網(wǎng)絡(luò)監(jiān)聽(tīng)及防御技術(shù)

內(nèi)容介紹3.1網(wǎng)絡(luò)監(jiān)聽(tīng)概述3.2監(jiān)聽(tīng)技術(shù)3.3監(jiān)聽(tīng)的防御3.4小結(jié)3.1網(wǎng)絡(luò)監(jiān)聽(tīng)概述3.2監(jiān)聽(tīng)技術(shù)3.3監(jiān)聽(tīng)的防御3.4小結(jié)本文檔共111頁(yè)；當(dāng)前第1頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20231網(wǎng)絡(luò)入侵與防范講義3.1網(wǎng)絡(luò)監(jiān)聽(tīng)概述3.1.1基礎(chǔ)知識(shí)與實(shí)例3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況本文檔共111頁(yè)；當(dāng)前第2頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20232網(wǎng)絡(luò)入侵與防范講義本文檔共111頁(yè)；當(dāng)前第3頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20233網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識(shí)與實(shí)例1．網(wǎng)絡(luò)監(jiān)聽(tīng)的概念網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)(NetworkSniffing)，顧名思義，這是一種在他方未察覺(jué)的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)對(duì)于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)，它是了解網(wǎng)絡(luò)運(yùn)行狀況的有力助手，對(duì)黑客而言，它是有效收集信息的手段。網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的能力范圍目前只限于局域網(wǎng)。本文檔共111頁(yè)；當(dāng)前第4頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20234網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識(shí)與實(shí)例2．相關(guān)網(wǎng)絡(luò)基礎(chǔ)

網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點(diǎn)到點(diǎn)。

廣播式網(wǎng)絡(luò)傳輸技術(shù)：僅有一條通信信道，由網(wǎng)絡(luò)上的所有機(jī)器共享。信道上傳輸?shù)姆纸M可以被任何機(jī)器發(fā)送并被其他所有的機(jī)器接收。點(diǎn)到點(diǎn)網(wǎng)絡(luò)傳輸技術(shù)：點(diǎn)到點(diǎn)網(wǎng)絡(luò)由一對(duì)對(duì)機(jī)器之間的多條連接構(gòu)成，分組的傳輸是通過(guò)這些連接直接發(fā)往目標(biāo)機(jī)器，因此不存在發(fā)送分組被多方接收的問(wèn)題。本文檔共111頁(yè)；當(dāng)前第5頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20235網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識(shí)與實(shí)例3．網(wǎng)卡的四種工作模式（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無(wú)論其目的MAC地址是什么。本文檔共111頁(yè)；當(dāng)前第6頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20236網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識(shí)與實(shí)例4實(shí)例：用Ethereal嗅探sina郵箱密碼U=hack_tesingPsw=hacktesting本文檔共111頁(yè)；當(dāng)前第7頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20237網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識(shí)與實(shí)例4實(shí)例：上屆學(xué)生實(shí)驗(yàn)編寫(xiě)的sniffer，嗅探FTP用戶(hù)名和密碼USERtestPASStestFTPServerVersionisServ-UV6.3Loggedinok本文檔共111頁(yè)；當(dāng)前第8頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20238網(wǎng)絡(luò)入侵與防范講義3.1網(wǎng)絡(luò)監(jiān)聽(tīng)概述3.1.1基礎(chǔ)知識(shí)與實(shí)例3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況本文檔共111頁(yè)；當(dāng)前第9頁(yè)；編輯于星期三\15點(diǎn)10分6/20/20239網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況1．網(wǎng)絡(luò)監(jiān)聽(tīng)（Sniffer）的發(fā)展歷史

Sniffer這個(gè)名稱(chēng)最早是一種網(wǎng)絡(luò)監(jiān)聽(tīng)工具的名稱(chēng)，后來(lái)其也就成為網(wǎng)絡(luò)監(jiān)聽(tīng)的代名詞。在最初的時(shí)候，它是作為網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具。網(wǎng)絡(luò)監(jiān)聽(tīng)器分軟、硬兩種本文檔共111頁(yè)；當(dāng)前第10頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202310網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況1．網(wǎng)絡(luò)監(jiān)聽(tīng)（Sniffer）的發(fā)展歷史軟件嗅探器便宜易于使用，缺點(diǎn)是功能往往有限，可能無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片)，或效率容易受限；硬件嗅探器通常稱(chēng)為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件嗅探器所欠缺的，處理速度很高，但是價(jià)格昂貴。目前主要使用的嗅探器是軟件的。本文檔共111頁(yè)；當(dāng)前第11頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202311網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況2．Sniffer軟件的主要工作機(jī)制驅(qū)動(dòng)程序支持：需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的“中間人”，它將網(wǎng)卡設(shè)置成混雜模式，捕獲數(shù)據(jù)包，并從上層接收各種抓包請(qǐng)求。分組捕獲過(guò)濾機(jī)制：對(duì)來(lái)自網(wǎng)卡驅(qū)動(dòng)程序的數(shù)據(jù)幀進(jìn)行過(guò)濾，最終將符合要求的數(shù)據(jù)交給上層。 鏈路層的網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)幀就有了兩個(gè)去處：一個(gè)是正常的協(xié)議棧，另一個(gè)就是分組捕獲過(guò)濾模塊，對(duì)于非本地的數(shù)據(jù)包，前者會(huì)丟棄（通過(guò)比較目的IP地址），而后者則會(huì)根據(jù)上層應(yīng)用的要求來(lái)決定上傳還是丟棄。本文檔共111頁(yè)；當(dāng)前第12頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202312網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況2．Sniffer軟件的主要工作機(jī)制許多操作系統(tǒng)都提供這樣的“中間人”機(jī)制，即分組捕獲機(jī)制。在UNIX類(lèi)型的操作系統(tǒng)中，主要有3種：BSD系統(tǒng)中的BPF(BerkeleyPacketFilter)、SVR4中的DLPI(DateLinkInterface)和Linux中的SOCK_PACKET類(lèi)型套接字。在Windows平臺(tái)上主要有NPF過(guò)濾機(jī)制。目前大部分Sniffer軟件都是基于上述機(jī)制建立起來(lái)的。如Tcpdump、Wireshark等。本文檔共111頁(yè)；當(dāng)前第13頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202313網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的發(fā)展情況3．網(wǎng)絡(luò)監(jiān)聽(tīng)的雙刃性

