【正文】 抓包。接下來(lái)在分析一下數(shù)據(jù)包的具體內(nèi)容。搜索目標(biāo)主機(jī)信息包括獲取目標(biāo)主機(jī)的 IP 地址、查看目標(biāo)主機(jī)的物理位置等信息，除此之外，黑客還可以通過(guò)了解網(wǎng)站備案信息來(lái)進(jìn)行入侵網(wǎng)站的準(zhǔn)備工作。 Inter 中有不少網(wǎng)站服務(wù)器收集了 IP 地址的數(shù)據(jù)庫(kù)，利用這些網(wǎng)站可以輕松查詢指定 IP 地址對(duì)應(yīng)的物理位置 [9]，如圖 52 可知。在掃描結(jié)果中可以看到本機(jī)開(kāi)放的端口有 5 個(gè)，有 23 號(hào)、135 號(hào)、139 號(hào)、443 號(hào)和 445 號(hào)。（2） 輸入想要掃描的主機(jī) IP 地址。注意：我們可能會(huì)看到許多已經(jīng)建立連接狀態(tài)的 IP 地址信息，但是可以從端口上來(lái)確定哪個(gè)端口是我們的 程序所需要的端口。 畢業(yè)論文（設(shè)計(jì)） 第 30 頁(yè)5 嗅探攻防黑客若要發(fā)起入侵攻擊，需要做好充足的準(zhǔn)備工作，首先是通過(guò)嗅探和掃描等操作來(lái)搜索信息，從而確定目標(biāo)計(jì)算機(jī)，以便于準(zhǔn)確的發(fā)動(dòng)攻擊。再分析其他的數(shù)據(jù)可以看到，ping 包的長(zhǎng)度是 74，則說(shuō)明包的大小是 74字節(jié)。換句話說(shuō)，顯示的封包將會(huì)為：來(lái)源 IP 除了 以外任意同時(shí)須滿足，目的 IP 除了 以外任意 IP。表 42 顯示過(guò)濾器的語(yǔ)法表語(yǔ)法Protocol String 1 String 2Comparison operatorValue Logical OpreationsOther expression例子ftp Passive Ip == Xor Protocol 協(xié)議：我們可以使用位于 TCP/IP 協(xié)議簇的所有協(xié)議，如 ARP 、 TCP 、 ICMP 、DHCP 等的協(xié)議。例如，src 與src host 相同。捕捉過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過(guò)大的日志文件。Ethereal 是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。而在網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)嗅探手段可以有效地探測(cè)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息，通過(guò)對(duì)這些信息的分析利用是有助于網(wǎng)絡(luò)安全維護(hù)的。（2）數(shù)據(jù)報(bào)文到達(dá)二層交換機(jī)(這里只涉及二層交換，如果是三層交換機(jī)并設(shè)置了端口 IP，則會(huì)有所不同)后，由于二層交換機(jī)拆解數(shù)據(jù)報(bào)文時(shí)只拆解到二層，即只拆解到源目的 MAC，根本看不懂 IP，所以會(huì)查找 MAC接口映射表，發(fā)現(xiàn)網(wǎng)關(guān) MAC 對(duì)應(yīng)的是 E5 口，則將數(shù)據(jù)包從 E5 口丟出去。這就是 ARP 高速緩存中 IP 地址和 MAC 地址的一個(gè)映射關(guān)系，在以太網(wǎng)中，數(shù)據(jù)傳遞靠的是 MAC，而并不是 IP 地址。以太網(wǎng)交換機(jī)在地址學(xué)習(xí)的同時(shí)還檢查每個(gè)幀，并基于幀中的目的地址做出是否轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)到何處的決定。