sniffer(共6篇)
sniffer 篇1
随着校园网络规模的不断扩大,网络设备和网络用户的不断增加,网络的安全性和管理的及时有效性成为影响网络效能和保障网络安全运行的重要问题,使得网络在增加应用自由度的同时,对安全和管理提出了更高要求。网络管理的目的在于监视和控制一个复杂的计算机网络,通过某种方式对网络状态进行调整,使网络中的各种资源得到高效的利用,当网络出现故障时能及时作出报告和处理,并协调、保持网络的高效运行等。网络管理的功能主要包括:1)配置管理:掌握和控制网络的状态,包括网络内各个设备的状态及其连接关系。2)性能管理:主要考察网络运行的好坏。性能管理使网络系统管理员能够监视网络运行的参数,如吞吐率、响应时间、网络的可用性等,随时了解网络状况,分析可能产生瓶颈的因素,及时调整网络的负载结构。3)安全管理:是对网络资源及其重要信息访问的约束和控制,包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。4)故障管理:检测、定位和排除网络硬件和软件中的故障。当出现故障时,能确认故障,并记录故障,找出故障的位置并尽可能排除这些故障。同时,分析故障产生的原因,防止今后发生类似的问题。5)信息统计:收集、分析网络的历史资料,识别网络工作的长期趋势,为网络的扩展提供参考。
我校校园网建网较早,经历过几次升级改造,网络颇具规模,网络管理的任务较重。我们在日常的工作中,使用了网络分析软件Sniffer pro来帮助进行网络管理和维护,并取得了较理想的效果。
1 Sniffer的工作原理
Sniffer(嗅探器)技术在网络安全领域具有双重的作用,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。Sniffer技术是校园网必不可少的网络管理工具。
计算机网络是由众多局域网组成的,这些局域网一般是以太网的结构,即共享式的连接。这种共享式的连接有一个很明显的特点:发送数据时物理上采用的是广播方式。当主机根据MAC地址发送数据包时,尽管发送端主机告知目标主机的地址,但并不意味着一个网络内的其它主机不能监听到发送端和接收端之间传递的数据。因此从理论上说,当采用共享式连接时,位于同一网段的每台主机都可以截获在网络中传输的所有数据。
正常情况下,局域网内同一网段的所有网卡虽然都具有访问在物理媒体上传输的所有数据的能力,但通常一个网卡只响应以下两种数据帧:
1)数据帧的目标MAC地址与网卡自身的MAC地址一致;2)数据帧的目标MAC地址为广播地址。
只有当接收到上面两种类型的数据帧时,网卡才会通过CPU产生一个硬件中断,然后再由操作系统负责处理该中断,对帧中所包含的数据做进一步处理。也就是说,虽然网络上所有主机都可以“监听”到所有的数据,但对不属于自己的报文不予响应,只是简单地忽略掉这些数据。
但是,如果网络中的某台主机不愿意忽略掉不属于自己的数据帧,只需将网卡设置为混杂(Promiscuous)模式,对接收到的每一个帧都产生一个硬件中断,以提醒操作系统处理经过该网卡的每一个数据包,这样网卡就可以捕获网络上所有的数据了。如果一台主机的网卡被配置为混杂模式,那么该主机及其相关的软件就构成了一个嗅探器。
Sniffer工作在网络环境中的底层,它会拦截所有正在网络上传送的数据,通过借助相应的软件进行处理。Sniffer可以实时分析这些数据的内容,进而可以帮助网络管理员分析整个网络的状态、性能或故障。正因如此,在检测网络故障时,Sniffer对管理员来说是一种不可或缺的强力工具。
2 Sniffer技术在网络管理中的应用
Sniffer软件为用户提供了功能完备的网络管理工具,凭借先进的性能,Sniffer可以帮助用户主动监测网络,在瓶颈造成故障之前,将其完满解决。它能够自动帮助网络专业人员维护网络,查找故障,协助扩展多拓扑结构,多协议网络,极大地简化发现、解决网络问题的过程。
2.1 Sniffer技术在网络管理中的应用位置
根据Sniffer技术的原理,它在网络底层工作运行,监听同一物理子网的数据报文信息。可以将Sniffer放置在网络的各处,形成一个入侵警报系统;也可以在网络中一些重要和关键的节点上运行Sniffer,以随时掌握网络的状态,及时发现入侵信息和网络故障。Sniffer一般放在网关、路由器、防火墙等关键设备上,使监听效果最好。
