《網(wǎng)絡(luò)安全技術(shù)原理與實(shí)踐》課件第三章 網(wǎng)絡(luò)嗅探與協(xié)議分析技術(shù)原理及實(shí)踐_第1頁(yè)
《網(wǎng)絡(luò)安全技術(shù)原理與實(shí)踐》課件第三章 網(wǎng)絡(luò)嗅探與協(xié)議分析技術(shù)原理及實(shí)踐_第2頁(yè)
《網(wǎng)絡(luò)安全技術(shù)原理與實(shí)踐》課件第三章 網(wǎng)絡(luò)嗅探與協(xié)議分析技術(shù)原理及實(shí)踐_第3頁(yè)
《網(wǎng)絡(luò)安全技術(shù)原理與實(shí)踐》課件第三章 網(wǎng)絡(luò)嗅探與協(xié)議分析技術(shù)原理及實(shí)踐_第4頁(yè)
《網(wǎng)絡(luò)安全技術(shù)原理與實(shí)踐》課件第三章 網(wǎng)絡(luò)嗅探與協(xié)議分析技術(shù)原理及實(shí)踐_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

3.1網(wǎng)絡(luò)嗅探技術(shù)原理

網(wǎng)絡(luò)嗅探是一種黑客常用的竊聽技術(shù),可以理解為一個(gè)安裝在計(jì)算機(jī)上的竊聽設(shè)備,可以截獲在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù),監(jiān)聽數(shù)據(jù)流中的私密信息。3.1.1嗅探的基本原理(1)目的MAC地址為本機(jī)硬件地址的數(shù)據(jù)幀;(2)向所有設(shè)備發(fā)送的廣播數(shù)據(jù)幀。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材3.1.2共享式網(wǎng)絡(luò)與交換式網(wǎng)絡(luò)中的嗅探網(wǎng)卡一般有四種接收數(shù)據(jù)幀的狀態(tài):(1)單一模式(Unicast):是指網(wǎng)卡在工作時(shí),只接收數(shù)據(jù)幀中目的地址是本機(jī)MAC地址的數(shù)據(jù)幀。(2)廣播模式(Broadcast):該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。(3)組播模式(Multicast):設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。(4)混雜模式(Promiscuous):在這種模式下的網(wǎng)卡能夠接收一切通過(guò)它的數(shù)據(jù),而不管該數(shù)據(jù)是否是傳給它的。

在以太網(wǎng)中根據(jù)部署方式分為共享式網(wǎng)絡(luò)與交換式網(wǎng)絡(luò)。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材共享式網(wǎng)絡(luò)工作原理交換式網(wǎng)絡(luò)工作原理(1)MAC泛洪攻擊如果向交換機(jī)發(fā)送大量虛構(gòu)MAC地址和IP地址的數(shù)據(jù)包,有些交換機(jī)在應(yīng)接不暇的情況下,就會(huì)進(jìn)入普通工作模式,就像一臺(tái)普通的Hub那樣只是簡(jiǎn)單的向所有端口廣播數(shù)據(jù)了,嗅探者正好借此機(jī)會(huì)來(lái)達(dá)到竊聽的目的。(2)MAC欺騙MAC欺騙就是修改本地的MAC地址,使其與目標(biāo)主機(jī)的MAC地址相同。(3)ARP欺騙ARP欺騙是利用IP地址與MAC地址之間進(jìn)行轉(zhuǎn)換時(shí)的協(xié)議漏洞,達(dá)到欺騙目的。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材3.2網(wǎng)絡(luò)嗅探分析軟件在UNIX類系統(tǒng)下,主要有:(1)Libpcap抓包開發(fā)庫(kù)(2)snifift(3)Dsniff(4)Tcpdump嗅探器軟件高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材Libpcap抓包開發(fā)庫(kù)Libpcap是UNIX操作系統(tǒng)從網(wǎng)絡(luò)捕獲網(wǎng)絡(luò)數(shù)據(jù)包的最常用工具,是與系統(tǒng)獨(dú)立的API接口。它廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)收集、安全監(jiān)控等軟件的開發(fā)。另外,它有一個(gè)核心組件BPF(BerkeleyPacketFilter),是一個(gè)過(guò)濾器并且效率很高。它是由如下的幾個(gè)部分構(gòu)成的:NetworkTap,它負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序中接收所有的數(shù)據(jù)包并轉(zhuǎn)發(fā)到監(jiān)聽程序,PacketFilter過(guò)濾器來(lái)決定是否接收該數(shù)據(jù)包以及該復(fù)制數(shù)據(jù)包的哪些部分,KernelBuffer保存過(guò)濾器送過(guò)來(lái)的數(shù)據(jù)包,Userbuffer是用戶態(tài)上的數(shù)據(jù)包緩沖區(qū)。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材snifift

