【正文】 不容忽視。網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各種網(wǎng)絡(luò)資源和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用也越開越豐富，互聯(lián)網(wǎng)的影響與日俱增。因為互聯(lián)網(wǎng)是社會進(jìn)步和知識經(jīng)濟(jì)相結(jié)合的紐帶，其改變了傳統(tǒng)的社會的溝通方式，實現(xiàn)了無障礙的信息交流和信息共享，方便了現(xiàn)代的人的很多需求，不僅讓人們的精神文化生活變得豐富多彩，工作也變得更加高效和快捷。對于嗅探工具 Wireshark 的過濾器也做了深入的分析，其捕捉過濾器和顯示過濾器有著重要的作用，可以使我們方便快捷的得到想要的數(shù)據(jù)包。信息安全是任何國家、政府、部門、行業(yè)都必須重視的問題，是一個不容忽視的國家安全戰(zhàn)略。學(xué)院有權(quán)保留本人所提交論文的原件或復(fù)印件，允許論文被查閱或借閱；學(xué)院可以公布本論文的全部或部分內(nèi)容，可以采用影印、縮印或其他手段復(fù)制保存本論文。除特別加以標(biāo)注的地方外，論文中不包含其他人的研究成果。本論文如有剽竊他人研究成果及相關(guān)資料若有不實之處，由本人承擔(dān)一切相關(guān)責(zé)任。加密學(xué)位論文解密之前后，以上聲明同樣適用。因此對計算機(jī)嗅探技術(shù)的研究已成為計算機(jī)信息安全領(lǐng)域的一個重點(diǎn)和熱點(diǎn)。最后設(shè)計了計算機(jī)信息的搜素以及端口的掃描方法。網(wǎng)絡(luò)參與的平等性使得民眾的主動性大大的增強(qiáng)。伴隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在各行各業(yè)的廣泛應(yīng)用以及互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全問題也日益突出。經(jīng)過對 6000 多加政府網(wǎng)站監(jiān)測顯示，37%的政府網(wǎng)站存在網(wǎng)頁安全漏洞，極易遭到網(wǎng)頁篡改和網(wǎng)頁掛馬等形式的攻擊和破壞 [1]。所以防范內(nèi)網(wǎng)攻擊比外網(wǎng)攻擊更加緊迫。零星的 ARP 攻擊較之大規(guī)模的 ARP 攻擊更難于被網(wǎng)絡(luò)管理者和用戶發(fā)現(xiàn)，并且零星的 ARP 攻擊帶來的損失并不一定比大規(guī)模的 ARP 攻擊小，這主要是因為大規(guī)模的 ARP 攻擊主要是拒絕服務(wù)，而小規(guī)模的 ARP 攻擊的主要目的是信息監(jiān)聽和會話劫持等，對信息安全的威脅更大。因此，對于能夠分析、診斷網(wǎng)絡(luò)，測試網(wǎng)絡(luò)性能與安全性的工具軟件的需求也越來越迫切。網(wǎng)絡(luò)嗅探技術(shù)在信息安全防御技術(shù)和黑客攻防技術(shù)中都處于非常重要的地位。被動攻擊是指在不發(fā)送數(shù)據(jù)包的前提下，捕捉網(wǎng)絡(luò)上所流經(jīng)本機(jī)的數(shù)據(jù)包。而賬號和口令對各類網(wǎng)上應(yīng)用的重要性是眾所周知的。（3）對嗅探常用的幾種工具介紹和使用，進(jìn)一步了解嗅探的本質(zhì)。 三亞學(xué)院畢業(yè)論文（設(shè)計） 第 4 頁2 嗅探 概述嗅探在現(xiàn)代已經(jīng)不再是一個神秘的詞匯，因為在網(wǎng)絡(luò)日益擴(kuò)展的時代里，人們對于網(wǎng)絡(luò)技術(shù)的發(fā)展已經(jīng)十分關(guān)注，對于局域網(wǎng)時常發(fā)生的嗅探事件也很關(guān)注。有可以在 UNIX 上運(yùn)行的 TCPDUMP，也有在 Window 下運(yùn)行的 Wireshark 和 Sniff Pro，但是不管硬件軟件，目標(biāo)只有一個，就是獲取在網(wǎng)絡(luò)上傳輸?shù)母鞣N信息。在生活中，我們需要更多的便利，在網(wǎng)店中購物，給同學(xué)家人聊天，給老友發(fā)送 EMAIL。我們就是生活在這樣一個暴露的網(wǎng)絡(luò)環(huán)境中，甚至沒有一絲的遮蓋。因為僅僅依賴網(wǎng)絡(luò)管理員的經(jīng)驗和簡單傳統(tǒng)的排查方法，在時間和準(zhǔn)確性上面都存在很大的誤差，同時也影響了網(wǎng)吧的工作效率和正常業(yè)務(wù)的運(yùn)行。 