通常情况下,Sniffer只适合于在广播型的局域网中工作,但Sniffer无法嗅探到跨路由或交换机以外的数据包,即Sniffer不能直接嗅探到所在网络之外其他计算机的数据包。
2.2 Sniffer技术在网络管理中完成的功能
我们在检测网络故障及维护网络正常通信的过程中,经常需要借助Sniffer提供的某些功能。利用这些功能,可以实时监控网络流量,分析网络故障,分析网络协议的工作原理及过程,捕获非法数据、入侵检测等。
1)专家分析系统
Sniffer能够监视并捕获所有网络上的信息数据包,同时建立一个特有网络环境下的目标知识库,经过将问题分离、分析和归类,Sniffer可以实时自动地发出警告,解释问题的性质并提出解决方案。Sniffer与其他网络分析软件的最大不同就在于它的专家分析系统。
2)网络实时监控和告警
Sniffer以表格、图形等形式,从各个方面动态显示网络通信和网络运行状况,如协议分布、流量分布、带宽利用率、错误率等,快速确定网络的运行情况以及有效协议和工作站的统计数据。Sniffer提供多种数据报告,以便将来的查询和分析,并可根据预先设定的阀值发出警报,并以多种方式通知网络管理员。
利用这个特性可以分析网络中的许多异常情况。例如:当一台计算机正受到其它计算机的攻击时,进入该计算机的数据流量会异常的高;当网络中某一台计算机因为网络设置引起通信的不稳定,那么该计算机的不可达报文会非常多;当一台计算机对其它计算机发起攻击时,从它发出的数据报文会非常多,其网络流量也会异常。
3)实时网络包捕获
实时网络包捕获是Sniffer的另一重要功能,它捕捉真实的数据包并“解码”,以便作进一步的分析。捕捉的范围既可以是网段中的所有数据包,也可以是某两对节点间的通信数据包,或者是某个特定协议的数据包。Sniffer能通过设置过滤条件来缩小捕获或观测的数据的范围,实时捕获用户定义的网络数据包,并给出一个详细的逐包的统计信息。通过对这些动态数据报文的捕获和分析,可以诊断出网络中大量的模糊问题,有效地监视网络活动,完善网络管理功能。
由于Sniffer工作在网络环境中的数据链路层,它捕获的数据包严格地讲应称为“帧”,它在结构上符合数据链路层的相关标准。在以太网上,捕获的数据包符合IEEE802.3标准,如图1所示。
4)对协议进行解析
Sniffer可以对捕获到的数据包进行详细分析,将截获的数据包转换成易于识别的格式,对数据进一步分析可以了解该类协议的工作过程及协议内容。网络协议是网络的基础,是网络的语言,但网络协议太抽象了,很难深入和真正掌握。Sniffer可以在全部七层协议上进行解码分析,采用类似剥洋葱的方式,从最低层开始,一直到七层,甚至对数据库都可以进行协议分析,每一层使用不同的颜色加以区别。Sniffer的这种功能,提供了一种直观的手段,有助于网络管理员加深对网络知识的掌握,提高自身水平。教师在进行计算机网络课程的教学与实验中,也可以充分利用Sniffer的这个功能给学生提供比较直观的印象,有助于加深学生对网络知识的掌握。图2为用Sniffer软件捕获的ARP帧的直观形式。
5)网络安全
网络安全是一个系统的概念,有效的安全策略和方案的制定,是网络信息安全的首要目标。传统上一般采用防火墙作为安全的第一道防线,而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全的需要,在这种情况下,入侵检测系统(Intrusion Detection System,简称IDS)成为了安全市场上新的热点,不仅愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
入侵检测即通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统由探测器、分析器、用户接口等部分组成,其中探测器负责采集数据,分析器则主要是设定一系列规则,对探测器送来的数据进行分析,用户接口负责与用户的交互。显然,用Sniffer捕获数据包可以作为入侵检测系统信息的重要来源。
6)报文发送
通过设置目的地址、发送次数、发送延迟和报文大小,形成报文并发送,可实现网络流量模拟。利用这个功能,我们可以探察网络,进行通信仿真,测量响应时间,并有助于路由器及各种网络设备仿真软件的开发。
