【正文】 個(gè)站點(diǎn)都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時(shí)，首先監(jiān)聽(tīng)信道是否空閑? 如果空閑，就傳輸自己的數(shù)據(jù)? 如果信道被占用，就等待信道空閑252。而沖突檢測(cè)則是為了防止發(fā)生兩個(gè)站點(diǎn)同時(shí)監(jiān)測(cè)到網(wǎng)絡(luò)沒(méi)有被使用時(shí)而產(chǎn)生沖突178。以太網(wǎng)采用了 CSMA/CD技術(shù)，由于使用了廣播機(jī)制，所以，所有與網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)126以太網(wǎng)卡的工作模式178。網(wǎng)卡的 MAC地址 (48位 )252。 通過(guò) ARP來(lái)解析 MAC與 IP地址的轉(zhuǎn)換252。 用 ipconfig/ifconfig可以查看 MAC地址178。正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包252。 MAC地址與自己相匹配的數(shù)據(jù)幀252。 廣播包178。網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式252。 混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來(lái)252。 非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包 (和組播數(shù)據(jù)包 )178。為了監(jiān)聽(tīng)網(wǎng)絡(luò)上的流量，必須設(shè)置為混雜模式127一個(gè)簡(jiǎn)單的 sniffer程序128共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)178。共享式網(wǎng)絡(luò)252。通過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī)252。最常見(jiàn)的是通過(guò) HUB連接起來(lái)的子網(wǎng)178。交換式網(wǎng)絡(luò)252。通過(guò)交換機(jī)連接網(wǎng)絡(luò)252。由交換機(jī)構(gòu)造一個(gè) “MAC地址 端口 ”映射表252。發(fā)送包的時(shí)候，只發(fā)到特定的端口上129共享式網(wǎng)絡(luò)示意圖130應(yīng)用程序抓包的技術(shù)178。UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的 API支持252。Packetsocket252。BPF178。Windows平臺(tái)上通過(guò)驅(qū)動(dòng)程序來(lái)獲取數(shù)據(jù)包252。驅(qū)動(dòng)程序252。WinPcap131Packet socket178。設(shè)置混雜 (promiscuous)模式252。用 ioctl()函數(shù)可以設(shè)置178。打開(kāi)一個(gè) packetsocket252。packet_socket=socket(PF_PACKET,intsocket_type,intprotocol)。252。以前的做法，socket(PF_INET,SOCK_PACKET,protocol)178。不同的 UNIX或者 Linux版本可能會(huì)有不同的函數(shù)調(diào)用，本質(zhì)上252。打開(kāi)一個(gè) socket(或者通過(guò) open打開(kāi)一個(gè)設(shè)備 )252。通過(guò) ioctl()或者 setsockopt()設(shè)置為混雜模式132BPF(Berkeley Packet Filter)178。BSD抓包法252。BPF是一個(gè)核心態(tài)的組件，也是一個(gè)過(guò)濾器252。NetworkTap接收所有的數(shù)據(jù)包252。KernelBuffer，保存過(guò)濾器送過(guò)來(lái)的數(shù)據(jù)包252。Userbuffer，用戶(hù)態(tài)上的數(shù)據(jù)包緩沖區(qū)178。Libpcap(一個(gè)抓包工具庫(kù) )支持 BPF252。Libpcap是用戶(hù)態(tài)的一個(gè)抓包工具252。Libpcap幾乎是系統(tǒng)無(wú)關(guān)的178。BPF是一種比較理想的抓包方案252。在核心態(tài)，所以效率比較高，252。但是，只有少數(shù) OS支持 (主要是一些 BSD操作系統(tǒng) )133BPF和 libpcap134關(guān)于 libpcap135libpcap介紹178。為捕獲數(shù)據(jù)包做準(zhǔn)備的幾個(gè)函數(shù)252。char*pcap_lookupdev(char*errbuf)。返回一個(gè)指向網(wǎng)絡(luò)設(shè)備的指針，這個(gè)指針下面用到252。