网络嗅探
1、利用计算机网络端口截获别人的数据报文,以监听数据流中所包含的账户名和密码。
2、嗅探的危害和作用(被动性,非干扰性)
3、工具:可分为LAN(tcpdump)和WLAN(kismet)也可分为硬件嗅探器和软件嗅探器
4、原理:
a、以太网工作原理。
b、共享式网络与交换式网络中的嗅探。其中共享式即为总线方式,通过集线器完成,而交互式则是通过交换机完成。对于交互式嗅探的攻击方式包括MAC地址洪泛攻击、MAC欺骗和ARP欺骗。
c、类UNIX平台的嗅探技术实现:内核态(BPF)和用户态(libpcap)
d、windows平台的嗅探技术实现:内核态(NPF)和用户态(winpcap)
5、网络嗅探器软件:a、类UNIX平台嗅探软件;b、windows嗅探器软件;c、tcpdump
6、防范与检测:检测(L0pht)、防范包括(采用安全网络拓扑、静态ARP和MAC地址映射表替代动态机制等)
网络协议分析
网络协议分析过程
1、嗅探到原始数据
2、对以太网数据帧进行结构分析
3、对IP数据包进行分析
4、根据TCP与UDP目标端口确定具体应用层协议
5、根据相应应用层协议对数据进行整合恢复
在snort中网络协议分析过程:
1、解析以太网数据帧(预处理、拆包、解析上层协议)
2、解析IP数据包
3、解析TCP数据包
wireshark数据包分析工具
1、wireshark简介和发展
2、wireshark功能介绍:多平台、多接口、多协议类型、多种文件类型、图形化界面、包过滤功能、重组TCP会话的所有数据包。
3、wireshark使用:在课本中wireshark使用讲的比较少,这里给出几点书上的内容。
监听指定主机为源地址:[src|dst]host< host>
选择长度符合要求的包:less|greater
过滤tcp、udp及端口号[tcp|udp] [src|dst]port< port>
利用and、or、not连接多个条件
使用过滤栏设置可以只查看符合要求的数据包
过滤器对大小写敏感