单元9 网络监听及工具使用

单元9网络监听及工具使用《网络安全技术》课程授课人：_______________授课班级：_______________课程目录NETWORKSECURITY

COURSECONTENTS01网络监听原理深入剖析网络监听的核心机制，理解数据包捕获的底层逻辑与网络嗅探的工作流程。02监听检测与防范掌握检测网络中是否存在嗅探行为的方法，学习ARP欺骗防御、加密传输等关键防范手段。03Wireshark工具基础熟悉Wireshark的界面布局与核心功能，学习如何进行抓包设置、过滤器使用及协议解析基础。04Wireshark实操实验通过DNS、HTTP、TCP等真实协议的抓包分析实战，掌握网络故障排查与流量分析的技巧。05单元小结与回顾梳理本单元核心知识点，总结网络监听攻防要点，巩固Wireshark分析思路与实验成果。9.1.1网络监听原理局域网传输机制在共享式局域网环境中，数据帧是以广播形式发送至网段内所有主机的。网络接口卡（NIC）会校验数据包的MAC地址，仅当目标MAC地址与本机匹配时，才会将数据包向上层协议栈传递；否则直接丢弃。监听模式的本质当主机网卡被设置为“混杂模式（PromiscuousMode）”后，会主动忽略MAC地址的校验过程。此时，网卡会捕获并接收经过该网段的所有数据包，无论其目标地址是否指向本机，从而实现对网络流量的全盘监听。安全风险与应用双面性风险在于Telnet、HTTP等协议多以明文传输，账号密码等敏感信息极易被窃取。但技术本身是中立的，网络监听也常用于网络管理、故障排查以及入侵检测系统（IDS）中，用于追踪异常流量和定位安全威胁。核心认知：网络监听利用了共享介质的广播特性与网卡的混杂模式，其危害性取决于使用者的意图与数据传输的加密程度。9.1.2网络监听检测方法错误MACPing检测利用监听模式的工作原理，构造并发送“正确IP地址+错误MAC地址”的Ping请求包。正常主机因MAC不匹配会丢弃数据包，而处于监听模式的主机因捕获所有数据包，会响应该请求，从而暴露其存在。性能对比检测向目标网段发送大量包含伪MAC地址的广播数据包。处于监听模式的设备需要处理所有捕获的数据包，会导致CPU占用率显著升高、网络吞吐性能下降。通过对比设备在静默期与高负载期的性能指标，可间接定位监听设备。专业工具检测利用Antisniffer、Nmap、Snort等专业网络安全工具，直接扫描和分析网段内主机的网络接口状态。这些工具能主动探测主机是否开启了混杂模式（PromiscuousMode），从而精准识别出网络中的监听设备。核心策略总结：结合主动构造异常数据包探测与被动性能分析、专业工具扫描，是发现网络监听行为的有效组合手段。在实际运维中，建议定期轮换检测方法以提高准确性。9.1.2网络监听防范措施01.网络分段通过逻辑或物理方式对网络进行分段处理，有效隔离非法用户与核心敏感资源，构建安全边界，从网络架构层面切断攻击者跨网段监听和嗅探数据的路径。02.交换式集线器用交换机替代传统的共享式集线器，利用交换机的MAC地址学习功能，使单播数据包仅在源点和目标点之间传输，避免数据广播扩散，大幅降低被监听的风险范围。03.加密技术对传输的数据进行高强度加密处理，即使攻击者截获数据包，获取的也只是无法解析的乱码。实施时需根据业务需求，在传输速度与加密安全性之间找到最佳平衡点。04.VLAN划分利用虚拟局域网（VLAN）技术隔离不同业务部门或安全等级的网络通信，缩小广播域范围，限制数据帧的传播路径，确保攻击者仅能访问其所属VLAN内的数据资源。9.2Wireshark工具概述工具发展历程：从Ethereal到Wireshark1998年：Ethereal诞生