交換機(jī)是通過(guò)識(shí)別數(shù)據(jù)幀的源 MAC 地址學(xué)習(xí)到 AMC 地址和端口的對(duì)應(yīng)關(guān)系的。以太網(wǎng)交換機(jī)可以有多個(gè)端口，每個(gè)端口可以單獨(dú)與一個(gè)結(jié)點(diǎn)連接，也可以與一個(gè)共享介質(zhì)式的以太網(wǎng)集線器（HUB）連接。在數(shù)據(jù)傳輸?shù)倪^(guò)程中，先是二進(jìn)制比特流在物理層進(jìn)行傳輸，通過(guò)在數(shù)據(jù)鏈路層解封裝去掉幀頭和幀尾變成數(shù)據(jù)幀，經(jīng)過(guò)地址解析協(xié)議 ARP 的 IP 地址和 MAC 地址的轉(zhuǎn)換解析，物理地址 MAC 變?yōu)?IP 地址，在網(wǎng)絡(luò)層開(kāi)始往上層傳輸。在交換環(huán)境下，即使網(wǎng)卡的工作模式設(shè)置為混雜模式，也只能監(jiān)聽(tīng)本機(jī)的數(shù)據(jù)包，因?yàn)榻粨Q機(jī)根本不會(huì)把其他節(jié)點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)給嗅探主機(jī)，也就是說(shuō)數(shù)據(jù)包根本不會(huì)發(fā)送給不是目的主機(jī)的端口進(jìn)行驗(yàn)證 MAC 地址是否匹配。正常情況下，局域網(wǎng)內(nèi)計(jì)算機(jī)網(wǎng)卡應(yīng)該只接收數(shù)據(jù)包目的 MAC 地址與自己相匹配的數(shù)據(jù)幀（單播包） 、廣播包 Broadcast 和屬于自己的組播包Multicast。嗅探程序一般利用 ARP 欺騙的方法，通過(guò)改變 IP、MAC 地址的對(duì)應(yīng)關(guān)系，欺騙交換機(jī)將數(shù)據(jù)包發(fā)給本機(jī)所在的端口，嗅探程序分析完畢再轉(zhuǎn)發(fā)出去。在工作中，我們需要更快速的收發(fā)文件，需要坐在辦公桌上就可以把自己辛苦書(shū)寫(xiě)的報(bào)告發(fā)給老板，需要不走一步就能讓人送來(lái)飲料外賣(mài)。網(wǎng)絡(luò)嗅探技術(shù)就屬于被動(dòng)攻擊的一種，由于網(wǎng)絡(luò)中數(shù)據(jù)流量非常大，想要較實(shí)時(shí)地捕捉并分析所有的數(shù)據(jù)包是不可能 三亞學(xué)院畢業(yè)論文（設(shè)計(jì)） 第 3 頁(yè)的，當(dāng)前的嗅探技術(shù)一般采用捕捉數(shù)據(jù)包的前兩、三百個(gè)字節(jié)，并存儲(chǔ)下來(lái)再分析的方式，因?yàn)檫@其中往往包含各類(lèi)應(yīng)用的用戶賬號(hào)和口令。我國(guó)在 2022 年爆 三亞學(xué)院畢業(yè)論文（設(shè)計(jì)） 第 2 頁(yè)發(fā)了大規(guī)模的 ARP 攻擊事件，之后的幾年陸續(xù)也有較大規(guī)模的 ARP 攻擊事件發(fā)生，普通的 ARP 攻擊事件更是無(wú)時(shí)無(wú)處不在。因?yàn)榛ヂ?lián)網(wǎng)是社會(huì)進(jìn)步和知識(shí)經(jīng)濟(jì)相結(jié)合的紐帶，其改變了傳統(tǒng)的社會(huì)的溝通方式，實(shí)現(xiàn)了無(wú)障礙的信息交流和信息共享，方便了現(xiàn)代的人的很多需求，不僅讓人們的精神文化生活變得豐富多彩，工作也變得更加高效和快捷。除特別加以標(biāo)注的地方外，論文中不包含其他人的研究成果。最后設(shè)計(jì)了計(jì)算機(jī)信息的搜素以及端口的掃描方法。所以防范內(nèi)網(wǎng)攻擊比外網(wǎng)攻擊更加緊迫。被動(dòng)攻擊是指在不發(fā)送數(shù)據(jù)包的前提下，捕捉網(wǎng)絡(luò)上所流經(jīng)本機(jī)的數(shù)據(jù)包。