当网络出现故障,不能立即排除时,可以捕获、存储网络故障时的数据包,并在之后进行回放,模拟当时的网络状态,以便对故障进行定位和排除。
7)报告生成
Sniffer可以帮助创建图形报告,该报告建立在Sniffer所收集的RMON和类似RMON2的数据基础之上。这些易于生成的报告可以提供快速显示受监视网段的全部统计数据以及网络层主机、矩阵和协议分配。这些报告还可以提供针对用户网络通讯趋势的重要信息,对网络整体运行情况作出长期的健康分析与发展趋势报告,分析系统目前的使用情况,以及对新系统的规划作出精确报告。
3 结束语
Sniffer技术在网络管理中具有高效解决网络问题的能力,能够从网络的各个层面进行网络故障分析。但其应用要求对网络协议有清楚的了解,使用上有一定难度。
网络系统的正常运行和安全防范是一项联系很广泛的任务,随着网络规模的发展和扩大,它将对网络管理员提出更高的要求。而利用Sniffer技术,网络管理人员可以深入到网络内部,可以实现对网络数据及流量的分析,能够开发出与其相关的网络安全和系统管理软件,从而大大减少网络管理员的工作量,提高网络的性能以及服务质量。
参考文献
[1]王石,局域网安全与攻防[M].北京:电子工业出版社,2007.
[2]陈逸,谢婷.Sniffer Pro网络优化与故障检修手册[M].北京:电子工业出版社,2005.
[3]雷振甲.计算机网络管理及系统开发[M].北京:电子工业出版社,2002.
[4]陈千,马剑峰.Sniffer技术在网络管理工作的应用和研究[J].计算机工程与设计,2004(4).
sniffer 篇2
关键词:Sniffer,病毒,ARP,MAC,安全防范
1 ARP病毒
ARP病毒也叫ARP地址欺骗类病毒, 它发作时会向全网发送伪造的ARP应答数据包, 通常会造成网络掉线、但网络物理连接正常, 局域网内部分或全部计算机不能上网, 或者网络连接时断时续并且网速明显变慢等现象, 严重影响到企业局域网的安全运行。
2 ARP协议及病毒攻击原理
要了解ARP病毒的攻击原理, 必须先了解ARP协议。
2.1 ARP协议工作原理
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。其功能是实现局域网中从IP地址到MAC地址的转换。在局域网中, 网络中实际传输的是“帧”, 帧里面有源和目标主机的MAC地址, 帧在网络中就是靠这个MAC地址进行目标识别和传输的。ARP协议通过发送请求广播包, 查询目标设备的MAC地址, 得到应答后将MAC地址插入帧中, 就可以在网络中进行传输了。
每台安装有TCP/IP协议的计算机里都有一个ARP缓存表, 表里的IP地址与MAC地址一一对应, 如表1所示。
以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。发送数据时, 主机A会在自己的ARP缓存表中查找是否有主机B的IP-MAC条目。如果找到, 直接把B对应的MAC地址写入帧中发送就可以了, 否则, A就会在网络上发送一个ARP请求广播包, 目标MAC地址是“FF-FF-FF-FF-FF-FF”, 这表示向同一网段内的所有主机发出这样的询问:“嗨!192.168.1.2, 你的MAC地址是什么?”。按照ARP协议实现机制, 网络上其他主机并不响应此ARP询问, 只有主机B接收到这个请求后, 才向主机A做出这样的回应:“我是192.168.1.2, 我的MAC地址是bb-bb-bb-bb-bbbb”。这样, 主机A就知道了主机B的MAC地址。A同时将B的MAC地址加入到自己的ARP缓存表中, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。
ARP缓存存放的是最近使用的IP地址到MAC地址之间的映射记录。Windows ARP缓存表中每一条记录的生存时间默认为60秒。每次发送数据包, ARP协议先从缓存中查找IP-MAC条目, 找到就立刻使用, 找不到就发送ARP请求广播包。缓存中的动态IP-MAC条目是根据ARP响应包而动态更新的。ARP协议在发送和没有发送ARP请求的情况下都能接收ARP应答, 只要网络上有ARP应答包发送到本机, 本机就会立即更新缓存中的相应动态IP-MAC条目。
2.2 ARP病毒攻击原理
