7 学习情境4 网络监听.docx
- 文档编号:29986639
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:28
- 大小:743.56KB
7 学习情境4 网络监听.docx
《7 学习情境4 网络监听.docx》由会员分享,可在线阅读,更多相关《7 学习情境4 网络监听.docx(28页珍藏版)》请在冰豆网上搜索。
7学习情境4网络监听
学习情境4
网络监听
在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置成监听模式,便可将网络中正在传播的信息截获,从而进行攻击。
作为一种发展比较成熟的技术,网络监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,一直倍受网络管理员的青睐。
然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
4.1使用Sniffer监视网络
当前有各种各样的网络监听工具,包括各种软件和硬件产品,其中使用最广泛、功能强大的是Snifferpro。
Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,如某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术主要是被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
Snifferpro软件是NAI公司推出的功能强大的协议分析软件。
它包括捕获网络流量进行详细分析,利用专家分析系统诊断问题,实时监控网络活动,收集网络利用率和错误等多种强大的功能。
4.1.1学习目标
通过本单元的学习,应该达到:
1.知识目标
✓理解网络监听的基本概念;
✓理解网络监听的运行机制;
✓掌握Snifferpro的功能和作用;
✓掌握使用Snifferpro监视网络;
✓了解Sniffer软件的原理。
2.能力目标
✓部署与安装SnifferPro;
✓使用SnifferPro捕获数据;
✓使用SnifferPro监控网络流量;
✓使用SnifferPro监视网络运行情况。
4.1.2工作任务
1.工作任务名称
安装Snifferpro4.7.5,使用Snifferpro4.7.5捕获网络数据,监控网络整体性能。
2.工作任务背景
小张在学校网络中心工作,负责校园网络的管理和维护,作为网络管理员需要时刻了解校园网络流量情况,并对网络流量进行监控。
最近有多位老师反映,近期访问网站的速度时快时慢,应对网络进行监控。
3.工作任务分析
从各位老师反映的现象来看,网速变慢是最近发生的事情,近期没有进行网络设备的调整,网络环境没有变化,网络应用也没有大的变化,这是网络中有异常流量造成的网络速度变化。
需要分时段对网络中数据进行分析,找出网络变化的具体原因,进行解决。
经分析,小张决定安装、部署Sniffer软件监控网络运行情况,找出异常的原因,分析异常流量,解决网络性能变差的问题。
4.条件准备
对于小张管理的网络,小张准备了Snifferpro4.7.5。
4.1.3实践操作
1.在网络中正确部署Snifferpro4.7.5
尽管Sniffer集众多优秀功能于一身,但对软件部署却有一定的要求。
首先Sniffer只能嗅探到所在链路上“流经”的数据包,如果Sniffer被安装在交换网络中普通PC位置上并不做任何设置,那么它仅仅能捕获本机数据。
因此,Sniffer的部署位置决定它所能嗅探到的数据包,它能嗅探到的数据包,又决定它所能分析的网络环境。
在以HUB为中心的共享式网络中,Sniffer的部署非常简单,只需要将它安置在需要的网段中任意位置即可。
但是随着LAN的发展,HUB也在近几年迅速的消声灭迹,网络也由以HUB为中心的共享式网络演变成以交换机为中心的交换式网络,因此在交换环境下的Sniffer软件部署又有了新的内容。
目前在交换环境下部署Sniffer大多使用SPAN(SwitchPortAnalysis)技术,SPAN技术可以把交换机上想要监控的端口的数据镜像到被称为MIRROR的端口上,MIRROR端口连接安装有Sniffer软件或者专用嗅探硬件的计算机设备。
图4.1为在网络中简单的使用SPAN技术部署SnifferPro的图例,可以做为参考。
图4.1Snifferpro软件部署图
2.配置交换机端口镜像(以思科2950系列交换机为例)
(1)创建端口镜像源端口
命令:
monitorsessionsession_numbersourceinterfaceinterface-id[,|-][both|rx|tx]
✓session_number:
SPAN会话号,2950、3550思科系列交换机一般支持的本地SPAN最多是2个,即1或者2。
✓interface-id:
源端口号,[,|-]源端口接口符号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,连续的用“-”连接。
✓[both|rx|tx]:
可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。
(2)创建端口镜像目的端口
命令:
monitorsessionsession_numberdestinationinterfaceinterface-id[encapsulation{dot1q[ingressvlanvlanid]|ISL[ingress]}|ingressvlanvlanid]
✓interface-id:
目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。
✓[encapsulation{dot1q|isl}]:
可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封装,其它VLAN封装,ISL则全部封装。
(3)此次工作创建端口镜像源端口和目的端口的命令如下:
monitor1sourceinterfacef0/2,f0/3both
monitor1destinationinterfacef0/1
上述两条命令的意思就是:
把f0/2和f0/3流入和流出的数据复制一份给f0/1,这样连接在f0/1端口上的sniffer工作站就可以截取到f0/2和f0/3的数据了。
3.安装Snifferpro4.7.5
Snifferpro4.7.5的具体安装过程如下:
(1)打开资源管理器,进入Snifferpro4.7.5安装目录,找到Snifferpro4.7.5的安装文件SnifferPro_4_70_530.exe,双击该文件执行安装操作,弹出安装向导对话框。
在该话框中,单击“Next”按钮,安装程序解压缩安装文件,弹出欢迎对话框,如图4.2所示。
图4.2Snifferpro安装向导对话框
(2)单击“Next”按钮,进入软件许可协议对话框,选择“Yes”按钮,弹出用户信息对话框,填写用户名与公司名。
再选择安装的目标文件夹对话框中,选择合适的Snifferpro安装位置。
单击“下一步”按钮,安装程序开始安装Snifferpro。
输入Snifferpro用户注册信息,包括使用者的名、姓、公司名称、邮件地址等,根据实际情况填写。
单击“Next”按钮,软件会提示输入产品序列号,如图4.3所示,正确填写后,单击“下一步”按钮,,软件会提示需要IE5.0以上的浏览器及虚拟机。
为了提高Snifferpro性能需要卸载QoS服务,最后重新启动计算机,完成SnifferPro的安装。
图4.3输入产品序列号
安装完成后,在网络适配器属性中会自动添加一个项目“SnifferProtocolDriver”,如图4.4所示:
图4.4网卡属性
4.进行网络流量捕获
(1)开始进行捕获
在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据,选择正确的网络适配器后才能正常工作,如图4.5所示。
操作位置:
“文件”|“选定设置”。
图4.5选择网络适配器
SnifferPro的界面并不复杂,通过工具栏和菜单栏就可以完成大部分操作,并在当前窗口中显示出所监测的效果,如图4.6所示。
图中分别标出菜单栏、捕获报文工具栏、网络性能监视工具栏在软件界面中的位置。
单击捕获报文工具栏上的“
”按钮将按默认过滤器开始对网络进行报文捕获,如图4.7所示。
图4.6Sniffer的主窗口
图4.7Sniffer开始捕获报文时状态
(2)专家分析系统
单击捕获报文工具栏上的“
”按钮可停止捕获,SnifferPro软件对于捕获的报文提供了一个Expert专家分析系统进行分析,另外还包括解码选项及图形和表格的统计信息,如图4.8所示。
图4.8专家捕获面板
专家分析系统提供了一个性能的分析平台,系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断,分析出的诊断结果可以查看在线帮助获得。
对于某项统计分析,可以通过用鼠标双击此条记录查看详细统计信息,如图4.9所示。
图4.9查看详细捕获信息
SnifferPro同样也提供了对报文进行解码的功能,图4.10是对捕获报文进行解码的显示。
SnifferPro可以解码至少450种协议,除了IP、IPX和其它一些“标准”协议外,SnifferPro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)等。