一個(gè)有名的網(wǎng)絡(luò)端口探測(cè)器,運(yùn)行于Solaris和Linux等平臺(tái)??梢赃x擇源目標(biāo)地址或地址集合,用戶可以配置它在后臺(tái)運(yùn)行以檢測(cè)在哪些TCP/IP端口上用戶的輸入、輸出信息。Dsniff

分為Unix平臺(tái)下的Dsniff和Windows平臺(tái)下的DsniffforWin32,主要用來(lái)進(jìn)行網(wǎng)絡(luò)滲透測(cè)試,它有一套靈活好用的小工具,可以用來(lái)截取用戶口令等敏感資料。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材Tcpdump嗅探器軟件

Tcpdump應(yīng)用于Unix系統(tǒng)下,提供命令行模式,是一種免費(fèi)的網(wǎng)絡(luò)分析工具。該工具提供了源代碼,公開了接口,具備很強(qiáng)的可擴(kuò)展性。Tcpdump存在于基本的FreeBSD系統(tǒng)中,由于它需要將網(wǎng)絡(luò)接口設(shè)置為混雜模式,普通用戶不能正常執(zhí)行,但具備root權(quán)限的用戶可以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息。Windows系統(tǒng)下,主要可以使用WindowsSDK、套接字等,但是這些方法是與操作系統(tǒng)類型和版本密切相關(guān),導(dǎo)致這些方法開發(fā)的軟件通用性不強(qiáng),每種方式都有其特定的優(yōu)缺點(diǎn)。實(shí)際上很多產(chǎn)品都是結(jié)合了幾種不同的技術(shù)從多個(gè)層面上來(lái)進(jìn)行Windows下網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。主要有以下幾種方式:(1)使用外界提供的驅(qū)動(dòng)捕獲程序。如WinPcap驅(qū)動(dòng)。(2)使用或自行編寫中間層驅(qū)動(dòng)程序。(3)直接調(diào)用NDIS驅(qū)動(dòng)庫(kù)函數(shù)。(4)使用原始套接字。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材3.3WinPcap分析

1)NPF(核心部分):NetgroupPacketFilter,即為協(xié)議的網(wǎng)絡(luò)驅(qū)動(dòng)程序,通過(guò)調(diào)用NDIS為各操作系統(tǒng)提供截獲以及發(fā)送原始包功能。一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件,用于過(guò)濾數(shù)據(jù)包并將原始數(shù)據(jù)包傳遞給用戶。2)Wpcap.dll:是一個(gè)包含了公共WinPcapAPI的動(dòng)態(tài)鏈接庫(kù),它輸出了一組依賴于系統(tǒng)的函數(shù),用來(lái)捕獲和分析網(wǎng)絡(luò)流量。3)Packet.dll(底層動(dòng)態(tài)鏈接部分)。包括訪問(wèn)BPF的一個(gè)應(yīng)用接口和符合高層函數(shù)庫(kù)接口的函數(shù)庫(kù)。不同的操作系統(tǒng)的內(nèi)核和用戶模塊都不盡相同,該部分則針對(duì)于這一現(xiàn)象為平臺(tái)提供了一個(gè)通用的接口,從而節(jié)省了再次進(jìn)行編譯的時(shí)間。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材WinPcap框架結(jié)構(gòu)圖高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材WinPcap常用數(shù)據(jù)結(jié)構(gòu):1)

typedef

struct

_ADAPTER

ADAPTER//描述一個(gè)網(wǎng)絡(luò)適配器;

2)

typedef

struct

_PACKET

PACKET//描述一組網(wǎng)絡(luò)數(shù)據(jù)報(bào)的結(jié)構(gòu);

3)

typedef

struct

NetType

NetType//描述網(wǎng)絡(luò)類型的數(shù)據(jù)結(jié)構(gòu);

4)

typedef

struct

npf_if_addr

npf_if_addr

//描述一個(gè)網(wǎng)絡(luò)適配器的ip地址;

5)

struct

bpf_hdr

//數(shù)據(jù)報(bào)頭部;

6)

struct

bpf_stat

//當(dāng)前捕獲數(shù)據(jù)報(bào)的統(tǒng)計(jì)信息。WinPcap主要函數(shù):1)int

pcap_findalldevs(pcap_if_t

**

alldevsp,char

*

errbuf)功能:列出當(dāng)前所有可用的網(wǎng)絡(luò)設(shè)備(網(wǎng)卡)2)pcap_t

*pcap_open_live(

char

*device,intsnaplen,int

promisc,intto_ms,

char

*errbuf

);

