Sniffer的数据包分析与防范Word格式.docx
- 文档编号:16801190
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:12
- 大小:350.22KB
Sniffer的数据包分析与防范Word格式.docx
《Sniffer的数据包分析与防范Word格式.docx》由会员分享,可在线阅读,更多相关《Sniffer的数据包分析与防范Word格式.docx(12页珍藏版)》请在冰豆网上搜索。
缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。
硬件的Sniffer通常称为协议分析仪,具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
Sniffer是个非常之危险的东西,它可以截获口令,可以截获到本来是秘密的或者专用信道内的信息,截获到信用卡号、经济数据、E-mail等等,更加可以用来攻击与己相临的网络。
3、网络数据包的结构;
数据在网络中的传输要遵循不同的协议,根据不同的标准可以有不同的分层模型。
这里有ISO七层模型和TCP/IP的五层模型,ISO七层分为:
物理层、数据链路层、网络层、运输层、会话层、表示层、应用层;
TCP/IP的四层为:
网络接口层、网络层、运输层、应用层。
数据在网络中的传输通过使用一些特定的协议来实现,下面以TCP/IP的四层模型为例,每一层都有一些特定的协议构成(如图1所示)
应用层
传输层
网络层
链路层
HTTPFTP和Telnet等
TCP和UDP
IPICMPIGMP
设备驱动程序及接口卡(DLC)ARP
图1
网络中的数据包的总体结构如图2所示,数据在从应用层到达传输层时,将添加TCP数据段头,或是UDP数据段头。
在网络层,还要给数据包添加一个IP数据段头以组成IP数据报。
数据包
IP头
TCP头(或其它信息头)
数据
图2数据包总体结构
下面具体介绍一下TCP、UDP和IP数据包的格式:
1.TCP报文的格式如图3所示;
源端口
目的端口
序号
确认序号
首部长度
保留
代码比特
窗口
校验和
紧急指针
选项(如果有)
填充
数据
……
图3TCP报文段的格式
2.UDP报文的格式如图4所示;
UDP源端口
UDP目的端口
UDP报文长度
UDP检验和
图4UDP数据报的字段格式
3.IP报文结构为IP协议头+载荷(详细内容如图3所示),信息监听时对IP协议头部的分析,时分析IP报文的主要内容之一。
04816192431
版本
服务类型
总长度
标识符
标志
数据报片偏移量
生存时间
协议
首部校验和
源站IP地址
目的IP地址
IP选项(若有)
……
图5IP报文格式
版本:
4个字节;
首部长度:
单位为4字节,最大60字节
总长度:
单位为字节,最大65535字节
标识:
IP报文标识字段
标志:
MF=1,后面还有分片的数据包
MF=0,分片数据包的最后一个
DF=1,不允许分片
DF=0,允许分片
偏移量:
分片后的分组在原分组中的相对位置,单位为8字节
生存时间:
TTL(TimeToLive)丢弃TTL=0的报文
协议:
携带的是何种协议报文
首部检验和:
对IP协议首部的校验和
源IP地址:
IP报文的源地址
目的IP地址:
IP报文的目的地址
数据发送时从协议栈的高层到底层,会在每一层根据所使用的不同协议添加不同的数据头,所以通常在底层直接截获得到的数据包内,会有不止一个的协议头。
数据在从应用层到达传输层时,将添加TCP数据段头,或是UDP数据段头。
4.ARP是地址解析协议,它是物理网络系统的一部分,不是网络协议的一部分,它的报文格式如图6所示。
08162431
硬件类型
协议类型
硬件地址长度
协议地址长度
操作
发送方硬件地址(八位组0~3)
发送方硬件地址(八位组4~5)
发送方IP地址(八位组0~1)
发送方IP地址(八位组2~3)
目标硬件地址(八位组0~1)
目标硬件地址(八位组2~5)
目标IP地址(八位组0~3)
图6ARP报文格式
4、Sniffer的数据报文解码;
Sniffer具有强大的网络流量捕捉能力,可以将网络流量捕捉到计算机的内存或直接存储到硬盘上,从而进行解码分析。
Snifer能够对很多种协议进行解码分析,它的解码界面也是解码的一个标准界面。
解码界面分为Summary(概要解码)、Detail(详细解码)、Hex(十六进制码)。
通过以上对几种主要的数据报格式的介绍,有利于我们对Sniffer解码的理解。
下面介绍一下Sniffer对几种重要的协议的解码分析。
4.1ARP协议的解码分析
ARP协议,即地址解析协议,它提供了一种可以把IP地址映射到物理地址的协议。
通过分析Sniffer捕获的数据包中的ARP协议,可以知道信息的发送方和接收方的一些相关数据,如图7是捕获的数据包中的ARP协议内容:
图7
从以上的数据包可以看出ARP协议中的详细内容,例如:
硬件类型(Hardwaretype)字段指明发送方想要知道的硬件接口类型,对于以太网,该字段含有的值为“1”;
操作(Opcode)字段指明的是ARP请求
(1)、ARP响应
(2)、ARP请求(3)、ARP响应(4);
硬件地址长度字段和协议地址长度字段分别指出了硬件地址和高层协议地址的长度;
目标硬件地址和目标协议地址字段分别指出了目标硬件地址和目标IP地址。
4.2IP协议的解码分析
IP是英文InternetProtocol(网络之间互连的协议)的缩写,中文简称为“网协”,也就是为计算机网络相互连接进行通信而设计的协议,图8为Sniffer对IP协议首部的解码分析。
从图8中可以看出IP数据报文中的详细内容,例如:
版本(Version)字段指出了数据报所用的IP协议的版本信息;
生存时间(Timetolive)字段指明了数据报在互联网系统中允许保留的多长时间;
首部校验和(Headerchecksum)字段等等。
这些内容与图5中的IP数据报文格式中的内容一一对应。
图8
