局域網(wǎng)的數(shù)據(jù)包監(jiān)聽及數(shù)據(jù)分析論文-畢業(yè)設(shè)計論文

1、畢 業(yè) 設(shè) 計論 文局域網(wǎng)的數(shù)據(jù)監(jiān)聽及數(shù)據(jù)分析 學(xué)院 信息工程學(xué)院 專業(yè) 計算機科學(xué)與技術(shù) 班級 姓名 摘 要本文主要闡述了目前網(wǎng)絡(luò)平安的現(xiàn)狀、缺陷、面臨的威脅，提出了相應(yīng)的防范措施，并介紹了網(wǎng)絡(luò)的常用協(xié)議。然后又介紹了WINSOCK技術(shù)和監(jiān)聽原理，并對最廣泛的監(jiān)聽工具sniffer做了簡單的概述?；诋?dāng)前網(wǎng)絡(luò)很多威脅都是來自與自己電腦的漏洞與自己不能夠清楚的發(fā)覺到自己電腦是否正在被侵犯，雖然防火墻可以提供幫助，但它不能對低層的東西顯示給大家。本文主要研究的是對局域網(wǎng)的數(shù)據(jù)包監(jiān)聽并分析，采用WINSOCK技術(shù)實現(xiàn)的。在此工具中主要有監(jiān)聽和IP數(shù)據(jù)包分析2大主要功能，并能通過窗體清楚的顯示出來。

2、它使人們可以每時每刻觀察到進(jìn)入自己電腦的數(shù)據(jù)包，并能夠觀察到進(jìn)行數(shù)據(jù)交流時對方的IP地址和所開放的端口號，及時對信息明朗化，預(yù)防黑客端口的監(jiān)聽。關(guān)鍵詞：網(wǎng)絡(luò)平安 監(jiān)聽工具 winsock技術(shù) IP數(shù)據(jù)包 Vc+AbstractThis text has explained the current situation , defect , threat faced of the online security at present mainly, have put forward the corresponding precautionary measures, has introduced t

3、he daily agreement of the network. Recommend winsock technology and monitor principle , monitor to a most extensive one tool sniffer make the simple summary。On the basis of network a lot of threat to come from with ones own loophole and oneself of computer can not clear perceiving whether ones own c

4、omputer is being infringed at present, though the fire wall can offer help , it cant show to the thing of the lower to everybody . Main research of this text is wrapping up and monitoring and analysing about the data of the lan, adopt wincock technology to realize.Monitor and wrap up and analyse 2 g

5、reat main functions with ip data mainly in tool once, and can come out through the display that the window body is clear . Its people can observe all the time the data which enter ones own computer are chartered , and can observe the other sides ip address and end slogans opened while exchanging the

6、 data , clear to information in time, prevent the monitoring of black ports.Key words: network security monitor tool winsock technology ip data pack vc+目 錄 TOC o 1-3 h z HYPERLINK l _Toc107111768 摘 要 PAGEREF _Toc107111768 h I HYPERLINK l _Toc107111769 Abstract PAGEREF _Toc107111769 h II HYPERLINK l

7、_Toc107111770 目 錄 PAGEREF _Toc107111770 h III HYPERLINK l _Toc107111771 引 言 PAGEREF _Toc107111771 h 1 HYPERLINK l _Toc107111772 1 網(wǎng)絡(luò)平安面臨的威脅 PAGEREF _Toc107111772 h 2 HYPERLINK l _Toc107111773 1.1 什么是網(wǎng)絡(luò)平安 PAGEREF _Toc107111773 h 2 HYPERLINK l _Toc107111774 1.2 網(wǎng)絡(luò)平安隱患與威脅 PAGEREF _Toc107111774 h 2 HYPE

8、RLINK l _Toc107111775 1.3 幾種常見的威脅類型 PAGEREF _Toc107111775 h 4 HYPERLINK l _Toc107111776 1.4 威脅我國網(wǎng)絡(luò)平安的4個因素 PAGEREF _Toc107111776 h 5 HYPERLINK l _Toc107111777 2 網(wǎng)絡(luò)協(xié)議 PAGEREF _Toc107111777 h 7 HYPERLINK l _Toc107111778 3 WINSOCK技術(shù)與監(jiān)聽原理 PAGEREF _Toc107111778 h 11 HYPERLINK l _Toc107111779 3.1 WINSOCK技術(shù)

9、概述 PAGEREF _Toc107111779 h 11 HYPERLINK l _Toc107111780 3.2 局域網(wǎng)與以太網(wǎng)監(jiān)聽原理 PAGEREF _Toc107111780 h 14 HYPERLINK l _Toc107111781 4 sniffer PAGEREF _Toc107111781 h 17 HYPERLINK l _Toc107111782 4.1 sniffer概述 PAGEREF _Toc107111782 h 17 HYPERLINK l _Toc107111783 4.2 怎樣防范sniffer PAGEREF _Toc107111783 h 18 HY

10、PERLINK l _Toc107111784 5 基于WINSOCK技術(shù)捕獲IP包工具的設(shè)計與實現(xiàn) PAGEREF _Toc107111784 h 22 HYPERLINK l _Toc107111785 5.1 系統(tǒng)概述 PAGEREF _Toc107111785 h 22 HYPERLINK l _Toc107111786 5.2 系統(tǒng)概要設(shè)計 PAGEREF _Toc107111786 h 22 HYPERLINK l _Toc107111787 5.3 系統(tǒng)主要功能介紹 PAGEREF _Toc107111787 h 24 HYPERLINK l _Toc107111788 5.4

11、實例分析 PAGEREF _Toc107111788 h 28 HYPERLINK l _Toc107111789 5.5 數(shù)據(jù)包首部解析 PAGEREF _Toc107111789 h 29 HYPERLINK l _Toc107111790 結(jié) 論 PAGEREF _Toc107111790 h 31 HYPERLINK l _Toc107111791 參考文獻(xiàn) PAGEREF _Toc107111791 h 33 HYPERLINK l _Toc107111792 附 錄 PAGEREF _Toc107111792 h 34 HYPERLINK l _Toc107111793 謝 辭 P

