《网络嗅探工具wireshark在网络安全中的应用共33页》由会员分享,可在线阅读,更多相关《网络嗅探工具wireshark在网络安全中的应用共33页(33页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上网络与信息安全课程设计网络嗅探工具wireshark在网络安全中的应用学生姓名: 宋 琪 学 号: 专业年级: 13级信息与计算科学 指导教师: 信息技术学院二一五 年12月 日网络嗅探wireshark工具应用摘 要随着网络技术的发展和网络应用的普及,越来越多的信息资源放在了互联网上,网络的安全性和可靠性显得越发重要。因此,对于能够分析、诊断网络,测试网络性能与安全性的工具软件的需求也越来越迫切。网络嗅探器具有两面性,攻击者可以用它来监听网络中数据,达到非法获得信息的目的,网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析,分析结果可供网络安全分析之用
2、。本文对网络嗅探技术进行简要分析,了解wireshark抓包软件的一部分功能,并用wireshark抓包软件来作为网络数据包的捕获工具,对相应的数据包进行捕获,并对所抓到数据包进行简要的分析。关键词:网络嗅探器;数据包捕获;数据包分析;目录第一章 引言1.1 网络安全的现状1.1.1 计算机网络安全的问题随着各种新的网络技术的不断出现、应用和发展,计算机网络的应用越来越广泛,其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。计算机网络安全问题越来越严重,
3、网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。从目前使用的情况来看,对计算机网络的入侵、威胁和攻击,基本上可以归纳为以下几种:1.外部人员攻击2.黑客入侵3.信息的泄漏、窃取和破坏4.搭线窃听5.线路干扰6.拒绝服务或注入非法信息7.修改或删除关键信息8.身份截取或中断攻击9.工作疏忽,造成漏洞10.人为的破坏网络设备,造成网络瘫痪1.1.2 网络安全机制及技术措施目前国内外维护网络安全的机制主要有以下几类:1.访问控制机制 访问控制机制是指在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。2
4、.身份鉴别 身份鉴别技术是让验证者相信正在与之通信的另一方就是所声称的那个实体,其目的是防止伪装。3.加密机制 对纯数据的加密,加密机制是对你不愿意让他人看到的这些数据(数据的明文)用可靠的加密算法,只要破解者不知道被加密数据的密码,他就不可解读这些数据。4.病毒防护 计算机病毒的防范既是一个技术问题,也是一个管理问题,它采取以“预防为主,治疗为辅”的防范策略将计算机病毒的危害降到最小限度。针对以上机制的网络安全技术措施主要有:(1)防火墙技术 防火墙是指一种将内部网和公众网络分开的方法,它实际上是一种隔离技术,是在两个网络通信是执行的一种访问控制手段,它能允许用户“同意”的人和数据进入网络,
5、同时将用户“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访自己的网络,防止他们更改、复制和毁坏自己的重要信息。(2)基于主机的安全措施 通常利用主机操作系统提供的访问权限,对主机资源进行保护,这种安全措施往往只局限于主机本身的安全,而不能对整个网络提供安全保证。 (3)加密技术 用于网络安全的加密技术通常有两种形式:(a)面向服务的加密技术。面向服务的加密技术即通常所说的信息加密。它是指利用好的密码算法对有些敏感数据、文件和程序进行加密,并以密文方式存取,以防泄密。其优点在于实现相对简单,不需要对网络数据所经过的网络的安全性提出特殊的要求。(b)面向网络的加密技术。面向网络的加密技
6、术是指通信协议加密,它是在通信过程中对包中的数据进行加密,包括完整性检测、数字签名等,这些安全协议大多采用了诸如RSA公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能,用于防止黑客对信息进行伪造、冒充和篡改,从而保证网络的连通性和可用性不受损害。加密技术是网络信息最基本、最核心的技术措施。但加密的有效性完全取决于所采用的密码算法,故一般由中央授权部门研制生产,不能自行采用一些密码算法用于网络中,否则后果不堪设想。 (4)其它安全措施 包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的
7、合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动,记录用户对敏感的数据资源的访问,以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。1.2本课题的研究意义计算机网络技术的飞速发展,极大的改变了人们传统的生活和工作模式,越来越多的社会经济活动开始依赖网络来完成,可以说计算机网络的发展已经成为现代社会进步的一个重要标志。但与此同时,计算机犯罪、黑客攻击、病毒入侵等恶性事件也频频发生。因此,信息安全已越来越受到世界各国的重视。嗅探器作为一种网络通讯程序,是通过对网卡的编程来实现网络通讯的,对网卡的编程是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序
