第五章TCPIP体系的协议安全-网络嗅探ppt课件.ppt

workSniffingSnifferPro-商业WireShark–Etheral-开放分析器获取网络通信量,进行分析-《Wireshark&workProtoclAnalyzerToolkit》Syngress攻击者如何应用嗅探sniffer捕获明文用户帐号和口令信息发现网络中用户的使用模式泄露私人信息捕获并重放VocieoverIP(VoIP)电话音频映射网络拓扑结构操作系统指纹探测以太网回顾--共享信道--广播协议-为了标识以太网上的每台主机,需要给每台主机上的网络适配器(网络接口卡)分配一个唯一的通信地址,地址或称为网卡的物理地址、MAC地址。长度为48比特,共6个字节。地址块,地址。因为在每块网络适配器出厂时,地址就已被烧录到网络适配器中。所以,有时我们也将此地址称为烧录地址(Burned-In-Address,BIA)。以太帧格式之一CSMA/(CSMA/CD)控制方法访问共享传输介质CSMA/CD协议的工作原理是:某站点想要发送数据,必须首先侦听介质。如果介质空闲,立即发送数据并进行冲突检测;如果介质忙,继续侦听介质,直到介质变为空闲,才继续发送数据并进行冲突检测。如果站点在发送数据过程中检测到冲突,它将立即停止发送数据并等待一个随机长的时间,,每个节点检测通过它的所有数据帧。如果数据帧包含的目的地址正是该节点,则先检测数据的完整性(信息帧的长度在64到1518字节之间,并通过CRC检验),再送往网络软件驱动程序物理拓扑星型;逻辑(工作原理)总线型以太帧:从一个端口接收,向其他所有端口转发网卡:MAC地址局域网-共享式以太网(集线器-HUB)在正常的情况下,一个网络接口应该只响应两种数据帧:与自己硬件地址相匹配的数据帧发向所有机器的广播数据帧混杂模式(Promiscuous):所有数据帧这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中,任何设置成混杂模式的主机,都可以捕获发送给其它主机的数据帧,从而窃听网络上的所有通信。嗅探实现的2个条件网卡能设置成混杂模式所有数据帧到达网卡局域网-交换式以太网(交换机-SWITCH)SWITCH聪明,维护CAM表(交换地址表):每台计算机的MAC地址和与之相连的特定端口的对应关系发给某个主机的数据包会被SWITCH从特定的端口送出,而不是象HUB那样,广播给网络端口MAC地址1AA-02-..2BB-34-..3CC-78-..网卡能设置成混杂模式所有数据帧到达网卡4DD-78-..交换环境下的网络监控(嗅探)