三亞學(xué)院畢業(yè)論文（設(shè)計） 第 5 頁嗅探多數(shù)情況下指的是嗅探器，可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。網(wǎng)絡(luò)管理員可以用嗅探器進(jìn)行網(wǎng)絡(luò)情況的分析，監(jiān)測網(wǎng)絡(luò)流量是使用情況。網(wǎng)上可以是一座城市組成的城域網(wǎng)，甚至是廣域網(wǎng)。而通過交換機(jī)連接起來的子網(wǎng)稱為交換局域網(wǎng)，由交換機(jī)構(gòu)造一個“Mac地址 端口 ”映射表，交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包時，只發(fā)送到特定的端口上，也可以通過交換機(jī)的端口鏡像功能把所有的數(shù)據(jù)包全都經(jīng)過某一個端口轉(zhuǎn)發(fā)出去。組播方式：設(shè)置在該模式下的計算機(jī)可以接收組播數(shù)據(jù)。而處于混雜模式的以太網(wǎng)卡，會接收不屬于自己的任何數(shù)據(jù)幀。如果這個時候有一臺主機(jī)的以太網(wǎng)卡的工作模式發(fā)生改變，從非混雜模式改為混雜模式，那么所有 HUB 轉(zhuǎn)發(fā)過來的數(shù)據(jù)包，此主機(jī)都會無條件的接收，無論 MAC 地址是否匹配。表面上看，嗅探攻擊的危害不大，但被動攻擊具有很強(qiáng)的隱蔽性，可以長期在局域網(wǎng)環(huán)境中偵聽而不被發(fā)現(xiàn)，所以具有很大的危害性。而賬號和口令對我們來說在各類網(wǎng)絡(luò)應(yīng)用上的重要性是不言而喻的。在交換式局域網(wǎng)中，經(jīng)常發(fā)生各種事故，很多事故的發(fā)生大多是 ARP 攻擊造成的。ARP 攻擊后，數(shù)據(jù)包的轉(zhuǎn)發(fā)途徑是從本機(jī)到遠(yuǎn)程網(wǎng)關(guān)，遠(yuǎn)程網(wǎng)關(guān)的 MAC地址被欺騙，發(fā)送給偽裝的嗅探主機(jī)，嗅探主機(jī)分析后再轉(zhuǎn)發(fā)給目的主機(jī)，甚至不再轉(zhuǎn)發(fā)。通過圖 22 可以更加直觀的了解 ARP 欺騙的攻擊原理。這時攻擊者 C1 就控制了主機(jī) C2 和主機(jī) C3 之間的流量，可以選擇被動的監(jiān)聽，以期獲得密碼和其他一些秘密信息，當(dāng)然攻擊者也可以偽造雙方之間的通信數(shù)據(jù)，當(dāng)然這已經(jīng)不是僅僅嗅探那么簡單了，但無疑會造成更加嚴(yán)重的后果。這就需要我們了解在物理設(shè)備鏈路中的傳輸過程。若兩個結(jié)點(diǎn)不在同一子網(wǎng)內(nèi)，如發(fā)送結(jié)點(diǎn) A 要與目的結(jié)點(diǎn) B通信，發(fā)送結(jié)點(diǎn) A 要向“缺省網(wǎng)關(guān)”發(fā)出 ARP 封包，而缺省網(wǎng)關(guān)的 IP 地址其實是三層交換機(jī)的三層交換模塊。由于僅僅在路由過程中才需要三層處理，絕大部分?jǐn)?shù)據(jù)都通過二層交換轉(zhuǎn)發(fā)，因此三層交換機(jī)的速度很快，接近二層交換機(jī)的速度，同時比相同路由器的價 畢業(yè)論文（設(shè)計） 第 11 頁格低很多。比如，一個站點(diǎn)向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，集線器將會向所有端口轉(zhuǎn)發(fā)，而交換機(jī)將通過對幀的識別，只將幀單點(diǎn)轉(zhuǎn)發(fā)到目的地址對應(yīng)的端口，而不是向所有端口轉(zhuǎn)發(fā)，從而有效地提高了網(wǎng)絡(luò)的可利用帶寬 [6]。如果一個端口只連接一個結(jié)點(diǎn)，那么這個結(jié)點(diǎn)就可以獨(dú)占整個帶寬，這類端口通常被稱作專用端口；如果一個端口連接一個與端口帶寬相同的以太網(wǎng)，那么這個端口將被以太網(wǎng)中的所有結(jié)點(diǎn)所共享，這類端口被稱為共享端口。整張地址表的生成采用動態(tài)自學(xué)習(xí)的方法，即當(dāng)交換機(jī)收到一個數(shù)據(jù)幀以后，將數(shù)據(jù)幀的源地址和輸入端口記錄在 MAC 地址表中。