版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、摘 要:隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、 應(yīng)用和發(fā)展, 計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛,其作用也越來(lái)越重要。 Internet 的安全已經(jīng)成為亟待解決的問(wèn)題。多數(shù)黑客入侵成功并植入后門后的第一件事就是選擇一個(gè)合適當(dāng)前網(wǎng)絡(luò)的嗅探器,以獲得更多的受侵者的信息。嗅探器是一種常用的收集有用數(shù)據(jù)的方法,可以作為分析網(wǎng)絡(luò)數(shù)據(jù)包的設(shè)備。 網(wǎng)絡(luò)嗅探器就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具, 而且它與一般的鍵盤(pán)捕獲程序不同。 鍵盤(pán)捕獲程序捕獲在終端上輸入的鍵值,而嗅探器捕獲的則是真實(shí)的網(wǎng)絡(luò)報(bào)文.關(guān)鍵詞: Internet;網(wǎng)絡(luò)嗅探器 ;網(wǎng)絡(luò)數(shù)據(jù)包 ; 網(wǎng)絡(luò)報(bào)文 ;目錄1引 言 .11.1開(kāi)發(fā)背景
2、 .11.2開(kāi)發(fā)意義 .12系統(tǒng)分析 .22.1設(shè)計(jì)概述 .22.1.1實(shí)現(xiàn)目標(biāo) .22.1.2開(kāi)發(fā)環(huán)境 .22.2開(kāi)發(fā)相關(guān)技術(shù)簡(jiǎn)介 .22.2.1C# 語(yǔ)言簡(jiǎn)介 .22.2.2嗅探技術(shù)簡(jiǎn)介 .32.2.3TCP/IP 協(xié)議 .42.2.4數(shù)據(jù)包簡(jiǎn)介 .62.3可行性分析 .73詳細(xì)設(shè)計(jì) .83.1設(shè)計(jì)原理 .83.2功能說(shuō)明 .113.3系統(tǒng)實(shí)施 .113.4系統(tǒng)測(cè)試 .134論文總結(jié) .165參考文獻(xiàn) .176致謝.17第一章引言1.1開(kāi)發(fā)背景隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、應(yīng)用和發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛,其作用也越來(lái)越重要。 但是由于計(jì)算機(jī)系統(tǒng)中軟硬件的脆弱性和計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性
3、以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響,不僅增加了信息存儲(chǔ)、 處理的風(fēng)險(xiǎn), 也給信息傳送帶來(lái)了新的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重,網(wǎng)絡(luò)破壞所造成的損失越來(lái)越大。Internet的安全已經(jīng)成為亟待解決的問(wèn)題。 多數(shù)黑客入侵成功并植入后門后的第一件事就是選擇一個(gè)合適當(dāng)前網(wǎng)絡(luò)的嗅探器, 以獲得更多的受侵者的信息。 嗅探器是一種常用的收集有用數(shù)據(jù)的方法, 可以作為分析網(wǎng)絡(luò)數(shù)據(jù)包的設(shè)備。網(wǎng)絡(luò)嗅探器就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具,而且它與一般的鍵盤(pán)捕獲程序不同。鍵盤(pán)捕獲程序捕獲在終端上輸入的鍵值,而嗅探器捕獲的則是真實(shí)的網(wǎng)絡(luò)報(bào)文 . 如果把網(wǎng)絡(luò)嗅探器放置于
4、網(wǎng)絡(luò)節(jié)點(diǎn)處,對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)幀進(jìn)行捕獲的一種被動(dòng)監(jiān)聽(tīng)手段, 是一種常用的收集有用數(shù)據(jù)的方法, 可以分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器,由于它接收任何一個(gè)在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包,所以也就存在著捕獲密碼、 各種信息、秘密文檔等一些沒(méi)有加密的信息的可能性。這成為黑客們常用的擴(kuò)大戰(zhàn)果的方法, 用來(lái)奪取其他主機(jī)的控制權(quán)。 當(dāng)然嗅探器的正當(dāng)用處主要是網(wǎng)絡(luò)管理人員分析網(wǎng)絡(luò)的流量, 以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。例如,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好,報(bào)文的發(fā)送比較慢,而我們又不知道問(wèn)題出在什么地方, 此時(shí)就可以用嗅探器截獲網(wǎng)絡(luò)中的數(shù)據(jù)包, 分析問(wèn)題的所在。 11.2開(kāi)發(fā)意義本次畢業(yè)設(shè)計(jì)是基于 C
5、#的網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn),由于本人能力上的限度,只是對(duì)抓取到的本機(jī)在網(wǎng)絡(luò)中的通信數(shù)據(jù) , 比如說(shuō)協(xié)議類型,源、目的地址和端口、數(shù)據(jù)包的大小等加以分析, 而無(wú)法做到像 Sniffer 或者影音神探那種成熟的嗅探器所擁有的強(qiáng)大功能。 作為從事網(wǎng)絡(luò)技術(shù)方面的人員來(lái)說(shuō), 要想有效地利用它、防范它,就得深入地學(xué)習(xí)、分析網(wǎng)絡(luò)嗅探技術(shù)。最為重要的是,對(duì)于網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn), 使我對(duì)網(wǎng)絡(luò)通信, 數(shù)據(jù)傳輸和網(wǎng)絡(luò)信息安全等有了切身的體會(huì)與融入,同時(shí)也是對(duì)大學(xué)四年的學(xué)以致用, 不斷提高自我的一種有效途徑。1第二章系統(tǒng)分析2.1設(shè)計(jì)概述基于 C#的網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn),首先就是要設(shè)定好實(shí)現(xiàn)的目標(biāo),確定開(kāi)發(fā)的環(huán)