現(xiàn)在的監(jiān)聽(tīng)技術(shù)發(fā)展比較成熟，可以協(xié)助網(wǎng)絡(luò)管理員測(cè)試網(wǎng)絡(luò)數(shù)據(jù)通信流量、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀況。 然而事情往往都有兩面性，Sniffer的隱蔽性非常好，它只是“被動(dòng)”的接收數(shù)據(jù)，所以在傳輸數(shù)據(jù)的過(guò)程中，根本無(wú)法察覺(jué)到有人在監(jiān)聽(tīng)。網(wǎng)絡(luò)監(jiān)聽(tīng)給網(wǎng)絡(luò)維護(hù)提供便利同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)了很大隱患。本文檔共111頁(yè)；當(dāng)前第14頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202314網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽(tīng)技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介3.2.2共享式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)工具舉例本文檔共111頁(yè)；當(dāng)前第15頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202315網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介1．集線器

(1)集線器的原理： 集線器（又稱(chēng)為Hub）是一種重要的網(wǎng)絡(luò)部件，主要在局域網(wǎng)中用于將多個(gè)客戶(hù)機(jī)和服務(wù)器連接到中央?yún)^(qū)的網(wǎng)絡(luò)上。 集線器工作在局域網(wǎng)的物理環(huán)境下，其主要應(yīng)用在OSI參考模型第一層，屬于物理層設(shè)備。它的內(nèi)部采取電器互連的方式，當(dāng)維護(hù)LAN的環(huán)境是邏輯總線或環(huán)型結(jié)構(gòu)時(shí)，完全可以用集線器建立一個(gè)物理上的星型或樹(shù)型網(wǎng)絡(luò)結(jié)構(gòu)。本文檔共111頁(yè)；當(dāng)前第16頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202316網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介1．集線器

(2)集線器的工作特點(diǎn) 依據(jù)IEEE802.3協(xié)議，集線器功能是隨機(jī)選出某一端口的設(shè)備，并讓它獨(dú)占全部帶寬，與集線器的上聯(lián)設(shè)備(交換機(jī)、路由器或服務(wù)器等)進(jìn)行通信。集線器在工作時(shí)具有以下兩個(gè)特點(diǎn)： 首先是集線器只是一個(gè)多端口的信號(hào)放大設(shè)備； 其次集線器只與它的上聯(lián)設(shè)備(如上層Hub、交換機(jī)或服務(wù)器)進(jìn)行通信，同層的各端口之間不會(huì)直接進(jìn)行通信，而是通過(guò)上聯(lián)設(shè)備再將信息廣播到所有端口上。本文檔共111頁(yè)；當(dāng)前第17頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202317網(wǎng)絡(luò)入侵與防范講義D-LINKDES-1024D24PORT本文檔共111頁(yè)；當(dāng)前第18頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202318網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介1．集線器

(3)用集線器組建的局域網(wǎng)示意圖本文檔共111頁(yè)；當(dāng)前第19頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202319網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介2．交換機(jī)

(1)交換機(jī)的原理： 交換機(jī)是一種網(wǎng)絡(luò)開(kāi)關(guān)（Switch）,也稱(chēng)交換器，由于和電話交換機(jī)對(duì)出入線的選擇有相似的原理，因此被人稱(chēng)為交換機(jī)。 交換機(jī)在局域網(wǎng)的環(huán)境下，工作在比集線器更高一層鏈路層上。交換機(jī)被定義成一個(gè)能接收發(fā)來(lái)的信息幀，加以暫時(shí)存儲(chǔ)，然后發(fā)到另一端的網(wǎng)絡(luò)部件，其本質(zhì)上就是具有流量控制能力的多端口網(wǎng)橋。本文檔共111頁(yè)；當(dāng)前第20頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202320網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介2．交換機(jī)

(2)交換機(jī)的工作特點(diǎn) 把每個(gè)端口所連接的網(wǎng)絡(luò)分割為獨(dú)立的LAN，每個(gè)LAN成為一個(gè)獨(dú)立的沖突域。 每個(gè)端口都提供專(zhuān)用的帶寬。這是交換機(jī)與集線器的本質(zhì)區(qū)別，集線器不管有多少端口，都是共享其全部帶寬。 轉(zhuǎn)發(fā)機(jī)制。交換機(jī)維護(hù)有每個(gè)端口對(duì)應(yīng)的地址表，其中保存與該端口連接的各個(gè)主機(jī)的MAC地址。本文檔共111頁(yè)；當(dāng)前第21頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202321網(wǎng)絡(luò)入侵與防范講義CISCOWS-C2950-24交換機(jī)

本文檔共111頁(yè)；當(dāng)前第22頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202322網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介2．交換機(jī)

