如何发现和防止Sniffer

合集下载

sniffer 实验报告

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

sniffer的基本原理与防范措施

可以灵活采取各种检测防范措施，最的威胁。关键词：嗅探器；基本原理；防御攻击
中图分类号：ＴＰ３９３．０８
文献标识码：Ａ
文章编号：１６７４ — ７７１２（２０１４）０６ — ０１５０ — ０１
一
ｓｎｉｆｆｅｒ（嗅探器）就是指能够在网络上捕获网络信息的设备，网络技术人员往往要借助它找出网络中的问题，这时ｓｎｉｆｆｅｒ又被称为网络协议分析仪。然而黑客也可以利用它截获网络上的通信信息，获取其他用户的帐号及密码等重要信息。、ｓｎｉｆｆｅｒ的基本工作原理ｓｎｉｆｆｅｒ用英文翻译的意思为 “ 嗅探器 ”，而ｓｎｉｆｆｅｒ也可以这样比喻卧底。它就象进入敌人内部的卧底一样。不断地将敌方的情报送出来。ｓｎｉｆｆｅｒ一般运行在路由器或有路由器功能的主机上。这样就可以达到监控大量数据的目的。它的运行平台也比较多。如Ｌｉｎｕｘ、Ｌａｎｐａｔｒｏｌ、Ｌａｎｗａｔｃｈ、ｎｅｔｍｏｎ等。ｓｎｉｆｆｅｒ属于第二层次（即数据链路层）的攻击。一般是攻击者进入目标系统。然后利用ｓｎｉｆｆｅｒ来得到更多的信息。（如用户名、口令、银行帐户、密码等等），它几乎能得到以太网上传送的任何数据包。通常ｓｎｉｆｆｅｒ程序只需要看到一个数据包的前２００到３５０个字节的数据。就可以得到用户名和密码等信息。由此可见这种攻击手段是非常危险的。通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：（１）帧的目标区域具有和本地网络接口相匹配的硬件地址。（２）帧的目标区域具有 “ 广播地址 ”。在接受到上面两种情况的数据包时，ｎｃ通过ｃｐｕ产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而ｓｎｉｆｆｅｒ就是一种能将本地ｎｃ状态设成（ｐｒｏｍｉｓｃｕｏｕｓ）状态的软件，当ｎｃ处于这种混杂方式时，该ｎｃ具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的ｎｃ具备置成ｐｒｏｍｉｓｃｕｏｕｓ方式的能力）可见，ｓｎｉｆｆｅｒ工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：ｓｎｉｆｆｅｒ是极其安静的，它是一种消极的安全攻击。二、ｓｎｉｆｆｅｒ的工作环境ｓｎｉｆｆｆｅｒ就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器来作出精确的问题判断。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：ＴＣＰ／ＩＰ和ＩＰＸ，嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的。数据在网络上是以很小的称为帧（Ｆｔａｍｅ）的单位传输的帧由好几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发

网络广播风暴的影响及应对措施

网络广播风暴的影响及应对措施【摘要】：网络广播风暴对网络应用会产生极坏性影响, 严重时会导致网络瘫痪。

如何预防和应对网络广播风暴,是网络管理员必须应对的一个课题。

文章介绍了网络广播风暴产生的表现特征, 从理论上分析了产生的原因, 并介绍了具体的应对方法。

【关键词】：网络广播风暴;网络环路;病毒;危害;应对措施一、概述所谓广播风暴，简单的讲，当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常的数据包无法正常在网络中传送，正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。

一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播数据在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

广播可以理解为一个人对在场的所有人说话。

这样做的好处是通话效率高, 信息只需发送一遍就可以传递到网络中的所有计算机。

但是, 即使没有用户人为地发送广播帧, 网络上也会出现一定数量的广播帧。

广播示意图需要注意的是, 广播不仅会占用大量的网络带宽, 而且还将占用计算机大量的CPU处理时间。

广播风暴就是网络长时间被大量的广播数据包所占用, 使正常的点对点通信无法正常进行, 其外在表现为网络速度奇慢无比, 甚至导致网络瘫痪。

二、广播风暴产生原因广播风暴的产生有多种原因，如蠕虫病毒、ARP病毒、交换机端口故障、网卡故障、网络环路等。

一般情况下，产生网络广播风暴的原因，主要有以下几种：1、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。