6、境。 有個(gè)合理的設(shè)計(jì)目標(biāo)使得在設(shè)計(jì)過(guò)程中不茫然, 思路更清楚。 而一個(gè)好的開(kāi)發(fā)環(huán)境對(duì)提高開(kāi)發(fā)的效率同樣起著很重要的作用。實(shí)現(xiàn)目標(biāo)實(shí)現(xiàn)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)嗅探器。具備以下功能:1、實(shí)現(xiàn)一個(gè)簡(jiǎn)潔的易操作的計(jì)算機(jī)操作用戶界面2、實(shí)現(xiàn)抓取數(shù)據(jù)包的功能3、實(shí)現(xiàn)暫停抓取數(shù)據(jù)包的功能4、實(shí)現(xiàn)清空列表的功能5、實(shí)現(xiàn)顯示數(shù)據(jù)包詳細(xì)信息的顯示功能開(kāi)發(fā)環(huán)境Microsoft Visual Studio 2005, Windows XP2.2開(kāi)發(fā)相關(guān)技術(shù)簡(jiǎn)介本節(jié)將對(duì)本設(shè)計(jì)中用到的一些主要技術(shù)進(jìn)行簡(jiǎn)單的介紹。語(yǔ)言簡(jiǎn)介C#是微軟于 2000 年提出的一種源于 C+、類似于 Java 的面向?qū)ο缶幊陶Z(yǔ)言,適合于分布式環(huán)境中的組件
7、開(kāi)發(fā)。 C# 是專門為 .NET 設(shè)計(jì)的,也是 .NET 編程的首選語(yǔ)言。 C的產(chǎn)生是因?yàn)槲④浽?.NET 上需要一種類 Java 的語(yǔ)言,而 Java 本身卻不能勝任這一需求。 C太像 C+了,以至于它很難給人帶來(lái)體驗(yàn)新事物時(shí)的那種興奮。不過(guò),絕大部分的 C+開(kāi)發(fā)者將會(huì)因?yàn)?C保留了 C+中大部分其喜歡的、強(qiáng)大的、令人激動(dòng)的功能而選擇使用它。 C通過(guò)避免一般的編程錯(cuò)誤和自動(dòng)資源管理,使得 C的穩(wěn)定性得到了極大的增強(qiáng)。另外, C#語(yǔ)言功能強(qiáng)大且可以實(shí)現(xiàn)對(duì)象之間的轉(zhuǎn)換, 輕松實(shí)現(xiàn)各種對(duì)象轉(zhuǎn)換成字符串。 鑒于以上種種, 我選用 C#作為我本次設(shè)計(jì)的開(kāi)發(fā)語(yǔ)言。 22嗅探技術(shù)簡(jiǎn)介數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的
8、稱為幀 (Frame)的單位傳輸?shù)模?幀由幾部分組成,不同的部分執(zhí)行不同的功能。幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型,然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上, 通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器,在目的機(jī)器的一端執(zhí)行相反的過(guò)程。 接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀已到達(dá),然后對(duì)其進(jìn)行存儲(chǔ)。 就是在這個(gè)傳輸和接收的過(guò)程中, 存在安全方面的問(wèn)題。每一個(gè)在局域網(wǎng)( LAN)上的工作站都有其硬件地址,這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器 (這一點(diǎn)與 Internet 地址系統(tǒng)比較相似) 。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí),這些數(shù)據(jù)包就會(huì)發(fā)送到 LAN上所有可用的機(jī)器。 3圖示:一個(gè)簡(jiǎn)單的局域網(wǎng)組成在一般情況下,網(wǎng)絡(luò)
9、上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量,但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說(shuō),工作站 A 不會(huì)捕獲屬于工作站 B 的數(shù)據(jù),而是簡(jiǎn)單地忽略這些數(shù)據(jù)) 。嗅探器工作在網(wǎng)絡(luò)的底層, 在網(wǎng)絡(luò)上監(jiān)聽(tīng)數(shù)據(jù)包來(lái)獲取敏感信息。 從原理上來(lái)說(shuō),在一個(gè)實(shí)際的系統(tǒng)中, 數(shù)據(jù)的收發(fā)是由網(wǎng)卡來(lái)完成的, 網(wǎng)卡接收到傳輸來(lái)的數(shù)據(jù),網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀的目的 MAC地址,根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收, 認(rèn)為該接收就接收后產(chǎn)生中斷信號(hào)通知CPU,認(rèn)為不該接收就丟掉不管,所以不該接收的數(shù)據(jù)網(wǎng)卡就截?cái)嗔?,?jì)算機(jī)根本就不知道。對(duì)于網(wǎng)卡來(lái)說(shuō)一般有四種接收模式:a) 廣播方式:該模式下的網(wǎng)卡能夠接收網(wǎng)
10、絡(luò)中的廣播信息。b) 組播方式:設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。c) 直接方式:在這種模式下,只有目的網(wǎng)卡才能接收該數(shù)據(jù)。d) 混雜模式:在這種模式下的網(wǎng)卡能夠接收一切通過(guò)它的數(shù)據(jù), 而不管該數(shù)據(jù)是否是傳給它的。首先,在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)的, 也就是說(shuō), 所有的物理信號(hào)都要經(jīng)過(guò)我的機(jī)器。其次,如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式 , 那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。3Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,一般為以太網(wǎng)卡)置為混雜模式狀態(tài)的工具, 一旦網(wǎng)卡設(shè)置為這種模式,它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包 , 而不管該數(shù)據(jù)是否傳給它的。4協(xié)議因