由GeraldCombs发起开发，最初作为个人开源项目，奠定了网络封包分析的基础架构。2006年：正式更名Wireshark

因商标权问题更名，成为全球最流行、最主流的开源网络协议分析工具，拥有庞大的开发者社区支持。四大核心功能：全方位网络分析能力一般网络分析

统计网络流量趋势，排查主机间通信异常，掌握网络整体运行状态。网络故障排查

定位网络延迟、TCP连接失败、DNS配置错误等复杂网络问题的根源。信息安全取证

识别可疑数据包、追踪网络攻击特征，为网络安全事件提供技术证据。应用程序分析

解析应用层协议工作方式，分析特定应用的带宽占用及协议交互逻辑。Wireshark凭借其开源免费、协议支持丰富（支持上千种协议）以及跨平台特性，成为网络工程师、安全研究员不可或缺的必备工具。9.2Wireshark工作原理01.确定监听位置明确网络数据的捕获点，可选择本地网卡、远程接口或离线文件。核心是定位数据流向的关键节点，确保能完整抓取目标网络报文。02.选择捕获接口在Wireshark界面中选择对应的网络适配器（如Wi-Fi、以太网），开启混杂模式可捕获网段内所有广播/组播包，是数据捕获的基础步骤。03.设置捕获过滤器使用BPF（BerkeleyPacketFilter）语法在捕获前过滤数据，仅保留目标协议或IP的报文，有效减少磁盘占用，提升捕获效率。04.设置显示过滤器针对已捕获的数据包进行精细化筛选，支持复杂的协议嵌套与字段匹配（如ip.addr、tcp.port），帮助快速定位故障或关键流量。05.应用着色规则通过预定义或自定义的配色规则，为不同协议或特征的数据包标记颜色，直观区分TCP握手、HTTP请求、ICMP报文等，加速流量分析。06.构建统计图表利用I/O图、协议分级、会话分析等工具生成可视化图表，量化网络带宽占用、协议分布及流量趋势，辅助进行网络性能的宏观评估。9.3实验：Wireshark安装步骤01.启动安装向导双击运行Wireshark安装包，在弹出的欢迎界面点击“Next”，仔细阅读软件许可协议后选择“同意”，进入组件选择环节。02.路径与快捷方式勾选创建桌面快捷方式，点击“Browse”选择安装路径。强烈建议将软件安装在非系统盘（如D盘），避免占用C盘资源影响系统性能。03.安装核心驱动组件在组件列表中务必勾选“Npcap”选项，这是Wireshark捕获网络数据包的必要驱动程序。若未安装此驱动，软件将无法抓取流量数据。04.Npcap高级配置选项在Npcap安装子界面中，建议勾选“限制仅管理员访问”以提高安全性，并确保选中“支持无线监控模式”选项，这样Wireshark才能识别并监控无线网络接口的数据流量。05.完成安装与验证等待安装进度条完成，安装程序会自动在桌面创建Wireshark快捷方式。点击“Finish”结束安装，此时可以双击桌面图标启动软件，检查是否能正常加载网络接口，确认安装成功。9.3实验：数据包捕获基础操作01.选择网络接口启动Wireshark后，主界面会列出主机当前活跃的所有网络接口，包括WLAN（无线网卡）、以太网（有线网卡）及虚拟网卡等。操作核心：双击目标接口即可启动实时捕获，这是获取网络流量的第一步，需确保选择的接口与业务数据流向一致。02.设置捕获过滤规则在“捕获选项”中配置BPF（BerkeleyPacketFilter）过滤语法，可过滤掉无关流量，提升分析效率。典型示例：输入“port80”仅捕获HTTP明文流量；输入“ip.addr==”捕获指定IP的交互数据。03.分析界面三大区域分组列表：概览所有捕获数据包的时间、源目地址、协议类型及简要信息。分组详情：分层解析数据包结构（物理/数据链路/网络/传输/应用层）。分组字节流：显示原始十六进制与ASCII码，用于底层数据校验。实验提示：捕获前务必确认接口状态为活跃（有流量进出）；若网络环境复杂，建议优先设置捕获过滤规则，避免因数据包量过大导致内存占用过高或分析困难。9.3实验：常用数据包过滤方法01.IP地址过滤源IP过滤规则输入筛选条件：ip.src==[源IP地址]作用：精准捕获由指定主机主动发送的所有网络数据包，定位特定源头的流量。目的IP过滤规则指令：ip.dst==[目的IP地址]筛选所有发送到该目标主机的数据包，分析接收端的访问情况。02.端口号过滤目标端口过滤规则输入筛选条件：tcp.dstport==[端口号]作用：筛选所有访问服务器特定端口（如80/443）的流量，常用于分析服务访问压力。源端口过滤规则指令：tcp.srcport==[端口号]捕获从客户端特定端口发出的流量，辅助排查客户端应用程序的网络行为。03.HTTP请求过滤GET请求过滤规则输入筛选条件：http.request.method=="GET"作用：捕获所有HTTPGET请求，通常用于获取资源，分析页面加载、数据查询类流量。POST请求过滤规则指令：http.request.method=="POST"筛选所有提交数据的请求（如登录、表单提交），重点监控数据上传的完整性。实验总结：数据包过滤是网络分析的核心技能，通过组合IP、端口和请求方法等条件，可以快速定位网络问题，区分正常流量与异常流量，提升排障效率。9.3实验：HTTP网页抓包演示01.捕获环境准备启动Wireshark工具，在捕获接口中选择本地网卡，并指定监听TCP80端口（HTTP默认通信端口）。随后打开浏览器访问目标网站（如），主动触发客户端与服务器的HTTP网络请求，生成可供分析的流量样本。02.精准筛选数据包在显示过滤器栏输入目标网站的IP地址（如ip.addr==4），过滤掉广播包及其他无关协议流量。快速定位浏览器与服务器之间建立的TCP连接及后续的HTTP交互报文，聚焦核心通信过程。03.协议层深度解析展开数据包详情的“HypertextTransferProtocol”层级，清晰查看请求方法(GET)、请求URL及Host等头部字段。关键发现：所有数据均以ASCII明文形式展示，直观验证了HTTP协议未加密、数据裸奔传输的安全缺陷。实验核心结论：HTTP协议在传输层仅依赖TCP保证可靠性，未对应用层数据进行加密处理，攻击者若处于同一网络，可轻易窃取账号密码、Cookie等敏感信息。单元小结01原理层：监听机制解析深入掌握共享式局域网监听的底层实现机制，透彻理解明文传输带来的核心安全风险。重点攻克并熟练运用ARP欺骗检测、流量异常分析及专业工具扫描这3种关键监听检测方法，建立敏锐的风险感知能力。02防护层：主动防御构建系统梳理并熟练运用数据加密、网络分段、静态ARP绑定及交换机端口安全