有可以在 UNIX 上運(yùn)行的 TCPDUMP，也有在 Window 下運(yùn)行的 Wireshark 和 Sniff Pro，但是不管硬件軟件，目標(biāo)只有一個(gè)，就是獲取在網(wǎng)絡(luò)上傳輸?shù)母鞣N信息。 三亞學(xué)院畢業(yè)論文（設(shè)計(jì)） 第 5 頁(yè)嗅探多數(shù)情況下指的是嗅探器，可以竊聽(tīng)網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。組播方式：設(shè)置在該模式下的計(jì)算機(jī)可以接收組播數(shù)據(jù)。而賬號(hào)和口令對(duì)我們來(lái)說(shuō)在各類(lèi)網(wǎng)絡(luò)應(yīng)用上的重要性是不言而喻的。這時(shí)攻擊者 C1 就控制了主機(jī) C2 和主機(jī) C3 之間的流量，可以選擇被動(dòng)的監(jiān)聽(tīng)，以期獲得密碼和其他一些秘密信息，當(dāng)然攻擊者也可以偽造雙方之間的通信數(shù)據(jù)，當(dāng)然這已經(jīng)不是僅僅嗅探那么簡(jiǎn)單了，但無(wú)疑會(huì)造成更加嚴(yán)重的后果。比如，一個(gè)站點(diǎn)向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，集線器將會(huì)向所有端口轉(zhuǎn)發(fā)，而交換機(jī)將通過(guò)對(duì)幀的識(shí)別，只將幀單點(diǎn)轉(zhuǎn)發(fā)到目的地址對(duì)應(yīng)的端口，而不是向所有端口轉(zhuǎn)發(fā)，從而有效地提高了網(wǎng)絡(luò)的可利用帶寬 [6]。由于 MAC 地址表中對(duì)于同一個(gè) MAC 地址只能有一個(gè)記錄，所以如果靜態(tài)配置某個(gè)目的地址和端口號(hào)的映射關(guān)系以后，交換機(jī)就不能再動(dòng)態(tài)學(xué)習(xí)這個(gè)主機(jī)的MAC 地址。（3）改進(jìn)的直接交換改進(jìn)的直接交換方式是將直接交換與存儲(chǔ)轉(zhuǎn)發(fā)交換結(jié)合起來(lái)，在接收到數(shù)據(jù)的前 64 字節(jié)之后，判斷數(shù)據(jù)的頭部字段是否正確，如果正確則轉(zhuǎn)發(fā)出去。其實(shí)真正在傳輸過(guò)程中是靠計(jì)算機(jī)的網(wǎng)卡地址即 MAC 機(jī) A (IP : MAC : AAAAAAAAAAAA)、B (IP : MAC : BBBBBBBBBBBB)。在不同的 TCP/IP 協(xié)議的不同層次，數(shù)據(jù)的格式不同，作用不同。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用，但如為黑客所利用也可以為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。在過(guò)去，網(wǎng)絡(luò)封包分析軟件是非常昂貴，或是專(zhuān)門(mén)屬于營(yíng)利用的軟件。而顯示過(guò)濾器是在捕捉過(guò)濾器捕捉到的信息匯總中再次進(jìn)行挑選，更加確切的找出我們所需要的數(shù)據(jù)包。Direction（方向）: 畢業(yè)論文（設(shè)計(jì)） 第 22 頁(yè)可能的值: src, dst, src and dst, src or dst如果沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用 src or dst 作為關(guān)鍵字?？梢栽?ip 或 other 后面使用 multicast 及 broadcast 作為關(guān)鍵字，當(dāng)你想排除廣播請(qǐng)求是，no broadcast 就會(huì)非常有用。例子 3：ip src != or ip dst != 畢業(yè)論文（設(shè)計(jì)） 第 25 頁(yè)顯示來(lái)源不為 或者目的不為 的封包。