《网络监听技术的研究与应用》由会员分享,可在线阅读,更多相关《网络监听技术的研究与应用(23页珍藏版)》请在金锄头文库上搜索。
1、个人收集整理 勿做商业用途 题目:网络监听技术的研究与应用 姓名:张明哲 指导老师:杨英光 班级:计算机网络技术目 录目 录2引 言3第一章 网络监听软硬件现状的简介51。1研究现状51.2 硬件数据截取工具介绍51。3 综述5第二章 网络监听相关技术综述72.1 OSI 模型72。2 TCP/IP 协议体系结构82。3 IP 地址9第三章 网络监听技术概述113.1 网络监听概念113。2 网络监听的可能性113.3 以太网的网络数据监听113。4 共享式局域网中实现网络监听123。5 交换式局域网中实现网络监听123。6 网络数据过滤机制14第四章 Windows 平台下的数据包截获的方法
2、介绍174。1 Winpcap技术介绍174。2 WinPcap的体系结构174。3 WinPcap的功能与新特性21总 结22致 谢23参考文献24引 言由于互联网的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的网络安全已成了网络发展中最重要的事情。遗憾的是,当网络给人们提供便利的同时,网络技术的发展方向似乎都趋向于网络的便利性和实用性,因而留下了太多的技术、管理和基础设施的漏洞.正是由于网络本身存在的这些缺陷
3、和漏洞,网络在进行信息和数据传送时,可能会因为网络传输介质带宽的限制而出现数据冲突,传输帧中的地址不匹配或是因为网络硬件设备的错误,导致传输的信息出错或丢失;一些网络黑客和非法用户利用这些缺陷向网络发送可疑或不安全的信息,肆意盗窃和破坏网络数据。网络的维护和安全的要求也变得越来越高。网络监听技术的起源是网络管理员为了诊断网络故障的需要,而监听网络中传输的数据信息。一般的做法是在一定的网段上安装网络监视系统或网络分析仪来获取网络上的数据包进行分析,以便找出错误的原因,解决网络的故障。一些网络管理人员也利用截取网络中传输的数据监听网络数据流量,来实现一定的流量计费功能。目前,很多黑客也利用网络监听
4、来获取一些明文传送的信息,达到窃取信息的目的。在这样的一个迫切需要网络安全的信息社会里,积极的研究和探索网络安全问题是一件非常有意义的事情,通过研究网络监听系统来进行具体的网络安全研究工作是非常必要的。第一章 网络监听软硬件现状的简介1.1研究现状从早期的计算机网络出现,1969 年美国国防部高级研究计划局建成的ARPANET 实验网开始,计算机网络在各发达国家迅速蓬勃发展,到今天复杂的Intranet 和Internet 网络,经历了不同的时期.伴随着网络的出现,对网络数据截取的工具,像sniffer 也就随之而产生了。到目前为止,可以进行网络数据监听的工具从软件到硬件,从有线网到无线网,可
5、以说是应有尽有。有软件实现的便携式终端,也有硬件实现的网络分析仪。下面分别介绍。1.1.1 软件数据截取工具介绍目前,针对各种不同版本的操作系统都有不同版本的数据监听软件,如 MS-DOS平台上Gobblor、Window9x 平台的NetXray、Win2000/xp 平台下得Sniffer Pro、Novell平台的EthLoad 以及UNIX 平台Netman 和Sunsniff 等等。1.2 硬件数据截取工具介绍以上介绍的均是由单纯的软件实现的 sniffer,其功能相对硬件来说还是较为简单的。下面将介绍相应的由硬件实现的sniffer。硬件的sniffer 又称为网络分析仪(协议分析
6、仪).目前的网络分析仪的技术已经非常的成熟,产品也非常的多样。各种产品的功能会略有差异,有的只能针对一种协议,有的可以分析多种协议。一般的情况下,大型的企业网络都会使用软硬件结合的网络分析仪。如:1)安捷伦网络分析仪系统,2)Fluke Optiview 综合网络协议分析仪等。1.3 综述软件实现的 Sniffer 工具优点是:物美价廉(甚至可以使用共享软件),且易于学习使用,同时对硬件的要求不高,也易于交流数据;缺点是:无法抓获网络上所有的传输信息,比如碎片、short event 等等,某些情况下就无法真正了解网络的故障和运行情况.但是,它可以和其他的软件配合使用一起工作,可以起到维护网络
7、稳定和安全的作用.硬件实现的 Sniffer 通常称为网络协议分析仪。它的功能比较齐全,可以对各种的网络环境进行网络数据包的检测和监听,可以进行详细的网络故障分析,现在新出现的分布式网络分析仪和无线网络分析仪使其在维护网络稳定和网络安全方面更加游刃有余.但是,硬件的网络分析仪的缺点是:价格昂贵,一般功能的网络分析仪的价钱都可以达到¥50,000,功能齐全的就更加昂贵.而且体积比较大,不容易随身携带,一般硬件的网络分析仪都固定在某一固定的网络中。根据各自的特点,一般在一些骨干网中安置硬件的网络协议分析仪,而在规模相对小一些的局域网中就使用软件实现的Sniffer. 第二章 网络监听相关技术综述2
8、。1 OSI 模型在 20 世纪80 年代早期,ISO 开始致力于制定一套普遍适用的规范集合,以使得全球范围的计算机平台可进行开放式通信.ISO 创建了一个有助于开发和理解计算机的通信模型,即开放系统互连OSI(模型)。OSI 模型将网络结构划分为七层:即物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。每一层均有自己的一套功能集,并与紧邻的上层和下层交互作用.在顶层,应用层与用户使用的软件(如字处理程序或电子表格程序)进行交互。在OSI 模型的底端是携带信号的网络电缆和连接器。总的说来,在顶端与底端之间的每一层均能确保数据以一种可读、无错、排序正确的格式被发送.图2。1 OSI 七
