《网络抓包与分析培训ppt课件》由会员分享,可在线阅读,更多相关《网络抓包与分析培训ppt课件(113页珍藏版)》请在金锄头文库上搜索。
1、病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程为什么要学习抓包和协议分析病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议分析工具进行网络管理和网络安全管理,不仅要从宏观上管理网络的性能,还要从微观上分析数据包的内容,这样才能确保网络安全并且正常地运行。使用协议分析工具的目的,就是为了捕获网络中传输的数据包并对数据包中的比特进行统计和分析。宏观上,可以进行统计以确定网络性能的基线。微观上,可以从数据包分析中了解协议的实现情况、是否存在网络攻击行为等,为制定安全策略及进
2、行安全审计提供直接的依据。 如果黑客在网络当中使用协议分析工具,就是一种消极的安全攻击。1、故障分析定位2、网络质量评估3、入侵病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议分层从网络协议说起病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议分层病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议体系病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生
3、理过程TCP/IP模型各层的功能 病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议分析器概述协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。 广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广域网以便于捕获流经的数据流。 局域网分析器用来捕获和显示来自局域网的信息数据,这些局域网包括以太网、令牌环网和光纤分布式数据接口(FDDI)等。局
4、域网分析器是通过集线器或者交换机连接到局域网网段上的。将局域网分析器连接到交换机时,需要进行一些特殊的考虑。一般情况下,分析器只能捕获经过它所连接的端口的所有数据。某些交换机可以配置监视端口,把分析器接入到监视端口就可以捕获监视流经所有端口的数据。 常见的网络分析器产品有:NetworkAssociates公司的Sniffer、NetXray公司的SnifferBasic,科来协议分析、allot。Sniffer公司目前主推硬件分析还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析
5、。LINNUX中带的TCPDUMP也可以抓取数据包进行协议分析。病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程协议分析器的特点捕获数据包 进行协议分析的前提是要有捕获的数据包,协议分析器可以捕获所有流经其所控制的媒体的数据。高端的协议分析器还可以制定捕获的计划和触发条件。 数据包统计 协议分析器可以对捕获到的数据包进行统计和分析,根据时间、协议类型和错误率等进行分析,甚至可以打印出各种直观的图表和报表。 过滤数据 大量的数据包的捕获会消耗太多的系统资源,性能很低。协议分析器可以设置过滤,只捕获满足特定条件的数据包。根据大量捕获结果
6、排错的时候,也需要能过滤无关的大量数据包,把最有用的数据包找出来。协议分析器往往有强大的过滤功能。 数据包解码 捕获的数据包的内容就是0/1的比特流,协议分析器可以对这些比特流解码,识别哪些部分是封装的头部信息,哪些是有效净载荷。网络通信协议非常多,好的协议分析器能对各种协议数据包解码。 读取其他协议分析器的数据包格式 大部分协议分析器可以读取显示其他协议分析器捕获的数据包文件。病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程作为嗅探器的协议分析器 黑客使用协议分析器的时候,它就成了一种黑客工具,我们可以称之为嗅探器。 嗅探器与一般
7、的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。嗅探器工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。嗅探是一种安静的、消极的安全攻击。常见的危害有: 捕获口令 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的用户名和密码。 捕获专用的或者机密的信息,比如金融账号许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和PIN。比如偷窥机密或敏感的信息数据,通过拦截数据包,入
8、侵者可以很方便地记录别人之间敏感的信息传送,或者干脆拦截整个的E-mail会话过程。 可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限 窥探低层的协议信息 病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程抓包接入共享网络 -通过Hub连接上网使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将科来网络分析系统可安装在局域网中任意一台主机上,此时科来网络分析系统可以捕获整个网络中所有的数据通讯。病原体侵入机体,消弱
9、机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程抓包接入交换式网络 -交换机具备管理功能(端口镜像)使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络分析系统可安装在连接镜像端口的主机上方式病原体侵入机体,消弱机体防御机能,破坏机体内环境的
10、相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程抓包接入交换式网络 -交换机具备管理功能(端口镜像)使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络分析系统可安装在连接镜像端口的主机上方式病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁
11、殖,引起不同程度的病理生理过程抓包接入交换式网络 -交换机不具备管理功能(无端口镜像)一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。如果您的中心交换或网段的交换没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap)的方法进行部署。如图所示:使用网络分接器(Taps)使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再安装另外的网卡。用用集线器(Hub)Hub成本低,但网络流量大时,性能不高,Tap即使在网络流量高时,也对网络性能不会造成任何影响,病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖
12、,引起不同程度的病理生理过程接入方式对比病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程常见的协议分析工具主要功能如下: 为网络协议分析捕获网络数据包 分析诊断网络故障 实时监控网络的活动情况 收集单个工作站、会话、或者网络中的任何一部分的详细的网络利用情况和错误统计; 保存网络情况的历史记录和错误信息,建立基线 当检测到网络故障的时候,生成直观的实时警报并通知网络管理员 模拟网络数据来探测网络,衡量响应时间,路由跳数计数,排错 病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生
13、理过程病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程Microsoft Network MonitorWindows中自带的组件网络监视器NetworkMonitor,其工作原理类似于其他协议。NetworkMonitor可以捕获所有经过指定的网络接口的数据包,并进行协议分析。使用网络监视器,可以发现网络通信模式和网络问题。例如,可以定位客户端到服务器的连接问题,发现工作请求数目不成比例的计算机,以及发现网络上未经授权的用户。系统自带也可以下载:http:/ 这是个小巧的协议分析器,包含了对许多常用协议的分析解码功能。Ethere
14、al也可以设置过滤器,以便于把真正用户关心的数据捕获并显示出来。 已不用了!病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程WireShark简介Wireshark是世界上最流行的网络分析工具。这个强大的工具是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,的各种信息。与很多其他网络工具一样,Wireshark也使用也使用pcap network library来进行封包捕捉。来进行封包捕捉。wire
15、shark的原名是的原名是Ethereal,新名字是,新名字是2006年起用的。当时年起用的。当时Ethereal的主要开发的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由者决定离开他原来供职的公司,并继续开发这个软件。但由于于Ethereal这个名称的使用权已经被原来那个公司注册,这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。这个新名字也就应运而生了。 官方网站:官方网站:http:/www.wireshark.org/http:/www.wireshark.org/病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位
16、生长繁殖,引起不同程度的病理生理过程病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程3. DISPLAY FILTER(显示过滤器)显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程4. PACKET LIST PANE(封包列表)封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的方的MAC/IP地址,地址,TCP/UDP端口号,协议或者封包的内容。端口号,协议或者封包的内容。如果捕获的是一个如果捕获的是一个OSI layer 2的封包,您在的封包,您在Source(来源)和(来源)和Destination(目的地)列中看到的将是(目的地)列中看到的将是MAC地址,当然,此时地址,当然,此时Port(端口)列将会为空。(端口)列将会为空。如果捕获的是一个如果捕获的是一个
