 口成功连接时 通过将 MAC 地址和端口对应 形成一张 MAC 表 在今后的通讯中 发往 该 MAC 地址的数据包将仅送往其对应的端口 而不是所有的端口 因此 交换机可用于划 分数据链路层广播 即冲突域 但它不能划分网络层广播 即广播域 交换机拥有一条很高带宽的背部总线和内部交换矩阵 交换机的所有的端口都挂接在 这条背部总线上 控制电路收到数据包以后 处理端口会查找内存中的地址对照表以确定 目的 MAC 网卡的硬件地址 的 NIC 网卡 挂接在哪个端口上 通过内部交换矩阵迅速 将数据包传送到目的端口 目的 MAC 若不存在 广播到所有的端口 接收端口回应后交换 机会 学习 新的 MAC 地址 并把它添加入内部 MAC 地址表中 使用交换机也可以把网 络 分段 通过对照 IP 地址表 交换机只允许必要的网络流量通过交换机 通过交换机 的过滤和转发 可以有效的减少冲突域 但它不能划分网络层广播 即广播域 交换机在同一时刻可进行多个端口对之间的数据传输 每一端口都可视为独立的物理 网段 注 非 IP 网段 连接在其上的网络设备独自享有全部的带宽 无须同其他设备竞 争使用 当节点 A 向节点 D 发送数据时 节点 B 可同时向节点 C 发送数据 而且这两个传 输都享有网络的全部带宽 都有着自己的虚拟连接 假使这里使用的是 10Mbps 的以太网 交换机 那么该交换机这时的总流通量就等于 2 10Mbps 20Mbps 而使用 10Mbps 的共 享式 HUB 时 一个 HUB 的总流通量也不会超出 10Mbps 总之 交换机是一种基于 MAC 地址识别 能完成封装转发数据帧功能的网络设备 交换机可以 学习 MAC 地址 并把 其存放在内部地址表中 通过在数据帧的始发者和目标接收者之间建立临时的交换路径 使数据帧直接由源地址到达目的地址 交换机的传输模式有全双工 半双工 全双工 半双工自适应 交换机的全双工是指交换机在发送数据的同时也能够接收数据 两者同步进行 这好像我 们平时打电话一样 说话的同时也能够听到对方的声音 交换机都支持全双工 全双工的 好处在于迟延小 速度快 提到全双工 就不能不提与之密切对应的另一个概念 那就是 半双工 所谓半双工 就是指一个时间段内只有一个动作发生 举个简单例子 一条窄窄的马路 同时只能有一 辆车通过 当有两辆车对开 这种情况下就只能一辆先过 等到头儿后另一辆再开 这个 例子就形象的说明了半双工的原理 早期的对讲机 以及早期集线器等设备都是实行半双 工的产品 随着技术的不断进步 半双工会逐渐退出历史舞台 路由器定义 路由器定义 路由器 Router 是连接因特网中各局域网 广域网的设备 它会根据信道的情况自 动选择和设定路由 以最佳路径 按前后顺序发送信号 路由器是互联网络的枢纽 交 通警察 目前路由器已经广泛应用于各行各业 各种不同档次的产品已成为实现各种骨干 网内部连接 骨干网间互联和骨干网与互联网互联互通业务的主力军 路由和交换机之间 的主要区别就是交换机发生在 OSI 参考模型第二层 数据链路层 而路由发生在第三层 即网络层 这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息 所 以说两者实现各自功能的方式是不同的 路由器 Router 又称网关设备 Gateway 是用于连接多个逻辑上分开的网络 所谓 逻辑网络是代表一个单独的网络或者一个子网 当数据从一个子网传输到另一个子网时 可通过路由器的路由功能来完成 因此 路由器具有判断网络地址和选择 IP 路径的功能 它能在多网络互联环境中 建立灵活的连接 可用完全不同的数据分组和介质访问方法连 接各种子网 路由器只接受源站或其他路由器的信息 属网络层的一种互联设备 路由器原理 路由器原理 传输介质传输介质 路由器分本地路由器和远程路由器 本地路由器是用来连接网络传输介质的 如光纤 同轴电缆 双绞线 远程路由器是用来连接远程传输介质 并要求相应的设备 如电话线 要配调制解调器 无线要通过无线接收机 