地址表項每次被使用或者被查找時，表項的時間標(biāo)記就會被更新。由于 MAC 地址表中對于同一個 MAC 地址只能有一個記錄，所以如果靜態(tài)配置某個目的地址和端口號的映射關(guān)系以后，交換機(jī)就不能再動態(tài)學(xué)習(xí)這個主機(jī)的MAC 地址。當(dāng)?shù)玫?MAC 地址與端口的對應(yīng)關(guān)系后，交換機(jī)將檢查 MAC 地址表中是否已經(jīng)存在該對應(yīng)關(guān)系。此時，如主機(jī) PC1 再次發(fā)送數(shù)據(jù)幀給主機(jī) PC3 時，由于 MAC 地址表中已經(jīng)記錄了該幀的目的地址的對應(yīng)交換機(jī)端口號，則直接將數(shù)據(jù)轉(zhuǎn)發(fā)到 E0/3 端口，不再向其他端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。這種交換方式交換延遲時間短，但缺乏差錯檢測能力，不支持不同輸入/輸出速率的端口之間的數(shù)據(jù)轉(zhuǎn)發(fā)。（3）改進(jìn)的直接交換改進(jìn)的直接交換方式是將直接交換與存儲轉(zhuǎn)發(fā)交換結(jié)合起來，在接收到數(shù)據(jù)的前 64 字節(jié)之后，判斷數(shù)據(jù)的頭部字段是否正確，如果正確則轉(zhuǎn)發(fā)出去。如圖 33 所示為兩個以太網(wǎng)和三臺計算機(jī)通過以太網(wǎng)交換機(jī)相互連接的示意圖。 畢業(yè)論文（設(shè)計） 第 15 頁假設(shè)主機(jī) A 需要向主機(jī) B 發(fā)送數(shù)據(jù)幀，交換機(jī)同樣在端口 1 接收該數(shù)據(jù)。 嗅探數(shù)據(jù)包的轉(zhuǎn)發(fā)過程關(guān)于嗅探與 ARP 欺騙的原理，需要深刻的了解數(shù)據(jù)在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)過程。其實真正在傳輸過程中是靠計算機(jī)的網(wǎng)卡地址即 MAC 機(jī) A (IP : MAC : AAAAAAAAAAAA)、B (IP : MAC : BBBBBBBBBBBB)。其實在這背后就隱藏著 ARP 的秘密。如果 B 接收到了，經(jīng)過分析，目的 IP 是自己的，于是更新自己的 ARP 高速緩存，記錄下 A 的 IP 和 MAC。請求和應(yīng)答過程就結(jié)束了。在不同的 TCP/IP 協(xié)議的不同層次，數(shù)據(jù)的格式不同，作用不同。（3）路由器 R1 收到數(shù)據(jù)報文后查看源目的 IP。PC2 發(fā)現(xiàn)數(shù)據(jù)報文的目的 IP 和目的 MAC 與本機(jī)相符 (非攻擊者)，從而拆解數(shù)據(jù)包，獲得數(shù)據(jù)報文內(nèi)容。注意：通常情況下，網(wǎng)卡都是工作在非混雜模式，也就是說即使收到數(shù)據(jù)報文，網(wǎng)卡會判斷目的 MAC是否和自己的一樣，不一樣的話代表數(shù)據(jù)包不是給自己的，因此會丟棄，只接收那些目的 MAC 和自己一樣的數(shù)據(jù)報文。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用，但如為黑客所利用也可以為其發(fā)動進(jìn)一步的攻擊提供有價值的信息。權(quán)衡利弊，有必要對網(wǎng)絡(luò)嗅探器的實現(xiàn)原理進(jìn)行深入的了解。Wireshark使用 WinPCAP 作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。Wireshark 是開源軟件項目，用 GPL 協(xié)議發(fā)行。在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。網(wǎng)絡(luò)管理員使用 Wireshark 來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark 來檢查資訊安全相關(guān)問題，開發(fā)者使用 Wireshark 來為新的通訊協(xié)定除錯，普通使用者使用 Wireshark 來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。