如果攻击者X (MAC地址为xx-xx-xx-xx-xx-xx) 向A发送一个伪造的ARP应答包, 这个应答中的数据为“192.168.1.2xxxx-xx-xx-xx-xx”, 即告诉A:B的MAC地址为xx-xx-xx-xxxx-xx (实际是X自己的MAC地址) , 这样A下次发送数据包给B就使用X的MAC地址, 结果数据包实际被发送到攻击者X, 这样X就窃取了A的数据包。
如果主机X持续不断地向局域网中发送大量虚假的ARP应答包后, 就会造成局域网中的机器ARP缓存的崩溃。如果B为局域网网关, 那么此时计算机A就不能通过网关上网了。一般此类病毒通过间歇式的发送伪造包, 当伪造ARP条目在缓存中老化删除后, 在下一轮攻击前, 被攻击计算机所有网络连接又能恢复正常, 这就是网络连接时断时续的原因。
3 使用SnifferPortableV4.8分析
Sniffer Portable通过提供可以快速识别并解决网络性能问题的便携式分析解决方案, 来帮助网络技术人员解决所有LAN和WAN拓扑结构中遇到的困难问题, 范围可覆盖从10/100M/1 000M的以太网到异步传输模式 (ATM) 以及802.11无线网络等几乎所有网络拓扑结构。它可以运行在普通计算机上, 使用450多种协议解码器和强大的专家分析功能, 支持OSI各个层次的协议, 它甚至可以自动分析多拓扑、多协议网络。Sniffer通过抓取网络数据包, 再对内容进行解码, 以简明的语言解释各个帧的内容。它的实时网络分析有助于迅速检测和解决网络故障与性能问题, 已成为网络技术人员的必备工具。Sniffer Portable V4.8可以从Network General官方网站免费下载并试用15天。
使用Sniffer分析ARP病毒攻击步骤如下:
例如:需要对来自交换机端口A的所有VLan数据包进行分析, 以华为S5516三层交换机为例, 步骤如下:
(1) 将安装有Sniffer软件的计算机接入交换机端口B, 并设置端口B为trunk模式, 这样可以允许所有VLan数据包通过, 此处A端口标记为g1/1, B端口标记为g2/1。
(3) 定义Sniffer抓包过滤规则:
1) 打开Sniffer Portable, 新建一个配置文件。依次点击“CaptureDefine Filter-profiles-new”, 输入配置名称, 如“FindArp”。依次点击“Ok-Done”, 完成新建配置文件;2) 定义过滤规则。选中上面新建的配置名称FindArp, 选择Address选项卡, 从左侧选择Hardware (抓取ARP数据包必须选择此选项) , 将any分别拖放到station1和station2中, 如图1所示;3) 选择Advanced标签, 在列表中选中ARP, 只抓取ARP协议数据包, 缺省为抓取所有协议数据包。点“确定”退出;4) 在软件主页面中, 选择配置文件FindArp, 点击“Capture-Start”开始抓包, 根据网络流量大小, 抓取几分钟, 点击“Capture-Stop And Display”停止, 并找到系统刚刚保存的数据文件, 查看抓取到的数据包;5) 从软件窗口最下面选择Decode标签, 查看解码结果。
下面以IP地址为10.138.208.5的计算机通过ARP协议寻找IP地址为10.138.208.1的计算机的MAC地址为例予以说明。
图2为Sniffer对捕捉到的ARP/RARP帧进行解码的结果。其中“Opcode 1 (ARP request) ”表明这是一个ARP请求帧, 即发送方IP地址为10.138.208.5、MAC为000F1FA5D8A8的计算机, 请求目标IP地址为10.138.208.1的计算机的MAC地址, 在请求中将目标MAC地址设为全0。
图3为10.138.208.1的应答ARP数据包。图中“Opcode2 (ARP reply) ”表明这是一个ARP应答帧, 即发送方计算机IP地址为10.1 3 8.2 0 8.1, M A C地址为0011258D4AF9, 目标地址为上面刚刚发送请求的10.138.208.5计算机。
经过这种“请求-应答”方式, 计算机10.138.208.5就查询到了10.138.208.1的MAC地址。
