【正文】 網(wǎng)絡(luò)協(xié)議分析及嗅探原理 常用嗅探器 網(wǎng)絡(luò)嗅探防范技術(shù) 第 11章 網(wǎng)絡(luò)嗅探技術(shù) 本節(jié)內(nèi)容 嗅探技術(shù)與嗅探器 通信協(xié)議分析 嗅探原理 簡(jiǎn)單的嗅探技術(shù) 網(wǎng)絡(luò)協(xié)議分析及嗅 探原理 嗅探技術(shù)與嗅探器 嗅探器 (Sniffer)可以理解為一個(gè)安裝在計(jì)算機(jī)上的竊聽(tīng)設(shè)備，它可以用來(lái)竊聽(tīng)計(jì)算機(jī)在網(wǎng)絡(luò)上所產(chǎn)生的眾多的信息。一部電話的竊聽(tīng)裝置，可以用來(lái)竊聽(tīng)雙方通話的內(nèi)容，而計(jì)算機(jī)網(wǎng)絡(luò)嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)。 嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地及其他計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種技術(shù)。它工作在網(wǎng)絡(luò)的最底層，把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)。嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能，嗅探器可以分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。不同傳輸介質(zhì)的網(wǎng)絡(luò)可監(jiān)聽(tīng)性是不同的。一般來(lái)說(shuō)，以太網(wǎng)被監(jiān)聽(tīng)的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)； FDDI Token被監(jiān)聽(tīng)的可能性也比較高，盡管它并不是一個(gè)廣播型網(wǎng)絡(luò)，但帶有令牌的那些數(shù)據(jù)包在傳輸過(guò)程中，平均要經(jīng)過(guò)網(wǎng)絡(luò)上一半的計(jì)算機(jī)；微波和無(wú)線網(wǎng)被監(jiān)聽(tīng)的可能性同樣比較高，因?yàn)闊o(wú)線電本身是一個(gè)廣播型的傳輸媒介，彌散在空中的無(wú)線電信號(hào)可以被很輕易的截獲。 一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議： l 標(biāo)準(zhǔn)以太網(wǎng)協(xié)議； l TCP/IP； l IPX ； l DECNET； l FDDI Token； l 微波和無(wú)線網(wǎng)協(xié)議。 實(shí)際應(yīng)用中的嗅探器分軟、硬兩種。軟件嗅探器便宜易于使用，缺點(diǎn)是往往無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù) (比如碎片 )，也就無(wú)法全面了解網(wǎng)絡(luò)的故障和運(yùn)行情況；硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件嗅探器所欠缺的，但是價(jià)格昂貴。目前使用的嗅探器仍是以軟件為主。 嗅探器捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過(guò)將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的。例如：將以太網(wǎng)卡設(shè)置成混雜模式。數(shù)據(jù)在網(wǎng)絡(luò)上是以幀 (Frame)為單位傳輸?shù)?。幀是通過(guò)特定的網(wǎng)絡(luò)驅(qū)動(dòng)程序進(jìn)行傳送的，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，每一個(gè)在 LAN上的工作站都有其硬件地址。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以 “ 偵聽(tīng) ” 到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)。如果某工作站的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一個(gè)工作站被配置成這樣的方式，它就是一個(gè)嗅探器。這也是嗅探器會(huì)造成安全方面的問(wèn)題的原因。通常使用嗅探器的入侵者，都必須擁有基點(diǎn)用來(lái)放置嗅探器。