12、AGEREF _Toc107111793 h 38引 言網(wǎng)絡(luò)平安正在日益受到廣闊的計算機用戶的關(guān)注，特別是“事件的影響讓我們對網(wǎng)絡(luò)的平安有了更深一層的認(rèn)識。 在Internet上有一批熟諳網(wǎng)絡(luò)技術(shù)的人，其中不乏網(wǎng)絡(luò)天才，他們經(jīng)常利用網(wǎng)絡(luò)上現(xiàn)存的一些漏洞，想方設(shè)法進(jìn)入他人的計算機系統(tǒng)。有些人只是為了一飽眼福，或純粹出于個人興趣，喜歡探人隱私，這些人通常不會造成危害。但也有一些人是存著不良動機侵入他人計算機系統(tǒng)的，通常會偷窺機密信息，或?qū)⑵溆嬎銠C系統(tǒng)搗毀。這局部人我們稱其為Internet上的黑客。 如今Internet火爆全球，可令人頭疼的問題也隨之而來，那就是由于黑客在網(wǎng)上的活動極具危害性及破

13、壞性，網(wǎng)絡(luò)平安問題已成為網(wǎng)絡(luò)管理員頭等關(guān)心的大事，也是決定Internet命運的重要因素。實際上已經(jīng)出現(xiàn)許多個體網(wǎng)絡(luò)由于自身平安受到威脅，而不得不被迫暫退出Internet的事件。 然而從根本意義講，絕對平安的計算機是根本不存在的，絕對平安的網(wǎng)絡(luò)也是不可能的。只有存放在一個無人知嘵的秘室里，而又不插電的計算機才可以稱之為平安。只要使用，就或多或少存在著平安問題，只是程度不同而已。我們在探討網(wǎng)絡(luò)平安的時候，實際上是指一定程度的網(wǎng)絡(luò)平安。而到底需要多大的平安性，卻要完全依據(jù)實際需要及自身能力而定。網(wǎng)絡(luò)平安性越高，同時也意味著對網(wǎng)絡(luò)使用的不便。21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起，

14、信息平安的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)平安體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)平安體系。本文的目的就是希望大家能對網(wǎng)絡(luò)的各種威脅有所認(rèn)識，并能通過我所編寫的程序來進(jìn)行自我保護(hù)。1 網(wǎng)絡(luò)平安面臨的威脅1.1 什么是網(wǎng)絡(luò)平安國際標(biāo)準(zhǔn)化組織ISO對計算機系統(tǒng)平安的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的平安保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)的平安理解為：通過采用各

15、種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)平安保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、喪失和泄露等。1.2 網(wǎng)絡(luò)平安隱患與威脅Internet的平安隱患主要表達(dá)在以下幾方面：1 Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客Hacker經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。 2 Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的平安措施。 3 Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)

16、來支持，Unix操作系統(tǒng)中明顯存在的平安脆弱性問題會直接影響平安效勞。 4在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進(jìn)行信封保護(hù)和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的效勞協(xié)議中是憑著君子協(xié)定來維系的。 5電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。 6計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件喪失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著計算機網(wǎng)絡(luò)的不斷開展，全球信

17、息化已成為人類開展的大趨勢。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)容易受黑客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的平安和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)和銀行等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的平安和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強的平安措施，否那么該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣移桨驳木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的平安措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。計算機網(wǎng)絡(luò)所

18、面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)平安的威脅主要有三：(1)人為的無意失誤：如操作員平安配置不當(dāng)造成的平安漏洞，用戶平安意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)平安帶來威脅。(2)人為的惡意攻擊：這是計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動

19、攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞和“后門：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大局部就是因為平安措施不完善所招致的苦果。另外，軟件的“后門都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門洞開，其造成的后果將不堪設(shè)想。1.3 幾種常見的威脅類型計算機網(wǎng)絡(luò)上的通信面臨以下的4種威脅:截獲：攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。中斷：攻擊者有意中

20、斷他人在網(wǎng)絡(luò)上的通信。篡改：攻擊者成心篡改網(wǎng)絡(luò)上傳送的報文。偽造：攻擊著偽造信息在網(wǎng)絡(luò)上傳送。上述四種威脅可劃分為兩大類,即為被動攻擊和主動攻擊,上面的截獲信息的攻擊為被動攻擊,而篡改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。在被動攻擊中,攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。即使這些數(shù)據(jù)對攻擊者來說是不易理解的,他也可通過觀察PDU的協(xié)議控制信息局部,了解正在通信的協(xié)議實體的地址和身份。研究PDU的長度和傳輸?shù)念l度.以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被動攻擊攻擊又稱為通信量分析主動攻擊是指攻擊者對某個連接中的通過的PDU進(jìn)行各種處理。如有選擇地更改,刪除,延遲這些PDU(

21、當(dāng)然還包括記錄和復(fù)制他們)。還可在稍后的時間將以前錄下的PDU插入這個連接(即重放攻擊)。甚至還可將合成的或偽造的PDU送入到一個連接中去。所有主動攻擊都是上述各種方法的某種組合。但從類型上來看,自動攻擊又可進(jìn)一步劃分為三種,即:1更改報文流：包括對通過連接的PDU的真實性,完整性和有序性的攻擊.2拒絕報文效勞：指攻擊者或者刪除通過某一連接的所有PDU.或者將對方或單方的所有PDU加以延遲,在2000年2月7日至9日美國的幾個著名網(wǎng)站遭黑客襲擊,使這些網(wǎng)站的效勞器一直處于忙的狀態(tài),因而拒絕向發(fā)出請求的客戶提供效勞.這種攻擊方式被稱為拒絕效勞DoS(Denial of Service).假設(shè)從因