对于解码主要要求分析人员对协议以及报文的组成形式比较熟悉,这样才能看懂解析出来的报文。
能够利用软件解码分析来解决问题的关键是要对各种层次的协议了解得比较透彻,工具软件只是提供一个辅助的手段。
图4.10捕获数据的解码显示
专家分析系统中还提供“矩阵”、“主机列表”、“ProtocolDist”、“查看统计表”四大功能模块,可以通过操作很快掌握,这里不再详细介绍。
5.网络监视
SnifferPro网络监视功能能够时刻监视网络统计、网络上资源的利用率,并能够监视网络流量的异常状况,SnifferPro提供了仪表盘、主机列表、矩阵、ART、协议分析、历史样本、全局信息共七大网络监视模式,这里主要介绍仪表板、主机列表、矩阵,其它功能可以参看在线帮助。
(1)仪表板
在仪表板窗口,共显示了三个仪表盘,即“Utilization%”、“Packets/s”、“Errors/s”,分别用来显示网络利用率、传输的数据和错误统计,如图4.11所示。
表盘的红色区域表示警戒值,仪表盘上的指针如进入红色区域,Sniffer警告记录中就会加入一条警告信息。
在仪表板窗口中,单击“细节”,显示如图4.12所示的窗口,以表格的形式显示了关于利用率、数据包传输速度和出错率的详细统计结果。
图4.11仪表板中的三个仪表盘
在该窗口下方的“网络”窗口中,可以选择要显示的内容,如数据包/秒(每秒出现的数据包的总数)、利用率(网络利用率,这是Sniffer中最常用的功能,可以查看哪一天中哪个时间利用率最高)、错误/秒(每秒出现的整体错误的数目,若设定基准,可以看到一天中哪个时间段遗失的数据包最多)、字节/秒(每秒出现的数据的总字节数,这与数据包不同,字节预先设定好了长度,而数据包长度各不相同)、广播/秒(每秒产生的广播数据包数目,广播是从主机发往区段上所有其它主机的数据包)、每秒组播的数据包的数目(一个主机向特定的主机发送的数据包)。
可以单击仪表盘窗口上方的Reset(重置)按钮,清除仪表盘的值。
图4.12仪表板中的细节
这三个仪表盘是非常有用的工具,用它们可以很容易地看到从运行捕获过程开始,有多少数据包经过网络,多少帧被过滤挑选出来(拒绝接收),以及计算机因没有足够的资源完成捕获而遗失了多少帧,可以看到从开始到当前时间内,网络的利用率、数据包数目和广播数。
如果发现网络在每天的一定时间都会收到大量的组播数据包,这就可能出现了问题,就需要分析哪个应用程序在发送组播数据包。
(2)主机列表
选择“监视器”菜单中的“主机列表”选项,显示如图4.13所示“主机列表”对话框,该列表框中显示了当前与该主机连接通信的信息,包括连接地址、通信量、通信时间等,例如,选择“IP”标签,可以看到与本机相连接的所有主机的IP地址及其信息。
在该对话框左侧,可以选择不同的按钮,使该主机列表以不同的图形显示,如柱形、圆形等,如图4.14所示。
图4.13“主机列表”选项
图4.14主机列表
上面的柱形图显示为网络中传输字节总数前10位的主机,流量以3D柱形图的方式动态显示,其中最左边绿色柱形图表示网关流量最大,其它依次减小。
由图中可看出网络中广播流量所占的比重相当大,而且172.16.12.51与172.16.56.1两个主机的数据收发也相当多且持久,推断网络中存在异常,这两个主机有可能存在蠕虫病毒或者正在使用某种P2P软件。
4.1.4问题探究
Sniffer(嗅探器)几乎和Internet有一样久的历史。
Sniffer是一种常用的收集有用数据的方法,这些数据可以是用户的账号和密码,可以是一些商用机密数据等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
Sniffer虽然在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,但它也被黑客利用来攻击网络,在Internet安全隐患中扮演重要角色,受到越来越大的关注。
1.Sniffer工作原理
通常在同一个网段的所有网络接口都有访问物理媒体上传输的所有数据的能力,而每个网络接口都有一个硬件地址,该硬件地址不同于网络中存在的其它网络接口的硬件地址,同时,每个网络至少还有一个广播地址(代表所有的接口地址)。
在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:
帧的目标区域具有和本地网络接口相匹配的硬件地址;帧的目标区域具有“广播地址”。
在接收到上面两种情况的数据包时,网卡通过CPU产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