(2)用交換機(jī)組建的局域網(wǎng)示意圖本文檔共111頁(yè)；當(dāng)前第23頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202323網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽(tīng)技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介3.2.2共享式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)工具舉例本文檔共111頁(yè)；當(dāng)前第24頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202324網(wǎng)絡(luò)入侵與防范講義什么是共享式局域網(wǎng)共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波檢測(cè)多路偵聽(tīng)（CarriesSenseMultipleAccesswithCollisionDetection，簡(jiǎn)稱(chēng)CSMA/CD）機(jī)制來(lái)進(jìn)行傳輸控制。共享式局域網(wǎng)是基于廣播的方式來(lái)發(fā)送數(shù)據(jù)的，因?yàn)榧€器不能識(shí)別幀，所以它就不知道一個(gè)端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都可以收到這些幀。本文檔共111頁(yè)；當(dāng)前第25頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202325網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)原理在正常的情況下，網(wǎng)卡應(yīng)該工作在廣播模式、直接模式，一個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：與自己的MAC地址相匹配的數(shù)據(jù)幀（目的地址為單個(gè)主機(jī)的MAC地址）。發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀（目的地址為0xFFFFFFFFFF）。本文檔共111頁(yè)；當(dāng)前第26頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202326網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)的工作原理(2)但如果共享式局域網(wǎng)中的一臺(tái)主機(jī)的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的話，那么，對(duì)于這臺(tái)主機(jī)的網(wǎng)絡(luò)接口而言，任何在這個(gè)局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦?tīng)到的。主機(jī)的這種狀態(tài)也就是監(jiān)聽(tīng)模式。處于監(jiān)聽(tīng)模式下的主機(jī)可以監(jiān)聽(tīng)到同一個(gè)網(wǎng)段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包。本文檔共111頁(yè)；當(dāng)前第27頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202327網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法在共享式局域網(wǎng)中，集線器會(huì)廣播所有數(shù)據(jù)，這時(shí)，如果局域網(wǎng)中一臺(tái)主機(jī)將網(wǎng)卡設(shè)置成混雜模式，那么它就可以接收到該局域網(wǎng)中的所有數(shù)據(jù)了。網(wǎng)卡在混雜模式工作的情況下，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會(huì)被網(wǎng)卡驅(qū)動(dòng)程序上傳給網(wǎng)絡(luò)層。共享式局域網(wǎng)監(jiān)聽(tīng)示意圖見(jiàn)下頁(yè)。本文檔共111頁(yè)；當(dāng)前第28頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202328網(wǎng)絡(luò)入侵與防范講義集線器路由器Internet攻擊者主機(jī)受害者主機(jī)其它主機(jī)本文檔共111頁(yè)；當(dāng)前第29頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202329網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法(2)正常工作時(shí)，應(yīng)用程序只能接收到以本主機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)包，其他數(shù)據(jù)包過(guò)濾后被丟棄不做處理。該過(guò)濾機(jī)制可以作用在鏈路層、網(wǎng)絡(luò)層和傳輸層這幾個(gè)層次，工作流程如圖所示：本文檔共111頁(yè)；當(dāng)前第30頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202330網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法(3)鏈路層過(guò)濾：判斷數(shù)據(jù)包的目的MAC地址。網(wǎng)絡(luò)層過(guò)濾：判斷數(shù)據(jù)包的目的IP地址。傳輸層過(guò)濾：判斷對(duì)應(yīng)的目的端口是否在本機(jī)已經(jīng)打開(kāi)。因而，如果沒(méi)有一個(gè)特定的機(jī)制，上層應(yīng)用也無(wú)法抓到本不屬于自己的“數(shù)據(jù)包”。本文檔共111頁(yè)；當(dāng)前第31頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202331網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法(4)需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊，它將網(wǎng)卡設(shè)置成混雜模式，并從監(jiān)聽(tīng)軟件接收下達(dá)的各種抓包請(qǐng)求，對(duì)來(lái)自網(wǎng)卡驅(qū)動(dòng)程序的數(shù)據(jù)幀進(jìn)行過(guò)濾，最終將符合監(jiān)聽(tīng)軟件要求的數(shù)據(jù)返回給監(jiān)聽(tīng)軟件。本文檔共111頁(yè)；當(dāng)前第32頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202332網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法(5)有了驅(qū)動(dòng)模塊，鏈路層的網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)幀就有了兩個(gè)去處：一個(gè)是正常的協(xié)議棧，另一個(gè)就是分組捕獲即過(guò)濾模塊。對(duì)于非本地的數(shù)據(jù)包，前者會(huì)丟棄（通過(guò)比較目的IP地址），而后者則會(huì)根據(jù)上層應(yīng)用的要求來(lái)決定上傳還是丟棄，如圖所示。本文檔共111頁(yè)；當(dāng)前第33頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202333網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽(tīng)實(shí)現(xiàn)方法(6)在實(shí)際應(yīng)用中，監(jiān)聽(tīng)時(shí)存在不需要的數(shù)據(jù)，嚴(yán)重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊過(guò)濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵。信息的過(guò)濾包括以下幾種：站過(guò)濾，協(xié)議過(guò)濾，服務(wù)過(guò)濾，通用過(guò)濾。同時(shí)根據(jù)過(guò)濾的時(shí)間，可以分為兩種過(guò)濾方式：捕獲前過(guò)濾、捕獲后過(guò)濾。本文檔共111頁(yè)；當(dāng)前第34頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202334網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)(1)基于UNIX系統(tǒng)的開(kāi)發(fā)庫(kù)libpcap本文檔共111頁(yè)；當(dāng)前第35頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202335網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)(1)基于UNIX系統(tǒng)的開(kāi)發(fā)庫(kù)libpcap

