第4章网络嗅探与协议分析41页PPT

新版网络扫描与网络嗅探工具的使用课件.doc

网络123班201200824306 张静网络扫描与网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包与协议分析工具Wireshark（3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境Windows xp操作系统平台，局域网环境网络抓包与协议分析工具Wireshark扫描器软件：Superscan三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图（3）使用Wireshark数据报获取，抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:（4）TCP三次握手过程分析（以第一次握手为例）主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示：第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为:第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。

Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。

Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。

Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。

Options选项8字节使用superscan 扫描（1）下载并安装（2）主界面如下所示：（3）使用superscan对远程主机和本地主机进行端口扫描通过ping来检验IP是否在线：ping 172.16.1.64（4）单击port list setup进入如下界面：（5）软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马：四实验总结通过本次实验，我理解了网络嗅探的工作机制和作用，它可以用来窃听计算机在网络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的数据，用来接收在网络上传输的信息，并且掌握了常用的网络抓包与协议分析工具Wireshark的使用方法。

网络抓包与分析培训.pptx

常见的网络分析器产品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科来协议分析、allot。 Sniffer公司目前主推硬件分析
还有免费的Ethereal、Wireshark（原Ethereal作者自行开发的）协议分析器等。
另外，Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
抓包接入
交换式网络 - 交换机具备管理功能（端口镜像）
使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上方式
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析器和广域网分析器，也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据，它采用特殊的接口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广域网以便于捕获流经的数据流。
常见的危害有：
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由，嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息，比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号，然而嗅探器可以很轻松地截获在网上

网络嗅探技术ppt

而对于网卡来说一般有四种接收模式：
l 广播方式：该模式下的网卡能够接收网络中的所有广播信息； l 组播方式：设置在该模式下的网卡能够接收组播数据；
l 直接方式：在这种模式下，只有目的网卡才能接收该数据；
l混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。与HUB只是简单地把所接收到的信号通过所有端口重复发送出去不同，Switch却可以检查每一个收到的数据包，并对数据包进行相应的处理。在Switch内保存着每一个网段上所有结点的物理地址，只允许必要的网络流量通过Switch。举例来说，当Switch接收到一个数据包之后，根据自身保存的网络地址表检查数据包内包含的发送方和接收方地址。如果接收方位于发送方网段内，该数据包就会被Switch丢弃，不能通过交换机传送到其它的网段；如果接收方和发送方位于两个不同的网段，该数据包就会被Switch转发到目标网段。这样，通过交换机的过滤和转发，可以有效避免网络广播风暴，减少误包和错包的出现。
伪造MAC地址也是一种常用的办法，不过这要基于你网络内的Switch 是动态更新其地址表，这实际上和我们上面说到的 ARP Spoof 有些类似，只不过现在是想要Switch相信你，而不是要机器A相信你。因为Switch是动态更新其地址表的。其关键技术是需要向Switch发送伪造过的数据包，其中源MAC地址对应的是机器C的MAC地址，现在Swit单的例子，如图11-2所示，机器A、B、C与集线器HUB相连接，集线器HUB通过路由器Router访问外部网络。
值得注意的一点是机器 A、B、C使用一个普通的 HUB连接的，不是用 Switch ，也不是用 Router ，使用 Switch 和 Router 的情况要比这复杂得多。

实验3协议分析与网络嗅探

据的加密，从而保护传输数据的平安性 • VPN、SSL、SSH等加密手段可有效防范
sniffer的嗅探。 • 利用网络设备的物理或者逻辑隔离的手段，
可以防止信息的泄密 • 利用交换机的VLAN功能，实现VLAN间的
三. 实验环境
• 三. 实验环境
– 两台运行windows 2000/XP的计算机，通过 HUB相连组成局域网，其中一台安装Sniffer Pro软件。
TCP三次握手
捕获的报文
密码十验内容
• 3 HTTP口令的嗅探过程
四. 实验内容
• 3 HTTP口令的嗅探过程
五. 实验报告要求
– (1)将两台主机连接在一个HUB上，其中一台主机使用Telnet登录另一台主机，在任一台主机上按照sniffer网络嗅探工具进展登录口令嗅探，把口令嗅探步骤以及嗅探到的重要信息进展记录。
实验3 协议分析和网络嗅探
目录
• 一. 实验目的 • 二. 实验原理 • 三. 实验环境 • 四. 实验内容 • 五. 实验报告要求
一. 实验目的
• 一. 实验目的 • 理解TCP/IP协议中多种协议的数据构造、
会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。 • 通过实验了解FTP、HTTP等协议明文传输的特性，以建立平安意识，防止FTP、 HTTP等协议由于传输明文密码造成的泄密。
四. 实验内容
• 1 sniffer的使用
sniffer主界面
四. 实验内容
• 1 sniffer的使用
Host Table中按照IP显示流量信息
四. 实验内容
• 1 sniffer的使用
Traffic Map
四. 实验内容
• 2 FTP口令的嗅探过程