22、特網(wǎng)上的成千上萬的網(wǎng)站集中攻擊一個網(wǎng)站,那么稱為分布式拒絕效勞DdoS(Distributed Denial of Service)。3偽造連接初始化：攻擊者重放以前被已被記錄的合法連接初始化序列,或者偽造身份而企圖建立連接.還有一種特殊的主動攻擊就是惡意程序的攻擊,惡意程序種類繁多,對網(wǎng)絡(luò)平安威脅叫大的主要有以下幾種:計算機病毒：一種會傳染其他程序的程序,傳染是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的.計算機懦蟲：一種通過網(wǎng)絡(luò)的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序.特洛依木馬：一種程序,他執(zhí)行的功能超出所聲稱的功能,如一個編譯程序除了執(zhí)行編譯任務(wù)以外,還把用戶的源程

23、序偷偷地拷貝下來,那么這種編譯程序就是一個特諾衣木馬,計算機病毒有時也以特諾衣木馬的形式出現(xiàn).邏輯炸彈：一種當(dāng)運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序,如一個編譯程序,平時運行的很好,但當(dāng)系統(tǒng)時間為13日又為星期五時,它刪去系統(tǒng)中所有的系統(tǒng)文件,這種程序就是一種邏輯炸彈。除了以上的幾種威脅還有黑客侵襲，密碼破解，系統(tǒng)漏洞，還有一些郵件，QQ炸彈等。這些都是外表已經(jīng)被大家所熟悉的，而潛在的威脅也是不可無視的，象千年蟲就是一個很好的例子，一段時間不會構(gòu)成威脅，誰也說不好他什么時候爆發(fā)，防范工作更是防不勝防。1.4 威脅我國網(wǎng)絡(luò)平安的4個因素目前我國的網(wǎng)絡(luò)開展也是一日千里，威脅的種類也不斷的

24、在增加，隨時可能出現(xiàn)新的病毒，這是不能預(yù)料的，但針對目前來看對我國的網(wǎng)絡(luò)平安造成威脅主要有4個方面：1網(wǎng)絡(luò)的開放性是目標(biāo)系統(tǒng)容易遭受攻擊的固有弱點?；ヂ?lián)網(wǎng)的靈魂是“開放與共享，這就給黑客提供了攻擊的便利。開放和平安在一定程度上相互矛盾，如果采取了太多的防范措施來保證平安，勢必會大大降低信息交流的效率，從而傷害“開放與共享的初衷。2很多網(wǎng)站的脆弱性是由軟件引起的。大量的軟件有漏洞，黑客就利用漏洞進(jìn)行攻擊。北京大學(xué)計算機科學(xué)系信息平安研究室主任陳鐘教授說，軟件漏洞是不可防止的。比方微軟的“視窗操作系統(tǒng)，推出前先要進(jìn)行內(nèi)部測試，之后發(fā)出幾十萬份進(jìn)行外部測試，即便如此，在其正式版本中，仍然漏洞多多，它

25、的操作系統(tǒng)和網(wǎng)絡(luò)瀏覽器上，都發(fā)現(xiàn)過危害網(wǎng)絡(luò)平安的漏洞。北京中聯(lián)綠盟信息技術(shù)公司總經(jīng)理沈繼業(yè)也指出，很多網(wǎng)站自行開發(fā)的程序，為黑客攻擊大開方便之門。某國內(nèi)大型網(wǎng)上書店，其開發(fā)的用戶接口程序沒有有效的過濾，黑客可以從中輸入指令，并因此破壞了其數(shù)據(jù)庫。3一些公司為名譽起見，不積極追究黑客的法律責(zé)任。美國八大網(wǎng)站受到攻擊，但并未使其比擬敏感的客戶資料泄露，因此在媒體上大炒而特炒；相反，一些公司被黑后損失更為嚴(yán)重沉重，反而無聲無息。國內(nèi)有些公司為保證客戶對其的信任，不敢公布自己的損失，更不敢把黑客送上法庭，往往采取私了的方式，這種“姑息養(yǎng)奸的做法就進(jìn)一步助長了黑客的囂張氣焰。4目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不

26、健全?；ヂ?lián)網(wǎng)畢竟是新生事物，它對傳統(tǒng)的法律提出了挑戰(zhàn)。比方盜竊、刪改他人系統(tǒng)信息屬于犯罪行為，但僅僅是觀看，既不進(jìn)行破壞，也不謀取私利算不算犯罪？還比方網(wǎng)上有很多BBS，黑客在上邊討論軟件漏洞、攻擊手段等，這既可以說是技術(shù)研究，也可以說是提供攻擊工具，這又算不算犯罪呢？更進(jìn)一步說，提高網(wǎng)絡(luò)平安技術(shù)水平的有效途徑就是做黑客，以掌握網(wǎng)絡(luò)漏洞。2 網(wǎng)絡(luò)協(xié)議因特網(wǎng)是一個開展非?；顫姷念I(lǐng)域。在1 9 6 8年，它的早期研究成果開始嶄露頭角，后來便出現(xiàn)了它的前身A R PA N E T，A R PA N E T為表現(xiàn)因特網(wǎng)特性的試驗平臺做出了重大奉獻(xiàn)，1 9 7 3年，因特網(wǎng)正式面世。從那時起，關(guān)于因特網(wǎng)

27、的研究和努力就一直沒有間斷過，其中大局部努力都是圍繞著被稱為網(wǎng)絡(luò)的一個新型賽博空間所需要的標(biāo)準(zhǔn)而進(jìn)行的。因特網(wǎng)協(xié)議及其標(biāo)準(zhǔn)與世界上任何其他事物的結(jié)構(gòu)不同，它總是由一些機構(gòu)或?qū)I(yè)人士中的個人首先提出的。為了了解新的協(xié)議是如何出現(xiàn)并最終成為標(biāo)準(zhǔn)的，應(yīng)該首先熟悉縮寫詞R F C，即Request for Comment。它的開展變遷過程要追溯到1 9 6 9年，起因是由于因特網(wǎng)的成員過于分散。正如這個詞的字面意思所示，這些文檔是一些實用文檔、方法、測試結(jié)果、模型甚至完整的標(biāo)準(zhǔn)。因特網(wǎng)社會的成員可以閱讀，也可以把意見反應(yīng)給R F C，如果這些想法或根本原理被社會接受，就有可能成為標(biāo)準(zhǔn)。在因特網(wǎng)社會中關(guān)