對(duì)開(kāi)發(fā)者而言，網(wǎng)卡驅(qū)動(dòng)程序和BPF捕獲機(jī)制是透明的，需要掌握的是libpcap庫(kù)的使用。libpcap隱藏了用戶(hù)程序和操作系統(tǒng)內(nèi)核交互的細(xì)節(jié)，完成了如下工作：向用戶(hù)程序提供了一套功能強(qiáng)大的抽象接口。根據(jù)用戶(hù)要求生成過(guò)濾指令。管理用戶(hù)緩沖區(qū)。負(fù)責(zé)用戶(hù)程序和內(nèi)核的交互。本文檔共111頁(yè)；當(dāng)前第36頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202336網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)(2)基于Windows系統(tǒng)的WinPcap WinPcap是基于Windows操作系統(tǒng)環(huán)境的Libpcap，其在監(jiān)聽(tīng)程序中起的作用和UNIX系統(tǒng)下的libpcap類(lèi)似。但是比libpcap多一些功能，如WinPcap可以發(fā)送數(shù)據(jù)，但是libpcap則不行。本文檔共111頁(yè)；當(dāng)前第37頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202337網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)WinPcap的架構(gòu)包括：內(nèi)核級(jí)的數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序NPF：把設(shè)備驅(qū)動(dòng)增加在Windows，它直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運(yùn)行在用戶(hù)層的應(yīng)用程序上，也允許用戶(hù)發(fā)送原始數(shù)據(jù)包。低級(jí)動(dòng)態(tài)連接庫(kù)packet.dll：運(yùn)行在用戶(hù)層，

