【正文】 的訪問(wèn)權(quán)限； l 分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。通常使用嗅探器的入侵者，都必須擁有基點(diǎn)用來(lái)放置嗅探器。如果某工作站的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一個(gè)工作站被配置成這樣的方式，它就是一個(gè)嗅探器。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。就是在這個(gè)傳輸和接收的過(guò)程中，每一個(gè)在 LAN上的工作站都有其硬件地址。通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。數(shù)據(jù)在網(wǎng)絡(luò)上是以幀 (Frame)為單位傳輸?shù)摹Ｐ崽狡魍ㄟ^(guò)將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的。目前使用的嗅探器仍是以軟件為主。 實(shí)際應(yīng)用中的嗅探器分軟、硬兩種。一般來(lái)說(shuō)，以太網(wǎng)被監(jiān)聽(tīng)的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)； FDDI Token被監(jiān)聽(tīng)的可能性也比較高，盡管它并不是一個(gè)廣播型網(wǎng)絡(luò)，但帶有令牌的那些數(shù)據(jù)包在傳輸過(guò)程中，平均要經(jīng)過(guò)網(wǎng)絡(luò)上一半的計(jì)算機(jī)；微波和無(wú)線網(wǎng)被監(jiān)聽(tīng)的可能性同樣比較高，因?yàn)闊o(wú)線電本身是一個(gè)廣播型的傳輸媒介，彌散在空中的無(wú)線電信號(hào)可以被很輕易的截獲。嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能，嗅探器可以分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。 嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地及其他計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種技術(shù)。 網(wǎng)絡(luò)協(xié)議分析及嗅探原理 常用嗅探器 網(wǎng)絡(luò)嗅探防范技術(shù) 第 11章 網(wǎng)絡(luò)嗅探技術(shù) 本節(jié)內(nèi)容 嗅探技術(shù)與嗅探器 通信協(xié)議分析 嗅探原理 簡(jiǎn)單的嗅探技術(shù) 網(wǎng)絡(luò)協(xié)議分析及嗅 探原理 嗅探技術(shù)與嗅探器 嗅探器 (Sniffer)可以理解為一個(gè)安裝在計(jì)算機(jī)上的竊聽(tīng)設(shè)備，它可以用來(lái)竊聽(tīng)計(jì)算機(jī)在網(wǎng)絡(luò)上所產(chǎn)生的眾多的信息。一部電話的竊聽(tīng)裝置，可以用來(lái)竊聽(tīng)雙方通話的內(nèi)容，而計(jì)算機(jī)網(wǎng)絡(luò)嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)。它工作在網(wǎng)絡(luò)的最底層，把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)。不同傳輸介質(zhì)的網(wǎng)絡(luò)可監(jiān)聽(tīng)性是不同的。 一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議： l 標(biāo)準(zhǔn)以太網(wǎng)協(xié)議； l TCP/IP； l IPX ； l DECNET； l FDDI Token； l 微波和無(wú)線網(wǎng)協(xié)議。軟件嗅探器便宜易于使用，缺點(diǎn)是往往無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù) (比如碎片 )，也就無(wú)法全面了解網(wǎng)絡(luò)的故障和運(yùn)行情況；硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件嗅探器所欠缺的，但是價(jià)格昂貴。 嗅探器捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。例如：將以太網(wǎng)卡設(shè)置成混雜模式。幀是通過(guò)特定的網(wǎng)絡(luò)驅(qū)動(dòng)程序進(jìn)行傳送的，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以 “ 偵聽(tīng) ” 到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)。