损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，占用网络带宽引发广播风暴。

由于网卡物理损坏引起的广播风暴，故障比较难排除，损坏的网卡一般还能上网，我们一般用Sniffer 协议类分析软件，查看网络数据流量，来判断故障点的位置。

2、网络环路：曾经在一次的网络故障排除中，发现一个低层次的错误，一条双绞线，两端插在同一个集线器或交换机的不同端口上，导致了网络性能骤然下降，打开内网网页和应用系统都非常困难。

[原创]防范局域网内监听有妙招

1.smac -listp
列出所有网卡号对应的IP地址
2.smac -listmac
列出系统所有网卡的mac地址
3.smac -modifymac 网卡号新的mac地址
修改某个网卡的mac地址
下面我们要更改IP地址192.168.0.10，它对应的MAC地址是A0-01-02-03-27-63，要将它改为A0-01-02-03-27-64，如图1所示：
图３
这时我已经安装了xsniff，看，密码就乖乖地跑道了我们的手中，图４所示：
图４
大家可以从图中看到，我登陆的用户名是squall，密码为123456。
上面是网络监听的大致方法，防止网络监听我们可以采用两种方法，第一种方法是设计安全的网络拓扑结构图，在交换机上进行划分VLAN，这种技术通常被称为分段技术。它将网络上的节点按工作性质与需求划分成若干个“逻辑工作组”，一个逻辑工作组就组成了一个虚拟网络。这样，不在同一VLAN中的主机是不能互相通信的（除非使用路由器），如果某人在VLAN中放置了xsniff，那他只能得到该网段内的信息，从而减少了对网络的安全性。下面，我用一张拓扑图来说明一下，如图５所示：
PGP（Pretty Good Privacy）是一个软件加密程序，用户可以使用它在不安全的通信链路上创建安全的消息和通信，例如电子邮件和网络新闻。PGP使用各种形式的加密方法，它用一种简单的包格式组合消息以提供简单、高效的安全机制，使得消息通过Internet或者其他网络上安全地传送。
在安装完以后，我们只要设置如下选项就可以实现对数据的加密（注：双方必须都安装PGP软件），
图５
从图中可以看出，我已经划分了两个VLAN，假如A君在VLAN3中安装了监听程序，那A君就只能得到VLAN3中的信息，VLAN4是不可以的。为了方便大家理解，我做了一个交换机2950划分VLAN的动画教程放在光盘中，通过此动画，大家就更好的理解了。这里为了节省笔墨，我就不详细说明了。

sniffer嗅探器基本知识

sniffer嗅探器基本知识嗅探器嗅探器保护⽹络嗅探器是⼀种监视⽹络数据运⾏的软件设备，协议分析器既能⽤于合法⽹络管理也能⽤于窃取⽹络信息。

⽹络运作和维护都可以采⽤协议分析器：如监视⽹络流量、分析数据包、监视⽹络资源利⽤、执⾏⽹络安全操作规则、鉴定分析⽹络数据以及诊断并修复⽹络问题等等。

⾮法嗅探器严重威胁⽹络安全性，这是因为它实质上不能进⾏探测⾏为且容易随处插⼊，所以⽹络⿊客常将它作为攻击武器。

⽬录编辑本段简介嗅探器最初由 Network General 推出，由 Network Associates 所有。

最近，Network Associates 决定另开辟⼀个嗅探器产品单元，该单元组成⼀家私有企业并重新命名为 Network General，如今嗅探器已成为 Network General 公司的⼀种特征产品商标，由于专业⼈⼠的普遍使⽤，嗅探器⼴泛应⽤于所有能够捕获和分析⽹络流量的产品。

编辑本段⽹络技术与设备简介在讲述Sniffer的概念之前，⾸先需要讲述局域⽹设备的⼀些基本概念。

数据在⽹络上是以很⼩的称为帧（Frame）的单位传输的，帧由⼏部分组成，不同的部分执⾏不同的功能。

帧通过特定的称为⽹络驱动程序的软件进⾏成型，然后通过⽹卡发送到⽹线上，通过⽹线到达它们的⽬的机器，在⽬的机器的⼀端执⾏相反的过程。

接收端机器的以太⽹卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进⾏存储。

就是在这个传输和接收的过程中，存在安全⽅⾯的问题。

每⼀个在局域⽹（LAN）上的⼯作站都有其硬件地址，这些地址惟⼀地表⽰了⽹络上的机器（这⼀点与Internet地址系统⽐较相似）。

当⽤户发送⼀个数据包时，这些数据包就会发送到LAN上所有可⽤的机器。

在⼀般情况下，⽹络上所有的机器都可以“听”到通过的流量，但对不属于⾃⼰的数据包则不予响应（换句话说，⼯作站A不会捕获属于⼯作站B 的数据，⽽是简单地忽略这些数据）。

