Sniffer的数据包分析与防范
sniffer 实验报告
sniffer 实验报告Sniffer实验报告引言:在当今数字化时代,网络安全问题备受关注。
Sniffer作为一种网络安全工具,被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。
本报告旨在介绍Sniffer的原理、应用以及实验结果,并探讨其在网络安全中的重要性。
一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器,它能够截获经过网络的数据包,并对其进行分析和解码。
其工作原理主要包括以下几个步骤:1. 网络接口监听:Sniffer通过监听网络接口,获取经过该接口的数据包。
这可以通过底层网络协议(如以太网、无线网络等)提供的API实现。
2. 数据包截获:一旦Sniffer监听到网络接口上的数据包,它会将其截获并保存在内存或磁盘中,以便后续分析。
3. 数据包解析:Sniffer对截获的数据包进行解析,提取其中的关键信息,如源IP地址、目标IP地址、协议类型、端口号等。
这些信息可以帮助分析人员了解网络流量的来源、目的和内容。
4. 数据包分析:通过对解析得到的数据包进行深入分析,Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。
二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具,在各个领域都有广泛的应用。
以下是几个典型的应用场景:1. 网络管理与监控:Sniffer可以用于监测网络流量,分析网络性能和带宽利用情况。
通过对数据包的分析,可以及时发现网络故障和异常,提高网络管理的效率。
2. 安全漏洞发现:Sniffer可以检测网络中的异常流量和未经授权的访问行为,帮助发现系统的安全漏洞。
它可以捕获潜在的攻击数据包,并通过分析判断是否存在安全威胁。
3. 网络流量分析:Sniffer可以对网络流量进行深入分析,了解用户的行为习惯、访问偏好以及网络应用的使用情况。
这对于网络服务提供商和广告商来说,有助于优化服务和精准投放广告。
4. 数据包调试与故障排查:在网络通信过程中,数据包传输可能会出现错误或丢失。
sniffer的基本原理与防范措施
中图分类号 :T P 3 9 3 . 0 8
文献标识码 :A
文章编号 :1 6 7 4 — 7 7 1 2( 2 0 1 4 ) 0 6 — 0 1 5 0 — 0 1
一
s n i f f e r( 嗅探器)就是指 能够在 网络上捕 获网络信息 的 设 备,网络技术 人员往往 要借助 它找 出网络 中的问题,这时 s n i f f e r又被称 为网络协 议分析仪。然 而黑客也可 以利用它截 获网络上 的通信信息, 获取其他用户的帐号及密码等重要信息 。 、s n i f f e r 的 基 本 工 作 原 理 s n i f f e r 用 英文翻译的意思为 “ 嗅探器 ”,而 s n i f f e r也 可 以这样 比喻卧底 。它就象进入 敌人 内部的卧底 一样 。不断地 将敌方 的情报送 出来 。s n i f f e r一般运行在路 由器或有路 由器 功能的主机上 。这样就可以达到监控大量数据的 目的。它的运 行平台也 比较 多。如 L i n u x 、 L a n p a t r o l 、L a n w a t c h 、 n e t m o n 等。 s n i f f e r 属 于第 二层次 ( 即数据链路层 )的攻击。一般 是攻击 者进 入 目标系统 。然后利用 s n i f f e r来得到更 多的信息 。 ( 如 用户名、 口令 、银行帐户、密码等等 ),它 几乎能得到 以太网 上传送 的任何数据包 。通常 s n i f f e r 程序只 需要看到一个数据 包的前 2 0 0到 3 5 0个字节 的数据 。就可以得 到用户名和密码等 信 息。由此可见这种攻击手段是非常危险的。通常在 同一个网 段的所有 网络接 口都有访 问在 物理媒体 上传输 的所 有数据 的 能力 ,而每个 网络接 口都还应该有一个 硬件地址 ,该硬件地址 不同于网络 中存在的其他 网络接 口的硬件地 址,同时 ,每个 网 络至少还要一个广播地址 。 ( 代表所有 的接 口地址 ),在 正常 情况下 ,一个合法 的网络接 口应该只响应这样 的两种数据 帧: ( 1 ) 帧 的目标区域具有和本地 网络接 口相 匹配 的硬件地址。( 2 ) 帧 的 目标区域具有 “ 广播地址 ”。在接受到上面两种情况 的数 据 包时,n c通过 c p u产生一个 硬件 中断,该中断 能引起 操作 系统注意 ,然后将帧 中所包含的数据传送给系统进一步处理 。 而 s n i f f e r 就是一种 能将本地 n c 状态 设成 ( p r o m i s c u o u s )状 态的软件 ,当 n c处于这种 混杂 方式时,该 n c具备 广播 地址 ,它对所 有遭 遇到的每 一个 帧都产生一个硬件 中断 以便 提醒操作系统处理流经该物理媒体上的每一个报文包 。 ( 绝大 多数 的 n c 具 备置成 p r o m i s c u o u s方式的能力 )可见,s n i f f e r 工作在网络环 境中的底层 ,它会拦截所有的正在网络上传送的 数据 ,并且通过 相应 的软 件处理 ,可以实 时分析这些数 据的 内容 ,进 而分析所处 的网络状态和整体布局 。值 得注意 的是: s n i f f e r是极其 安静 的,它是一种消极的安全攻击 。 二、s n i f f e r的工作环境 s n i f f f e r就是能够捕 获 网络报 文的设 备。嗅探器 的正当 用处在于分析 网络 的流量,以便找 出所关心的网络 中潜在的问 题 。 例 如 ,假 设 网 络 的 某 一段 运 行 得 不 是 很 好 ,报 文 的发 送 比 较慢 ,而我们又不知道问题 出在什么地方,此 时就可 以用嗅探 器来作出精确 的问题判断。嗅探器在功能和设计方面有很多不 同。有些只能分析一种协 议,而另一些可能能够分析几百种协 议。一般情况下 ,大多数 的嗅探器至少能够 分析下面 的协议: T C P / I P和 I P X ,嗅探器与一般的键 盘捕 获程序不 同。键盘捕获 程序捕获在终端上输入的键值 ,而嗅探 器则捕获真实的网络报 文 。嗅探器通过将其置身于网络接 口来达到这个 目的。 数据 在 网络 上是 以很 小 的称 为帧 ( F t a m e )的单位 传输 的帧 由好几 部分组 成,不 同的部分执行 不 同的功 能。帧通过 特定 的称 为网络驱动程 序 的软 件进行成 型,然后通过 网卡发