把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序隔離開(kāi)，使得應(yīng)用程序可以不加修改地在不同Windows系統(tǒng)上運(yùn)行。高級(jí)系統(tǒng)無(wú)關(guān)庫(kù)Wpcap.dll：它和應(yīng)用程序編譯在一起，它使用低級(jí)動(dòng)態(tài)鏈接庫(kù)提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽(tīng)接口，不同Windows平臺(tái)上的高級(jí)系統(tǒng)無(wú)關(guān)庫(kù)是相同的。本文檔共111頁(yè)；當(dāng)前第38頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202338網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)WinPcap架構(gòu)圖本文檔共111頁(yè)；當(dāng)前第39頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202339網(wǎng)絡(luò)入侵與防范講義相關(guān)開(kāi)發(fā)庫(kù)Pcap_open_livePcap_setfilterPcap_next_exMyPacketProcessPcap_dump使用Winpcap的流程打開(kāi)網(wǎng)卡接口，設(shè)置為混雜模式設(shè)置過(guò)濾器(捕獲前過(guò)濾)捕獲數(shù)據(jù)對(duì)捕獲到的數(shù)據(jù)進(jìn)行處理將捕獲到的數(shù)據(jù)進(jìn)行存儲(chǔ)本文檔共111頁(yè)；當(dāng)前第40頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202340網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽(tīng)技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介3.2.2共享式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)工具舉例本文檔共111頁(yè)；當(dāng)前第41頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202341網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)什么是交換式局域網(wǎng)交換式以太網(wǎng)就是用交換機(jī)或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口。因?yàn)槎丝陂g的幀傳輸彼此屏蔽，因此節(jié)點(diǎn)就不擔(dān)心自己發(fā)送的幀會(huì)被發(fā)送到非目的節(jié)點(diǎn)中去。本文檔共111頁(yè)；當(dāng)前第42頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202342網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)產(chǎn)生交換式局域網(wǎng)的原因：系統(tǒng)管理人員常常通過(guò)在本地網(wǎng)絡(luò)中加入交換設(shè)備，來(lái)預(yù)防sniffer(嗅探器)的侵入。交換機(jī)工作在數(shù)據(jù)鏈路層，工作時(shí)維護(hù)著一張MAC地址與端口的映射表。在這個(gè)表中記錄著交換機(jī)每個(gè)端口綁定的MAC地址。不同于HUB的報(bào)文廣播方式，交換機(jī)轉(zhuǎn)發(fā)的報(bào)文是一一對(duì)應(yīng)的。本文檔共111頁(yè)；當(dāng)前第43頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202343網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽(tīng)的困擾。但是交換機(jī)的安全性也面臨著嚴(yán)峻的考驗(yàn)，隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來(lái)實(shí)現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽(tīng)：溢出攻擊ARP欺騙（常用技術(shù)）本文檔共111頁(yè)；當(dāng)前第44頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202344網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)溢出攻擊交換機(jī)工作時(shí)要維護(hù)一張MAC地址與端口的映射表。但是用于維護(hù)這張表的內(nèi)存是有限的。如用大量的錯(cuò)誤MAC地址的數(shù)據(jù)幀對(duì)交換機(jī)進(jìn)行攻擊，交換機(jī)就可能出現(xiàn)溢出。這時(shí)交換機(jī)就會(huì)退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽(tīng)就很容易了。本文檔共111頁(yè)；當(dāng)前第45頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202345網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)ARP欺騙計(jì)算機(jī)中維護(hù)著一個(gè)IP-MAC地址對(duì)應(yīng)表，記錄了IP地址和MAC地址之間的對(duì)應(yīng)關(guān)系。該表將隨著ARP請(qǐng)求及響應(yīng)包不斷更新。通過(guò)ARP欺騙，改變表里的對(duì)應(yīng)關(guān)系，攻擊者可以成為被攻擊者與交換機(jī)之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機(jī)的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。dsniff和parasite等交換式局域網(wǎng)中的嗅探工具就是利用ARP欺騙來(lái)實(shí)現(xiàn)的。ARP欺騙示意圖見(jiàn)下頁(yè)，具體過(guò)程會(huì)在欺騙攻擊章節(jié)講解。本文檔共111頁(yè)；當(dāng)前第46頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202346網(wǎng)絡(luò)入侵與防范講義交換機(jī)路由器Internet攻擊者主機(jī)受害者主機(jī)交換機(jī)路由器Internet攻擊者主機(jī)受害者主機(jī)ARP欺騙本文檔共111頁(yè)；當(dāng)前第47頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202347網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽(tīng)技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介3.2.2共享式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)工具舉例本文檔共111頁(yè)；當(dāng)前第48頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202348網(wǎng)絡(luò)入侵與防范講義3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)工具舉例常用的網(wǎng)絡(luò)監(jiān)聽(tīng)工具Tcpdump/WindumpNgrepEthereal/WiresharkSnifferProNetXray網(wǎng)絡(luò)監(jiān)聽(tīng)工具的主要功能大都相似，我們以Wireshark為例。本文檔共111頁(yè)；當(dāng)前第49頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202349網(wǎng)絡(luò)入侵與防范講義Wireshark簡(jiǎn)介Wireshark是一個(gè)免費(fèi)的開(kāi)源網(wǎng)絡(luò)數(shù)據(jù)包分析工具，可以在Linux、Solaris、Windows等多種平臺(tái)運(yùn)行。它允許用戶(hù)從一個(gè)活動(dòng)的網(wǎng)絡(luò)中捕捉數(shù)據(jù)包并進(jìn)行分析，詳細(xì)探究數(shù)據(jù)包的協(xié)議字段信息和會(huì)話過(guò)程。幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問(wèn)題，幫助網(wǎng)絡(luò)安全工程師檢測(cè)安全隱患，開(kāi)發(fā)人員可以用它來(lái)測(cè)試協(xié)議執(zhí)行情況、學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。具有很好的可擴(kuò)展性，用戶(hù)能自由地增加插件以實(shí)現(xiàn)額外功能。本文檔共111頁(yè)；當(dāng)前第50頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202350網(wǎng)絡(luò)入侵與防范講義Wireshark更名的故事2006年6月8號(hào),Ethereal軟件的創(chuàng)始人GeraldCoombs宣布離開(kāi)NIS公司(Ethereal所屬公司)，正式加入CaceTech。