28、于R F C的用法M O以及如何操作并沒有太大的變化。1 9 6 9年，當(dāng)時只有一個網(wǎng)絡(luò)，整個社會不超過一百位專業(yè)人員；隨著因特網(wǎng)的飛速開展，因特網(wǎng)不但需要一個機構(gòu)來集中和協(xié)調(diào)這些成果，并且需要制定一個最低要求的準(zhǔn)那么，至少能在成員之間進(jìn)行有效的通信并取得相互了解。1 9 7 4年前后，擺在A R PA N E T面前的形勢很清晰了，通信聯(lián)絡(luò)需要進(jìn)一步擴展，它需要的不僅是要能容納成倍增加的通信媒體，而且要了解早已存在于群組中的許多領(lǐng)域的意義。這個領(lǐng)域需要一個管理者。大約在1 9 7 7年，隨著作為因特網(wǎng)實驗備忘錄 I E N一局部的許多實驗的進(jìn)行，著名的T C P / I P協(xié)議獲得了開展的動

29、力。沒過多久1 9 8 6年，為了R F C討論的需要，需要建立一個由工程技術(shù)人員組成的、對標(biāo)準(zhǔn)的開展負(fù)責(zé)的工作機構(gòu)，以便有效地引導(dǎo)因特網(wǎng)的開展成長，這樣，因特網(wǎng)工程工作組I N E N G成立了。今天，因特網(wǎng)工程部 I E T F和因特網(wǎng)研究部 T RT F成為對因特網(wǎng)近期工程需求和遠(yuǎn)期研究目標(biāo)負(fù)責(zé)、并擔(dān)負(fù)重任的兩個工作組。這兩個組織曾直接隸屬于國際網(wǎng)絡(luò)執(zhí)行委員會I A B，現(xiàn)在屬于因特網(wǎng)協(xié)會 1 9 9 2年成立，這個協(xié)會最終也是為因特網(wǎng)技術(shù)的開展負(fù)責(zé)的。但是，如果你是一個因特網(wǎng)上的?？?，可能對縮略詞I A B并不滿意，確實，在I A B的逐步開展并走向成熟過程中， I A B將它的名字改

30、為“Internet Architecture Board由“A c t i v i t i e s改為“A r c h i t e c t u r e，因為I A B在因特網(wǎng)開展的運作方面并沒起多大作用。談到R F C標(biāo)準(zhǔn)，那么首先考慮到的應(yīng)該是RFC 733。如果有關(guān)于標(biāo)準(zhǔn)的想法或?qū)σ蛱鼐W(wǎng)有益的新技術(shù)，可以把它作為R F C提交給因特網(wǎng)社會。作為I A B成員之一的R F C編輯，決定著R F C的發(fā)表，對任一正式文檔， R F C都有一種確定的風(fēng)格和格式?，F(xiàn)今因特網(wǎng)上用到的主要協(xié)議有：用戶數(shù)據(jù)報協(xié)議UDP，次要文件傳輸協(xié)議TFTP，網(wǎng)際協(xié)議IP，因特網(wǎng)控制報文協(xié)議( I C M P )，

31、傳輸控制協(xié)議( T C P )，地址轉(zhuǎn)換協(xié)議( A R P )，虛終端協(xié)議( Te l n e t )，反向地址轉(zhuǎn)換協(xié)議( R A R P )，外部網(wǎng)關(guān)協(xié)議( E G P )版本2，引導(dǎo)協(xié)議( B o o t P )，路由信息協(xié)議( R I P )，距離向量多播路由協(xié)議( D V M R P )。下面對每項協(xié)議做一些簡單的介紹：網(wǎng)際協(xié)議 I P：是廣泛用于公司、政府部門和因特網(wǎng)上的網(wǎng)絡(luò)協(xié)議。它支持許多個人、專業(yè)以及商業(yè)上的應(yīng)用系統(tǒng)，像電子郵件、數(shù)據(jù)處理以及圖像、聲音的傳輸?shù)取 P是一個無連接的數(shù)據(jù)報報文傳輸協(xié)議。用它來進(jìn)行網(wǎng)上的尋址、路由選擇以及對傳輸和接收數(shù)據(jù)報進(jìn)行控制。每個數(shù)據(jù)報都包括源

32、地址和目的地址、控制信息以及傳向主機層或來自主機層的真實數(shù)據(jù)。I P數(shù)據(jù)報是進(jìn)行網(wǎng)上包括因特網(wǎng)傳送的根本單位。由于I P是一個無連接協(xié)議，所以它不需要定義一個與邏輯網(wǎng)絡(luò)連接的關(guān)聯(lián)路徑。由于信息包是由路由器接收的，因此I P尋址信息常用來確定信息包到達(dá)其最終目的地址的最正確路由。這樣，盡管I P沒有關(guān)于數(shù)據(jù)路徑用法的控制，但當(dāng)一個資源不可用時，它能為數(shù)據(jù)報重選路由。用戶數(shù)據(jù)報協(xié)議 U D P：為I P提供了一種不可靠、無連接的數(shù)據(jù)報傳輸效勞。因此，此協(xié)議通常應(yīng)用于面向事務(wù)的實用程序，如I P標(biāo)準(zhǔn)“簡單網(wǎng)絡(luò)管理協(xié)議S N M P和“次要文件傳輸協(xié)議 T F T P。同下一節(jié)要討論的T C P一樣，

