信息安全網(wǎng)絡(luò)監(jiān)聽

1、實(shí)驗(yàn) （一） 項(xiàng)目名稱：網(wǎng)絡(luò)監(jiān)聽一. 網(wǎng)絡(luò)監(jiān)聽的原理對(duì)于目前很流行的以太網(wǎng)協(xié)議，其工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。 但是，當(dāng)主機(jī)工作監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收（當(dāng)然只能監(jiān)聽經(jīng) 過自己網(wǎng)絡(luò)接口的那些包）。二. 實(shí)施方案1. 抓包工具Wireshark （前稱Ethereal ）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò) 封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并

2、為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他 網(wǎng)絡(luò)工具一樣，Wireshark 也使用pcap network library來進(jìn)行圭寸包捕捉。視窗數(shù)據(jù)包捕獲（WinPcap的）：WinPcap的是Windows版本的libpcap庫，它包括一個(gè)驅(qū)動(dòng)程 序以支持捕獲數(shù)據(jù)包。Wireshark的使用這個(gè)庫來捕獲 Windows Live網(wǎng)絡(luò)上的數(shù)據(jù).2. 數(shù)據(jù)包分析捕獲到的數(shù)據(jù)包： 幀號(hào)時(shí)間源地址目的地址高層協(xié)議包內(nèi)信息概況No. TimeSourceDesti nati onProtocolInfo根據(jù)條件刪選數(shù)據(jù)包：ip.dst=數(shù)據(jù)包分析，具體分為以下幾個(gè)部分： 第一部分：到達(dá)時(shí)間：

3、2014年1月6日12:51:04.0新紀(jì)元時(shí)間：24秒捕獲該幀與前一幀的時(shí)間間隔是0.0秒顯示陳列出該幀與前一幀的時(shí)間間隔是 0.0秒從捕獲第一幀到捕獲該幀所用時(shí)間為 388.095秒幀號(hào)（相對(duì)）：140297該幀的長(zhǎng)度是544字節(jié)（4352比特）捕獲的的幀長(zhǎng)度544字節(jié)（4352比特）幀包含的協(xié)議：UDP/IP等第二部分：物理層的信息，包含了源端和目的端的物理地址 第三部分：IP層數(shù)據(jù)段頭部信息 源地址：目的地址：版本號(hào)：IPv4頭部長(zhǎng)度：20字節(jié)區(qū)分服務(wù)域：0x2203分段策略：不分段TTL （生存時(shí)間）：64傳輸協(xié)議：TCP頭部校驗(yàn)和：0x0000（接受不正確） 第四部分：傳輸層 TC

4、P數(shù)據(jù)段頭部信息源端口名稱（端口號(hào)）：62353（ 62353）目的端口名 http :（ 8080）序列號(hào)（相對(duì)序列號(hào)）：1頭部長(zhǎng)度：20 bytesTCP標(biāo)記字段：Flags: 0x18 （PSH ，ACK）流量控制的窗口大小：16425TCP數(shù)據(jù)段的校驗(yàn)和：Checksum: 0xa385第五部分：http協(xié)議語言中文：Accept-Language: 2h-CN 廣n用戶代理，瀏覽器的類型是Netscape瀏覽器；括號(hào)內(nèi)是相關(guān)解釋激活連接：connection: Keep-Alive ,r,n可接受編碼，文件格式：目標(biāo)所在的主機(jī)：w二昭國(guó)盤：站豹允許站點(diǎn)跟蹤用戶:cookie; 35E

5、SSIONIO-6C40a760aS4F14b8M605caebS32aC5 r nFull 電au電si URI： litto:/110幻5.9昌.盲0:tapturiluut電es.jSD】訪問的網(wǎng)址：3. 機(jī)密資料的獲取與驗(yàn)證Line-based texr data:app 11 cation/x-wi-torm-ur lencoiuser-4 54 5&pas&word=4 54 5獲取：驗(yàn)證：與自己輸入的用戶名和密碼一致。三. 網(wǎng)絡(luò)監(jiān)聽視頻教程錄制1. 錄制提綱：網(wǎng)絡(luò)監(jiān)聽原理 f 抓包工具 演示操作（解說如何獲取用戶名和密碼）2. 視頻教程效果自評(píng)：個(gè)人覺得良好，能夠熟悉Wiresh

6、ark如何抓包并分析數(shù)據(jù)包里面的信息。3. 他人視頻教程點(diǎn)評(píng)：陳樹江同學(xué)在錄制教程過程中，條理清晰，語言連貫，但對(duì)如何使用 wireshark這個(gè)軟件的過濾功能還不是很熟悉。四. 網(wǎng)絡(luò)監(jiān)防范方法如何檢測(cè)并防范網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，因?yàn)檫\(yùn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動(dòng)地接收在局域局上傳輸?shù)男畔ⅲ恢?動(dòng)的與其他主機(jī)交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包。1. 對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測(cè)（1 ）對(duì)于懷疑運(yùn)行監(jiān)聽程序的機(jī)器，用正確的 IP 地址和錯(cuò)誤的物理地址 ping ，運(yùn)行監(jiān)聽程序的機(jī) 器會(huì)有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處理監(jiān)聽狀態(tài)的機(jī)器能接收，但如果他 的 IPstac

7、k 不再次反向檢查的話，就會(huì)響應(yīng)。（ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包， 由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源，這將導(dǎo)致性能下降。通過比較前后該機(jī)器性能加以判斷。這種方法難度比較大。（ 3）使用反監(jiān)聽工具如 antisniffer 等進(jìn)行檢測(cè) 。2. 對(duì)網(wǎng)絡(luò)監(jiān)聽的防范措施（1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。 其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。（2）以交換式集線器代替共享式集線器對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終

8、用戶的接 入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這 樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet ）還是會(huì)被同一臺(tái)集線器上的其他用戶所監(jiān)聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非 法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet ）和多播包（ Multicast Packet ）。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。（3）使用加密技術(shù)數(shù)據(jù)經(jīng)過加密后， 通過監(jiān)聽仍然可以得到傳送的信息 , 但顯示的是亂碼。 使用加密技術(shù)的缺點(diǎn)是影響 數(shù)據(jù)傳輸速度以及使用一個(gè)弱加密術(shù)比較容易被攻破。系統(tǒng)管理員和用戶需要在網(wǎng)絡(luò)速度和安全性 上進(jìn)行折中。（ 4）劃分 VLAN運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分