使用 畢業(yè)論文（設(shè)計） 第 20 頁Wireshark 時最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時，會得到大量冗余信息，以至于很難找到自己需要的部分。而顯示過濾器是在捕捉過濾器捕捉到的信息匯總中再次進(jìn)行挑選，更加確切的找出我們所需要的數(shù)據(jù)包。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。設(shè)置捕捉過濾器的步驟是： 選擇 capture –options。通過表 41 來具體講解捕捉過濾器的語法結(jié)構(gòu)。Direction（方向）: 畢業(yè)論文（設(shè)計） 第 22 頁可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用 src or dst 作為關(guān)鍵字。Logical Operations（邏輯運(yùn)算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級。例子：Tcp dst port 3218顯示目的 TCP 端口為 3128 的封包。（src host or src ）and tcp dst portrange 20010000 and dst 顯示來源 IP 為 或者來源網(wǎng)絡(luò)為 ，目的地 TCP 端口號在 200至 10000 之間，并且目的位于網(wǎng)絡(luò) ?？梢栽?ip 或 other 后面使用 multicast 及 broadcast 作為關(guān)鍵字，當(dāng)你想排除廣播請求是，no broadcast 就會非常有用。點(diǎn)擊工具欄的 Expression 即可以查看所支持的協(xié)議類型。表 43 六種常用的比較運(yùn)算符英文寫法 C 語言寫法 含義eq == 等于Ne ! 不等于Gt 大于It 小于Ge = 大于等于Le = 小于等于Logical Expressions 邏輯運(yùn)算符：邏輯運(yùn)算符是被程序員們熟知的一種運(yùn)算符，在現(xiàn)實生活中不會經(jīng)常用到，但是也是一種十分重要的運(yùn)算方法。amp。例子 3：ip src != or ip dst != 畢業(yè)論文（設(shè)計） 第 25 頁顯示來源不為 或者目的不為 的封包。例子 5：Tcp port ==25顯示來源或目的的 TCP 端口為 25 的數(shù)據(jù)包。如圖 45. 畢業(yè)論文（設(shè)計） 第 26 頁圖 45 Wireshark 的初始界面打開 Wireshark 的工具欄 Capture，選擇子菜單 Options，在彈出的捕捉過濾器中找到 Capture Filter 子項，在后面填上我們想要的數(shù)據(jù)包的屬性。圖 47 命令提示符界面顯示轉(zhuǎn)到 Wireshark 界面，可以看到本來沒有抓到數(shù)據(jù)包的窗口，顯示有 8 個數(shù)據(jù)包被抓取。圖 49 ICMP 數(shù)據(jù)包詳圖圖 49 中可以看到 ICMP 數(shù)據(jù)包的 Source 是 和，其中 是本機(jī) IP 地址， 是 ping 的電腦的 IP 地址。74 字節(jié)中有 32 字節(jié)是數(shù)據(jù)，其他為 ICMP 報文的類型、代碼、校驗和、Identifier、序列號等?？梢钥吹秸麄€數(shù)據(jù)包被分為四個部分。 畢業(yè)論文（設(shè)計） 第 29 頁圖 410Wireshark 抓取數(shù)據(jù)包信息圖 411 本機(jī)以太網(wǎng) MAC 地址對比圖第三部分是網(wǎng)絡(luò)協(xié)議的版本號（Version 4）以及網(wǎng)絡(luò) IP 地址，包含源 IP地址和目的 IP 地址，這部分一共占了 20 字節(jié)。希望以后可以進(jìn)行更加深入的探究。嗅探和掃描操作可以利用專業(yè)的軟件工作來實現(xiàn)，例如 Xscan、Wireshark 等。 獲取目標(biāo)計算機(jī)的 IP 地址獲取目標(biāo)計算機(jī)的 IP 地址包括三種，第一種是獲取局域網(wǎng)中其他計算機(jī)的IP 地址，第二種是獲取 Inter 中其他計算機(jī)的 IP 地址，第三章則是獲取指定網(wǎng)站的 IP 地址。圖 51 局域網(wǎng)嗅探工具 畢業(yè)論文（設(shè)計） 第 31 頁下面重點(diǎn)探究如何得到 Inter 中的主機(jī) IP。（2） 選擇通信好友