33、U D P與I P協(xié)同工作用來傳送報文到目的地址，并提供協(xié)議端口以區(qū)分運行于單個主機上的軟件應(yīng)用程序。然而，與T C P不同的是， U D P并不保證數(shù)據(jù)不喪失和不被復(fù)制，因此，如果要使數(shù)據(jù)傳輸可靠的話，一定要用T C P而不是U D P。傳輸控制協(xié)議T C P：為I P提供了一種可靠的面向連接的傳輸層效勞。由于它為非同類的計算機系統(tǒng)和網(wǎng)絡(luò)之間提供了很高的互操作能力， T C P / I P得到了迅速開展，從而使它走出學(xué)術(shù)理論領(lǐng)域而進(jìn)入市場。該協(xié)議通過使用一個握手方案，提供了一種在主機之間建立、維護(hù)和終止邏輯連接的機制。另外， T C P提供了協(xié)議端口，從而可以通過每個包含目的端口和源端口號的

34、消息，區(qū)分運行于單一設(shè)備上的多道程序。T C P還通過單一的網(wǎng)絡(luò)連接對字節(jié)流、數(shù)據(jù)流的界定、數(shù)據(jù)確認(rèn)、數(shù)據(jù)再傳輸以及多路復(fù)用的多重連接提供了可靠的傳輸。路由信息協(xié)議R I P：是一個距離向量、內(nèi)部網(wǎng)關(guān)協(xié)議 I G P，路由器用它來交換路由選擇信息，通過R I P向終端站和路由器提供在不同網(wǎng)絡(luò)進(jìn)行動態(tài)選擇最正確路徑的信息。因特網(wǎng)控制報文協(xié)議 I C M P：是I P的一局部，其作用是處理錯誤報文和系統(tǒng)級報文，并將報文發(fā)送到糾錯網(wǎng)關(guān)或主機。它用的是I P的根本支持，看上去好似是一個更高級的協(xié)議，但是， I C M P確實是I P不可分割的一局部，且I P的每一局部都必須執(zhí)行它?？刂茍笪牡膫魉褪窃谶@

35、么幾種情況下，例如：當(dāng)數(shù)據(jù)報不能到達(dá)它的目的地時，或當(dāng)網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)報失敗時一般是由于沒有足夠的緩沖容量。因特網(wǎng)組管理協(xié)議 I G M P：定義于RFC 111 2，它的形成是為了使多路訪問網(wǎng)絡(luò)上的主機能夠命令具有它們?nèi)航M成員信息的本地路由器，它是通過主機多播I G M P的主機成員報告來實現(xiàn)的。這些多播路由器偵聽到這些信息后能夠與其他多播路由器交換群組成員信息，這里允許形成分發(fā)樹去傳遞多播數(shù)據(jù)報。邊界網(wǎng)關(guān)協(xié)議版本4B G P - 4：是一個能使處于不同自治系統(tǒng)中的路由器進(jìn)行路由信息交換的外部網(wǎng)關(guān)協(xié)議。B G P - 4還提供了一系列機制以方便C I D R，這是因為它提供了播送一個任意長I P

36、前綴的能力且由此消除了B G P中網(wǎng)絡(luò)“類的概念。B G P使用T C P以確保交互式自治系統(tǒng)的信息的傳遞。僅當(dāng)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時產(chǎn)生更新信息，且更新信息只包含變化了的那局部信息，這減少了網(wǎng)上的通信量，也降低了為了使路由器間的路由表保持一致所需的開銷。地址轉(zhuǎn)換協(xié)議 A R P：是一種從主機因特網(wǎng)地址獲得其以太網(wǎng)地址的方法。發(fā)方播送一個含有另一個主機因特網(wǎng)地址的A R P數(shù)據(jù)包，并等待它送回其以太網(wǎng)地址。每個主機都持有一個地址轉(zhuǎn)換高速緩存，以減少延遲和負(fù)載。A R P允許因特網(wǎng)地址獨立于以太網(wǎng)地址，但只有當(dāng)所有主機都支持它時才能工作。反向地址轉(zhuǎn)換協(xié)議 R A R P：提供了與前面所述的A R P

37、相反的功能。R A R P映像一硬件地址，也稱為M A C地址，到一I P地址。R A R P主要用于無盤節(jié)點，當(dāng)其首次初始化時，用來查找它們的因特網(wǎng)地址，其功能與B O O T P很相似。簡單網(wǎng)絡(luò)管理協(xié)議 S N M P：用于管理I P網(wǎng)絡(luò)上的節(jié)點。在I P平安因素中，某種程度上無視了網(wǎng)絡(luò)設(shè)備自身的保護(hù)。S N M P v 2使得對網(wǎng)絡(luò)設(shè)備的管理方法得到明顯加強。但由于略有爭議， S N M P的平安特性還有待于進(jìn)一步完善。注意S N M P v 2最初提出的一些方面的平安性被做成了可選擇的，有的在1 9 9 6年3月根據(jù)因特網(wǎng)標(biāo)準(zhǔn)從S N M P v 2的描述中去除掉了?，F(xiàn)在新的S N M

38、 P v 2又有一個實驗性平安協(xié)議被提出。盡管如此， S N M P仍是一個用于監(jiān)視和控制I P路由器和連接網(wǎng)絡(luò)的標(biāo)準(zhǔn)協(xié)議。這個面向事務(wù)的協(xié)議描述了S N M P管理者與代理之間結(jié)構(gòu)化管理信息的傳遞。駐留于工作站上的S N M P管理者發(fā)出查詢?nèi)ナ占酚善鞯臓顟B(tài)、配置和執(zhí)行信息網(wǎng)絡(luò)時間協(xié)議 N T P：是一個建立在T C P / I P之上的協(xié)議，通過在因特網(wǎng)上參考無線電裝置、原子時鐘以及其他時鐘，確保對本地時間的準(zhǔn)確記錄。此協(xié)議能在很長一段時間內(nèi)使分布式時鐘同步在毫秒級。動態(tài)主機配置協(xié)議 D H C P：是1 9 9 4年末由M i c r o s o f t在3 . 5版本的N T效勞器上

