《深度剖析winpcap之(二)》由会员分享,可在线阅读,更多相关《深度剖析winpcap之(二)(4页珍藏版)》请在金锄头文库上搜索。
1、工欲善其事,必先利其器。为了有利于深入了解WinPcap的内部机制,我们需要 对网络分析与嗅探、网络模型与硬件基础作必耍了解。1.1什么是网络分析与嗅探网络分析(Network analysis)(也称为网络流量分析、协议分析、嗅探、数 据包分析、窃听,等等)就是通过捕获网络流量并深入检查,来决定网络中发生 了什么情况的过程。一个网络分析器对通用协议的数据包进行解码,并以可读的 格式显示网络流量的内容。嗅探器(sniffer)是一种监视网络上所传输数据的 程序。未经授权的嗅探器对网络安全构成威胁,因为它们很难被发现并且可在任 何地方被插入,这使得它们成为黑客最喜欢使用的一种工貝。网络分析器之间
2、的差别,在于诸如支持能解码的协议数量、用户接口、图形 化与统计能力等主要特性的不同。其它的并别还包括了推理能力(比如,专家分 析特性)与数据包解码的质量。尽管几个不同的网络分析器针对同一个协议进行 解码,但在实际坏境中可能其中的一些会比另外一些工作得更好。图2-1为Wireshark网络分析器的显示窗口。一个典型的网络分析器用三个 窗格显示所捕获的网络流量:Ue Edit Iler Qo Capture lunalyse StaUitlcs flelpfi M U ft 舸厨X 2!鸟汽胡矽3事g 丽TQ Q Q 国,Elllcr; :匚 I: 用k; gxprcssln.Clear Appl
3、y 贾TineSource十鱒攬二他warnr产129 60.556503128.100.3.2130 50.5695$128.100.3,236131 60.960679 Shenzhen.14 :dl :3e132 61.307854128.100.3.2133 61,550162128.100,3.12Destination128.100.3. 255128.100.3.25$Broadcast128.1OO.3.255128.1OO.3.255ProtocolNBNS1概耍阴 BNSNBNS153 61.573033137 62.056674138 62.806760128.100:3
4、.2iscorad:19; Frame 134 (60 bytes on wire, 60 byres captured).t Ethernet II, sre; sher)zhenc;8Q:46Q0;g;eb:fc;80;a6), Dsc: Broadcast 3 Address Resolution Protocol (request): Hardware:type:Ethernet (OxOOOX) ;Protocol type:: IP(0x0800); 二:; Hardwaresize:; 工详情:”;心巴 Protocol;size; :4工工工工工工工工工、工:Opcode: r
5、equest (0x0001)Sender MAC address : Shenzhenfc:80:a6 (00:0a:eb: fc:80:a6);:;lender IP address:: 128.10O;:3.2 (128400M.2)工;工工2购吐 MAC aiddrrs: 00:00:00_00:00:00 (00:00:00:00:00:00)Target IP address: L2.100. 3.12 (128.100.3-12)Packets: 182& Display: 1826Target IP address (arp. dst.loo 002Boo 02 *oo 0 0
6、2 M820 Ooo 002 隔20oo2 2W2020DoKI2图2T Wireshark网络分析器的显示窗口概要该窗格对所捕获的内容显示一行概要。包含日期、时间、源地址、目 标地址、与最高层协议的名字与信息字段。详情该窗格提供所捕获数据包所包含的每层细节信息(采用树形结构)。数据该窗格用十六进制与文本格式显示原始的被捕获数据。一个网络分析器是由硬件与软件共同组成。可以是一个带有特定软件的单独 硕件设备,或者是安装在台式电脑或膝上电脑之上的一个软件。尽管每种产品Z 间具有差别,但都是由下列五个基本部分组成。硬件多数网络分析器是基于软件的,并工作于标准的操作系统与网卡之上。 然而,一些硬件网络
7、分析器提供额外的功能,诸如分析硬件故障(比如循环兀余 纠错(CRC)错误、电压问题、网线问题、抖动、逾限(jabber)、协商错误等 等)。一些网络分析器仅支持以太网或无线网适配器,而其它的可支持多重适配 器,并允许用户定制它们的配置。依据实际情况,可能也需要一个集线器或一个 网线探针(cable tap)连接已有的网线。捕获驱动器这是网络分析器中负责从网线上捕获原始网络流量的部分。它 滤出了所需保持的流量,并把所捕的获数据保存在一个缓冲区中。这是网络分析 器的核心没有它就无法捕获数据。缓冲区该组件存储所捕获的数据。数据能够被存入一个缓冲区中只到该缓 冲区被填满为止,或者采用循环缓冲的方式,那么最新的数据将会替换最旧的数 据。采用磁盘或内存均可实现缓冲区。实时分析当数据一离开网线,该特性就可对数据执行分析。一些网络分析 器利用该特性发现网络性能问题、同时网络入侵检测系统利用它寻找入侵活动。解码(器)该组件显示网络流量的内容(带有描述),所以是可读的。解码 是特定于每个协议的,因此网络分析器当前支持可解码的协议数目是变化的,网 络分析器可能经常加入新的解码。