獲取一個(gè)包捕捉句柄,類似文件操作函數(shù)使用的文件句柄。

3)void

pcap_close

(pcap_t*p)

該函數(shù)用于關(guān)閉pcap_open_live()獲取的包捕捉句柄,釋放相關(guān)資源。

4)int

pcap_lookupnet(char*device,bpf_u_int32*netp,pf_u_int32*maskp,

char

*

errbuf

);

該函數(shù)用于獲取指定網(wǎng)絡(luò)接口的IP地址、子網(wǎng)掩碼。

高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材5)int

pcap_compile(

pcap_t

*p,

struct

bpf_program

*

fp,

char

*

str,int

optimize,bpf_u_int32

netmask

);

該函數(shù)用于解析過(guò)濾規(guī)則串,填寫bpf_program結(jié)構(gòu)。str指向過(guò)濾規(guī)則串。

6)int

pcap_setfilter(

pcap_t

*

p,structbpf_program*fp);

該函數(shù)用于設(shè)置pcap_compile()解析完畢的過(guò)濾規(guī)則,完全可以自己提供過(guò)濾規(guī)則,無(wú)須pcap_compile()介入

7)intpcap_dispatch(pcap_t

*p,int

cnt,pcap_handlercallback,u_char*user);

捕捉報(bào)文以及分發(fā)報(bào)文到預(yù)先指定好的處理函數(shù)(回調(diào)函數(shù))。8)int

pcap_loop(pcap_t

*p,intcnt,pcap_handlercallback,u_char*user);大多數(shù)Windows網(wǎng)絡(luò)應(yīng)用程序是通過(guò)WinsockAPI(Windowssocket)這樣的高級(jí)編程接口來(lái)訪問(wèn)網(wǎng)絡(luò)的。3.4網(wǎng)絡(luò)嗅探的檢測(cè)與防范高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材網(wǎng)絡(luò)嗅探的檢測(cè)方法主要有:(1)被動(dòng)定位ARP攻擊源。(2)觀測(cè)被檢測(cè)主機(jī)的響應(yīng)時(shí)間。針對(duì)網(wǎng)絡(luò)嗅探,我們可以采用以下防御方法:(1)雙向綁定IP-MAC地址。(2)設(shè)置靜態(tài)MAC-IP表。(3)加密所需傳輸?shù)拿舾行畔ⅰ?.5wireshark的安裝及使用(1)wireshark的安裝:a)下載安裝WinPcap,下載地址:b)下載安裝wireshark,下載地址:/download.htmlc)使用wireshark高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材(2)Capture選項(xiàng)

要想捕獲到需要的數(shù)據(jù)包,首先要從Capture(捕獲)菜單中選擇“CaptureOptions”(捕獲選項(xiàng)),并用CaptureOptions對(duì)話框來(lái)指定捕獲的條件。(3)開始抓包在上圖窗口中,點(diǎn)擊按鈕Start,Ethereal就開始抓包,彈出窗口如圖所示。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材(4)查看數(shù)據(jù)包點(diǎn)擊“stop”按鈕,停止捕獲后,會(huì)彈出下面的窗體,顯示了剛才捕獲到的包,如圖所示。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材(5)過(guò)濾數(shù)據(jù)包

該過(guò)濾工具欄可以根據(jù)協(xié)議、預(yù)設(shè)字段、字段值等類型選擇感興趣數(shù)據(jù)包展示,比如,我們只看嗅探到的TCP報(bào)文,則在框內(nèi)輸入tcp回車,過(guò)濾后的展示如圖所示:高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材實(shí)驗(yàn)任務(wù)一:捕獲ping命令打開命令提示符窗口,使用ping命令對(duì)百度首頁(yè)發(fā)送ICMP包,使用winshark軟件對(duì)其進(jìn)行抓取,示例結(jié)果如圖所示。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材實(shí)驗(yàn)任務(wù)二:捕獲明文口令(1)先打開winshark進(jìn)行對(duì)HTTP過(guò)濾填寫,開始抓包;(2)打開某大學(xué)圖書館,并輸入用戶名、密碼進(jìn)行登陸;(3)結(jié)束抓包,示例結(jié)果如圖所示。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材實(shí)驗(yàn)任務(wù)三:分析HTTP三次握手協(xié)議TCP三次握手的過(guò)程第一次握手:建立連接時(shí),客戶端發(fā)送syn包(syn=j)到服務(wù)器,并進(jìn)入SYN_SENT狀態(tài),等待服務(wù)器確認(rèn);SYN:同步序列編號(hào)(SynchronizeSequenceNumbers)。第二次握手:服務(wù)器收到syn包,必須確認(rèn)客戶的SYN(ack=j+1),同時(shí)自己也發(fā)送一個(gè)SYN包(syn=k),即

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論