11、特網(wǎng)是一個(gè)發(fā)展非?;钴S的領(lǐng)域。在1968 年,它的早期研究成果開(kāi)始嶄露頭角,后來(lái)便出現(xiàn)了它的前身 ARPANET,ARPANET為表現(xiàn)因特網(wǎng)特性的試驗(yàn)平臺(tái)做出了重大貢獻(xiàn), 1973 年,因特網(wǎng)正式面世。從那時(shí)起,關(guān)于因特網(wǎng)的研究和努力就一直沒(méi)有間斷過(guò), 其中大部分努力都是圍繞著被稱為網(wǎng)絡(luò)的一個(gè)新型賽博空間所需要的標(biāo)準(zhǔn)而進(jìn)行的。 因特網(wǎng)協(xié)議及其標(biāo)準(zhǔn)與世界上任何其他事物的結(jié)構(gòu)不同,它總是由一些機(jī)構(gòu)或?qū)I(yè)人士中的個(gè)人首先提出的。 為了了解新的協(xié)議是如何出現(xiàn)并最終成為標(biāo)準(zhǔn)的,應(yīng)該首先熟悉縮寫(xiě)詞RFC,即Request forComment。它的發(fā)展變遷過(guò)程要追溯到 1 9 6 9 年,起因是由于因特網(wǎng)
12、的成員過(guò)于分散。正如這個(gè)詞的字面意思所示,這些文檔是一些實(shí)用文檔、方法、測(cè)試結(jié)果、模型甚至完整的規(guī)范。因特網(wǎng)社會(huì)的成員可以閱讀,也可以把意見(jiàn)反饋給RFC,如果這些想法(或基本原理)被社會(huì)接受,就有可能成為標(biāo)準(zhǔn)。在因特網(wǎng)社會(huì)中關(guān)于 R F C 的用法( M O)以及如何操作并沒(méi)有太大的變化。 1969 年,當(dāng)時(shí)只有一個(gè)網(wǎng)絡(luò), 整個(gè)社會(huì)不超過(guò)一百位專業(yè)人員; 隨著因特網(wǎng)的飛速發(fā)展, 因特網(wǎng)不但需要一個(gè)機(jī)構(gòu)來(lái)集中和協(xié)調(diào)這些成果, 并且需要制定一個(gè)最低要求的準(zhǔn)則,至少能在成員之間進(jìn)行有效的通信并取得相互了解。1974 年前后,擺在ARPANET面前的形勢(shì)很清晰了,通信聯(lián)絡(luò)需要進(jìn)一步擴(kuò)展,它需要的不僅是
13、要能容納成倍增加的通信媒體, 而且要了解早已存在于群組中的許多領(lǐng)域的意義。這個(gè)領(lǐng)域需要一個(gè)管理者。大約在1977 年,隨著作為因特網(wǎng)實(shí)驗(yàn)備忘錄(IEN)一部分的許多實(shí)驗(yàn)的進(jìn)行,著名的T C P / I P協(xié)議獲得了發(fā)展的動(dòng)力。沒(méi)過(guò)多久( 1986 年),為了 RFC討論的需要,需要建立一個(gè)由工程技術(shù)人員組成的、對(duì)標(biāo)準(zhǔn)的發(fā)展負(fù)責(zé)的工作機(jī)構(gòu), 以便有效地引導(dǎo)因特網(wǎng)的發(fā)展成長(zhǎng), 這樣,因特網(wǎng)工程工作組(INENG)成立了。今天,因特網(wǎng)工程部( IETF)和因特網(wǎng)研究部( TRTF)成為對(duì)因特網(wǎng)近期工程需求和遠(yuǎn)期研究目標(biāo)負(fù)責(zé)、 并擔(dān)負(fù)重任的兩個(gè)工作組。 這兩個(gè)組織曾直接隸屬于國(guó)際網(wǎng)絡(luò)執(zhí)行委員會(huì) (IA
14、B),現(xiàn)在屬于因特網(wǎng)協(xié)會(huì) (1992年成立),這個(gè)協(xié)會(huì)最終也是為因特網(wǎng)技術(shù)的發(fā)展負(fù)責(zé)的。但是,如果你是一個(gè)因特網(wǎng)上的??停赡軐?duì)縮略詞IAB 并不滿意,的確,在 IAB 的逐步 發(fā)展 并走向 成熟 過(guò)程 中, IAB 將它 的名 字改 為 “ Internet Architecture Board ”(由“ Activities ”改為“ Architecture ”),因?yàn)?I A B4在因特網(wǎng)發(fā)展的運(yùn)作方面并沒(méi)起多大作用。 談到 RFC標(biāo)準(zhǔn),那么首先考慮到的應(yīng)該是 RFC733。如果有關(guān)于標(biāo)準(zhǔn)的想法或?qū)σ蛱鼐W(wǎng)有益的新技術(shù),可以把它作為RFC提交給因特網(wǎng)社會(huì)。作為 IAB 成員之一的 RFC
15、編輯,決定著 RFC的發(fā)表,對(duì)任一正式文檔, RFC都有一種確定的風(fēng)格和格式。 5現(xiàn)今因特網(wǎng)上用到的主要協(xié)議有: 用戶數(shù)據(jù)報(bào)協(xié)議 ( UDP),次要文件傳輸協(xié)議(TFTP),網(wǎng)際協(xié)議( IP ),因特網(wǎng)控制報(bào)文協(xié)議 (ICMP),傳輸控制協(xié)議 (TCP),地址轉(zhuǎn)換協(xié)議 (ARP),虛終端協(xié)議 (Telnet) ,反向地址轉(zhuǎn)換協(xié)議 (RARP),外部網(wǎng)關(guān)協(xié)議 (EGP)版本 2,引導(dǎo)協(xié)議 (BootP) ,路由信息協(xié)議 (RIP) ,距離向量多播路由協(xié)議 (DVMRP)。下面對(duì)其中的 4 個(gè)協(xié)議做一些簡(jiǎn)單的介紹: IP : 網(wǎng)際協(xié)議 IP 是 TCP/IP 的心臟,也是網(wǎng)絡(luò)層中最重要的協(xié)議。 I
16、P 層接收由更低層 (網(wǎng)絡(luò)接口層例如以太網(wǎng)設(shè)備驅(qū)動(dòng)程序) 發(fā)來(lái)的數(shù)據(jù)包, 并把該數(shù)據(jù)包發(fā)送到更高層 -TCP 或 UDP層;相反, IP 層也把從 TCP或 UDP層接收來(lái)的數(shù)據(jù)包傳送到更低層。 IP 數(shù)據(jù)包是不可靠的,因?yàn)?IP 并沒(méi)有做任何事情來(lái)確認(rèn)數(shù)據(jù)包是按順序發(fā)送的或者沒(méi)有被破壞。 IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址(源地址)和接收它的主機(jī)的地址(目的地址)。高層的 TCP和 UDP服務(wù)在接收數(shù)據(jù)包時(shí),通常假設(shè)包中的源地址是有效的。也可以這樣說(shuō), IP 地址形成了許多服務(wù)的認(rèn)證基礎(chǔ),這些服務(wù)相信數(shù)據(jù)包是從一個(gè)有效的主機(jī)發(fā)送來(lái)的。 IP 確認(rèn)包含一個(gè)選項(xiàng),叫作 IP source ro
