收藏
下载资源

网络监听及防御技术

上传人:我** 文档编号:116912173 上传时间:2019-11-17 格式:PPT 页数:112 大小:1.30MB
返回 下载 相关 举报
网络监听及防御技术_第1页
第1页 / 共112页
网络监听及防御技术_第2页
第2页 / 共112页
网络监听及防御技术_第3页
第3页 / 共112页
网络监听及防御技术_第4页
第4页 / 共112页
网络监听及防御技术_第5页
第5页 / 共112页
点击查看更多>>
资源描述

《网络监听及防御技术》由会员分享,可在线阅读,更多相关《网络监听及防御技术(112页珍藏版)》请在金锄头文库上搜索。

1、第3章 网络监听及防御技术 张玉清 国家计算机网络入侵防范中心 *1网络入侵与防范讲义 内容介绍 o3.1 网络监听概述 o3.2 监听技术 o3.3 监听的防御 o3.4 小结 o3.1 网络监听概述 o3.2 监听技术 o3.3 监听的防御 o3.4 小结 Date2网络入侵与防范讲义 3.1 网络监听概述 o3.1.1 基础知识与实例 o3.1.2 网络监听技术的发展情况 Date3网络入侵与防范讲义 Date4网络入侵与防范讲义 3.1.1 基础知识与实例 o1网络监听的概念 n网络监听技术又叫做网络嗅探技术(Network Sniffing),顾名思义,这是一种在他方未察 觉的情况下

2、捕获其通信报文或通信内容的技术 。 n在网络安全领域,网络监听技术对于网络攻击 与防范双方都有着重要的意义,是一把双刃剑 。对网络管理员来说,它是了解网络运行状况 的有力助手,对黑客而言,它是有效收集信息 的手段。 n网络监听技术的能力范围目前只限于局域网。 Date5网络入侵与防范讲义 3.1.1 基础知识与实例 o2相关网络基础 网络传输技术:广播式和点到点。 n广播式网络传输技术:仅有一条通信信道,由 网络上的所有机器共享。信道上传输的分组可 以被任何机器发送并被其他所有的机器接收。 n点到点网络传输技术:点到点网络由一对对机 器之间的多条连接构成,分组的传输是通过这 些连接直接发往目标

3、机器,因此不存在发送分 组被多方接收的问题。 Date6网络入侵与防范讲义 3.1.1 基础知识与实例 o3网卡的四种工作模式 (1)广播模式:该模式下的网卡能够接收网络中的广 播信息。 (2)组播模式:该模式下的网卡能够接受组播数据。 (3)直接模式:在这种模式下,只有匹配目的MAC 地址的网卡才能接收该数据帧。 (4)混杂模式:(Promiscuous Mode)在这种 模式下,网卡能够接受一切接收到的数据帧,而无 论其目的MAC地址是什么。 Date7网络入侵与防范讲义 3.1.1 基础知识与实例 o4 实例:用Ethereal嗅探sina邮箱密码 U=hack_tesing Psw=h

4、acktesting Date8网络入侵与防范讲义 3.1.1 基础知识与实例 o4 实例:上届 学生实验编写 的sniffer, 嗅探FTP用户 名和密码 USER test PASS test FTP Server Version is Serv-U V6.3 Logged in ok Date9网络入侵与防范讲义 3.1 网络监听概述 o3.1.1 基础知识与实例 o3.1.2 网络监听技术的发展情况 Date10网络入侵与防范讲义 3.1.2 网络监听技术的发展情况 o1网络监听(Sniffer)的发展历史 Sniffer这个名称最早是一种网络监听 工具的名称,后来其也就成为网络监听

5、的代名词。在最初的时候,它是作为网 络管理员检测网络通信的一种工具。 o网络监听器分软、硬两种 Date11网络入侵与防范讲义 3.1.2 网络监听技术的发展情况 o1网络监听(Sniffer)的发展历史 n软件嗅探器便宜易于使用,缺点是功能往 往有限,可能无法抓取网络上所有的传输 数据(比如碎片),或效率容易受限; n硬件嗅探器通常称为协议分析仪,它的优 点恰恰是软件嗅探器所欠缺的,处理速度 很高,但是价格昂贵。 n目前主要使用的嗅探器是软件的。 Date12网络入侵与防范讲义 3.1.2 网络监听技术的发展情况 o2Sniffer软件的主要工作机制 o驱动程序支持:需要一个直接与网卡驱动程