這也是嗅探器會(huì)造成安全方面的問(wèn)題的原因。對(duì)于外部入侵者來(lái)說(shuō)，能通過(guò)入侵外網(wǎng)服務(wù)器、往內(nèi)部工作站發(fā)送木馬等獲得所需信息，然后用基點(diǎn)來(lái)放置其嗅探器，而內(nèi)部破壞者就能夠直接獲得嗅探器的放置點(diǎn)，比如使用附加的物理設(shè)備作為嗅探器。 通信協(xié)議分析 中繼器：中繼器的主要功能是終結(jié)一個(gè)網(wǎng)段的信號(hào)并在另一個(gè)網(wǎng)段再生該信號(hào) ， 起到信號(hào)放大和轉(zhuǎn)發(fā)的作用 ， 中繼器工作在物理層上 。 路由器：路由器工作在網(wǎng)絡(luò)層 ， 主要負(fù)責(zé)數(shù)據(jù)包的路由尋徑 ，也能處理物理層和數(shù)據(jù)鏈路層上的工作 。 以太網(wǎng)和 TCP/IP可以說(shuō)是相互相成的 ， 可以說(shuō)兩者的關(guān)系幾乎是密不可分 ， 以太網(wǎng)在一二層提供物理上的連線 ， 而 TCP/IP工作在上層 ， 使用 32位的IP地址 ， 以太網(wǎng)則使用 48位的 MAC地址 ， 兩者間使用 ARP和 RARP協(xié)議進(jìn)行相互轉(zhuǎn)換 。 而沖突檢測(cè)則是為了防止發(fā)生兩個(gè)站點(diǎn)同時(shí)在網(wǎng)絡(luò)發(fā)送數(shù)據(jù)而產(chǎn)生的沖突 。 在 TCP/IP通信中，網(wǎng)絡(luò)接口層直接與硬件地址相連接，網(wǎng)間網(wǎng)層與 IP地址相連接，傳輸層與 TCP接口相連接，應(yīng)用層則是面向用戶的應(yīng)用程序接口，如 FTP、 TELNET等接口。 FTP TCP端口 IP 地址 硬件地址 電纜 FTP服務(wù)器 TCP端口 IP 地址 硬件地址 電纜 應(yīng)用層 傳輸層 網(wǎng)絡(luò)接口層 網(wǎng)間網(wǎng)層 物理網(wǎng)絡(luò) 客戶 服務(wù)器 用戶進(jìn)程 內(nèi)核中的協(xié)議棧 以太網(wǎng)驅(qū)動(dòng)程序 內(nèi)核中的協(xié)議棧 物理網(wǎng)絡(luò) 嗅探原理 我們知道 ， 計(jì)算機(jī)所傳送的數(shù)據(jù)是大量的二進(jìn)制數(shù)據(jù) 。 網(wǎng)絡(luò)嗅探器比起電話竊聽(tīng)器來(lái)說(shuō) ， 有他獨(dú)特的優(yōu)勢(shì)：很多的計(jì)算機(jī)網(wǎng)絡(luò)采用的是 “ 共享媒體 ” 。 我們稱這種竊聽(tīng)方式為 “ 基于混雜模式的嗅探 ” （ promiscuous mode） 。在硬件地址和 IP地址間使用 ARP和 RARP協(xié)議進(jìn)行相互轉(zhuǎn)換。 網(wǎng)卡接收到傳輸來(lái)的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀的目的 MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就接收后產(chǎn)生中斷信號(hào)通知 CPU，認(rèn)為不該接收就丟掉不管，所以不該接收的數(shù)據(jù)在網(wǎng)卡處就截?cái)嗔?，?jì)算機(jī)根本就不知道。 而對(duì)于網(wǎng)卡來(lái)說(shuō)一般有四種接收模式： l 廣播方式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的所有廣播信息； l 組播方式：設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)； l 直接方式：在這種模式下 ， 只有目的網(wǎng)卡才能接收該數(shù)據(jù)； l混雜模式：在這種模式下的網(wǎng)卡能夠接收一切通過(guò)它的數(shù)據(jù) ， 而不管該數(shù)據(jù)是否是傳給它的 。 在 Switch內(nèi)保存著每一個(gè)網(wǎng)段上所有結(jié)點(diǎn)的物理地址 ， 只允許必要的網(wǎng)絡(luò)流量通過(guò) Switch。 如果接收方位于發(fā)送方網(wǎng)段內(nèi) ， 該數(shù)據(jù)包就會(huì)被 Switch丟棄 ，不能通過(guò)交換機(jī)傳送到其它的網(wǎng)段；如果接收方和發(fā)送方位于兩個(gè)不同的網(wǎng)段 ， 該數(shù)據(jù)包就會(huì)被 Switch轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)段 。 通過(guò)前面的學(xué)習(xí) ， 網(wǎng)卡接收信息技術(shù)可總結(jié)如下： l