17、uting ,可以用來(lái)指定一條源地址和目的地址之間的直接路徑。 對(duì)于一些 TCP和 UDP的服務(wù)來(lái)說(shuō),使用了該選項(xiàng)的 IP 包好象是從路徑上的最后一個(gè)系統(tǒng)傳遞過(guò)來(lái)的,而不是來(lái)自于它的真實(shí)地點(diǎn)。 這個(gè)選項(xiàng)是為了測(cè)試而存在的,說(shuō)明了它可以被用來(lái)欺騙系統(tǒng)來(lái)進(jìn)行平常是被禁止的連接。那么,許多依靠IP 源地址做確認(rèn)的服務(wù)將產(chǎn)生問(wèn)題并且會(huì)被非法入侵。 TCP: 如果 IP 數(shù)據(jù)包中有已經(jīng)封好的 TCP數(shù)據(jù)包,那么 IP 將把它們向上傳送到 TCP層。 TCP將包排序并進(jìn)行錯(cuò)誤檢查,同時(shí)實(shí)現(xiàn)虛電路間的連接。 TCP數(shù)據(jù)包中包括序號(hào)和確認(rèn), 所以未按照順序收到的包可以被排序, 而損壞的包可以被重傳。TCP將它
18、的信息送到更高層的應(yīng)用程序,例如 Telnet 的服務(wù)程序和客戶程序。應(yīng)用程序輪流將信息送回 TCP層, TCP層便將它們向下傳送到 IP 層,設(shè)備驅(qū)動(dòng)程序和物理介質(zhì),最后到接收方。面向連接的服務(wù)(例如Telnet 、 FTP、rlogin、X Windows和 SMTP)需要高度的可靠性,所以它們使用了TCP。DNS在某些情況下使用TCP(發(fā)送和接收域名數(shù)據(jù)庫(kù)),但使用 UDP傳送有關(guān)單個(gè)主機(jī)的信息。 UDP:UDP與 TCP位于同一層,但對(duì)于數(shù)據(jù)包的順序錯(cuò)誤或重發(fā)。因此,5UDP不被應(yīng)用于那些使用虛電路的面向連接的服務(wù),UDP主要用于那些面向查詢- 應(yīng)答的服務(wù),例如 NFS。相對(duì)于 FTP
19、或 Telnet ,這些服務(wù)需要交換的信息量較小。使用 UDP的服務(wù)包括 NTP(網(wǎng)落時(shí)間協(xié)議)和 DNS(DNS也使用 TCP)。 欺騙 UDP包比欺騙 TCP包更容易,因?yàn)?UDP沒(méi)有建立初始化連接(也可以稱為握手)(因?yàn)樵趦蓚€(gè)系統(tǒng)間沒(méi)有虛電路) ,也就是說(shuō),與 UDP相關(guān)的服務(wù)面臨著更大的危險(xiǎn)。 ICMP: ICMP與 IP 位于同一層,它被用來(lái)傳送 IP 的的控制信息。它主要是用來(lái)提供有關(guān)通向目的地址的路徑信息。 ICMP 的 Redirect 信息通知主機(jī)通向其他系統(tǒng)的更準(zhǔn)確的路徑,而 Unreachable 信息則指出路徑有問(wèn)題。另外,如果路徑不可用了, ICMP可以使 TCP連接
20、體面地終止。 PING是最常用的基于 ICMP的服務(wù)。 6數(shù)據(jù)包簡(jiǎn)介“包” (Packet) 是TCP/IP 協(xié)議通信傳輸中的數(shù)據(jù)單位,一般也稱“數(shù)據(jù)包”。有人說(shuō),局域網(wǎng)中傳輸?shù)牟皇恰皫?Frame) 嗎?沒(méi)錯(cuò), 但是 TCP/IP 協(xié)議是工作在 OSI 模型第三層 ( 網(wǎng)絡(luò)層 ) 、第四層 ( 傳輸層 ) 上的,而幀是工作在第二層( 數(shù)據(jù)鏈路層 ) 。上一層的內(nèi)容由下一層的內(nèi)容來(lái)傳輸,所以在局域網(wǎng)中, “包”是包含在“幀”里的。 OSI(Open System Interconnection,開(kāi)放系統(tǒng)互聯(lián) ) 模型是由國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 定義的標(biāo)準(zhǔn),它定義了一種分層體系結(jié)構(gòu),在其中
21、的每一層定義了針對(duì)不同通信級(jí)別的協(xié)議。OSI 模型有 5 層, 1 到 5 層分別是:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。OSI 模型在邏輯上可分為兩個(gè)部分:低層的 1 至 3 層關(guān)注的是原始數(shù)據(jù)的傳輸; 高層的 4 至 5 層關(guān)注的是網(wǎng)絡(luò)下的應(yīng)用程序。 我們可以用一個(gè)形象一些的例子對(duì)數(shù)據(jù)包的概念加以說(shuō)明:我們?cè)卩]局郵寄產(chǎn)品時(shí), 雖然產(chǎn)品本身帶有自己的包裝盒, 但是在郵寄的時(shí)候只用產(chǎn)品原包裝盒來(lái)包裝顯然是不行的。 必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專用紙箱里,這樣才能夠郵寄。這里,產(chǎn)品包裝盒相當(dāng)于數(shù)據(jù)包,里面放著的產(chǎn)品相當(dāng)于可用的數(shù)據(jù),而專用紙箱就相當(dāng)于幀,且一個(gè)幀中只有一個(gè)數(shù)據(jù)
22、包?!鞍甭?tīng)起來(lái)非常抽象, 那么是不是不可見(jiàn)的呢?通過(guò)一定技術(shù)手段, 是可以感知到數(shù)據(jù)包的存在的。比如在 Windows2000 Server 中,把鼠標(biāo)移動(dòng)到任務(wù)欄右下角的網(wǎng)卡圖標(biāo)上 ( 網(wǎng)卡需要接好雙絞線、 連入網(wǎng)絡(luò) ) ,就可以看到“發(fā)送: ×× 包,收到:××包”的提示。 (詳見(jiàn)下圖)6通過(guò)數(shù)據(jù)包捕獲軟件,也可以將數(shù)據(jù)包捕獲并加以分析。 就是用網(wǎng)絡(luò)嗅探器捕獲數(shù)據(jù)包,可以查看捕獲到的數(shù)據(jù)包的 MAC地址、 IP 地址、協(xié)議類型端口號(hào)等細(xì)節(jié)。通過(guò)分析這些數(shù)據(jù), 網(wǎng)管員就可以知道網(wǎng)絡(luò)中到底有什么樣的數(shù)據(jù)包在活動(dòng)了。數(shù)據(jù)包的結(jié)構(gòu)非常復(fù)雜, 不是三言兩語(yǔ)能