39、所介紹的一個協(xié)議。這個協(xié)議提供了一種動態(tài)分配I P地址到IBM PC的一種方法，前提是這些P C上運行的是Microsoft Wi n d o w s并且處于局域網(wǎng)中。系統(tǒng)管理員分配一個I P地址范圍給D H C P，且在L A N上的每一客戶P C都配有各自的T C P / I P軟件，這些軟件的作用是從D H C P效勞器請求一個I P地址請求和授權(quán)過程使用可控時間段租用的概念。3 WINSOCK技術(shù)與監(jiān)聽原理 WINSOCK技術(shù)概述Winsock是為上層應(yīng)用程序提供的一種標(biāo)準(zhǔn)網(wǎng)絡(luò)接口。上層應(yīng)用程序不用關(guān)心Winsock實現(xiàn)的細(xì)節(jié)，它為上層應(yīng)用程序提供透明的效勞。Winsock2是Wind

40、ows Socket的2.0版本。Winsock2引入的一個新功能就是打破效勞提供者的透明，讓開發(fā)者可以編寫自己的效勞提供者接口程序，即SPI程序。SPI以動態(tài)鏈接庫DLL的形式存在，它工作的應(yīng)用層，為上層API調(diào)用提供接口函數(shù)。Winsock2是一個接口，不是一個協(xié)議。作為接口，它只能發(fā)現(xiàn)和利用底層傳輸協(xié)議完成通信。下面對sock進(jìn)行詳細(xì)介紹：SOCK(套接字)先看定義：typedef unsigned int u_int;typedef u_int SOCKET;Socket相當(dāng)于進(jìn)行網(wǎng)絡(luò)通信兩端的插座，只要對方的Socket和自己的Socket有通信聯(lián)接，雙方就可以發(fā)送和接收數(shù)據(jù)了。三種

41、常用類型1流式套接字(stream socket)定義：#define SOCK_STREAM 1 流式套接字提供了雙向、有序的、無重復(fù)的以及無記錄邊界的數(shù)據(jù)流效勞，適合處理大量數(shù)據(jù)。它是面向聯(lián)結(jié)的，必須建立數(shù)據(jù)傳輸鏈路，同時還必須對傳輸?shù)臄?shù)據(jù)進(jìn)行驗證，確保數(shù)據(jù)的準(zhǔn)確性。因此，系統(tǒng)開銷較大。2數(shù)據(jù)報套接字(datagram socket)定義：#define SOCK_DGRAM 2 數(shù)據(jù)報套接字也支持雙向的數(shù)據(jù)流，但不保證傳輸數(shù)據(jù)的準(zhǔn)確性，但保存了記錄邊界。由于數(shù)據(jù)報套接字是無聯(lián)接的，例如播送時的聯(lián)接，所以并不保證接收端是否正在偵聽。數(shù)據(jù)報套接字傳輸效率比擬高。3原始套接字(raw-prot

42、ocol interface)定義：#define SOCK_RAW 3 原始套接字保存了數(shù)據(jù)包中的完整IP頭，前面兩種套接字只能收到用戶數(shù)據(jù)。因此可以通過原始套接字對數(shù)據(jù)進(jìn)行分析。Socket開發(fā)所必須需要的文件(以WinSock V2.0為例)：一些重要的定義1數(shù)據(jù)類型的根本定義：這個大家一看就懂。typedef unsigned char u_char;typedef unsigned short u_short;typedef unsigned int u_int;typedef unsigned long u_long;2網(wǎng)絡(luò)地址的數(shù)據(jù)結(jié)構(gòu) 舊的網(wǎng)絡(luò)地址結(jié)構(gòu)的定義，為一個4字節(jié)的聯(lián)合

43、：struct in_addr union struct u_char s_b1,s_b2,s_b3,s_b4; S_un_b;struct u_short s_w1,s_w2; S_un_w;u_long S_addr; S_un;#define s_addr S_un.S_addr /* can be used for most tcp & ip code */下面幾行省略,反正沒什么用處。; 新的網(wǎng)絡(luò)地址結(jié)構(gòu)的定義：非常簡單，就是一個無符號長整數(shù) unsigned long。舉個例子：IP地址為的網(wǎng)絡(luò)地址是什么呢？請看定義：#define INADDR_LOOPBACK 0 x7f000

44、0013套接字地址結(jié)構(gòu)(1)、sockaddr結(jié)構(gòu)：struct sockaddr u_short sa_family; /* address family */char sa_data14; /* up to 14 bytes of direct address */;sa_family為網(wǎng)絡(luò)地址類型，一般為AF_INET，表示該socket在Internet域中進(jìn)行通信，該地址結(jié)構(gòu)隨選擇的協(xié)議的不同而變化，因此一般情況下另一個與該地址結(jié)構(gòu)大小相同的sockaddr_in結(jié)構(gòu)更為常用，sockaddr_in結(jié)構(gòu)用來標(biāo)識TCP/IP協(xié)議下的地址。換句話說，這個結(jié)構(gòu)是通用socket地址結(jié)構(gòu)，而

45、下面的sockaddr_in是專門針對Internet域的socket地址結(jié)構(gòu)。sockaddr_in結(jié)構(gòu)struct sockaddr_in short sin_family;u_short sin_port;struct in_addr sin_addr;char sin_zero8;sin _family為網(wǎng)絡(luò)地址類型，必須設(shè)定為AF_INET。sin_port為效勞端口，注意不要使用已固定的效勞端口，如HTTP的端口80等。如果端口設(shè)置為0，那么系統(tǒng)會自動分配一個唯一端口。sin_addr為一個unsigned long的IP地址。sin_zero為填充字段，純粹用來保證結(jié)構(gòu)的大小。

46、將常用的用點分開的IP地址轉(zhuǎn)換為unsigned long類型的IP地址的函數(shù)：unsigned long inet_addr(const char FAR * cp )用法：unsigned long addr=inet_addr(4) 如果將sin_addr設(shè)置為INADDR_ANY，那么表示所有的IP地址，也即所有的計算機。#define INADDR_ANY (u_long)0 x000000004主機地址：先看定義：struct hostent char FAR * h_name; /* official name of host */char FAR * FAR * h_alias