而Sniffer就是一种能将本地网卡状态设成promiscuous状态的软件,当网卡处于这种“混杂”方式时,该网卡具备“广播地址”,它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
(绝大多数的网卡具备设置为promiscuous方式的能力)。
可见,Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
值得注意的是:
Sniffer是极其安静的,它是一种消极的安全攻击。
Sniffer通常运行在路由器或有路由器功能的主机上。
这样就能对大量的数据进行监控。
Sniffer属第二层次的攻击。
通常是攻击者已经进入了目标系统,然后使用Sniffer作为攻击手段,以便得到更多的信息。
Sniffer除了能得到口令或用户名外,还能得到更多的其它信息,比如在网上传送的金融信息等等。
Sniffer几乎能得到任何以太网上传送的数据包。
黑客会使用各种方法,获得系统的控制权并留下再次侵入的后门,以保证Sniffer能够执行。
总之,Sniffer是一个用来窃听的黑客手段和工具。
2.Sniffer的工作环境
Snifffe嗅探器能够捕获网络报文,主要用于分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,网络的某一段运行得不是很好,报文的发送比较慢,但又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
嗅探器在功能和设计方面有很多不同。
有些只能分析一种协议,而另一些能够分析几百种协议。
一般情况下,大多数的嗅探器至少能够分析下面的协议:
(1)标准以太网
(2)TCP/IP
(3)IPX
(4)DECNet
嗅探器通常是软硬件的结合。
专用的嗅探器价格非常昂贵,免费的嗅探器不需要任何费用,但相应支持也较少。
嗅探器与一般的键盘捕获程序不同,键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。
嗅探器通过将其置身于网络接口来达到这个目的。
数据在网络上是以帧(Frame)为单位进行传输的,帧分为几个部分,不同的部分执行不同的功能。
例如,以太网的前12个字节存放的是源地址和目的地址,这就告诉网络数据的来源和去处。
以太网帧的其它部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。
通过网线到达目的主机。
目的主机的以太网卡捕获到这些帧,并通知操作系统帧的到达,然后对其进行存储。
在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
每一个在LAN上的工作站都有其硬件地址。
这些地址唯一地表示网络上的机器(这一点和Internet地址系统比较相似)。
当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“监听”到通过的流量,但对不属于自己的报文则不予响应。
换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据。
如果工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。
基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,也就是和监听的目标中间不能有路由或其它屏蔽广播包的设备,这一点很重要。
所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。
3.Sniffer的分类
Sniffer分为软件和硬件两种,软件的Sniffer有SnifferPro、NetworkMonitor、PacketBone等,其优点是易于安装部署、学习使用及交流;缺点是无法抓取网络上所有的传输数据,某些情况下无法真正了解网络的故障和运行情况。
硬件的Sniffer通常称为协议分析仪,是一个网络故障、性能和安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极大地简化了发现和解决网络问题的过程,广泛适用于Ethernet、FastEthernet、TokenRing、SwitchedLANs、FDDI、X.25、DDN、FrameRelay、ISDN、ATM和Gigabits等网络。
一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
4.Sniffer的扩展应用
(1)专业领域的Sniffer
Sniffer被广泛应用到各种专业领域,例如FIX(金融信息交换协议)、MultiCast(组播协议)、3G(第三代移动通讯技术)的分析系统。
Sniffer可以解析这些专用协议数据,获得完整的解码分析。