23、夠說(shuō)清的, 在這里主要了解一下它的關(guān)鍵構(gòu)成就可以了, 這對(duì)于理解 TCP/IP 協(xié)議的通信原理是非常重要的。數(shù)據(jù)包主要由“目的 IP 地址”、“源 IP 地址”、“凈載數(shù)據(jù)”等部分構(gòu)成。 數(shù)據(jù)包的結(jié)構(gòu)與我們平常寫(xiě)信非常類似,目的 IP 地址是說(shuō)明這個(gè)數(shù)據(jù)包是要發(fā)給誰(shuí)的,相當(dāng)于收信人地址;源 IP 地址是說(shuō)明這個(gè)數(shù)據(jù)包是發(fā)自哪里的,相當(dāng)于發(fā)信人地址;而凈載數(shù)據(jù)相當(dāng)于信件的內(nèi)容。 正是因?yàn)閿?shù)據(jù)包具有這樣的結(jié)構(gòu),安裝了 TCP/IP 協(xié)議的計(jì)算機(jī)之間才能相互通信。 我們?cè)谑褂没?TCP/IP 協(xié)議的網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)中其實(shí)傳遞的就是數(shù)據(jù)包。比如說(shuō)當(dāng)你上網(wǎng)打開(kāi)網(wǎng)頁(yè),這個(gè)簡(jiǎn)單的動(dòng)作,就是你先發(fā)送數(shù)據(jù)包給網(wǎng)站
24、,它接收到了之后,根據(jù)你發(fā)送的數(shù)據(jù)包的 IP 地址,返回給你網(wǎng)頁(yè)的數(shù)據(jù)包,也就是說(shuō),網(wǎng)頁(yè)的瀏覽,實(shí)際上就是數(shù)據(jù)包的交換。理解數(shù)據(jù)包,對(duì)于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具有至關(guān)重要的意義。2.3可行性分析可行性研究 (Feasibility Study) 是通過(guò)對(duì)項(xiàng)目的主要內(nèi)容和配套條件,如市場(chǎng)需求、資源供應(yīng)、建設(shè)規(guī)模、工藝路線、設(shè)備選型、環(huán)境影響、資金籌措、盈利能力等,從技術(shù)、經(jīng)濟(jì)、工程等方面進(jìn)行調(diào)查研究和分析比較,并對(duì)項(xiàng)目建成以后可能取得的財(cái)務(wù)、 經(jīng)濟(jì)效益及社會(huì)環(huán)境影響進(jìn)行預(yù)測(cè), 從而提出該項(xiàng)目是否值得投資和如何進(jìn)行建設(shè)的咨詢意見(jiàn), 為項(xiàng)目決策提供依據(jù)的一種綜合性的系7統(tǒng)分析方法??尚行匝芯繎?yīng)具有預(yù)見(jiàn)性
25、、公正性、可靠性、科學(xué)性的特點(diǎn)。當(dāng)然這次論文的可行性研究并沒(méi)有上述的如此意義重大, 只是理清整個(gè)系統(tǒng)分析和設(shè)計(jì)的大致過(guò)程, 也就是在較高層次上以較抽象的方式進(jìn)行的系統(tǒng)分析和設(shè)計(jì)的過(guò)程。 它的目的不是解決問(wèn)題, 而是確定問(wèn)題是否值得去解決。 當(dāng)然在現(xiàn)7階段這樣的信息安全背景下, 網(wǎng)絡(luò)嗅探器的研究與使用的價(jià)值是毋庸置疑的。 不僅可以有效地診斷網(wǎng)絡(luò)狀況,更可以為信息安全戰(zhàn)打攻堅(jiān)戰(zhàn)。第三章詳細(xì)設(shè)計(jì)3.1設(shè)計(jì)原理嗅探器是如何工作的?如何竊聽(tīng)網(wǎng)絡(luò)上的信息?網(wǎng)絡(luò)的一個(gè)特點(diǎn)就是數(shù)據(jù)總是在流動(dòng)中, 從一處到另外一處, 而互聯(lián)網(wǎng)是由錯(cuò)綜復(fù)雜的各種網(wǎng)絡(luò)交匯而成的,也就是說(shuō) : 當(dāng)你的數(shù)據(jù)從網(wǎng)絡(luò)的一臺(tái)電腦到另一臺(tái)電腦
26、的時(shí)候,通常會(huì)經(jīng)過(guò)大量不同的網(wǎng)絡(luò)設(shè)備, ( 我們用 tracert命令就可以看到這種路徑是如何進(jìn)行的 ) 。如果傳輸過(guò)程中,有人看到了傳輸中的數(shù)據(jù),那么問(wèn)題就出現(xiàn)了這就好比我們用手機(jī)給人發(fā)了一條短信, 結(jié)果除了發(fā)送對(duì)象以外, 還發(fā)到別人的手機(jī)上了一樣,這樣說(shuō)或許還不是很可怕, 要是傳送的數(shù)據(jù)是企業(yè)的機(jī)密文件呢,或8是用戶的信用卡帳號(hào)和密碼呢?嗅探偵聽(tīng)主要有兩種途徑, 一種是將偵聽(tīng)工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上, ( 比如網(wǎng)關(guān)服務(wù)器, 路由器 ) 當(dāng)然要實(shí)現(xiàn)這樣的效果可能也需要通過(guò)其他黑客技術(shù)來(lái)實(shí)現(xiàn) : 比如通過(guò)木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員, 使其不自覺(jué)的為
27、攻擊者進(jìn)行了安裝。 另外一種是針對(duì)不安全的局域網(wǎng) ( 采用交換 HUB實(shí)現(xiàn) ) ,放到個(gè)人電腦上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽(tīng),這里的原理是這樣的 : 共享 HUB獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí),并不是直接發(fā)送到指定主機(jī), 而是通過(guò)廣播方式發(fā)送到每個(gè)電腦, 對(duì)于處于接受者地位的電腦就會(huì)處理該數(shù)據(jù), 而其他非接受者的電腦就會(huì)過(guò)濾這些數(shù)據(jù), 這些操作與電腦操作者無(wú)關(guān), 是系統(tǒng)自動(dòng)完成的, 但是電腦操作者如果有意的話, 就可以將那些原本不屬于他的數(shù)據(jù)打開(kāi),這就是安全隱患!以太網(wǎng)的數(shù)據(jù)傳輸是基于 “共享” 原理的:所有的同一本地網(wǎng)范圍內(nèi)的計(jì)算機(jī)共同接收到相同的數(shù)據(jù)包。 這意味著計(jì)算機(jī)直接的通訊都是透明可