47、es; /* alias list */short h_addrtype; /* host address type */short h_length; /* length of address */char FAR * FAR * h_addr_list; /* list of addresses */#define h_addr h_addr_list0 /* address, for backward compat */;h_name為主機名字。h_aliases為主機別名列表。h_addrtype為地址類型。h_length為地址類型。h_addr_list為IP地址，如果該主機有多個

48、網(wǎng)卡，就包括地址的列表。另外還有幾個類似的結(jié)構(gòu)，這里就不一一介紹了。5常見TCP/IP協(xié)議的定義：#define IPPROTO_IP 0 #define IPPROTO_ICMP 1 #define IPPROTO_IGMP 2 #define IPPROTO_TCP 6 #define IPPROTO_UDP 17 #define IPPROTO_RAW 2553.2 局域網(wǎng)與以太網(wǎng)監(jiān)聽原理1什么是網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺網(wǎng)絡(luò)上的主機，并取得了這臺主機的超級用戶的權(quán)限之后，往往要擴大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機的控制友。而網(wǎng)絡(luò)監(jiān)聽那么是一種最簡單

49、而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。 在網(wǎng)絡(luò)上，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作。使用最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上，這是大多數(shù)黑客的做法。2局域網(wǎng)監(jiān)聽的根本原理 根據(jù)IEEE的描述，局域網(wǎng)技術(shù)是把分散在一個建筑物或相鄰幾個建筑物中的計算機、終端、大容量存儲器的外圍設(shè)備、控制器、顯示器、以及為連接其它網(wǎng)絡(luò)而使用的網(wǎng)絡(luò)連接器等相互連接起來，以很高的速度進(jìn)行通訊的手段。 局域網(wǎng)具有設(shè)備共享、信息共享、可進(jìn)行高速數(shù)據(jù)通訊和多媒體信息通信、分布式處理、具有較高的兼容性和平安性等根本功能和特點。目前局域網(wǎng)主要用于辦公

50、室自動化和校園教學(xué)及管理，一般可根據(jù)具體情況采用總線形、環(huán)形、樹形及星形的拓?fù)浣Y(jié)構(gòu)。對于目前很流行的以太網(wǎng)協(xié)議，其工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，包中包含著應(yīng)該接收數(shù)據(jù)包主機的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收。但是，當(dāng)主機工作監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機都將接收當(dāng)然只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口的那些包。 在因特網(wǎng)上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng)，許多主機通過電纜、集線器連在一起。當(dāng)同一網(wǎng)絡(luò)中的兩臺主機通信的時候，源主機將寫有目的的主機地址的數(shù)據(jù)包直接發(fā)向目的主機。但這種數(shù)據(jù)包不能在IP層直接發(fā)送，必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口

51、，也就是數(shù)據(jù)鏈路層，而網(wǎng)絡(luò)接口是不會識別IP地址的，因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一局部以太幀頭的信息。在幀頭中有兩個域，分別為只有網(wǎng)絡(luò)接口才能識別的源主機和目的主機的物理地址，這是一個與IP地址相對應(yīng)的48位的地址。 傳輸數(shù)據(jù)時，包含物理地址的幀從網(wǎng)絡(luò)接口網(wǎng)卡發(fā)送到物理的線路上，如果局域網(wǎng)是由一條粗纜或細(xì)纜連接而成，那么數(shù)字信號在電纜上傳輸，能夠到達(dá)線路上的每一臺主機。當(dāng)使用集線器時，由集線器再發(fā)向連接在集線器上的每一條線路，數(shù)字信號也能到達(dá)連接在集線器上的每一臺主機。當(dāng)數(shù)字信號到達(dá)一臺主機的網(wǎng)絡(luò)接口時，正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者是播送地址

52、，那么將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否那么就將這個幀丟棄。對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個過程。 然而，當(dāng)主機工作在監(jiān)聽模式下，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。而且，當(dāng)連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)時，如果一臺主機處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)使用了不同的掩碼、IP地址和網(wǎng)關(guān)的主機的數(shù)據(jù)包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。另外，現(xiàn)在網(wǎng)絡(luò)中使用的大局部協(xié)議都是很早設(shè)計的，許多協(xié)議的實現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的根底之上，許多信息以明文發(fā)送。因此，如果用戶的賬戶名和口令等信息也以

53、明文的方式在網(wǎng)上傳輸，而此時一個黑客或網(wǎng)絡(luò)攻擊者正在進(jìn)行網(wǎng)絡(luò)監(jiān)聽，只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的局部。同理，正確的使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進(jìn)行追蹤定位，在對網(wǎng)絡(luò)犯罪進(jìn)行偵查取證時獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段。3以太網(wǎng)中監(jiān)聽原理在 線路和無線電、微波中監(jiān)聽傳輸?shù)男畔⒈葦M好理解，但是人們常常不太理解為什么局域網(wǎng)中可以進(jìn)行監(jiān)聽。甚至有人問：能不能監(jiān)聽不在同一網(wǎng)段的信息。下面就講述在以太網(wǎng)中進(jìn)行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。對于一個施行網(wǎng)絡(luò)攻擊的人來說，能攻破網(wǎng)關(guān)、路由器、防火墻的情況極為少見，在

54、這里完全可以由平安管理員安裝一些設(shè)備，對網(wǎng)絡(luò)進(jìn)行監(jiān)控，或者使用一些專門的設(shè)備，運行專門的監(jiān)聽軟件，并防止任何非法訪關(guān)。然而，潛入一臺不引人注意的計算機中，悄悄地運行一個監(jiān)聽程序，一個黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個擔(dān)負(fù)繁忙任務(wù)的計算機中進(jìn)行監(jiān)聽，可以立即被管理員發(fā)現(xiàn)。4 sniffer4.1 sniffer概述以太網(wǎng)sniffing 是指對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽，發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個log文件中去。通常設(shè)置的這些條件是包含字username或password的包。它的目的是將網(wǎng)絡(luò)層放到promiscuous模式，從而能干些事情。