6) 异常分析。若计算机A和B (B也可以是网关) 出现通讯异常、网络时断时续故障, 可以从A本机运行命令“arpa”, 记下ARP缓存中B的MAC地址, 再从B本机运行“ipconfig/all”命令, 记下B的真实MAC地址, 如果这2个MAC地址不同, 肯定受到了ARP病毒攻击。此时, 打开Sniffer软件的Display菜单, 选择Find Frame在Detail Text中搜索A中伪造的MAC地址, 找到ARP应答包中发送方具有该伪造MAC地址的IP地址。若局域网采用固定IP地址分配, 根据IP地址记录表, 就能找到对应计算机的使用人员;若采用动态分配IP地址, 立即从交换机中逐级查找此伪造MAC地址所在端口, 就能轻松找到病毒源。
4 其他防范措施
(1) 当出现ARP病毒攻击时, 可以临时采取静态IP-MAC绑定以缓解燃眉之急, 在命令提示符下输入诸如:
其中192.168.1.1为要和对方通讯的主机IP地址, aa-aa-aa-aaaa-aa为对方真实MAC地址。静态绑定后ARP协议将不再根据ARP应答包修改缓存中192.168.1.1的MAC地址, 直到计算机重启或手动取消静态绑定为止;
(2) 做好IP-MAC地址的绑定工作, 在交换机和客户端都要绑定, 这是可以使局域网免疫ARP病毒攻击的好办法;
(3) 在网络正常时保存好全网的IP-MAC地址对照表, 这样在查找ARP中毒计算机时很方便;
(4) 部署网络流量检测设备, 时刻监视全网的ARP广播包, 查看其MAC地址是否正确;
(5) 及时更新杀毒软件病毒库, 并开启实时监控功能, 定期全网杀毒;
(6) 养成良好的网络使用习惯, 有效防范各种病毒。
5 结语
网络病毒无处不在, 防不胜防, ARP病毒具有很大危害性, 它发送大量的伪造数据包, 占用网络带宽, 通过攻击网关, 会造成全网段计算机无法正常上网, 它还通过截取数据包的方式, 盗取用户账户和密码等信息。要仔细分析ARP病毒, 必须从ARP协议和病毒工作原理入手进行分析。Sniffer Portable作为流行的抓包工具, 功能强大, 几乎所有网络异常情况, 都可以通过它得以及时发现, 文中通过Siffer对ARP协议数据包进行详尽解码分析, 短时间内就能很快地发现病毒源。熟练掌握Sniffer分析方法是网络技术人员的必备技能之一。
参考文献
sniffer 篇3
2. 工作原理: 为什么能检查密码和不是传送给自己的数据呢?
在典型的LAN环境中,(指共享式HUB上连接的两个用户A和B),基于共享式HUB的工作原理,用户A发出的所有tcp/ip请求在HUB的每个端口上广播,正常情况下,B不接收这些目标地址不是自己的数据,但是一旦我们在B机上运行sniffit一类的监听工具,就能置网卡于第三种叫混杂模式的状态下(前两种为tcp,udp模式),在该状态下,网卡接受所有的数据,不管是发给自己的,还是不发给自己的,都被网卡接收并直接传给最上层应用层,交由相应的软件如sniffit处理。
3。常见用法
a. 检测telnet/ftp/pop3密码:
#sniffit -a -A. -p 23 -b -t 192.168.11.@
#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)
b. 查看http头信息
#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址)
c. 记录输出到文件
#sniffit -p 21 -l 0 -b -s 192.168.11.2 &
d. 查看icmp消息
#sniffit -p icmp -b -s 192.168.1.2
e. 交互式界面
#sniffit -i
f. 检查本网段内发出名字广播的机器
#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255
g. 注意防火墙的情况
若要检查防火墙内部网卡上的包eth1,可能你要设置 -F eth1参数,因为默认地sniffit 假设为eth0
4.哪些信息是敏感的和易被检测的?
telnet/ftp/pop3的密码都是明文传送的,都是易被检测的,apache的基本方式的用户名/密码认证也是UU编码后的口令,也是易被检测的,
5. 怎样阻止?