28、見(jiàn)的。 正是因?yàn)檫@樣的原因,以太網(wǎng)卡都構(gòu)造了硬件的“過(guò)濾器”。這個(gè)過(guò)濾器將忽略掉一切和自己無(wú)關(guān)的網(wǎng)絡(luò)信息。事實(shí)上是忽略掉了與自身MAC地址不符合的信息。嗅探程序正是利用了這個(gè)特點(diǎn), 它主動(dòng)的關(guān)閉了這個(gè)過(guò)濾器, 也就是前面提到的設(shè)置網(wǎng)卡“混雜模式”。因此,嗅探程序就能夠接收到整個(gè)以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)了信息了。 9什么是以太網(wǎng)的 MAC地址( MAC:Media Access Control),由于大量的計(jì)算機(jī)在以太網(wǎng)內(nèi) “共享 “數(shù)據(jù)流, 所以必須有一個(gè)統(tǒng)一的辦法用來(lái)區(qū)分傳遞給不8同計(jì)算機(jī)的數(shù)據(jù)流的。 這種問(wèn)題不會(huì)發(fā)生在撥號(hào)用戶身上, 因?yàn)橛?jì)算機(jī)會(huì)假定一切數(shù)據(jù)都由你發(fā)送給 MODEM,然后通過(guò)電話
29、線傳送出去??墒?,當(dāng)你發(fā)送數(shù)據(jù)到以太網(wǎng)上的時(shí)候,你必須弄清楚,哪臺(tái)計(jì)算機(jī)是你發(fā)送數(shù)據(jù)的對(duì)象。的確,現(xiàn)在有大量的雙向通訊程序出現(xiàn)了,看上去,他們好像只會(huì)在兩臺(tái)機(jī)器內(nèi)交換信息,可是你要明白, 以太網(wǎng)的信息是共享的, 其他用戶,其實(shí)一樣接收到了你發(fā)送的10數(shù)據(jù),只不過(guò)是被過(guò)濾器給忽略掉了。舉例一下,很多的小型局域網(wǎng)計(jì)算機(jī)用戶都為實(shí)現(xiàn)文件和打印共享,安裝了“ NetBEUI” 因?yàn)樗皇腔?TCP/IP 協(xié)議的,所以來(lái)自于網(wǎng)絡(luò)的黑客一樣無(wú)法得知他們的設(shè)備情況?;?Raw協(xié)議,傳輸和接收都在以太網(wǎng)里起著支配作用。你不能直接發(fā)送一個(gè) Raw數(shù)據(jù)給以太網(wǎng), 你必須先做一些事情, 讓以太網(wǎng)能夠理解你的意思
30、。這有點(diǎn)類似于發(fā)短信的方法, 你不可能直接把一條短信直接發(fā)送出去,你還要輸入對(duì)方的手機(jī)號(hào)碼才可以發(fā)送,同樣的網(wǎng)絡(luò)上的傳輸數(shù)據(jù)也是一個(gè)道理。 11以下是一個(gè)幫助我們理解數(shù)據(jù)傳送的簡(jiǎn)單圖示:_/./.Internet.+-+ +-+.+-+用戶 A-路由.用戶 B+-+ +-+.+-+./-/+-+嗅探器+-+用戶 A IP地址 用戶 B IP地址 現(xiàn)在知道用戶 A 要于用戶 B 進(jìn)行計(jì)算機(jī)通訊,用戶A 需要為到用戶的通訊建立一個(gè)IP 包 。這個(gè) IP 包在網(wǎng)絡(luò)上傳輸,它必須能夠穿透路由器。 因此,用戶 A 必須首先提交這個(gè)包給路由器。由每個(gè)路由器考查目地 IP 地址然后決定傳送路徑。用戶 A 所
31、知道的只是本地與路由連接和用戶 B的 IP 地址。用戶 A 并不清楚網(wǎng)絡(luò)的結(jié)構(gòu)情況和路由走向。 用戶 A 必須告訴路由器準(zhǔn)備發(fā)送數(shù)據(jù)包的情況, 以太網(wǎng)數(shù)據(jù)傳輸結(jié)構(gòu)大概是這樣的:9+-+-+-+-+-+-+目標(biāo) MAC+-+-+-+-+-+-+源 MAC+-+-+-+-+-+-+0x0800+-+-+-+IP包+-+-+-+-+-+CRC校驗(yàn)+-+-+-+-+理解一下這個(gè)結(jié)構(gòu),用戶 A 的計(jì)算機(jī)建立了一個(gè)數(shù)據(jù)包假設(shè)它由 100 個(gè)字節(jié)的長(zhǎng)度(假設(shè)一下, 20 個(gè)字節(jié)是 IP 信息, 20 個(gè)字節(jié)是 TCP信息,還有 60 個(gè)字節(jié)為傳送的數(shù)據(jù))?,F(xiàn)在把這個(gè)數(shù)據(jù)包發(fā)送給以太網(wǎng) , 放 14 個(gè)字節(jié)在
32、目的 MAC地址之前,源 MAC地址還要置一個(gè) 0x0800 的標(biāo)記,他指示出了 TCP/IP 棧后的數(shù)據(jù)結(jié)構(gòu)。同時(shí),也附加了 4 個(gè)字節(jié)用于做 CRC校驗(yàn)( CRC校驗(yàn)用來(lái)檢查傳輸數(shù)據(jù)的正確性)?,F(xiàn)在發(fā)送數(shù)據(jù)到網(wǎng)絡(luò), 所有在局域網(wǎng)內(nèi)的計(jì)算機(jī)通過(guò)適配器都能夠發(fā)現(xiàn)這個(gè)數(shù)據(jù)包,其中也包括路由適配器,嗅探器和其他一些機(jī)器。通常,適配器都具有一塊芯片用來(lái)做結(jié)構(gòu)比較的, 檢查結(jié)構(gòu)中的目地 MAC地址和自己的 MAC地址,如果不相同,則適配器會(huì)丟棄這個(gè)結(jié)構(gòu)。這個(gè)操作會(huì)由硬件來(lái)完成,所以,對(duì)于計(jì)算機(jī)內(nèi)的程序來(lái)說(shuō),整個(gè)過(guò)程時(shí)毫無(wú)察覺(jué)的。當(dāng)路由器的以太網(wǎng)適配器發(fā)現(xiàn)這個(gè)結(jié)構(gòu)后, 它會(huì)讀取網(wǎng)絡(luò)信息, 并且去掉前 1
33、4 個(gè)字節(jié),跟蹤 4 個(gè)字節(jié)。查找 0x0800 標(biāo)記,然后對(duì)這個(gè)結(jié)構(gòu)進(jìn)行處理(它將根據(jù)網(wǎng)絡(luò)狀況推測(cè)出下一個(gè)最快路由節(jié)點(diǎn),從而最快傳送數(shù)據(jù)到預(yù)定的目標(biāo)地址)。設(shè)想,只有路由機(jī)器能夠檢查這個(gè)結(jié)構(gòu),并且所有其他的機(jī)器都忽略這個(gè)結(jié)構(gòu),則嗅探器無(wú)論如何也無(wú)法檢測(cè)到這個(gè)結(jié)構(gòu)的。MAC地址的格式是什么?以太網(wǎng)卡的MAC地址是一組 48 比特的數(shù)字,這48比特分為兩個(gè)部分組成, 前面的 24 比特用于表示以太網(wǎng)卡的廠商ID,后面的 24比特是一組序列號(hào), 是由廠商進(jìn)行分派的, 就像我們身份證上的號(hào)碼一樣具有全球唯一性。這樣可以擔(dān)保沒(méi)有任何兩塊網(wǎng)卡的 MAC地址是相同的(當(dāng)然可以通過(guò)特殊的方法實(shí)現(xiàn))。如果出現(xiàn)