pcap_t*pcap_open_live(char*device,intsnaplen,intpromisc,intto_ms,char*ebuf)。用來(lái)獲取一個(gè) packetcapturedescriptor； snaplen指定了抓取數(shù)據(jù)包的最大長(zhǎng)度252。pcap_dumper_t*pcap_dump_open(pcap_t*p,char*fname)。打開(kāi)一個(gè) savefile文件，用于 dump252。pcap_t*pcap_open_offline(char*fname,char*ebuf)。打開(kāi)一個(gè) savefile，從中讀取數(shù)據(jù)包136Libpcap: 設(shè)置 filter178。設(shè)置過(guò)濾器用到的函數(shù)252。intpcap_lookup(char*device,bpf_u_int32*p,bpf_u_int32*maskp,char*errbuf)獲得與網(wǎng)絡(luò)設(shè)備相關(guān)的網(wǎng)絡(luò)號(hào)和掩碼252。intpcap_pile(pcap_t*p,structbpf_program*fp,char*str,intoptimize,bpf_u_int32mask)把字符串 str編譯成一個(gè)過(guò)濾器程序252。intpcap_setfilter(pcap_t*p,structbpf_program*fp)設(shè)置一個(gè)過(guò)濾器137Libpcap: 捕獲數(shù)據(jù)178。捕獲數(shù)據(jù)用到的兩個(gè)函數(shù)252。intpcap_dispatch(pcap_t*p,intt,pcap_handlercallback,u_char*user)252。intpcap_loop(pcap_t*p,intt,pcap_handlercallback,u_char*user)252。參數(shù)含義：? t指定了捕獲數(shù)據(jù)包的最大數(shù)目? pcap_handler是一個(gè)回調(diào)函數(shù)252。二者區(qū)別在于 pcap_loop不會(huì)因?yàn)?read操作超時(shí)而返回。252。另一個(gè)函數(shù)： voidpcap_dump(u_char*user,structpcap_pkthdr*h,u_char*sp)把數(shù)據(jù)包寫(xiě)到一個(gè)由 pcap_dump_open()打開(kāi)的文件中138Windows 平臺(tái)下的抓包技術(shù)178。內(nèi)核本身沒(méi)有提供標(biāo)準(zhǔn)的接口178。通過(guò)增加一個(gè)驅(qū)動(dòng)程序或者網(wǎng)絡(luò)組件來(lái)訪(fǎng)問(wèn)內(nèi)核網(wǎng)卡驅(qū)動(dòng)提供的數(shù)據(jù)包252。在 Windows不同操作系統(tǒng)平臺(tái)下有所不同178。不同 sniffer采用的技術(shù)不同252。WinPcap是一個(gè)重要的抓包工具，它是 libpcap的Windows版本139WinPcap178。WinPcap包括三個(gè)部分252。 第一個(gè)模塊 NPF(NetgroupPacketFilter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶(hù)態(tài)模塊，這個(gè)過(guò)程中包括了一些操作系統(tǒng)特有的代碼252。 第二個(gè)模塊 win32平臺(tái)提供了一個(gè)公共的接口。不同版本的 Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶(hù)層模塊。 用于解決這些不同。調(diào)用 Windows平臺(tái)上，而無(wú)需重新編譯252。 第三個(gè)模塊 它提供了更加高層、抽象的函數(shù)。178。 252。 252。 、功能更加強(qiáng)大的函數(shù)調(diào)用140WinPcap 和 NPF141Windows 的網(wǎng)絡(luò)結(jié)構(gòu)178。NDIS(NetworkDriverInterfaceSpecification，網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范 )描述了網(wǎng)絡(luò)驅(qū)動(dòng)與底層網(wǎng)卡之間的接口規(guī)范，以及它與上層協(xié)議之間的規(guī)范178。NPF作為一個(gè)核心驅(qū)動(dòng)程序而提供的142WinPcap 的優(yōu)勢(shì)178。提供了一套標(biāo)準(zhǔn)的抓包接口252。與 libpcap兼容，可使得原來(lái)許多 UNIX平臺(tái)下的網(wǎng)絡(luò)分析工具快速移植過(guò)來(lái)252。便于開(kāi)發(fā)各種網(wǎng)絡(luò)分析工具178。除了與 libpcap兼容的功能之外，還有252。充分考慮了各種性能和效率的優(yōu)化，包括對(duì)于 NPF內(nèi)核層次上的過(guò)濾器支持252。