由于Coombs最終沒(méi)能與NIS公司達(dá)成協(xié)議，Coombs想保留Ethereal商標(biāo)權(quán)，因此將Ethereal后續(xù)版本更名為Wireshark，屬于CaceTech公司。Ethereal原網(wǎng)站(/)依舊提供下載服務(wù)。本文檔共111頁(yè)；當(dāng)前第51頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202351網(wǎng)絡(luò)入侵與防范講義如何獲得軟件Ethereal官網(wǎng)（終結(jié)版本0.99.0）：Wireshark官網(wǎng)（最新穩(wěn)定版本1.2.8）：在安裝Wireshark時(shí)，要同時(shí)安裝Winpcap，它是提供Windows系統(tǒng)所需要的封包捕獲驅(qū)動(dòng)程序本文檔共111頁(yè)；當(dāng)前第52頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202352網(wǎng)絡(luò)入侵與防范講義Wireshark的特點(diǎn)支持多種通訊接口（如Ethernet、Token-ring、X.25等）及數(shù)據(jù)包協(xié)議類(lèi)型（如ARP、TCP、UDP等），可以組合TCP上的封包且顯示出以ASCII或是EBCDIC型態(tài)的數(shù)據(jù)（TCPStream），所捕獲的封包可以被儲(chǔ)存。支持CaptureFilter（捕獲前過(guò)濾）和DisplayFilter（捕獲后過(guò)濾）功能幫助用戶(hù)篩選想要的數(shù)據(jù)包。本文檔共111頁(yè)；當(dāng)前第53頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202353網(wǎng)絡(luò)入侵與防范講義在捕獲數(shù)據(jù)包之前設(shè)定。用于設(shè)定捕獲數(shù)據(jù)包時(shí)的過(guò)濾條件，屬于捕獲前過(guò)濾好處:可以讓你選擇要抓取的數(shù)據(jù)包Examples:tcptcporudptcp||udp（此過(guò)濾規(guī)則是上一條的不同寫(xiě)法）Capturefilter本文檔共111頁(yè)；當(dāng)前第54頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202354網(wǎng)絡(luò)入侵與防范講義Displayfilter在捕獲數(shù)據(jù)包結(jié)束后設(shè)定。用來(lái)設(shè)定顯示數(shù)據(jù)包的條件，屬于捕獲后過(guò)濾好處:可以讓你選擇要看的數(shù)據(jù)包Example:同Capturefiltertcp.port==80tcpport80（此過(guò)濾規(guī)則是上一條的不同寫(xiě)法）本文檔共111頁(yè)；當(dāng)前第55頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202355網(wǎng)絡(luò)入侵與防范講義案例一：觀察FTP數(shù)據(jù)流設(shè)置capturefilter，只對(duì)tcp包進(jìn)行監(jiān)測(cè)開(kāi)始抓取數(shù)據(jù)包，同時(shí)局域網(wǎng)內(nèi)有ftp登陸(隔一小段時(shí)間后)停止抓取封包觀察數(shù)據(jù)包的格式內(nèi)容設(shè)置displayfilter，只查看21端口與ftp主機(jī)相關(guān)的數(shù)據(jù)包使用followtcpstream功能重組數(shù)據(jù)包，查看ftp登陸過(guò)程本文檔共111頁(yè)；當(dāng)前第56頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202356網(wǎng)絡(luò)入侵與防范講義設(shè)置Capturefiltertcp本文檔共111頁(yè)；當(dāng)前第57頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202357網(wǎng)絡(luò)入侵與防范講義抓包正在進(jìn)行中，只抓取了TCP包本文檔共111頁(yè)；當(dāng)前第58頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202358網(wǎng)絡(luò)入侵與防范講義抓包結(jié)束，查看封包內(nèi)容控制列封包總覽封包內(nèi)容十六進(jìn)制碼本文檔共111頁(yè)；當(dāng)前第59頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202359網(wǎng)絡(luò)入侵與防范講義設(shè)置DisplayfilterPort21andip.addr本文檔共111頁(yè)；當(dāng)前第60頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202360網(wǎng)絡(luò)入侵與防范講義封包重組選定某一封包內(nèi)容后，執(zhí)行FollowTCPStream，即可對(duì)與被選中封包相關(guān)的所有封包內(nèi)容進(jìn)行重組，可更清楚的看到封包中的Data。ftp登陸過(guò)程本文檔共111頁(yè)；當(dāng)前第61頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202361網(wǎng)絡(luò)入侵與防范講義案例二：監(jiān)聽(tīng)TCP通信過(guò)程TCP通信過(guò)程回顧實(shí)驗(yàn)環(huán)境用Ethereal抓包數(shù)據(jù)包詳細(xì)分析本文檔共111頁(yè)；當(dāng)前第62頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202362網(wǎng)絡(luò)入侵與防范講義TCP通信過(guò)程回顧TCP數(shù)據(jù)報(bào)格式正常TCP通信過(guò)程:建立連接數(shù)據(jù)傳輸斷開(kāi)連接本文檔共111頁(yè)；當(dāng)前第63頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202363網(wǎng)絡(luò)入侵與防范講義TCP數(shù)據(jù)報(bào)格式本文檔共111頁(yè)；當(dāng)前第64頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202364網(wǎng)絡(luò)入侵與防范講義TCP連接建立過(guò)程本文檔共111頁(yè)；當(dāng)前第65頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202365網(wǎng)絡(luò)入侵與防范講義TCP數(shù)據(jù)傳輸過(guò)程TCPPacketEstablishedEstablishedSEQ=1001,ACK=751,dataLen=256Sending1Waiting1SEQ=751,ACK=1257OK1ACK1SEQ=751,ACK=1513OK2ACK2SEQ=1257,ACK=751,dataLen=256Sending2Waiting2…………本文檔共111頁(yè)；當(dāng)前第66頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202366網(wǎng)絡(luò)入侵與防范講義TCP連接斷開(kāi)過(guò)程TCPPacketEstablishedEstablishedSEQ=1513,ACK=751,CTL=FIN|ACKFIN-WAIT-1CLOSE-WAITSEQ=751,ACK=1514,CTL=ACKFIN-WAIT-2CLOSE-WAITSEQ=751,ACK=1514,CTL=FIN|ACKTIME-WAITLAST-ACKSEQ=1514,ACK=752,CTL=ACKTIME-WAITCLOSEDCLOSED本文檔共111頁(yè)；當(dāng)前第67頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202367網(wǎng)絡(luò)入侵與防范講義實(shí)驗(yàn)環(huán)境位于同一局域網(wǎng)內(nèi)的兩臺(tái)主機(jī)，IP分別為：，自己編寫(xiě)了一個(gè)C/S模式的程序，實(shí)現(xiàn)簡(jiǎn)單的TCP數(shù)據(jù)發(fā)送與接收Client運(yùn)行在Server運(yùn)行在本文檔共111頁(yè)；當(dāng)前第68頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202368網(wǎng)絡(luò)入侵與防范講義實(shí)驗(yàn)環(huán)境（2）Client發(fā)送兩次數(shù)據(jù)，內(nèi)容分別為123和456，然后發(fā)送0結(jié)束TCP連接。程序截圖如下?？蛻?hù)端發(fā)送數(shù)據(jù)服務(wù)端接收到數(shù)據(jù)本文檔共111頁(yè)；當(dāng)前第69頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202369網(wǎng)絡(luò)入侵與防范講義捕獲數(shù)據(jù)包在Client發(fā)送數(shù)據(jù)之前，在主機(jī)(Client)上開(kāi)啟Ethereal。在捕獲前不進(jìn)行過(guò)濾，直接捕獲所有數(shù)據(jù)包。當(dāng)Client結(jié)束TCP連接之后，停止捕獲數(shù)據(jù)包。采用捕獲后過(guò)濾的方法，過(guò)濾規(guī)則是

