文件名称:网络监听技术-三未密码机手册
文件大小:2.27MB
文件格式:PDF
更新时间:2024-06-30 14:03:47
网络 攻击 防范
3.1 网络监听技术 3.1.1 网络嗅探器工作原理 网络监听往往是借助网络嗅探器来实现的。网络嗅探器即 Sniffer,用于监听网络中的数 据包,分析网络性能,检查网络中的异常攻击等。 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每 个网络接口都有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址, 同时,每个网络还有一个广播地址。当网络数据包的的目标区域具有和网络接口相匹配的硬 件地址,或数据包的目标区域具有“广播地址”时,网卡通过 CPU 产生一个硬件中断,该 中断能引起操作系统对数据包做进一步的处理。 网络嗅探器的工作原理是与网卡的工作模式有关的。网卡具有如下的几种工作模式: (1)广播模式(BroadCast Model):物理地址(MAC)地址是 0Xffffff 的帧为广播 帧,工作在广播模式的网卡接收广播帧。 (2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内 的其它主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它 可以接收所有的多播传送帧,而不论它是不是组内成员。 (3)直接模式(Direct Model):工作在直接模式下的网卡只接收目地地址是自己 Mac 地址的帧。 (4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡 的帧,信包捕获程序就是在这种模式下运行的。 网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如 果采用混杂模式,一个站点的网卡将接受同一网络内所有站点所发送的数据包,这样就可以 达到对网络信息监视捕获的目的。 通过 Sniffer 软件,能将本地网卡状态设成混杂(Promiscuous)模式,当网卡处于这种 方式时,该网卡具备“广播地址”,它可以监听此网络中传输的所有数据包,而不管数据包 的目标地址是广播地址还是本身或者是其他网络接口地址了。它将对遭遇的每一个数据帧产 生硬件中断,交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数 据帧中包含的内容。 可见,Sniffer 工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且 通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。 当然,如果一个数据包没有到达发送的目标主机的网络接口,则目标主机无法监听到。 所以 Sniffer 所能监听到的信息将仅限于在同一个物理网络内传送的数据包,也就是监听的 目标中间不能有路由交换设备。因此,当 Sniffer 工作在由集线器(Hub)构建的广播型局域 网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(Switch)和路由器 (Route)构建的网络中,网络设备根据目标地址来分发和传送网络数据包,所以在这种网 络中,Sniffer 工具就只能监听到目标地址是本身的数据包和广播数据包。 虽然 Sniffer 能得到局域网中传送的大量数据,但是不加选择地接收所有的数据包,并