圖 49 ICMP 數(shù)據(jù)包詳圖圖 49 中可以看到 ICMP 數(shù)據(jù)包的 Source 是 和，其中 是本機(jī) IP 地址， 是 ping 的電腦的 IP 地址。希望以后可以進(jìn)行更加深入的探究。（2） 選擇通信好友，與其進(jìn)行聊天交流。 使用 SuperScan 掃描計(jì)算機(jī)的端口SuperScan 是由 Foundstone 開(kāi)發(fā)的一款免費(fèi)的端口掃描軟件，該軟件的功能十分強(qiáng)大，與許多同類(lèi)軟件相比，該軟件既是一款入侵軟件，又是一款網(wǎng)絡(luò)安全軟件。 畢業(yè)論文（設(shè)計(jì)） 第 34 頁(yè)6 網(wǎng)絡(luò)嗅探技術(shù)的防范實(shí)際上，在局域網(wǎng)中很難發(fā)現(xiàn)嗅探，因?yàn)樾崽礁揪筒粫?huì)留下任何痕跡，因此用戶就有必要了解防范嗅探常用的措施。 掃描目標(biāo)計(jì)算機(jī)的端口由于端口是當(dāng)前計(jì)算機(jī)與外界的通道，因此黑客一旦鎖定目標(biāo)計(jì)算機(jī)，便會(huì)掃描計(jì)算機(jī)中已經(jīng)開(kāi)放的端口，從而得到更多有用的信息。當(dāng)然也可以使用局域網(wǎng)嗅探工具，可以看到局域網(wǎng)中所有計(jì)算機(jī)的 IP 地址和 Mac 地址，方便快捷。第二部分是以太網(wǎng)的物理地址，這部分占了 14 個(gè)字節(jié)，從圖中可以看到，本地主機(jī)的Mac 地址是 04:7d:7b:42:42:d1:d1，而遠(yuǎn)端的 Mac 地址是 2c:27:d7:eb:19:56，經(jīng)過(guò)證明也是正確的。如下圖 46 所示。當(dāng)其被使用在過(guò)濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足是，這樣的結(jié)果才會(huì)被顯示出來(lái)。Host 顯示目的或來(lái)源 IP 地址為 的封包。 點(diǎn)擊開(kāi)始（Start）進(jìn)行捕捉。圖 41 Wireshark 抓包圖 使用過(guò)濾器捕捉數(shù)據(jù)包Wireshark 的使用和普通抓包軟件大同小異，區(qū)別就在于 Wireshark 的過(guò)濾器的不同。目前由 Wireshark team 進(jìn)行進(jìn)一步開(kāi)發(fā)和維護(hù)。圖 34 交換式局域網(wǎng)中數(shù)據(jù)轉(zhuǎn)發(fā)圖 共享式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文在共享網(wǎng)絡(luò)中的傳輸和交換網(wǎng)絡(luò)唯一的不同在于第二個(gè)步驟，交換網(wǎng)絡(luò)中交換機(jī)會(huì)根據(jù) MAC端口對(duì)應(yīng)表進(jìn)行傳輸，也就是說(shuō)除了網(wǎng)關(guān)，其他同交換機(jī)下的 PC 機(jī)無(wú)法收到數(shù)據(jù)報(bào)文。當(dāng) A 機(jī)接收到 ARP 應(yīng)答后，更新自己的 ARP 高速緩存，即把 ARP 應(yīng)答中的 B 機(jī)的源 IP，源 MAC 的映射關(guān)系記錄在高速緩存中。這時(shí)交換機(jī)不再轉(zhuǎn)發(fā)，簡(jiǎn)單地將數(shù)據(jù)丟棄，數(shù)據(jù)幀被限制在本地流動(dòng)。（1）直接交換在直接交換方式下，交換機(jī)邊接收邊檢測(cè)。當(dāng)然，在存放 MAC 地址表項(xiàng)之前，交換機(jī)首先應(yīng)該查找 MAC 地址表中是否已經(jīng)存在該源地址的匹配表項(xiàng)，僅當(dāng)匹配表項(xiàng)不存在時(shí)才能存儲(chǔ)該表項(xiàng)。否則三層交換模塊根據(jù)路由信息向結(jié)點(diǎn) B 廣播一個(gè) ARP 請(qǐng)求，結(jié)點(diǎn) B 得到此 ARP 請(qǐng)求后向三層交換模塊回復(fù)其 MAC 地址，三層交換模塊保存此地址并回復(fù)給發(fā)送結(jié)點(diǎn) A，同時(shí)將結(jié)點(diǎn) B 的 MAC 地址發(fā)送到二層交換引擎的 MAC 地址表中。