55、Promiscuous模式是指網(wǎng)絡(luò)上的所有設(shè)備都對總線上傳送的數(shù)據(jù)進(jìn)行偵聽，并不僅僅是它們自己的數(shù)據(jù)。根據(jù)第二章中有關(guān)對以太網(wǎng)的工作原理的根本介紹，可以知道：一個設(shè)備要向某一目標(biāo)發(fā)送數(shù)據(jù)時，它是對以太網(wǎng)進(jìn)行播送的。一個連到以太網(wǎng)總線上的設(shè)備在任何時間里都在接受數(shù)據(jù)。不過只是將屬于自己的數(shù)據(jù)傳給該計算機上的應(yīng)用程序。利用這一點，可以將一臺計算機的網(wǎng)絡(luò)連接設(shè)置為接受所有以太網(wǎng)總線上的數(shù)據(jù)，從而實現(xiàn)sniffer。sniffer通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數(shù)據(jù)進(jìn)行監(jiān)控。sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用sniffer這種攻擊手段，以

56、便得到更多的信息。sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比方一個其他重要的信息，在網(wǎng)上傳送的金融信息等等。sniffer幾乎能得到任何以太網(wǎng)上的傳送的數(shù)據(jù)包。sniffers(嗅探器)幾乎和internet有一樣悠久的歷史了。他們是最早的一個允許系統(tǒng)管理員分析網(wǎng)絡(luò)和查明哪里有錯誤發(fā)生的工具。不幸的是crackers也會運行sniffers以暗中監(jiān)視你的網(wǎng)絡(luò)狀況和竊走不同種類的數(shù)據(jù)。在單項選擇性網(wǎng)絡(luò)中, 以太網(wǎng)結(jié)構(gòu)播送至網(wǎng)路上所有的機器, 但是只有預(yù)定接受信息包的那臺計算機才會響應(yīng)。不過網(wǎng)路上其他的計算機同樣會看到這個信息包,但是如果他們不是預(yù)定的接受者,他們會排除這個

57、信息包。 當(dāng)一臺計算機上運行著sniffer的時候并且網(wǎng)絡(luò)處于監(jiān)聽所有信息交通的狀態(tài), 那么這臺計算機就有能力瀏覽所有的在網(wǎng)絡(luò)上通過的信息包。如果你是個internet歷史方面的白癡并且在想sniffer這個詞從何而來。Sniffer是最初是網(wǎng)絡(luò)的產(chǎn)物.然后成為市場銷售的領(lǐng)先者,人們開始稱所有的網(wǎng)絡(luò)分析器為sniffers。我猜想這些人是和管棉簽叫Q-tip的人一樣的。lan/wan 管理員使用sniffers來分析網(wǎng)絡(luò)信息交通并且找出網(wǎng)絡(luò)上何處發(fā)生問題。一個平安管理員可以同時用多種sniffers, 將它們放置在網(wǎng)絡(luò)的各處,形成一個入侵警報系統(tǒng)。對于系統(tǒng)管理員來說sniffers是一個非常好

58、的工具,但是它同樣是一個經(jīng)常被hackers使用的工具。crackers安裝sniffer以獲得用戶名和賬號,信用卡號碼,個人信息,和其他的信息可以導(dǎo)致對你或是你的公司的極大危害如果向壞的方面開展。當(dāng)它們得到這些信息后,crackers將使用密碼來進(jìn)攻其他的internet 站點甚至倒賣信用卡號碼。我比擬傾向于snoop.Snoop是按Solaris的標(biāo)準(zhǔn)制作的,雖然Snoop不像是Sniffer Pro那樣好,但是它是一個可定制性非常強的sniffer,在加上它是免費的(和Solaris附一起)。誰能打敗它的地位?你可以在極短時間內(nèi)抓獲一個信息包或是更加深的分析。4.2 怎樣防范sniffe

59、r 顯而易見的,保護(hù)網(wǎng)絡(luò)不受sniffer監(jiān)聽的方法就是不要讓它們進(jìn)入。如果一個cracker不能通過你的系統(tǒng)進(jìn)入的話,那么他們無法安裝sniffers.我們是有可能防止這個的。但是從發(fā)現(xiàn)空前數(shù)目的平安漏洞并且大多數(shù)公司并沒有足夠能力來修復(fù)以來,crackers開始利用漏洞并安裝sniffers。自從crackers看上一個大多數(shù)網(wǎng)絡(luò)通訊流通的中心區(qū)域(防火墻或是代理效勞器)時,他們便確定這是他們的攻擊目標(biāo)并將被監(jiān)視。一些可能的受害者在效勞器的旁邊,這時候個人信息將被截獲(webserver,smtp sever)一個好的方式來保護(hù)你的網(wǎng)絡(luò)不受sniffer監(jiān)視是將網(wǎng)絡(luò)用以太網(wǎng)接線器代替普通的

60、集線器分成盡可能多的段。接線器可以分割你的網(wǎng)絡(luò)通訊并防止每一個系統(tǒng)看到每個信息包.但是這個解決方法的缺點就是太費錢。這種接線器是普通集線器價錢的兩至三倍,但是它值這么多。另一個方法是,和那種接線器比就是加密術(shù).Sniffer依然可以監(jiān)視到信息的傳送,但是顯示的是亂碼。 一些加密術(shù)的缺點是速度問題和使用一個弱加密術(shù)比擬容易被攻破.幾乎所有的加密技術(shù)將導(dǎo)致網(wǎng)絡(luò)的延遲。加密術(shù)越強,網(wǎng)絡(luò)溝通速度就越慢。系統(tǒng)管理員和用戶需要在某個地方折中一下。 雖然大多數(shù)的系統(tǒng)管理員愿意使用市場上最好的加密術(shù),但是世界上沒有一個地方的網(wǎng)絡(luò)平安用品制造商看起來獲益很多。希望近期能有新的加密術(shù),AES(高級加密標(biāo)準(zhǔn)),將提