其中，是Server主機(jī)。過(guò)濾后，共得到11個(gè)數(shù)據(jù)包，見(jiàn)下頁(yè)圖。本文檔共111頁(yè)；當(dāng)前第70頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202370網(wǎng)絡(luò)入侵與防范講義本文檔共111頁(yè)；當(dāng)前第71頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202371網(wǎng)絡(luò)入侵與防范講義數(shù)據(jù)包詳細(xì)分析這11個(gè)數(shù)據(jù)包的含義如下：1~3：三次握手，建立連接4~5：第一次發(fā)送數(shù)據(jù)6~7：第二次發(fā)送數(shù)據(jù)8~11：斷開(kāi)連接下面將對(duì)這11個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析。本文檔共111頁(yè)；當(dāng)前第72頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202372網(wǎng)絡(luò)入侵與防范講義1CSSYNSEQ=X+0與TCP報(bào)文格式相對(duì)應(yīng)本文檔共111頁(yè)；當(dāng)前第73頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202373網(wǎng)絡(luò)入侵與防范講義2

SCSYN,ACKSEQ=Y+0ACK=X+1本文檔共111頁(yè)；當(dāng)前第74頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202374網(wǎng)絡(luò)入侵與防范講義3CSACKSEQ=X+1ACK=Y+1三次握手結(jié)束本文檔共111頁(yè)；當(dāng)前第75頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202375網(wǎng)絡(luò)入侵與防范講義4CSPSH,ACKSEQ=X+1,datalength=256,nextseq=257ACK=Y+1數(shù)據(jù)內(nèi)容見(jiàn)下頁(yè)圖本文檔共111頁(yè)；當(dāng)前第76頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202376網(wǎng)絡(luò)入侵與防范講義TCPsegmentdata(256bytes)這是第一次發(fā)送的數(shù)據(jù)123本文檔共111頁(yè)；當(dāng)前第77頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202377網(wǎng)絡(luò)入侵與防范講義5SCACKSEQ=Y+1ACK=X+257第一次傳輸數(shù)據(jù)結(jié)束本文檔共111頁(yè)；當(dāng)前第78頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202378網(wǎng)絡(luò)入侵與防范講義6CSPSH,ACKSEQ=X+257,datalength=256,nextseq=513ACK=Y+1數(shù)據(jù)內(nèi)容見(jiàn)下頁(yè)圖本文檔共111頁(yè)；當(dāng)前第79頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202379網(wǎng)絡(luò)入侵與防范講義TCPsegmentdata(256bytes)這是第二次發(fā)送的數(shù)據(jù)456本文檔共111頁(yè)；當(dāng)前第80頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202380網(wǎng)絡(luò)入侵與防范講義7SCACKSEQ=Y+1ACK=X+513第二次傳輸數(shù)據(jù)結(jié)束本文檔共111頁(yè)；當(dāng)前第81頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202381網(wǎng)絡(luò)入侵與防范講義8CSFIN,ACKSEQ=X+513ACK=Y+1本文檔共111頁(yè)；當(dāng)前第82頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202382網(wǎng)絡(luò)入侵與防范講義9SCACKSEQ=Y+1ACK=X+514本文檔共111頁(yè)；當(dāng)前第83頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202383網(wǎng)絡(luò)入侵與防范講義10SCFIN,ACKSEQ=Y+1ACK=X+514本文檔共111頁(yè)；當(dāng)前第84頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202384網(wǎng)絡(luò)入侵與防范講義11CSACKSEQ=X+514ACK=Y+2TCP連接已經(jīng)斷開(kāi)本文檔共111頁(yè)；當(dāng)前第85頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202385網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過(guò)程設(shè)置網(wǎng)卡如果有多個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡），首先在CaptureOptions中設(shè)置在哪個(gè)網(wǎng)絡(luò)接口上抓包。勾選Capturepacketsinpromiscuousmode選項(xiàng)，將網(wǎng)卡設(shè)置成混雜模式。本文檔共111頁(yè)；當(dāng)前第86頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202386網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過(guò)程設(shè)置過(guò)濾條件：捕獲前過(guò)濾本文檔共111頁(yè)；當(dāng)前第87頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202387網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過(guò)程設(shè)置過(guò)濾條件：捕獲后過(guò)濾如果Filter框背景顯示為綠色，說(shuō)明所設(shè)定的過(guò)濾規(guī)則合乎Wireshark支持的語(yǔ)法規(guī)則。如果Filter框背景顯示為紅色，說(shuō)明所設(shè)定的過(guò)濾規(guī)則不符合語(yǔ)法規(guī)則。本文檔共111頁(yè)；當(dāng)前第88頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202388網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過(guò)程登錄BBS的用戶(hù)名和密碼主機(jī)向服務(wù)器發(fā)送的POST請(qǐng)求本文檔共111頁(yè)；當(dāng)前第89頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202389網(wǎng)絡(luò)入侵與防范講義3.3監(jiān)聽(tīng)的防御3.3.1通用策略