网络嗅探与协议分析要点课件

案例三：IP分片与重组分析
要点一
IP分片概念
IP分片是指在网络传输中，由于数据包过大而需要进行拆分的一种技术。
要点二
IP分片过程
当一个数据包过大时，需要在发送端将其拆分成多个小数据包，并在接收端将这些小数据包重新组合成原来的数据包。这个过程就叫做IP分片与重组。
谢谢聆听
域名解析
通过DNS服务器将域名转换为IP地址。
记录类型
A、AAAA、MX、CNAME 等，表示不同的域名解析记录类型。
查询过程
DNS客户端向DNS服务器发送查询请求，服务器返回相应的解析结果。
网络嗅探与协议分析应用场景
05
网络故障排查
诊断网络连接问题
通过嗅探网络流量，分析数据包中的信息，确定网络故障的原因，如丢包、延迟等。
TCP/IP协议栈的主要协议 TCP、IP、UDP、HTTP、FTP、SMTP等。
数据链路层协议
数据链路层协议概述
数据链路层协议负责在物理层的基础上，建立和维护网络连接，实现数据链路的建立、管理和释放。
数据链路层的主要协议
以太网协议（Ethernet）、无线局域网协议（WLAN, Wi-Fi）、点对点协议（PPP）等。
取或篡改。
案例二：TCP三次握手过程分析
TCP三次握手概念
TCP三次握手是一种建立TCP连接的过程，需要经过三次握手才能完成连接的建立。
TCP三次握手过程
在TCP三次握手过程中，客户端发送一个SYN报文给服务器，请求建立连接。服务器收到SYN报文后，发送一个 SYN+ACK报文给客户端，表示同意建立连接。客户端再发送一个ACK报文给服务器，确认连接建立。
OSI七层模型

第4章网络嗅探与协议分析

实现嗅探的软件或硬件设备
嗅探获得数据→二进制格式数据报文解析和理解二进制数据，获取各层协议字段和应用层传输数据→
网络协议分析
共四十二页
网络嗅探的危害与作用 (wǎngluò)
攻击者：内网渗透技术
窃取机密信息为发起进一步攻击收集信息
防御者
管理员可以用来监听(jiān tīnɡ)网络的流量情况，定位网络故障为网络入侵检测系统提供底层数据来源基础
5元组: sip, sport, dip, dport, ipproto
网络流高层(ɡāo cénɡ)统计
IP会话列表<sip, sport> 目标端口流统计<dport>
网络报文分析工具
集成工具: Wireshark 网络流重组: nstreams, snort 高层统计和摘要分析: Netflow, RRDTools
驱动程序: NPF(NetGroupPacket Filter) 用户态函数库：winpcap 用户态嗅探程序：windump等
共四十二页
BPF(Berkeley Packets Filter)
BSD数据包捕获
BPF是一个核心态的组件(zǔ jiàn)，支持数据包“过滤”抓取 Network Tap接收所有的数据包 BPF虚拟机机器语言的解释器，比较/算术等操作 Kernel Buffer，保存过滤器送过来的数据包 User buffer，用户态上的数据包缓冲区
Libpcap(一个抓包工具库)支持BPF
Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的
BPF是一种比较理想的抓包方案
在核心态，所以效率比较高目前类UNIX系统的标准抓包内核模块
共四十二页
BPF与Libpcap

网络嗅探器的制作PPT课件

2021
12
二、界面的简易设计
2021
13
双击左侧的Resource>MySniffer resources> IDD_MYSNIFFER_DIALOG，就可以进入图形化界面设计
控件表
2021
14
静态文本
要用到的控件简介
编辑框
按钮
列表控件
2021
15
创建一个静态文本，并右键点击它，选中属性，将ID修改为“IDC_STATIC_SELECT_DEVICE”，标题修改为“选择网络适配器序号:”
49
到文件的最下面，添加对回调函数 packet_handler的函数定义：
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { }
2021
50
找到OnButtonStart函数，为“开始”按钮添加动作响应：
else
{
m_str="No description available";
m_device.SetItemText(i-1,2,m_str);
}
}
2021
42
按F5调试运行，并单击“网络适配器”你会发现第一个列表中显示出了当前主机上的网络适配器的相关信息
2021
43
回到OnButtonGetDevice函数，并添加如下所示代码：
2021
25
选中IDC_LIST_PACK，并点击NM_CLICK，再点击ADD FUNCTION，添加事件响应函数
2021
26

网络安全管理-嗅探

E0
C
E2 Switch
X X
E1
0260.8c01.3333
D
E3
0260.8c01.4444
0260.8c01.2222
12
网络安全技术
2016/12/6
江苏经贸
问题
嗅探就是截获网络上的数据。共享式以太网中，数据已经到达了网络接口，为什么主机实际接收到的数据中并没有包含其它主机的通信呢？
13
江苏经贸
演示：共享局域网口令嗅探
主机A： FTP服务器您的主机？Username student ？Password htjtyd%32 主机B：安装了 “窃听程序” 的主机 Username：student Password：htjtyd%32
如果主机B处于主机A和FTP通信的信道上，就可以“窃听到”合法的用户名及口令。
0260.8c01.2222
11
网络安全技术
2016/12/6
江苏经贸
交换式以太网包转发
MAC address table
A
E0: E2: E1: E3:
0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444
B
0260.8c01.1111
应用数据应用数据应用数据应用数据
操作系统
操作系统网络设备
15
网络安全技术
2016/12/6
江苏经贸
数据接收
以太网卡首先从网络中接收数据，处理完成数据链路层的任务向操作系统的传递。
16
网络安全技术
2016/12/6
江苏经贸
以太网卡的工作原理
网卡接收到传输来的数据，网卡内的单片程序检查数据帧的目的MAC地址，根据网卡驱动程序设置的接收模式决定是否接收