支持內(nèi)核態(tài)的統(tǒng)計(jì)模式252。提供了發(fā)送數(shù)據(jù)包的能力178。143在交換式網(wǎng)絡(luò)上監(jiān)聽(tīng)數(shù)據(jù)包178。 ARP重定向技術(shù)，一種中間人攻擊GW1B打開(kāi) IP轉(zhuǎn)發(fā)功能2B發(fā)送假冒的arp包給 A,聲稱(chēng)自己是 GW的 IP地址3A給外部發(fā)送數(shù)據(jù)，首先發(fā)給 B4B再轉(zhuǎn)發(fā)給 GW原理：利用 dsniff中的 arpredirect工具A B144發(fā)送數(shù)據(jù)包 ——Lib178。利用 Lib構(gòu)造數(shù)據(jù)包并發(fā)送出去178。關(guān)于 Lib252。支持多種操作系統(tǒng)平臺(tái)252。提供了 50多個(gè) CAPI函數(shù)，功能涵蓋? 內(nèi)存管理 (分配和釋放 )函數(shù)? 地址解析函數(shù)? 各種協(xié)議類(lèi)型的數(shù)據(jù)包構(gòu)造函數(shù)? 數(shù)據(jù)包發(fā)送函數(shù) (IP層和鏈路層 )? 一些輔助函數(shù)，如產(chǎn)生隨機(jī)數(shù)、錯(cuò)誤報(bào)告等145使用 Lib的基本過(guò)程178。數(shù)據(jù)包內(nèi)存初始化178。網(wǎng)絡(luò)接口初始化178。構(gòu)造所需的數(shù)據(jù)包178。計(jì)算數(shù)據(jù)包的校驗(yàn)和178。發(fā)送數(shù)據(jù)包178。關(guān)閉網(wǎng)絡(luò)接口178。釋放數(shù)據(jù)包內(nèi)存lib_init_packet(…)。lib_open_raw_sock(…)。lib_build_ip(…)。lib_build_tcp(…)。lib_do_checksum(…)。lib_write_ip(…)。lib_close_raw_sock(…)。lib_destroy_packet(…)。146Sniffer的反措施178。合理的網(wǎng)絡(luò)分段，在網(wǎng)絡(luò)中使用網(wǎng)橋和交換機(jī)；相互信任的主機(jī)處于同一網(wǎng)段178。使用加密技術(shù)傳送敏感數(shù)據(jù)，如 SSH178。為了防止 ARP欺騙，使用永久的 ARP緩存條目178。如何檢測(cè)處于混雜模式的節(jié)點(diǎn)……147檢測(cè)處于混雜模式的節(jié)點(diǎn)178。 網(wǎng)卡和操作系統(tǒng)對(duì)于是否處于混雜模式會(huì)有一些不同的行為，利用這些特征可以判斷機(jī)器是否運(yùn)行在混雜模式下178。 一些檢測(cè)手段252。 觀測(cè) DNS? 很多網(wǎng)絡(luò)監(jiān)聽(tīng)軟件會(huì)嘗試進(jìn)行地址反向解析，可以通過(guò)觀測(cè) DNS上是否有明顯增多的解析請(qǐng)求252。 根據(jù)操作系統(tǒng)的特征? Linux內(nèi)核的特性：正常情況下，只處理本機(jī) MAC地址或者以太廣播地址的包。在混雜模式下，許多版本的 Linux內(nèi)核只檢查 數(shù)據(jù)包中的 IP地址以確定是否送到 IP堆棧。因此，可以構(gòu)造無(wú)效以太地址而 IP地址有效的 ICMPECHO請(qǐng)求，看機(jī)器是否返回應(yīng)答包 (混雜模式 )，或忽略 (非混雜模式 )。? Windows9x/NT：在混雜模式下，檢查一個(gè)包是否為以太廣播包時(shí)，只看 MAC地址前八位是否為 0xff。148檢測(cè)處于混雜模式的節(jié)點(diǎn) (續(xù) )252。 根據(jù)網(wǎng)絡(luò)和主機(jī)的性能? 根據(jù)響應(yīng)時(shí)間：向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，然后，看目標(biāo)主機(jī)的響應(yīng)時(shí)間，首先要測(cè)得一個(gè)響應(yīng)時(shí)間基準(zhǔn)和平均值178。 L0pht的 AntiSniff產(chǎn)品，參考它的技術(shù)文檔149Windows 平臺(tái)下一些 sniffer工具178。Buttsniffer252。簡(jiǎn)單，不需要安裝，可以在 WindowsNT下運(yùn)行，適合于后臺(tái)運(yùn)作178。NetMon252。友好的圖形界面，分析功能強(qiáng)178。NetXRay252。界面友好，統(tǒng)計(jì)分析功能強(qiáng)，過(guò)濾器功能178?；?WinPcap的工具252。WinDump(tcpdump的 Windows版本 )252。Analyzer150Windump151SnifferPro152UNIX/Linux平臺(tái)下的一些 sniffer工具178。dsniff178。linux_sniffer178。Snort178。tcpdump178。sniffit……153tcpdump154參考資料155演講完畢，謝謝觀看