sniffer数据包捕获
实训报告一、sniffer的功能认知;1. 实时网络流量监控分析Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析,对每个链路上的网络流量根据用户习惯,可以提供以表格或图形(条形图、饼状图和矩阵图等)方式显示的统计分析结果,内容包括:·网络总体流量实时监控统计:如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。
·协议使用和分布统计:如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。
Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。
同时,Sniffer 也具有特有的灵活性允许增加自定义的应用。
一旦应用协议加入Sniffer,针对应用的所有的监控、报警和报告便自动生效;·包尺寸分布统计:如某一帧长的帧所占百分比,某一帧长的帧数等。
·错误信息统计:如错误的CRC校验数、发生的碰撞数、错误帧数等;·主机流量实时监控统计:如进出每个网络节点的总字节数和数据包数、前x个最忙的网络节点等;话节点对等;·Sniffer还提供历史统计分析功能,可以使用户看到网络中一段时间内的流量运行状况,帮助用户更好的进行流量分析和监控。
2.应用响应时间监控和分析Sniffer 在监控网络流量和性能的同时,更加关注在网络应用的运行状况和性能管理,应用响应时间(ART)功能是Sniffer中重要的组成部分,不仅提供了对应用响应时间的实时监控,也提供对于应用响应时间的长期监控和分析能力。
首先ART监控功能提供了整体的应用性能响应时间,让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况,如客户机/服务器响应时间、服务器响应时间,最快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。
sniffer功能和使用详解
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
sniffer工作原理
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。
其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。
在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。
这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。
解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。
通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
实验四 使用Sniffer工具进行TCPIP、ICMP数据包分析
实验4 使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用,1)实现捕捉ICMP、TCP等协议的数据报;2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构,会话连接建立和终止的过程,TCP序列号、应答序号的变化规律,了解网络中各种协议的运行状况;3)并通过本次实验建立安全意识,防止明文密码传输造成的泄密。
2、实验环境两台安装Windows2000/XP的PC机,其中一台上安装有Sniffer软件,两台PC是通过HUB或交换机处于联网状态。
3、实验任务1)了解Sniffer安装和基本使用方法,监测网络中的传输状态;2)定义过滤规则,进行广义的数据捕获,分析数据包结构;3)定义指定的捕获规则,触发并进行特定数据的捕获:●ping ip-address●ping –l 1000 ip-address●ping –l 2000 ip-address●ping –l 2000 –f ip-address●(在IE地址栏中,输入)4、实验步骤Sniffer主窗口详细信息警告日志Expert捕获的数据信息Ip文件头信息Hex窗口主机列表Ip标签选择协议选择过滤器5、实验总结:通过Sniffer Pro监控网络程序以进行网络和协议分析,需要先使Sniffer Pro捕获网络中的数据。
在工具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图9所示“Expert”对话框,此时,Sniffer便开始捕获局域网与外部网络所传输的所有数据。
要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口中显示所捕获数据的详细信息。
此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成上下箭头时,向上拖动该横线,就可以看到所选择数据包的详细信息了。
“Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图12所示。