8、只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。本文通过对网络嗅探器对网络上传输的数据包的捕获与分析功能的进一步了解,做到知己知彼。通过网络嗅探器对网络上传输的数据包进行捕获和分析,获取所需要的信息,利用对这些信息进行网络安全分析。因此,对网络嗅探器的研究具有重要意义。1.3本文研究的内容本文的研究主要围绕以下几个方面进行。1.网
9、络嗅探器的概念及部分应用的研究。主要包括网络嗅探器的概念、网络嗅探器的工作原理。2.用网络嗅探器对ICMP协议、DHCP协议和TCP协议的数据包进行捕获,并对所捕获到的数据包进行分析。第二章 网络嗅探器的基本原理2.1网络嗅探器概述网络嗅探器又称为网络监听器,简称为Sniffer子系统,放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,这些数据可以是用户的账号和密码,可以是一些商用机密数据等等。Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题
10、。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题的所在。而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。2.2 嗅探器实现基础以太网数据帧是一组数字脉冲,它们在传输介质上进行传输,从而实现信息的传递。以太网帧格式符合IEEE802.3标准,帧中包含目的地址和源地址,目的地址最高位为0是普通地址,为1时是组地址。当一个帧送到组地址时,组内的所有站点都会收到该帧。如果将它送到一个普通地址,一般情况下,只有一个站点收到这个帧,但是,以太网是以广播方式发送帧的,也即这个帧会传播到其所在网段
11、内的所有站点,只不过该站点不会接收目的地址不为本机地址的帧。为了捕获网段内的所有帧(以后称数据包),可以设置以太网卡的工作方式,以太网卡通常有正常模式(normal mode)和混杂模式(promiscuous mode)两种工作模式。在正常模式下,网卡每接收到一个到达的数据包,就会检查该数据包的目的地址,如果是本机地址和广播地址,则将接收数据包放入缓冲区,其他目的地址的数据包则直接丢掉。因此,正常模式下主机仅处理以本机为目的的数据包,网卡如果工作在混杂模式,则可以接收本网段内传输的所有数据包。如果要进行数据包捕获,必须利用网卡的混杂模式,获得经过本网段的所有数据信息。第三章 数据包的捕获对于
12、数据包的捕获过程,我们可以按照如下所示的流程图对捕获的过程进行解释。数据包捕获流程图:设置过滤规则获取网络设备列表打开设备,设为混杂模式编译过滤规则循环捕获数据包关闭网络设备3.1 wireshark抓包软件的解析首先,我们安装好wireshark抓包软件后,将其打开,对其的部分功能按钮进行了解。如图所示,是我对wireshark抓包软件的其中四个功能键的理解和认识。3.2 Wireshark嗅探器对ICMP协议数据包的捕获以及分析3.2.1 ICMP协议的原理ICMP全称Internet Control MessageProtocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数
13、据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的,在网络传输过程中,可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议,它不会处理网络层传输中的故障,而位于网络层的ICMP协议却恰好弥补了IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错误信息反馈。3.2.2 利用网络嗅探工具开始捕获ICMP协议的数据包利用Wireshark嗅探器抓捕ICMP协议的数据包并对所捕获的数据包进行分析。我们利用ping程序产生ICMP分组,抓取ICMP数据包,具体程如下。1. 打开Windows命令提示符窗口,启动Wiresh
14、ark分组嗅探器,在过滤窗口输入ICMP:2.接着我们打开Windows命令提示符窗口,在命令提示符界面输入“ping -n 10 ”,返回十条ping信息:从图上可以看出连续收到了10个ping的恢复,每次ICMP通讯的过程都是一个ICMP request和ICMP reply,10次通讯加起来一共20个数据包。3.停止Wireshark分组嗅探器捕捉后,我们会得到如图所示的页面:由图片我们可以看出,在这次捕捉过程中,我们捕捉到了很多数据包,乱七八糟的排列。但是我们这次所抓包的对象是ICMP协议的,所以,我们可以单击下Apply(应用)按钮或是按回车键,就可以使过滤生效,如下图所示:3.2.
15、3 对所抓到的数据包的分析由上图我们可以看出,这次的抓包一共抓到了20个ICMP协议的数据包,我们随机打开一个ICMP request数据包和一个ICMP reply数据包,其结果分别如图a和图b所示:图(a)图(b)我们可以得到的信息有:1. Type:类型字段,8代表ICMP的请求2. Code:代码字段,0代表ICMP的请求3. Checksum:对ICMP头部的校验值,如果传递过程中ICMP被篡改或损坏,与该值不匹配,接收方就将这个ICMP数据包作废4. 进程ID标识,从哪个进程产生的ICMP数据包。5. Sequence Number:序列号,同一个进程中会产生很多个ICMP数据包,用来描述当前这个数据包是哪一个,每一对ICMP request和ICMP reply这个字段应该是一样的6. Data:ICMP中的数据,一般都是无意义的填充字段,这个部分可能会被黑客加入恶意代码,实施ICMP攻击3.3 Wireshar