如果某个⼯作站的⽹络接⼝处于混杂模式（关于混杂模式的概念会在后⾯解释），那么它就可以捕获⽹络上所有的数据包和帧。

网络安全基础：Trojan、DoS、spoofing攻击及对策

某主机的一个服务端口上出现拥塞现象，此时应该检查绑定在该端口上的服务类型。淹没式和denial of service 式的攻击通常是欺骗攻击的先兆（或是一部分）。
良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后，网络安全管理员应该立刻按照操作规程进行记录，向主管领导汇报，相应的安全措施等处理。
一般来讲，真正需要保密的只是一些关键数据，例如用户名和口令等。使用ip包一级的加密技术，可以使sniffer即使得到数据包，也很难得到真正的数据本身。这样的工具包括 secure shell（ssh），以及F-SSH，尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的，多级别的加密算法。ssh有免费版本和商业版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt.
在路由的层次上,对数据流进行过滤, 通过合适的配置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.
2.3 spoofing attack(电子欺骗)：
针对http，ftp，dns等协议的攻击，可以窃取普通用户甚至超级用户的权限，任意修改信息内容，造成巨大危害。所谓ip欺骗，就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器，借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击：
2.2.3 其它
还有一些针对其它服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的很大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。

如何发现防止Sniffer嗅探器

一
使用下面的命令：ｐｓ－ａｕｘ或：
ｐｓ－ａｕｇｘ。这个命列出当前的所有
条这样的路径，即信任关系有多
进程，启动这些进程的用户，它们占当然最关键的是怎样使用它。
用ＣＰＵ的时间，占用内存的多少等
是否有一个Ｓｎｉｆｅｒ正在运行。
防止ｓｎｉｆｅｒ驻入
同一个房间里，或在同一个办公室里。比如你的财务信息，应该固定在
对于嗅探器如此强大的 ‘ 灵敏某一节点，就象你的财务部门被安排
通过一些网络软件，可以看到信度 ’ ，你最关心的可能是传输一些比在办公区域的的一个不常变动的地息包传送情况，向ｐｉｎｇ这样的命令较敏感的数据，如用户ＩＤ或口令等方。
安全咖啡屋
计算机与网络创新生活
如何在网络中发现一个Ｓｎｉｆｅｒ，
简单的一个回答是你发现不了。因
序，所以都会给发现ｓｎｉｆｅｒ造成相当
大的困难。
是硬件需要。开始处理网络拓扑则要
会告诉你掉了百分几的包。如果网
等。有些数据是没有经过处理的，一
第二点：注意每台机器是通过硬