发射机 路由器是互联网的主要结点设备 路由器通过路由决定数据的转发 转发策略称为路 由选择 routing 这也是路由器名称的由来 router 转发者 作为不同网络之间互相连 接的枢纽 路由器系统构成了基于 TCP IP 的国际互联网络 Internet 的主体脉络 也可以说 路由器构成了 Internet 的骨架 它的处理速度是网络通信的主要瓶颈之一 它的可靠性则 直接影响着网络互连的质量 因此 在园区网 地区网 乃至整个 Internet 研究领域中 路由器技术始终处于核心地位 其发展历程和方向 成为整个 Internet 研究的一个缩影 在当前我国网络基础建设和信息建设方兴未艾之际 探讨路由器在互连网络中的作用 地 位及其发展方向 对于国内的网络技术研究 网络建设 以及明确网络市场上对于路由器 和网络互连的各种似是而非的概念 都有重要的意义 出现了交换路由器产品 从本质上来说它不是什么新技术 而是为了提高通信能力 把交换机的原理组合到路由器中 使数据传输能力更快 更好 结构结构 电源接口 POWER 接口连接电源 usb 复位键 RESET 此按键可以还原路由器的出厂设置 猫 MODEM 或者是交换机与路由器连接口 WAN 此接口用一条网线与家用宽带调制解 调器 或者与交换机 进行连接 电脑与路由器连接口 LAN1 4 此接口用一条网线把电脑与路由器进行连接 需注意的是 WAN 口与 LAN 口一定不能接反 家用无线路由器和有线路由器的 IP 地址根据品牌不同 主要有 192 168 1 1 和 192 168 0 1 两种 IP 地址与登录名称与密码一般标注在路由器的底部 登录 无线路由器网 有的出厂默认登录账户 admin 登录密码 admin 有的无线路由器的出厂默认登录账户是 admin 登录密码是空的 启动过程启动过程 路由器里也有软件在运行 典型的例如 H3C 公司的 Comware 和思科公司的 IOS 可以 等同的认为它就是路由器的操作系统 像 PC 上使用的 Windows 系统一样 路由器的操作 系统完成路由表的生成和维护 同样的 作为路由器来讲 也有一个类似于我们 PC 系统中 BIOS 一样作用的部分 叫 做 MiniIOS MiniIOS 可以使我们在路由器的 FLASH 中不存在 IOS 时 先引导起来 进入恢 复模式 来使用 TFTP 或 X MODEM 等方式去给 FLASH 中导入 IOS 文件 所以 路由器的启 动过程应该是这样的 路由器在加电后首先会进行 POST Power On Self Test 上电自检 对硬件进行检测的 过程 POST 完成后 首先读取 ROM 里的 BootStrap 程序进行初步引导 初步引导完成后 尝试定位并读取完整的 IOS 镜像文件 在这里 路由器将会首先在 FLASH 中查找 IOS 文件 如果找到了 IOS 文件的话 那么读取 IOS 文件 引导路由器 如果在 FLASH 中没有找到 IOS 文件的话 那么路由器将会进入 BOOT 模式 在 BOOT 模式下可以使用 TFTP 上的 IOS 文件 或者使用 TFTP X MODEM 来给路由器的 FLASH 中传一 个 IOS 文件 一般我们把这个过程叫做灌 IOS 传输完毕后重新启动路由器 路由器就可以 正常启动到 CLI 模式 当路由器初始化完成 IOS 文件后 就会开始在 NVRAM 中查找 STARTUP CONFIG 文件 STARTUP CONFIG 叫做启动配置文件 该文件里保存了我们对路由器所做的所有的配置和修 改 当路由器找到了这个文件后 路由器就会加载该文件里的所有配置 并且根据配置来 学习 生成 维护路由表 并将所有的配置加载到 RAM 路由器的内存 里后 进入用户模 式 最终完成启动过程 如果在 NVRAM 里没有 STARTUP CONFIG 文件 则路由器会进入询问配置模式 也就是 俗称的问答配置模式 在该模式下所有关于路由器的配置都可以以问答的形式进行配置 不