网络嗅探与监听

《网络嗅探与监听》由会员分享，可在线阅读，更多相关《网络嗅探与监听（8页珍藏版）》请在金锄头文库上搜索。

1、网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、 分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用 于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树 形及星形的拓扑结构。一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监 视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在 网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成 监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任 何一个位置实施，如局域网中的一台主机、网关上或远程网的调制

2、解调器之间等。二、在局域网实现监听的基本原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接 在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包 中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据 包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些 包）。在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连 在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的 数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP 协议的IP层交给网络接口，也就是数据链路层，而网

3、络接口是不会识别IP地址 的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域， 分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP 地址相对应的48位的地址。传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上，如 果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线 路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条 线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主 机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中 携带的物理地址是自己的或者是广播地址，则将数

4、据帧交给上层协议软件，也就 是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要 进行这个过程。然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处 理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如 果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不 同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传 输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设 计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之 上，许多信息以明文发送。因此，如果用户的账户名和口令等信

5、息也以明文的方 式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步 的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。 同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对 网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有 力手段。三、局域网监听的简单实现要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置 为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows 系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机 语言和函数编写出功能强大的网络监听程

6、序，也可以使用一些现成的监听软件， 在很多黑客网站或从事网络安全管理的网站都有。1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子（l）IP数据报首部概述数据部分（1）.版本 占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的IP协议版本号为4 （即IPv4）。关于IPv6，目前还处于草案阶 段。日 Frame 1: 42 bytes on wire (336 bits)s 42 bytes captured (336 bits) 字节的整数倍开始，这样在实现IP协议时较为方便。首部长度限制为60字节的 缺点是有时可能不够用。但这样做是希望用户尽量减

7、少开销。最常用的首部长度 就是20字节(即首部长度为0101)，这时不使用任何选项。Arri val Ti me : Sep 4 s 2008 01:41:19.181058000 Epoch ti me ITi me ti me Frame FrameTi me: delta delta si nee1220463679.181058000 secondsfrom previous captured frame: 0.000000000 seconds from previous displayed frame: 0.000000000 seconds reference or first

8、frame: 0.000000000 secondsNumber: 1 Length: 42 bytes (336 bits)capture Length: 42 bytes (336 bits) Frame is marked: False Frame 1 s 1 gnored: False Protocols 1 n frame: eth:arp coloring Rul e Name: arp coloring Rule str 1 ng: arpH Ethernet IIs sre: HonHaiPr_96:7e:a2 (78:e4:00:96:7e:a2)s Dst: Broadca

9、st (ff:ff:ff:ff:ff:ff) 日 Destination: Broadcast (ff:ff:ff:ff:ff:ff)Address: Broadcast (ff:ff:ff:ff:ff:ff)1=IG bit: Group address (niulti cast/broadcast)1=LG bit: Local!y administered address (this is NOT the factory default)日 Source: HonHaiPr_96:7e:a2 (78:e4:00:96:7e:a2)Address: HonHaiPr_96:7e:a2 (7

10、8:e4:00:96:7e:a2)0=IG bit: Individual address (unicast)0=LG bit: Globally unique address (factory default) Type: ARP (0x0806) Address Resolufion Protocol (request)I Hardware Protocol Hardware Protocoltype: Ethernet (0x0001)type: IP (0x0800)si ze: 6size: 4opcode: request (0x0001) is gratuitous: False

11、 Sender sender Target TargetMAC address: HonHaiPr_96:7e:a2 (78:e4:00:96:7e:a2) IP address: 10.80.180.182 (10.80.180.182)MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00) IP address: 10.80.180.158 (10.80.180.158)（2）.首部长度占4位，可表示的最大十进制数值是15。请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15）

12、，首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4(3) .区分服务 占8位，用来获得更好的服务。这个字段在旧标准中叫做服务类 型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务 DS(Differentiated Services) o只有在使用区分服务时，这个字段才起作用。(4) .总长度总长度指首部和数据之和的长度，单位为字节。总长度字段为16 位，因此数据报的最大长度为216-1=65535字节。在IP层下面的每一种数据链 路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大

13、传送单元MTU(Maximum Transfer Unit)。当一个数据报封装成链路层的帧时， 此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的 MTU 值。(5) .标识(identification)占16位。IP软件在存储器中维持一个计数器，每 产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不 是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于 长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报 的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成 为原来的数据报。(6) .标志(fla

14、g)占3位，但目前只有2位有意义。 标志字段中的最低位记为MF(More Fragment) o MF=1即表示后面“还有分片” 的数据报。MF=0表示这已是若干数据报片中的最后一个。 标志字段中间的一位记为DF(Don t Fragment)，意思是“不能分片”。只 有当DF=0时才允许分片。(7) .片偏移 占13位。片偏移指出：较长的分组在分片后，某片在原分组中的 相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8 个字节为偏移单位。这就是说，每个分片的长度一定是8字节(64位)的整数 倍。(8) .生存时间 占8位，生存时间字段常用的的英文缩写是TTL(Time T

15、o Live)， 表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防 止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。最初 的设计是以秒作为TTL的单位。每经过一个路由器时，就把TTL减去数据报在路 由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。(9) .协议 占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使 目的主机的IP层知道应将数据部分上交给哪个处理过程。(10) .首部检验和 占16位。这个字段只检验数据报的首部，但不包括数据部分。 这是因为数据报每经过一个路由器，路由器

16、都要重新计算一下首部检验和(一些 字段，如生存时间、标志、片偏移等都可能发生变化)。不检验数据部分可减少 计算的工作量。(11) .源地址占32位。(12) .目的地址占32位。(2) 实例解析是用sniffer pro进行监听时捕获的IPv4协议报头。第一部分显示的是关于IP的版本信息，它的当前版本号为4;然后是头部的 长度，其单位是32-bit的字，本例中值为20bytes。第二部分是有关服务类型的信息。第三部分为头部长度字段，本例中IP报头长为56字节。第四部分是关于分段的内容。第五部分是生存时间字段，一般为64或128，本例为128seconds/hops。 第六部分是协议部分，说明了上层使用的服务类型，本例中为UDP。第七部分以下各字段分别为校