网络嗅探器及网络中窃听技术应用

1、网络嗅探器及网络中窃听技术应用主要内容嗅探假消息攻击第一节 网络嗅探网络中的窃听技术本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范嗅探窃听是间谍获取情报的一种重要手段。嗅探Sniff技术就是网络世界中的窃听。口令嗅探只要能够接入数据通信的信道就可以嗅探主机A：您的主机FTP效劳器主机B：安装了“窃听程序的主机？Username？PasswordleaderTmd%32Username：leaderPassword：Tmd%234攻击者进行嗅探的目的窃取各种用户名和口令窃取机密的信息窥探底层的协议信息嗅探的其它用途解释网络上传输的数据包的含义为网络诊断提供参考为

2、网络性能分析提供参考，发现网络瓶颈 发现网络入侵迹象，为入侵检测提供参考将网络事件记入日志 本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范Q：嗅探就是截获网络上的数据，那么正常情形下，主机是如何接收数据的？数据到达主机时的格式一个典型的在网络传输的数据包会包括应用层数据、TCP包头、IP包头、MAC帧头几个局部，它们实际和TCP/IP协议栈各个协议层相对应应用层数据TCP包头IP包头MAC帧头主机系统中的TCP/IPTCP/IP 模型应用层传输层网络层主机网络层应用程序操作系统操作系统网络设备数据发送应用层传输层网络层主机网络层应用程序操作系统操作系统网络设备

3、应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头数据接收应用层传输层网络层主机网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头以太网802.3以太网是一种使用播送信道的网络，在以太网中所有通信都是播送的。主机接收数据的条件主机是否接收网络上的数据事实上通过两个“过滤来决定：一是硬件过滤；一是软件过滤硬件过滤任何一个网络接口都有一个的硬件地址，也就是网卡的MAC地址 正常情况下，NIC让与目标MAC地址与自己MAC地址相匹配的数据帧或者播送数据帧通过，而过滤掉其它的帧网卡的模式播送模式组播模式普通模式混杂模式混

4、杂模式混杂promiscuous模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他嗅探器的组成网络数据驱动协议解码缓冲区管理模块网络流量实时分析、包的编辑和传输模块嗅探器的实现使用WinSock编程接口创立原始套接字，并使用WSAIoctl()函数将套接字设置为接收所有数据。使用WinpcapNpf.sys 、Packet.dll 、Wpcap.dll 本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范Q：广域环境下可以嗅探吗？交换式网络环境下可以嗅探吗？广域环境的嗅探广域环境下的嗅探必须把远程关系转换某种形式的本地关系内部网络外部网络主机B主机A效劳器交换式以太网交换式以太网是使用交换机组建的局域网交换机使用端口和MAC地址对应表进行数据转发交换式以太网的嗅探让交换设备的端口从桥Bridge模式变为重复repeat模式 硬件接入 其它？本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范嗅探的防范使用网络分段用交换机代替HUB数据加密嗅探的检查嗅探器检查比较困难商业