9、层模型(1)物理层:物理层是O S I 模型的最低层或第一层,该层包括物理联网媒介,如电缆连接器。物理层的协议产生并检测电压以便发送和接收携带数据的信号。在你的桌面P C 上插入网络接口卡,你就建立了计算机连网的基础。换言之,你提供了一个物理层。尽管物理层不提供纠错服务,但它能够设定数据传输速率并监测数据出错率。(2)数据链路层:数据链路层是O S I 模型的第二层,它控制网络层与物理层之间的通信。它的主要功能是将网络层接收到的数据分割成特定的可被物理层传输的帧。帧是用来移动数据的结构包,它不仅包括原始(未加工)数据,或称“有效荷载”,还包括发送方和接收方的网络地址以及纠错和控制信息。其中的地
10、址确定了帧将发送到何处,而纠错和控制信息则确保帧无差错到达。(3)网络层:即O S I 模型的第三层,其主要功能是将网络地址翻译成对应的物理地址,并决定如何将数据从发送方路由到接收方。网络层通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中节点到另一个网络中节点的最佳路径。由于网络层处理路由,而路由器因为连接网络各段,并智能指导数据传送,因此属于网络层。(4)传输层:传输层主要负责确保数据可靠、顺序、无错地从点传输到点(、点可能在相同的网络段也可能不在相同的网络段上).因为如果没有传输层,数据将不能被接受方验证或解释,所以,传输层常被认为是O S I 模型中最重
11、要的一层。传输协议同时进行流量控制或是基于接收方可接收数据的快慢程度规定适当的发送速率。除此之外,传输层按照网络能处理的最大尺寸将较长的数据包进行强制分割。(5)会话层:会话层负责在网络中的两节点之间建立和维持通信。会话层的功能包括:建立通信链接,保持会话过程通信链接的畅通,同步两个节点之间的对话,决定通信是否被中断以及通信中断时决定从何处重新发送。(6)表示层:表示层如同应用程序和网络之间的翻译官,在表示层,数据将按照网络能理解的方案进行格式化;这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密与加密,除此之外,表示层协议还对图片和文件格式信息进行解码和编码。(7)应用层:O S
12、 I 模型的顶端也即第七层是应用层。应用层负责对软件提供接口以使程序能使用网络服务。应用层提供的服务包括文件传输、文件管理以及电子邮件的信息处理。2.2 TCP/IP 协议体系结构TCP/IP 不是一个简单的协议,而是一组小的、专业化协议,包括TCP、IP、UDP、ARP、ICMP 以及其他的一些被称为子协议的协议。大部分网络管理员将整组协议称为TCP/IP,有时简称为IP。TCP/IP 的前身是由美国国防部在20 世纪60 年代末期为其远景研究规划署网络(ARPAnet)而开发的。由于低成本以及在多个不同平台间通信的可靠性,TCP/IP 迅速发展并开始流行。它实际上是一个关于因特网的执行标准
13、,并迅速成为局域网的首选协议。TCP/IP 这个协议遵守一个四层的模型概念:应用层、传输层、互联层和网络接口层。2.1。3 MAC 地址的格式以太网卡的 MAC 地址是一组唯一的48 比特数字。这48 比特分为两个部分组成,前面的24 比特用于表示以太网卡的寄主,后面的24 比特是一组序列号,是由寄主进行分配的。这样可以保证没有任何两块网卡的MAC 地址是相同的(当然可以通过特殊的方法实现)。这24 比特被称之为OUI(Organizationally Unique Identifier)。可是,OUI 的真实长度只有22 比特,还有两个比特用于其他:一个比特用来校验是否是广播或者多播地址,另
14、一个比特用来分配本地执行地址(一些网络允许管理员针对具体情况再分配MAC 地址)。举个例子,你的 MAC 地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为00000011。可以看到,最后两个比特都被置为真值。即指定了一个多播模式,向所有的计算机进行广播,使用了“NetBEUI”协议(一般的,在Windows 计算机的网络中,文件共享传输等是不使用TCP/IP 协议的)。2.3 IP 地址在 TCP/IP 协议中,编址由网际协议(Internet Protocol,简称IP)规定,IP 标准规定每台主机一个32 位数作为该主机的地址。所有Intern
15、et 上的计算机都必须有一个Internet 上唯一的编号作为其在Internet 的标识,这个编号称为IP 地址。每个数据报中包含有发送方的IP 地址和接收方的IP 地址。(1)IP 地址IP 地址是一个32 位二进制数,为了输入和读取的方便,通常采用点分十进制表示法,即以32 位数中的每8 位为一组,用十进制表示,并将各组用句点分开。例:某台机器的IP 地址为11001010 011100010 01000000 10000001,写成点分十进制表示形式就是 202。114.64.33。整个 Internet 由很多独立的网络互联而成,每个独立的网络,就是一个子网,包含若干台计算机.根据这个模式,Internet 的设计人员用两级层次模式构造IP 地址。IP 地址的32 个二进制位也被分为两个部分,即网络地址和主机地址,网络地址就像电话的区号,标明主机所在的子网,主机地址则在子网内部区分具体的主机.(2)IP 地址分类IP 地址根据网络规模的不同分为A、B、C、D、E 五类。其中A、B 和C 类称为基本类,D 类地址是多址广播地址,允许发送到一组计