3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)3.3.3交換網(wǎng)絡(luò)下的防監(jiān)聽(tīng)本文檔共111頁(yè)；當(dāng)前第90頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202390網(wǎng)絡(luò)入侵與防范講義3.3.1通用策略由于嗅探器是一種被動(dòng)攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。完全主動(dòng)的解決方案很難找到并且因網(wǎng)絡(luò)類(lèi)型而有一些差異，但我們可以先采用一些被動(dòng)但卻是通用的防御措施。這主要包括采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)加密技術(shù)兩方面。此外要注意重點(diǎn)區(qū)域的安全防范。本文檔共111頁(yè)；當(dāng)前第91頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202391網(wǎng)絡(luò)入侵與防范講義安全的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個(gè)網(wǎng)段的集線器被連接到一個(gè)交換器(Switch)上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽(tīng)器截獲，這樣網(wǎng)絡(luò)的剩余部分（不在同一網(wǎng)段）便被保護(hù)了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過(guò)的：交換機(jī)、路由器、網(wǎng)橋。我們可以通過(guò)靈活的運(yùn)用這些設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)分段。劃分VLAN：使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般可以采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。本文檔共111頁(yè)；當(dāng)前第92頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202392網(wǎng)絡(luò)入侵與防范講義數(shù)據(jù)加密數(shù)據(jù)通道加密：正常的數(shù)據(jù)都是通過(guò)事先建立的通道進(jìn)行傳輸?shù)?，以往許多應(yīng)用協(xié)議中明文傳輸?shù)馁~號(hào)、口令的敏感信息將受到嚴(yán)密保護(hù)。目前的數(shù)據(jù)加密通道方式主要有SSH、SSL(SecureSocketLayer，安全套接字應(yīng)用層)和VPN。數(shù)據(jù)內(nèi)容加密：主要采用的是將目前被證實(shí)的較為可靠的加密機(jī)制對(duì)對(duì)互聯(lián)網(wǎng)上傳輸?shù)泥]件和文件進(jìn)行加密。如PGP等。本文檔共111頁(yè)；當(dāng)前第93頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202393網(wǎng)絡(luò)入侵與防范講義3.3監(jiān)聽(tīng)的防御3.3.1通用策略3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)3.3.3交換網(wǎng)絡(luò)下的防監(jiān)聽(tīng)本文檔共111頁(yè)；當(dāng)前第94頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202394網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)雖然共享式局域網(wǎng)中的嗅探很隱蔽，但也有一些方法來(lái)幫助判斷：檢測(cè)處于混雜模式的網(wǎng)卡網(wǎng)絡(luò)通訊丟包率非常高網(wǎng)絡(luò)帶寬出現(xiàn)反常檢測(cè)技術(shù)網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試ARP檢測(cè)（如AntiSniff工具）本文檔共111頁(yè)；當(dāng)前第95頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202395網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)1.網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試這種檢測(cè)已被證明是最有效的，它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽(tīng)模式的機(jī)器，而不管其操作系統(tǒng)是什么。本文檔共111頁(yè)；當(dāng)前第96頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202396網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)1.網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試測(cè)試原理是處于非監(jiān)聽(tīng)模式的網(wǎng)卡提供了一定的硬件底層過(guò)濾機(jī)制，即目標(biāo)地址為非本地(廣播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。這種情況下驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量對(duì)操作系統(tǒng)的影響很小。而處于混雜模式下的機(jī)器則缺乏底層的過(guò)濾，驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量會(huì)對(duì)該機(jī)器造成較明顯的影響(不同的操作系統(tǒng)/內(nèi)核/用戶(hù)方式會(huì)有不同)。本文檔共111頁(yè)；當(dāng)前第97頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202397網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)1.網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試實(shí)現(xiàn)方法是利用ICMPECHO請(qǐng)求及響應(yīng)計(jì)算出需要檢測(cè)機(jī)器的響應(yīng)時(shí)間基準(zhǔn)和平均值。在得到這個(gè)數(shù)據(jù)后，立刻向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，與此同時(shí)再次發(fā)送測(cè)試數(shù)據(jù)包以確定平均響應(yīng)時(shí)間的變化值。非監(jiān)聽(tīng)模式的機(jī)器的響應(yīng)時(shí)間變化量會(huì)很小，而監(jiān)聽(tīng)模式的機(jī)器的響應(yīng)時(shí)間變化量則通常會(huì)有1～4個(gè)數(shù)量級(jí)。本文檔共111頁(yè)；當(dāng)前第98頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202398網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)2.ARP檢測(cè)地址解析協(xié)議(AddressResolutionProtocol,ARP)請(qǐng)求報(bào)文用來(lái)查詢(xún)硬件地址到IP地址的解析。適用于所有基于以太網(wǎng)的IPV4協(xié)議。我們可以使用這類(lèi)分組來(lái)校驗(yàn)網(wǎng)卡是否被設(shè)置為混雜模式。本文檔共111頁(yè)；當(dāng)前第99頁(yè)；編輯于星期三\15點(diǎn)10分6/20/202399網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)2.ARP檢測(cè) 在混雜模式下，網(wǎng)卡不會(huì)阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會(huì)返回包含錯(cuò)誤信息的報(bào)文。 基于這種機(jī)制，我們可以假造一些ARP請(qǐng)求報(bào)文發(fā)送到網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)，沒(méi)有處于混雜模式的網(wǎng)卡會(huì)阻塞這些報(bào)文，但是如果某些節(jié)點(diǎn)有回應(yīng)，就表示這些節(jié)點(diǎn)的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點(diǎn)就可能運(yùn)行嗅探器程序。本文檔共111頁(yè)；當(dāng)前第100頁(yè)；編輯于星期三\15點(diǎn)10分6/20/2023100網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)ARP檢測(cè)原理例如：網(wǎng)絡(luò)上一臺(tái)IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺(tái)PC(X)需要向網(wǎng)絡(luò)上另外一臺(tái)IP地址為的PC(Y)發(fā)送消息。本文檔共111頁(yè)；當(dāng)前第101頁(yè)；編輯于星期三\15點(diǎn)10分6/20/2023101網(wǎng)絡(luò)入侵與防范講義集線器PC（X）PC（Y）IP：MAC：00-00-00-00-00-01IP：本文檔共111頁(yè)；當(dāng)前第102頁(yè)；編輯于星期三\15點(diǎn)10分6/20/2023102網(wǎng)絡(luò)入侵與防范講義ARP檢測(cè)原理(2)在發(fā)送之前，X首先發(fā)出一個(gè)ARP請(qǐng)求包查詢(xún)對(duì)應(yīng)的