sniffer工作原理
sniffer工作原理Sniffer是一种网络安全工具,它可以截获网络数据包并分析其中的内容。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的工作流程可以分为以下几个步骤:1. 捕获数据包Sniffer通过网络接口卡(NIC)截获网络数据包。
NIC是计算机与网络之间的接口,它可以将计算机发送的数据转换成网络数据包,并将网络数据包转换成计算机可以理解的数据。
Sniffer通过NIC截获网络数据包,然后将数据包传递给分析程序进行分析。
2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。
分析程序可以根据需要对数据包进行过滤、排序、统计等操作,并将分析结果输出到屏幕或保存到文件中。
分析程序可以根据需要对数据包进行深度分析,例如分析数据包中的协议、源地址、目的地址、端口号等信息。
3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。
分析结果可以以图形化界面或命令行方式呈现,用户可以根据需要选择不同的显示方式。
分析结果可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
例如,网络管理员可以使用Sniffer来监控网络流量,发现网络中的异常行为,及时采取措施保障网络安全;网络安全专家可以使用Sniffer来分析网络攻击行为,发现攻击者的攻击手段和目的,提高网络安全性;网络工程师可以使用Sniffer来排查网络故障,快速定位故障点,提高网络可靠性。
总之,Sniffer是一种非常实用的网络安全工具,它可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。
然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。
鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。
最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。
关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1.信息监听的意义;我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。
监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。
2、Sniffer的介绍;Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。
Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。
Sniffer可以是硬件也可以是软件。
主要用来接收在网络上传输的信息。
网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。
Sniffer的优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。
硬件的Sniffer通常称为协议分析仪,具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
Sniffer是个非常之危险的东西,它可以截获口令,可以截获到本来是秘密的或者专用信道内的信息,截获到信用卡号、经济数据、E-mail等等,更加可以用来攻击与己相临的网络。
3、网络数据包的结构;数据在网络中的传输要遵循不同的协议,根据不同的标准可以有不同的分层模型。
这里有ISO 七层模型和TCP/IP 的五层模型,ISO 七层分为:物理层、数据链路层、网络层、运输层、会话层、表示层、应用层;TCP/IP 的四层为:网络接口层、网络层、运输层、应用层。
数据在网络中的传输通过使用一些特定的协议来实现,下面以TCP/IP 的四层模型为例,每一层都有一些特定的协议构成(如图1所示)HTTP FTP 和Telnet 等 TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡(DLC ) ARP 图1网络中的数据包的总体结构如图2所示,数据在从应用层到达传输层时,将添加TCP 数据段头,或是UDP 数据段头。
在网络层,还要给数据包添加一个下面具体介绍一下TCP 、UDP 和IP 数据包的格式:2.UDP 报文的格式如图4所示;3.IP 报文结构为IP 协议头+载荷(详细内容如图3所示),信息监听时对IP 协议头部的分析,时分析IP 报文的主要内容之一。
0 4 8 16 19 24 31版本:4个字节;首部长度:单位为4字节,最大60字节总长度:单位为字节,最大65535字节标识:IP报文标识字段标志:MF=1,后面还有分片的数据包MF=0,分片数据包的最后一个DF=1,不允许分片DF=0,允许分片偏移量:分片后的分组在原分组中的相对位置,单位为8字节生存时间:TTL(Time To Live)丢弃TTL=0的报文协议:携带的是何种协议报文首部检验和:对IP协议首部的校验和源IP地址:IP报文的源地址目的IP地址:IP报文的目的地址数据发送时从协议栈的高层到底层,会在每一层根据所使用的不同协议添加不同的数据头,所以通常在底层直接截获得到的数据包内,会有不止一个的协议头。
数据在从应用层到达传输层时,将添加TCP数据段头,或是UDP数据段头。
在网络层,还要给数据包添加一个IP数据段头以组成IP数据报。
4. ARP是地址解析协议,它是物理网络系统的一部分,不是网络协议的一部分,它的报文格式如图6所示。
4、Sniffer的数据报文解码;Sniffer具有强大的网络流量捕捉能力,可以将网络流量捕捉到计算机的内存或直接存储到硬盘上,从而进行解码分析。