4.3UDP协议的解码分析
UDP协议,用户数据报协议(UserDatagramProtocol)提供应用程序之间发送数据报的基本机制。
用户数据报可以分为UDP首部和UDP数据区,下图是Sniffer对UDP协议首部的解码分析。
图9
从图中可以看出,SourcePort为UDP源端口,Destination为UDP目的端口,Length为UDP报文长度,Checksum为UDP检验和。
4.4TCP协议的解码分析
TCP协议,传输控制协议(TransmissionControlProtocol),它是面向连接的协议,所有的数据传输过程必须在一个TCP连接的基础上进行,也就是说如果需要TCP传输,首先要建立一个TCP连接。
TCP的连接过程,请求方和服务方需要在网络中传送三个数据包,即TCP的三次握手。
具体过程如下图所示:
图10TCP三次握手
通过Sniffer捕获的数据包可以清楚地看到TCP的三次握手过程,下图所示为TCP连接的请求数据包。
图11TCP链接请求包
服务器收到客户端发送的TCPSYN包后向客户端发送TCPACK数据包,如图。
图12TCP连接SYNACK包
第三步是客户端发送ACK,三次握手完成,TCP连接建立,如下图所示
图13TCP连接过程第三个包
5、信息安全问题产生的原因及如何防范信息监听;
进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
信息的保密性、完整性、可用性、可控性就成了关键因素。
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。
1.互联网的开放性。
从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。
由于互联网成员的多样和位置的分散,其安全性并不好。
互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。
也就是说从技术层面上截取用户信息的可能性是显然存在的。
网络的开放性是信息安全问题产生的主要原因。
2.计算机网络系统安全漏洞。
系统安全漏洞,也叫系统脆弱性(Vulnerability),简称漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。
非法用户可以利用漏洞获得计算机系统的额外权限,在XX的情况下访问或提高其访问权限,从而破坏系统的安全性。
漏洞是针对系统安全而言的,包括一切可导致威胁、破坏计算机系统安全性(完整性、可用性、保密性、可靠性、可控性)的因素。
任何一个系统,无论是软件还是硬件都不可避免地存在漏洞,所以从来都没有绝对的安全。
当然漏洞的存在本身并不能对系统安全造成什么损害,关键的问题在于攻击者可以利用这些漏洞引发安全事件。
3.网络小甜饼cookie。
所谓的cookie就是用户在登陆某些需要用户名的网站上所留下的一些登陆痕迹,用户的cookie会在关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断。
Cookie是用户输入另一种形式,它是以纯文本形式在浏览器和服务器之间传送,任何可以截取Web通信人都可以读取Cookie。
为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。
针对Sniffer的监听机制,可以有以下几种方法防范Sniffer的监听。
1.防火墙技术。
我们知道,sniffer一般是发生在以太网内的,那么,很明显,首先就要确保以太网的整体安全性,因为sniffer行为要想发生,一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行sniffer,去收集以太网内敏感的数据信息。
防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
2.加密技术。
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。
数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
采用加密手段是一个很好的办法,因为如果Sniffer抓取到的数据都是以密文传输的,那对入侵者即使抓取到了传输的数据信息,意义也是不大的。
Sniffer依然可以监视到信息的传送,但是显示的是乱码。
如果信息在网络中以明文的形式传输,其内容就很有可能被截获,例如用户在登录邮箱时,如果以明文的形式传输,就可能被Sniffer截获(如下图14所示)。
一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破。
几乎所有的加密术将导致网络的延迟。
加密术越强,网络沟通速度就越慢。
图14截获邮箱用户名和密码
6、信息监听的发展前景;
到目前为止,从美国这样的网络发达国家到中国这样的网络发展中国家,社会各界包括网民们对信息监听的认识和理解还远远不够,国际网络立法严重滞后。
这些,都使互联网上的信息监听处于一个完全失控的状态,网民的隐私受到广泛的、灾难性的侵犯,而网民则处于完全的弱势地位,基本上束手无策。
信息监听技术作为一种工具,总是扮演着正反两方面的角色。
对于入侵者来说,最喜欢的莫过于用户的口令,通过信息监听可以很容易地获得这些关键信息。
而对于入侵检测和追踪者来说,信息监听技术又能够在与入侵者的斗争中发挥重要的作用。
鉴于目前的网络安全现状,我们应该进一步挖掘信息监听技术的细节,从技术基础上掌握先机,才能在与入侵者的斗争中取得胜利。
可以预见,信息监听技术会在监听与反监听的过程中不断前进!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sniffer 数据包 分析 防范
![提示](https://static.bdocx.com/images/bang_tan.gif)