對(duì)于外部入侵者來(lái)說(shuō)，能通過(guò)入侵外網(wǎng)服務(wù)器、往內(nèi)部工作站發(fā)送木馬等獲得所需信息，然后用基點(diǎn)來(lái)放置其嗅探器，而內(nèi)部破壞者就能夠直接獲得嗅探器的放置點(diǎn)，比如使用附加的物理設(shè)備作為嗅探器。 嗅探器可能造成的危害有： l 嗅探器能夠捕獲口令； l 能夠捕獲專用的或者機(jī)密的信息； l 可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限； l 分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。 通信協(xié)議分析 中繼器：中繼器的主要功能是終結(jié)一個(gè)網(wǎng)段的信號(hào)并在另一個(gè)網(wǎng)段再生該信號(hào) ， 起到信號(hào)放大和轉(zhuǎn)發(fā)的作用 ， 中繼器工作在物理層上 。 網(wǎng)橋：網(wǎng)橋使用 MAC物理地址實(shí)現(xiàn)中繼功能 ， 可以用來(lái)分隔網(wǎng)段或連接部分異種網(wǎng)絡(luò) ， 網(wǎng)橋工作在數(shù)據(jù)鏈路層 。 路由器：路由器工作在網(wǎng)絡(luò)層 ， 主要負(fù)責(zé)數(shù)據(jù)包的路由尋徑 ，也能處理物理層和數(shù)據(jù)鏈路層上的工作 。 網(wǎng)關(guān)：主要工作在網(wǎng)絡(luò)第四層以上，主要實(shí)現(xiàn)收斂功能及協(xié)議轉(zhuǎn)換，不過(guò)很多時(shí)候網(wǎng)關(guān)都被用來(lái)描述任何網(wǎng)絡(luò)互連設(shè)備。 以太網(wǎng)和 TCP/IP可以說(shuō)是相互相成的 ， 可以說(shuō)兩者的關(guān)系幾乎是密不可分 ， 以太網(wǎng)在一二層提供物理上的連線 ， 而 TCP/IP工作在上層 ， 使用 32位的IP地址 ， 以太網(wǎng)則使用 48位的 MAC地址 ， 兩者間使用 ARP和 RARP協(xié)議進(jìn)行相互轉(zhuǎn)換 。 載波監(jiān)聽(tīng) /沖突檢測(cè) (CSMA/CD)技術(shù)被普遍的使用在以太網(wǎng)中 ， 所謂載波監(jiān)聽(tīng)是指在以太網(wǎng)中的每個(gè)站點(diǎn)都具有同等的權(quán)利 ， 在傳輸自己的數(shù)據(jù)時(shí) ，首先監(jiān)聽(tīng)信道是否空閑 ， 如果空閑 ， 就傳輸自己的數(shù)據(jù) ， 如果信道被占用 ，就等待信道空閑 。 而沖突檢測(cè)則是為了防止發(fā)生兩個(gè)站點(diǎn)同時(shí)在網(wǎng)絡(luò)發(fā)送數(shù)據(jù)而產(chǎn)生的沖突 。 以太網(wǎng)采用廣播機(jī)制 ， 所有與網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù) 。 在 TCP/IP通信中，網(wǎng)絡(luò)接口層直接與硬件地址相連接，網(wǎng)間網(wǎng)層與 IP地址相連接，傳輸層與 TCP接口相連接，應(yīng)用層則是面向用戶的應(yīng)用程序接口，如 FTP、 TELNET等接口。一個(gè)典型的在以太網(wǎng)中客戶與服務(wù)器使用 TCP/IP協(xié)議的通信如圖 111所示。 FTP TCP端口 IP 地址 硬件地址 電纜 FTP服務(wù)器 TCP端口 IP 地址 硬件地址 電纜 應(yīng)用層 傳輸層 網(wǎng)絡(luò)接口層 網(wǎng)間網(wǎng)層 物理網(wǎng)絡(luò) 客戶 服務(wù)器 用戶進(jìn)程 內(nèi)核中的協(xié)議棧 以太網(wǎng)驅(qū)動(dòng)程序 內(nèi)核中的協(xié)議棧 物理網(wǎng)絡(luò) 嗅探原理 我們知道 ， 計(jì)算機(jī)所傳送的數(shù)據(jù)是大量的二進(jìn)制數(shù)據(jù) 。 因此 ，一個(gè)網(wǎng)絡(luò)竊聽(tīng)程序也必須使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分解嗅探到的數(shù)據(jù) ，嗅探器也就必須能夠識(shí)別出哪個(gè)協(xié)議對(duì)應(yīng)于這個(gè)數(shù)據(jù)片斷 ， 只有這樣才能夠進(jìn)行正確的解碼 。 網(wǎng)絡(luò)嗅探器比起電話竊聽(tīng)器來(lái)說(shuō) ， 有他獨(dú)特的優(yōu)勢(shì)：很多的計(jì)算機(jī)網(wǎng)絡(luò)采用的是 “ 共享媒體 ” 。 幾乎可以在任何連接著的網(wǎng)絡(luò)上直接竊聽(tīng)到你同一掩碼范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù) 。 我們稱這種竊聽(tīng)方式為 “ 基于混雜模式的嗅探 ” （