(2)长期存储的Sniffer应用
由于现代网络数据量惊人,带宽越来越大。
采用传统方式的Sniffer产品很难适应这类环境,因此诞生了伴随有大量硬盘存储空间的长期记录设备。
例如nGeniusInfinistream等。
(3)易于使用的Sniffer辅助系统
由于协议解码这类的应用曲高和寡,很少有人能够很好的理解各类协议。
但捕获下来的数据却非常有价值。
因此在现实意义上非常流行如何把协议数据采用最好的方式进行展示,从而产生了可以把Sniffer数据转换成Excel的BoneLight类型的应用和把Sniffer分析数据进行图形化的开源系统PacketMap等。
这类应用使用户能够更简明地理解Sniffer数据。
4.1.5知识拓展
前面已提到,Sniffer可以是硬件也可以是软件。
现在品种最多,应用最广的是软件Sniffer,以下是一些被广泛用于调试网络故障的Sniffer工具:
1.商用Sniffer
(1)NetworkGeneral
NetworkGeneral开发了多种产品。
最重要的是ExpertSniffer,它不仅仅可以进行网络嗅探,还能够通过高性能的专门系统发送/接收数据包,帮助诊断故障。
还有一个增强产品“DistrbutedSnifferSystem”可以将UNIX工作站作为Sniffer控制台,而将Snifferagents(代理)分布到远程主机上。
(2)Microsoft'sNetMonitor
对于某些商业站点,可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。
这时很难找到一种Sniffer帮助解决网络问题,因为许多Sniffer往往将某些正确的协议数据包当成了错误数据包。
Microsoft的NetMonitor(以前叫Bloodhound)可以解决这个难题。
它能够正确区分诸如Netware控制数据包、NTNetBIOS名字服务广播等独特的数据包。
这个工具运行在MSWindows平台上。
它甚至能够按MAC地址(或主机名)进行网络统计和会话信息监视。
2.免费软件Sniffer
(1)Sniffit:
LawrenceBerkeley实验室开发,运行于Solaris、SGI和Linux等平台。
可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。
这个Sniffer默认状态下只接受最先的400个字节的信息包,这对于一次登录会话进程刚刚好。
(2)SNORT:
这个Sniffer有很多选项可供使用而且可移植性强,可以记录一些连接信息,用来跟踪一些网络活动。
(3)TCPDUMP:
这个Sniffer很有名,Linux,FREEBSD还搭带在系统上,是一个被很多UNIX高手认为是一个专业的网络管理工具。
(4)ADMsniff:
这是非常有名的ADM黑客集团编写的一个Sniffer程序。
4.1.6检查与评价
1.简答题
(1)什么是Sniffer?
(2)如何部署Sniffer?
(3)如何使用Sniffer捕获数据?
2.实做题:
请为网络中心安装SnifferPro软件,并使用SnifferPro监控该网络。
4.2使用Sniffer检测网络异常
SnifferPro可以进行网络数据包的分析、检测,可以检测网络流量、发现异常数据传输、异常流量等。
利用SnifferPro,可以查找、分析病毒传播途径、确定网络病毒位置。
4.2.1学习目标
通过本单元的学习,应该达到:
1.知识目标
✓理解Sniffer检测网络病毒原理;
✓掌握使用Sniffer发现网络病毒;
✓掌握使用Sniffer对网络病毒进行定位;
✓了解Sniffer检测网络的不足之处。
2.能力目标
✓配置捕获数据过滤器
✓使用Sniffer监控网络流量;
✓使用Sniffer发现网络病毒;
✓使用Sniffer对网络病毒进行定位。
4.2.2工作任务
1.工作任务名称
在网络中部署SnifferPro,并检测网络,发现并定位网络异常原因。
2.工作任务背景
学校很多老师给小张打电话说,最近网络有问题,上网浏览网页变得特别慢,连访问本地的站点都有延迟现象。
3.工作任务分析
老师反映出问题后,小张首先联系了互联网服务提供商,他们近期并没有进行网络维护,因此排除了外因,紧接着又检查了一下网关及代理服务器,一切都运行正常。
经过分析认为,网络中可能有ARP攻击、蠕虫病毒或者有主机使用P2P软件。
4.条件准备
对于小张管理的网络,小张准备了SnifferPro4.7软件,进行网络流量监控和网络异常分析。
4.2.3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学习情境4 网络监听 学习 情境 网络 监听