6、序接 口的驱动模块,作为网卡驱动与上层应用的“中间 人”,它将网卡设置成混杂模式,捕获数据包,并 从上层接收各种抓包请求。 o分组捕获过滤机制:对来自网卡驱动程序的数据 帧进行过滤,最终将符合要求的数据交给上层。 链路层的网卡驱动程序上传的数据帧就有了 两个去处:一个是正常的协议栈,另一个就是分 组捕获过滤模块,对于非本地的数据包,前者会 丢弃(通过比较目的IP地址),而后者则会根据 上层应用的要求来决定上传还是丢弃。 Date13网络入侵与防范讲义 3.1.2 网络监听技术的发展情况 o2Sniffer软件的主要工作机制 n许多操作系统都提供这样的“中间人”机制,即分组捕 获机制。在UNIX

7、类型的操作系统中,主要有3种: BSD系统中的BPF(Berkeley Packet Filter)、 SVR4中的DLPI(Date Link Interface)和 Linux中的SOCK_PACKET类型套接字。在 Windows平台上主要有NPF过滤机制。 n目前大部分Sniffer软件都是基于上述机制建立起来 的。如Tcpdump、Wireshark等。 Date14网络入侵与防范讲义 3.1.2 网络监听技术的发展情况 o3网络监听的双刃性 现在的监听技术发展比较成熟,可以协助 网络管理员测试网络数据通信流量、实时监 控网络状况。 然而事情往往都有两面性,Sniffer的隐 蔽性非

8、常好,它只是“被动”的接收数据,所 以在传输数据的过程中,根本无法察觉到有 人在监听。网络监听给网络维护提供便利同 时,也给网络安全带来了很大隐患。 Date15网络入侵与防范讲义 3.2 监听技术 o3.2.1 局域网中的硬件设备简介 o3.2.2 共享式局域网的监听技术 o3.2.3 交换式局域网的监听技术 o3.2.4 网络监听工具举例 Date16网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介 o1集线器 (1) 集线器的原理: 集线器(又称为Hub)是一种重要的网络部 件,主要在局域网中用于将多个客户机和服务器 连接到中央区的网络上。 集线器工作在局域网的物理环境下,其主要

9、应用在OSI参考模型第一层,属于物理层设备。 它的内部采取电器互连的方式,当维护LAN的 环境是逻辑总线或环型结构时,完全可以用集线 器建立一个物理上的星型或树型网络结构。 Date17网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介 o1集线器 (2) 集线器的工作特点 依据IEEE 802.3协议,集线器功能是随机 选出某一端口的设备,并让它独占全部带宽,与 集线器的上联设备(交换机、路由器或服务器等) 进行通信。集线器在工作时具有以下两个特点: n首先是集线器只是一个多端口的信号放大设备 ; n其次集线器只与它的上联设备(如上层Hub、 交换机或服务器)进行通信,同层的各端口之间不

10、会直 接进行通信,而是通过上联设备再将信息广播到所有 端口上。 Date18网络入侵与防范讲义 D-LINK DES-1024D 24PORT Date19网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介 o1集线器 (3) 用集线器组建的局域网示意图 Date20网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介 o2交换机 (1) 交换机的原理: 交换机是一种网络开关(Switch),也称交换 器,由于和电话交换机对出入线的选择有相似的 原理,因此被人称为交换机。 交换机在局域网的环境下,工作在比集线器更 高一层链路层上。交换机被定义成一个能接收发 来的信息帧,加以暂时存储,然后

11、发到另一端的 网络部件,其本质上就是具有流量控制能力的多 端口网桥。 Date21网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介 o2交换机 (2) 交换机的工作特点 n把每个端口所连接的网络分割为独立的 LAN,每个LAN成为一个独立的冲突域。 n每个端口都提供专用的带宽。这是交换 机与集线器的本质区别,集线器不管有多少 端口,都是共享其全部带宽。 n转发机制。交换机维护有每个端口对应 的地址表,其中保存与该端口连接的各个主 机的MAC地址。 Date22网络入侵与防范讲义 CISCO WS-C2950-24交换机 Date23网络入侵与防范讲义 3.2.1 局域网中的硬件设备简介