這些嗅探工具通過(guò)偽造ARP 數(shù)據(jù)包來(lái)欺騙交換機(jī)，向交換機(jī)持續(xù)不斷的發(fā)送 ARP 數(shù)據(jù)包，使交換機(jī)更新 ARP 緩存表來(lái)達(dá)到欺騙的目的。這種被動(dòng)的接收信息的方式可以稱(chēng)為是被動(dòng)攻擊。而根據(jù)局域網(wǎng)環(huán)境所使用的連接設(shè)備又可以分為共享式局域網(wǎng)和交換式局域網(wǎng)?，F(xiàn)階段，很多網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，所以很容易發(fā)生各種事故。（5）對(duì)復(fù)雜環(huán)境下嗅探技術(shù)的防范進(jìn)行說(shuō)明和提出自己的見(jiàn)解。嗅探（Sniff） ，有時(shí)也被稱(chēng)為監(jiān)聽(tīng)，在網(wǎng)絡(luò)安全的范疇中，一般是指通過(guò)某種方式竊聽(tīng)不是發(fā)送給本機(jī)或本進(jìn)程的數(shù)據(jù)包的過(guò)程。同時(shí)，網(wǎng)絡(luò)攻擊所造成的損失也越來(lái)越嚴(yán)重。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類(lèi)型的威脅、干擾和破壞，即保證信息的安全性。論文作者簽名： 年 月 日 畢業(yè)論文（設(shè)計(jì)） 第 I 頁(yè)復(fù)雜環(huán)境下網(wǎng)絡(luò)嗅探技術(shù)的應(yīng)用及防范措施摘要21 世紀(jì)是信息社會(huì)，信息作為一種資源，它的普遍性、共享性、增值型、可處理性和多效用性，使其對(duì)于人類(lèi)具有特別重要的意義。網(wǎng)絡(luò)攻擊的頻率變得頻繁，攻擊范圍開(kāi)始擴(kuò)大，技術(shù)也越來(lái)越先進(jìn)。網(wǎng)絡(luò)嗅探器具有兩面性，攻擊者可以用它來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)中數(shù)據(jù)，達(dá)到非法獲得信息的目的，網(wǎng)絡(luò)管理者可以通過(guò)使用嗅探器捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并對(duì)其進(jìn)行分析，分析結(jié)果可供網(wǎng)絡(luò)安全分析之用。（4）在研究了嗅探技術(shù)、數(shù)據(jù)包和嗅探攻擊常用的工具的基礎(chǔ)上，進(jìn)行嗅探的攻防演練。這就使得嗅探技術(shù)的研究勢(shì)在必行。就是這樣大環(huán)套小環(huán)，一層層的推進(jìn)，從而得到我們的局域網(wǎng)環(huán)境。這樣就可以嗅探到局域網(wǎng)中的所有信息，達(dá)到了監(jiān)聽(tīng)網(wǎng)絡(luò)的目的，可以獲得自己想要的數(shù)據(jù)信息。所以 ARP 攻擊成為交換式局域網(wǎng)中最主要的嗅探攻擊方式，其次還有ARP 欺騙，端口鏡像等的攻擊方式，這些攻擊通常使用一些局域網(wǎng)攻擊軟件來(lái)實(shí)現(xiàn)，常見(jiàn)的網(wǎng)絡(luò)嗅探工具有Sniff、Wireshark、TCPDump、Libcap （Winpcap）等。當(dāng)發(fā)送結(jié)點(diǎn) A 對(duì) “缺省網(wǎng)關(guān)”的 IP 地址廣播出一個(gè) ARP 請(qǐng)求時(shí)，如果三層交換模塊在以前的通信過(guò)程中已經(jīng)知道結(jié)點(diǎn) B的 MAC 地址，則向發(fā)送結(jié)點(diǎn) A 回復(fù)結(jié)點(diǎn) B 的 MAC 地址。思科的交換