34、相同的地址,將發(fā)生問(wèn)題,所有這一點(diǎn)是非常重要的。這 24 比特被稱之為 OUI( Organizationally Unique Identifier)。10可是, OUI的真實(shí)長(zhǎng)度只有22 比特,還有兩個(gè)比特用于其他:一個(gè)比特用來(lái)校驗(yàn)是否是廣播或者多播地址,另一個(gè)比特用來(lái)分配本地執(zhí)行地址(一些網(wǎng)絡(luò)允許管理員針對(duì)具體情況再分配MAC地址)。舉個(gè)例子,你的 MAC地址在網(wǎng)絡(luò)中表示為03 00 00 00 00 01。第一個(gè)字節(jié)所包含的值二進(jìn)制表示方法為00000011??梢钥吹?,最后兩個(gè)比特都被置為真值。他指定了一個(gè)多播模式,向所有的計(jì)算機(jī)進(jìn)行廣播,使用了“NetBEUI”協(xié)議(一般的,在 Wi
35、ndows計(jì)算機(jī)的網(wǎng)絡(luò)中,文件共享傳輸?shù)仁遣皇褂?TCP/IP 協(xié)議的)。123.2功能說(shuō)明本次論文我們只對(duì)抓取到的本機(jī)在網(wǎng)絡(luò)中的通信數(shù)據(jù)( 如協(xié)議類型,源、目的地址和端口、數(shù)據(jù)包的大小等) 加以分析,實(shí)現(xiàn)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)嗅探器。一個(gè)窗體顯示主頁(yè)面,另一個(gè)頁(yè)面顯示詳細(xì)的包信息。詳細(xì)信息頁(yè)面,我們顯示一下信息:開(kāi)始時(shí)間:嗅探器抓取數(shù)據(jù)包的時(shí)間;源端口:源目的 IP 地址 +端口號(hào);目的端口:目的 IP 地址 +端口號(hào);協(xié)議類型:只分析一下常見(jiàn)的類型,如ICMP, IGMP,IP, TCP,UDP;版本信息:協(xié)議的版本;生存時(shí)間:數(shù)據(jù)包的生命周期;報(bào)頭大?。簣?bào)文報(bào)首部大??;報(bào)文總長(zhǎng):整個(gè)數(shù)據(jù)報(bào)的大小
36、;優(yōu)先級(jí)別:提供七個(gè)級(jí)別,分別是Routine = 0,Priority= 1,Immediate=2,Flash = 3,FlashOverride = 4,CRITICECP = 5,InternetworkControl =6,NetworkControl = 7;延遲: NormalDelay = 0 、 LowDelay = 1 ;吞吐量: NormalThroughput = 0,HighThroughput = 1;可靠性: NormalReliability = 0,HighReliability = 1;133.3系統(tǒng)實(shí)施(1) Microsoft Visual Studio
37、 2005中新建項(xiàng)目 Windows應(yīng)用程序PackerMonitor 。(2) 添加窗體文件和類文件,分別命名 PacketForm.cs 、PacketMonitorForm.cs和 Packet.cs 、PacketMonitor.cs。PacketForm.cs 實(shí)現(xiàn)11主頁(yè)面, PacketMonitorForm.cs實(shí)現(xiàn)詳細(xì)信息頁(yè)面。 14(3) 編碼,詳細(xì)的代碼如源程序。當(dāng)使用 C#系統(tǒng)類提供的接口取到數(shù)據(jù)包的bite流時(shí),對(duì)流的初始化處理如下:public Packet(byte raw, DateTime time)if (raw = null)throw new Argum
38、entNullException();if (raw.Length < 20)throw new ArgumentException();m_Raw = raw;m_Time = time;m_Version = (raw0 & 0xF0) >> 4;m_HeaderLength = (raw0 & 0x0F) * 4;if (raw0 & 0x0F) < 5)throw new ArgumentException(); /無(wú)效的報(bào)頭m_Precedence = (Precedence)(raw1 & 0xE0) >> 5);
39、m_Delay = (Delay)(raw1 & 0x10) >> 4);m_Throughput = (Throughput)(raw1 & 0x8) >> 3);m_Reliability = (Reliability)(raw1 & 0x4) >> 2);m_TotalLength = raw2 * 256 + raw3;if (m_TotalLength != raw.Length)throw new ArgumentException(); /無(wú)效的數(shù)據(jù)包大小m_Identification = raw4 * 256 + r
40、aw5;m_TimeToLive = raw8;if (Enum.IsDefined(typeof(Protocol), (int)raw9)m_Protocol = (Protocol)raw9;elsem_Protocol = Protocol.Other;m_Checksum = new byte2;m_Checksum0 = raw11;m_Checksum1 = raw10;m_SourceAddress = newIPAddress(BitConverter.ToUInt32(raw,12);m_DestinationAddress= new IPAddress(BitConver
41、ter.ToUInt32(raw,1216);if (m_Protocol = Protocol.Tcp | m_Protocol = Protocol.Udp)m_SourcePort = rawm_HeaderLength * 256 + rawm_HeaderLength + 1; m_DestinationPort = rawm_HeaderLength + 2 * 256 +rawm_HeaderLength + 3;else m_SourcePort = -1;m_DestinationPort = -1; 153.4系統(tǒng)測(cè)試網(wǎng)絡(luò)嗅探器運(yùn)行后的界面如下:點(diǎn)擊綠色按鈕, 開(kāi)始抓取以太