12、o2交换机 (2) 用交换机组建的局域网示意图 Date24网络入侵与防范讲义 3.2 监听技术 o3.2.1 局域网中的硬件设备简介 o3.2.2 共享式局域网的监听技术 o3.2.3 交换式局域网的监听技术 o3.2.4 网络监听工具举例 Date25网络入侵与防范讲义 什么是共享式局域网 o共享式局域网就是使用集线器或共用一条总线的局 域网,它采用了载波检测多路侦听(Carries Sense Multiple Access with Collision Detection,简称CSMA/CD)机制来进行传输 控制。 o共享式局域网是基于广播的方式来发送数据的,因 为集线器不能识别帧,所

13、以它就不知道一个端口收 到的帧应该转发到哪个端口,它只好把帧发送到除 源端口以外的所有端口,这样网络上所有的主机都 可以收到这些帧。 Date26网络入侵与防范讲义 共享式局域网的监听原理 o在正常的情况下,网卡应该工作在广播模式 、直接模式,一个网络接口(网卡)应该只 响应这样的两种数据帧: n与自己的MAC地址相匹配的数据帧(目的地址 为单个主机的MAC地址)。 n发向所有机器的广播数据帧(目的地址为 0xFFFFFFFFFF)。 Date27网络入侵与防范讲义 共享式局域网的监听的工作原理(2) o但如果共享式局域网中的一台主机的网卡被 设置成混杂模式状态的话,那么,对于这台 主机的网络

14、接口而言,任何在这个局域网内 传输的信息都是可以被听到的。主机的这种 状态也就是监听模式。 o处于监听模式下的主机可以监听到同一个网 段下的其他主机发送信息的数据包。 Date28网络入侵与防范讲义 共享式局域网的监听实现方法 o在共享式局域网中,集线器会广播所有 数据,这时,如果局域网中一台主机将 网卡设置成混杂模式,那么它就可以接 收到该局域网中的所有数据了。 o网卡在混杂模式工作的情况下,所有流 经网卡的数据帧都会被网卡驱动程序上 传给网络层。 o共享式局域网监听示意图见下页。 Date29网络入侵与防范讲义 集线器 路由器 Int ern et 攻击者主机受害者主机 192.168.1

15、.2192.168.1.3 其它主机 192.168.1.4 Date30网络入侵与防范讲义 共享式局域网的监听实现方法(2) o正常工作时,应用程 序只能接收到以本主 机为目标主机的数据 包,其他数据包过滤 后被丢弃不做处理。 o该过滤机制可以作用 在链路层、网络层和 传输层这几个层次, 工作流程如图所示: Date31网络入侵与防范讲义 共享式局域网的监听实现方法(3) o链路层过滤:判断数据包的目的MAC地 址。 o网络层过滤:判断数据包的目的IP地址 。 o传输层过滤:判断对应的目的端口是否 在本机已经打开。 o因而,如果没有一个特定的机制,上层 应用也无法抓到本不属于自己的“数据包

16、”。 Date32网络入侵与防范讲义 共享式局域网的监听实现方法(4) o需要一个直接与网卡驱动程序接口的驱动模 块,它将网卡设置成混杂模式,并从监听软 件接收下达的各种抓包请求,对来自网卡驱 动程序的数据帧进行过滤,最终将符合监听 软件要求的数据返回给监听软件。 Date33网络入侵与防范讲义 共享式局域网的监听实现方法(5) o有了驱动模块,链路层的 网卡驱动程序上传的数据 帧就有了两个去处:一个 是正常的协议栈,另一个 就是分组捕获即过滤模块 。 o对于非本地的数据包,前 者会丢弃(通过比较目的 IP地址),而后者则会根 据上层应用的要求来决定 上传还是丢弃,如图所示 。 Date34网络入侵与防范讲义 共享式局域网的监听实现方法(6) o在实际应用中,监听时存在不需要的数据 ,严重影响了系统工作效率。网络监听模 块过滤机制的效率是该网络监听的关键。 o信息的过滤包括以下几种:站过滤,协议 过滤,服务过滤,通用过滤。 o同时根据过滤的时间,可以分为两种过滤 方式:捕获前过滤、捕获后过滤。 Date35网络入侵与防范讲义 相关开发库 (1) 基

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号