sniffer实验报告

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

工具。这个周期值根据不同的站点、不同的网络负荷、测试的机器
数量和网站策略等而不同。
三、怎样防止被 S n iffe r
要防防止 Sniffer 并不困难, 有许多可以选用的方法, 但关键是需要增加开销。用户最关心的是一些比较敏感的数据的安全, 如用户 ID 或口令等。有些数据是没有经过处理的, 一旦被 Sniffer 就能
另一个方法就是在系统中搜索, 查看可疑文件, 但可能入侵者用
的是他们自己写的程序, 所以都给发现 Sniffer 造成相当大的困难。
还有许多工具能用来看看系统会不会工作在 promiscuous 模
式上, 从而发现是否有 Sniffer 程序在运行。对于除网络响应时间检查外的测试, 每一台机器会返回一个确定的正值或负值。返回的正
另一个比较容易接受的防止监听的方法是使用安全的网络拓
朴结构。一个网络段必须有足够的理由才能信任另一个网络段。网
获得这些信息。解决这些问题的办法就是加密。加密一般采用 SSH
( 又叫 Secure Shell) 是一个在应用程序中提供安全通信的协议。它
是建立在客户机 / 服务器模型上的。SSH 服务器的分配端口是 22。
连接是通过使用一种来自 RSA 的算法建立的。在授权完成后, 接下来的通信数据是用 IDEA 技术加密的。这通常是较强的, 适合于任何非秘密和非经典的通讯。
VO CATIONAL
TECHNO LOG Y 职业
技术
专题研究
如何发现和防止 S n if f e r
摘要: 网络监听主要使用 Sniffer( 嗅探器) , 是一种常用的收集有用数据的工具, 这些数据可以是用户的帐户和密码, 也可以是一些商用机密数据等。网络监听是采用被动的方式, 它不与其他主机交换信息, 也不修改密码, 这就使对监听者的追踪变得十分困难, 因为他们根本就没留下任何痕迹。解决这些问题的办法就是加密和网络拓朴结构。
值表示该机器正处于混杂模式。还可以根据这个返回值定义报警
或提示。对于网络响应时间测试的返回值, 建议用Байду номын сангаас根据第一次返
回的数值计算标准值, 然后再对在 flood 和非 flood 两次测试的返
回结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下, AntiSniff 的下一次测试将会记录到混杂模式和非混杂模式的差值( 正值) 。建议尽可能周期性地运行这个
关键词: 嗅探器; 加密; 网络拓朴结构河南唐银敏
一、网络监听 S niffe r 的工作原理通常, 数据在网络上是以很小的称为“帧”( 又称包) 的单位传输的, 帧由多个部分组成, 不同的部分对应不同的信息以实现相应的功能。例如: 以太网的前 12 个字节存放的是源地址和目的地址, 这些数据告诉网络该帧的来源和去处。其余则部分存放实际用户数据、TCP/IP 的报头或 IPX 报头等。帧是根据通信所使用的协议, 由网络驱动程序按照一定规则生成, 然后通过网络接口卡( 网络接口卡, 在局域网中一般指网卡) 发送到网络中, 通过网线传送到它们的目的主机, 在目的主机的一端按照同样的通信协议执行相反的过程。接收端计算机的网络接口卡捕获到这些帧, 并告诉操作系统有新的帧到达, 然后对其进行存储。在正常情况下, 网络接口卡读入一帧并进行检查, 如果帧中携带的目的地址( 是指物理地址而非 IP 地址, 该地址是网络设备的惟一性标志) 和自己的物理地址一致或者是广播地址 ( 就是被设定为一次性发送到网络所有主机的特殊地址, 当目标地址为该地址时, 所有的网络接口卡都会接收该帧) , 网络接口卡通过产生一硬件中断引起操作系统注意, 然后将帧中所包含的数据传送给系统进一步处理, 否则就将这个帧丢弃。可以想象到这样一种特殊情况 : 将本地网络接口卡设置成 promiscuous 模式(“混杂”状态来实现) , 网络中某个网络接口卡的物理地址不能确定, 该网络接口卡将会接收所有在网络中传输的帧, 无论该帧是广播的还是发向某一指定地址的, 这就形成了监听。如果某一台主机被设置成这种监听模式, 它就形成了一个 Sniffer。以太网 sniffer 是指对以太网设备上传送的数据包进行侦听, 发现感兴趣的包, 如果发现符合条件的包, 就把它存到一个 log 文件中去, 通常设置的这些条件是包含字“username”或“password”的包。它的目的是将网络层放到 Promiscuous 模式上, 进行网络数据帧的监听。Promiscuous 模式是指网络上的所有设备都对总线上传送的数据进行侦听, 并不仅是它们自己的数据。当一个设备要向某一目标发送数据时, 它是对以太网进行广播的。一个连到以太网总线上的设备在任何时间里都在接收数据。不过只是将属于自己的数据传送给该计算机上的应用程序。利用这一点, 可以将一台计算机的网络连接设置为接受所有以太网总线上的数据 , 从而实现 Sniffer。Sniffer 通常运行在路由器上或有路由器功能的主机上。这样就能对大量的数据进行监控。Sniffer 属第二层( 数据链路层) 的攻击。通常是攻击者已经进入了目标系统, 然后使用 Sniffer 这种攻击手段, 以便得到更多的信息。二、怎样在网络上发现一个 S n iffe r 网络监听是采用被动的方式, 它不与其他主机交换信息, 也不
修改密码, 这就使对监听者的追踪变得十分困难, 因为他们根本就
没留下任何痕迹。一个主要的办法是看看计算机上当前正在运行
的所有程序, 这通常并不可靠, 但用户能控制哪个程序可以在计算
机上运行。在 Windows 系统下, 按下 Ctrl+Alt+Del, 看一下任务表。不过编
程技巧高的 Sniffer 即使正在运行, 也不会出现在这里的。