Snifer能够对很多种协议进行解码分析,它的解码界面也是解码的一个标准界面。
解码界面分为Summary(概要解码)、Detail(详细解码)、Hex(十六进制码)。
通过以上对几种主要的数据报格式的介绍,有利于我们对Sniffer解码的理解。
下面介绍一下Sniffer对几种重要的协议的解码分析。
4.1 ARP协议的解码分析ARP协议,即地址解析协议,它提供了一种可以把IP地址映射到物理地址的协议。
通过分析Sniffer捕获的数据包中的ARP协议,可以知道信息的发送方和接收方的一些相关数据,如图7是捕获的数据包中的ARP协议内容:图7从以上的数据包可以看出ARP协议中的详细内容,例如:硬件类型(Hardware type)字段指明发送方想要知道的硬件接口类型,对于以太网,该字段含有的值为“1”;操作(Opcode)字段指明的是ARP请求(1)、ARP响应(2)、ARP请求(3)、ARP响应(4);硬件地址长度字段和协议地址长度字段分别指出了硬件地址和高层协议地址的长度;目标硬件地址和目标协议地址字段分别指出了目标硬件地址和目标IP地址。
4.2 IP协议的解码分析IP是英文Internet Protocol(网络之间互连的协议)的缩写,中文简称为“网协”,也就是为计算机网络相互连接进行通信而设计的协议,图8为Sniffer 对IP协议首部的解码分析。
从图8中可以看出IP数据报文中的详细内容,例如:版本(Version)字段指出了数据报所用的IP协议的版本信息;生存时间(Time to live)字段指明了数据报在互联网系统中允许保留的多长时间;首部校验和(Header checksum)字段等等。
这些内容与图5中的IP数据报文格式中的内容一一对应。
图84.3 UDP协议的解码分析UDP协议,用户数据报协议(User Datagram Protocol)提供应用程序之间发送数据报的基本机制。
用户数据报可以分为UDP首部和UDP数据区,下图是Sniffer对UDP协议首部的解码分析。
图9从图中可以看出,Source Port 为UDP 源端口,Destination 为UDP 目的端口,Length 为UDP 报文长度,Checksum 为UDP 检验和。
4.4 TCP 协议的解码分析TCP 协议,传输控制协议(Transmission Control Protocol ),它是面向连接的协议,所有的数据传输过程必须在一个TCP 连接的基础上进行,也就是说如果需要TCP 传输,首先要建立一个TCP 连接。
TCP 的连接过程,请求方和服务方需要在网络中传送三个数据包,即TCP 的三次握手。
具体过程如下图所示:图10 TCP 三次握手通过Sniffer 捕获的数据包可以清楚地看到TCP 的三次握手过程,下图所示为TCP 连接的请求数据包。
图11 TCP 链接请求包 源端口为客户端自动生成 目的端口为服务器提供服务所用的端口客户端为这个链接分配的初始TCP 序列号SYN 标识位客户端MSS 大小服务器收到客户端发送的TCP SYN 包后向客户端发送TCP ACK 数据包,如图。
图12 TCP 连接SYN ACK 包第三步是客户端发送ACK ,三次握手完成,TCP 连接建立,如下图所示图13 TCP 连接过程第三个包服务器服务端口服务器MSS 大小ACK 标识位5、信息安全问题产生的原因及如何防范信息监听;进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
信息的保密性、完整性、可用性、可控性就成了关键因素。
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。
1.互联网的开放性。
从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。
由于互联网成员的多样和位置的分散,其安全性并不好。
互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。
也就是说从技术层面上截取用户信息的可能性是显然存在的。
网络的开放性是信息安全问题产生的主要原因。
2.计算机网络系统安全漏洞。
系统安全漏洞,也叫系统脆弱性(Vulnerability) ,简称漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。
非法用户可以利用漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权限,从而破坏系统的安全性。
漏洞是针对系统安全而言的,包括一切可导致威胁、破坏计算机系统安全性(完整性、可用性、保密性、可靠性、可控性)的因素。
任何一个系统,无论是软件还是硬件都不可避免地存在漏洞,所以从来都没有绝对的安全。
当然漏洞的存在本身并不能对系统安全造成什么损害,关键的问题在于攻击者可以利用这些漏洞引发安全事件。
3.网络小甜饼cookie。
所谓的cookie就是用户在登陆某些需要用户名的网站上所留下的一些登陆痕迹,用户的cookie会在关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断。
Cookie 是用户输入另一种形式,它是以纯文本形式在浏览器和服务器之间传送,任何可以截取 Web 通信人都可以读取Cookie。
为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。
针对Sniffer的监听机制,可以有以下几种方法防范Sniffer的监听。
1.防火墙技术。
我们知道,sniffer一般是发生在以太网内的,那么,很明显,首先就要确保以太网的整体安全性,因为sniffer行为要想发生,一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行sniffer,去收集以太网内敏感的数据信息。