42、網(wǎng)中與本機(jī)通信的 IP 數(shù)據(jù)包;點(diǎn)擊紅色按鈕,停止監(jiān)聽(tīng)。抓取到的信息如下圖:13從圖中可以看出,抓到的有UDP數(shù)據(jù)報(bào), TCP數(shù)據(jù)報(bào), ICMP數(shù)據(jù)報(bào)。鼠標(biāo)雙擊列表行,分別得到詳細(xì)的報(bào)文信息。UDP協(xié)議詳細(xì)的報(bào)文信息:14TCP協(xié)議詳細(xì)的報(bào)文信息:ICMP協(xié)議詳細(xì)的報(bào)文信息:15第四章論文總結(jié)網(wǎng)絡(luò)嗅探器是一把雙刃劍, 網(wǎng)絡(luò)安全管理人員利用它可保障網(wǎng)絡(luò)暢通, 防范網(wǎng)絡(luò)被攻擊, 以達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的, 但是到了入侵者手中, 嗅探器成了捕獲網(wǎng)絡(luò)傳輸?shù)臋C(jī)密、敏感數(shù)據(jù)的厲害武器。所以,作為網(wǎng)絡(luò)安全管理人員,應(yīng)該在技術(shù)上把握優(yōu)勢(shì), 揮舞這把雙刃劍, 在與入侵者的斗爭(zhēng)中取得勝利。 單純的嗅探器的功能始終
43、是局限的, 例如無(wú)法穿過(guò)交換機(jī)、 路由器,所以在大多數(shù)的情況下,嗅探器往往和其他手段結(jié)合起來(lái)使用,嗅探器和 spoof( 欺騙 ) 以及其他技術(shù)手段結(jié)合在一起對(duì)網(wǎng)絡(luò)構(gòu)成的危害是巨大的。 例如結(jié)合 ARPSpoof(ARP欺騙 ) 、MAC Flooding 、Fake the MACAddress( 欺騙 MAC地址 ) 、ICMPRouter Advertisements 、 ICMP Redirect(ICMP 重定向 ) 等技術(shù)手段就可以跨交換機(jī)、路由器實(shí)施嗅探了。其實(shí)嗅探器的目的說(shuō)穿了只有一個(gè), 就是抓包,從抓包這個(gè)概念上引伸下去, 所有為了能夠抓到網(wǎng)絡(luò)上的信息包而采用的技術(shù)都可以歸入
44、嗅探, 單純的嗅探是沒(méi)有什么效率的。 嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面, 它工作的時(shí)候就像一部被動(dòng)聲納, 默默地接收來(lái)自網(wǎng)絡(luò)的各種信息, 通過(guò)對(duì)這些數(shù)據(jù)的分析, 網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況, 以便找出網(wǎng)絡(luò)中的漏洞。 在網(wǎng)絡(luò)安全日益被關(guān)注的今天, 我們不但要正確地使用嗅探器, 還要合理防范嗅探器的危害,嗅探器能夠造成很大的安全危害, 主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。 對(duì)于一個(gè)安全性要求很嚴(yán)格的企業(yè), 在使用技術(shù)防范的同時(shí)安全管理的制度建設(shè)也是非常重要的。16第五章參考文獻(xiàn)1盧昱等著 . 網(wǎng)絡(luò)安全技術(shù) 專著 -北京:經(jīng)濟(jì)管理出版社,20042 梅曉東著 .Visual C# 網(wǎng)絡(luò)編程技術(shù)與實(shí)踐 M. 北京:清華大學(xué)出版社 . 20063 謝希仁著 . 計(jì)算機(jī)網(wǎng)絡(luò)電子 M. 北京:工業(yè)出版社 .20054段云所著 . 信息安全概論 專著 -大連:東北財(cái)經(jīng)大學(xué)出版社,20065 丁永生編著 . 計(jì)算智能 - 理論、技術(shù)與應(yīng)用- 北京 : 科學(xué)出版社, 2004.126王寶智等著 . 全新計(jì)算機(jī)網(wǎng)絡(luò)教程 專著 -天津:天津科學(xué)技術(shù)出版社, 1983.17肖漢等著 . 軟件工程 專著 - 北京:國(guó)防工業(yè)出版社, 2009.68王力等著 . 病毒武器與網(wǎng)絡(luò)戰(zhàn)爭(zhēng) 專著 . -北京:機(jī)械工業(yè)出版
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國(guó)水利工程行業(yè)發(fā)展規(guī)劃投資戰(zhàn)略分析報(bào)告
- 2024-2030年中國(guó)氣割機(jī)具行業(yè)發(fā)展?fàn)顩r規(guī)劃分析報(bào)告
- 2024-2030年中國(guó)植物源生物農(nóng)藥行業(yè)發(fā)展形勢(shì)及投資風(fēng)險(xiǎn)分析報(bào)告
- 2024-2030年中國(guó)板栗深加工行業(yè)產(chǎn)銷狀況及發(fā)展?jié)摿Ψ治鰣?bào)告
- 2024-2030年中國(guó)本冊(cè)印制行業(yè)競(jìng)爭(zhēng)策略及投資運(yùn)作模式分析報(bào)告版
- 2024-2030年中國(guó)旅游綜合體行業(yè)發(fā)展規(guī)劃及投融資分析報(bào)告
- 2024-2030年中國(guó)斜交錯(cuò)波紋填料資金申請(qǐng)報(bào)告
- 華東師大版七年級(jí)下冊(cè)數(shù)學(xué)教學(xué)計(jì)劃
- 政府機(jī)關(guān)綠化養(yǎng)護(hù)服務(wù)方案
- 支教電影課程設(shè)計(jì)
- 2024年儲(chǔ)糧安全生產(chǎn)責(zé)任制樣本(四篇)
- 2024年執(zhí)業(yè)醫(yī)師考試-中醫(yī)師承及確有專長(zhǎng)考核考試近5年真題集錦(頻考類試題)帶答案
- 追覓科技筆試在線測(cè)評(píng)題
- Unit6《Is he your grandpa?》-2024-2025學(xué)年三年級(jí)上冊(cè)英語(yǔ)單元測(cè)試卷(譯林版三起 2024新教材)
- 2024年中國(guó)物流集團(tuán)限公司夏季招聘高頻500題難、易錯(cuò)點(diǎn)模擬試題附帶答案詳解
- 2024年全國(guó)職業(yè)院校技能大賽中職組(法律實(shí)務(wù)賽項(xiàng))考試題庫(kù)-下(多選、判斷題)
- 公司組織架構(gòu)與職能分工制度
- 教科版小學(xué)科學(xué)五年級(jí)上冊(cè)教案(全冊(cè))
- 國(guó)際結(jié)算第五版劉衛(wèi)紅課后參考答案
- 英語(yǔ)語(yǔ)法教案設(shè)計(jì)-新編英語(yǔ)語(yǔ)法第6版
- 遠(yuǎn)恒佳包房服務(wù)流程與標(biāo)準(zhǔn)
評(píng)論
0/150
提交評(píng)論