网络安全与实践 网络安全实践 课程4-网络嗅探与协议分析.ppt

共享式网络和交换式网络共享式网络通过Hub(集线器)连接总线方式:通过网络的所有数据包发往每一个主机能够嗅探整个Hub上全部网络流量交换式网络通过Switch(交换机)连接由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定端口上只能监听同一端口上流量可通过流量映像口监听(SPAN)BPF和libpcapWinPcap和NPF原始数据包粒度网络协议分析对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法网络协议分析?网络协议分析的粒度和层次 ?原始数据包:最细粒度、最低层次 ?网络流(/会话):通过5元组进行流(/会话)重组 ?5元组:sip,sport,dip,dport,ipproto ?网络流高层统计 ?IP会话列表sip,sport ?目标端口流统计dport?网络报文分析工具 ?集成工具:Wireshark ?网络流重组:nstreams,snort ?高层统计和摘要分析:Netflow,RRDTools2011年3月6日31网络协议分析技术实现?实现参考源码 ?Snort中的网络解码器模块 ?decode.c/decode.h?解析以太网数据帧 DecodeEthPkt ?预处理：拆包前进行一些前期处理 ?拆包：将当前得到的包内存位置赋 给Packet数据结构中相应的指针 eh(EtherHdr)型的指针即可 ?解析上层协议：switch语句，根 据ether_type分别调用相应的上 层协议解析例程2011年3月6日33 SetPktProcessor DecodeEthPkt DecodeIP DecodeTCP(UDP/ICMP) 上层协议typedefstruct_EtherHdr{ u_int8_tether_dst[6]; u_int8_tether_src[6]; u_int16_tether_type;}EtherHdr;DecodeEthPkt()insnortdecode.c2011年3月6日34DecodeEthPkt()insnortdecode.c–con’d??????PPPoEIPARP,RARPIPv6IPX802.1Q2011年3月6日352011年3月6日36Wireshark*(ethereal)?Wireshark(ethereal) ?1998-2006:Ethereal ?GeraldCombs,UniversityofMissouri-KansasCity ?2006-now:wireshark ?RenamedfromEtherealduetotrademarkissues ?eWEEKLabsnamedWiresharkoneofTheMost ImportantOpen-SourceAppsofAllTime“?Wireshark特性?????图形化界面/命令行(tshark)在线/离线抓包(支持标准pcap二进制日志文件)支持BPF过滤器支持分析几百种常见网络协议跨平台：类UNIX、Win32(依赖libpcap/WinPcap)2011年3月6日37Wireshark界面**2011年3月6日1网络攻防技术与实践课程3.网络嗅探与协议分析 2011年3月6日2内容1.网络嗅探技术2.课堂实践：使用Tcpdump3.网络协议分析技术4.课堂实践：使用Wireshark5.作业－解码网络扫描/网络扫描 攻防对抗作业网络嗅探?网络嗅探(Sniff) ?网络监听、网络窃听 ?类似于传统的电话线窃听?网络嗅探技术定义 ?利用计算机网络接口截获目的地为其他计算机的数据报文 ?监听网络流中所包含的用户账户密码或私密信息等?网络嗅探器(Sniffer) ?实现嗅探的软件或硬件设备 ?嗅探获得数据?二进制格式数据报文 ?解析和理解二进制数据，获取各层协议字段和应用层传输数据 ?网络协议分析2011年3月6日32011年3月6日4网络嗅探的危害与作用?攻击者：内网渗透技术 ?窃取机密信息 ?为发起进一步攻击收