硬件: 不要用普通的共享式HUB,用交换机来代替它,目前只有交换机和路由器能阻止sniffit的作用
软件: 用带加密功能的tcp/ip连接,象ssh/scp全面代替telnet/ftp/pop3,用MD5方式的apache认证
6。作用范围:
仅在逻辑子网内有效,不能跨子网,因为广播不被路由器传递,但若是在服务器上运行sniffit,则任何方法均无效,对防火墙来说,通常sniffit攻击是第二层攻击,就是先得到一个普通帐号进入再探寻更多的口令。
7. 怎样判断是否有人在用sniffit?
sniffer 篇4
随着信息技术不断发展,人们的生活方式发生了很大的变化,互联网变成了人们信息沟通的重要平台。通过这个平台人们进行电子商务、网络购物、团购商务、即时通信、网络游戏、互联网金融等经济活动,这种新型的生活方式在给人们的生活、生产和社交等活动带来方便和快捷。但不法分子利用网络实施经济犯罪的现象也日益突出,我国社会发展进入了一个重要机遇期。据相关报道,网络犯罪每年以30%的速度递增,全球有80%以上的网站都存在安全漏洞[1]。不法分子以获取经济利益为目的,利用计算机及通讯网络对联网终端进行干扰破坏,危害社会经济秩序和侵犯个人信息,触犯有关法律规范的行为。网络经济犯罪实质是传统经济犯罪加网络技术呈现出的一种智能化、复杂化和高科技化的新型犯罪形态。数据库资料遭到黑客的攻击,银行卡信息和密码遭到违法犯罪人员的窃取,居民个人资料信息遭到不法人员的泄露等,使得网络经济犯罪的智能化、组织化、职业化和流窜性、系列性的特征越来越突出,传统的侦查模式很难适应打击犯罪的需要。因此,针对信息化时代特征,为了有效打击网络经济犯罪活动,就必须转变观念,利用现代化的信息工具开展“网上侦查”,构建整体防控和多元化打击的情报工作模式,应对犯罪形势多元化变化趋向,实现情报信息导侦的精确打击目标和成效,可见网络经济犯罪行为的预防,是减轻、避免网络经济犯罪行为严重危害性的重要途径。加强网络经济犯罪预警工作的研究与实践创新,建立“犯罪预警机制”,是摆在公安研究与实践创新的重要课题。
信息是犯罪预警工作的重要环节,预警信息的收集可以准确及时地预测可能发生的犯罪的征兆、提前采取有效的措施回避和控制违法犯罪行为的发生,将犯罪行为扼杀在摇篮中。
犯罪预警信息的收集与提取分析是预防犯罪行为的有效手段。通过对收集的一些预警信息进行分类、数据挖掘、深入分析等各种处理工作,提取一些有用的信号信息,对于找寻警源、警兆,具有重要的意义。
嗅探器技术作为网络安全攻防中最基本的技术,可以用于获取网络中传输的大量敏感信息,通过获取网络数据包的流向和内容等信息,可以进行网络传输数据分析。通过嗅探器对公民通信数据进行收集,结合分词技检索术进行语义匹配获得犯罪的可疑信息,提前发现有作案动机的犯罪嫌疑人,将犯罪行为扼杀在摇篮中。
2 系统设计与实现
系统主要包括5个功能模块,具体如下:
(1)网络数据包捕获
系统使用Jpcap中间件进行网络数据包的捕获。系统运行开始后,该模块会自动获取当前机器上的所有,并显示在界面上供用户选择。当用户选择了某个网卡和过滤规则之后,模块会打开一个捕捉器,捕获经过机器的数据包。根据TCP/IP协议规则对数据包进行解封装,分析数据包里的内容。从链路层协议开始进行解码分析,一直到应用层的协议。本系统将对捕获包进一步分析得到ARP数据包、IP数据包、TCP数据包、UDP数据包、ICMP数据包,通过分析获取数据包中的信息,例如:报文头、源MAC地址、目地MAC地址、源IP地址、目标IP地址等相关信息。
(2)协议分析
捕获数据包后,对所有数据包进行分析,从链路层开始分析,然后分析网络层,再分析传输层,最后分析应用层。系统主要是分析应用层协议中的HTTP协议、FTP协议和SMTP协议的内容,并且根据应用层协议的不同,把数据包保存到不同的文本文件中。该模块中利用JPCAP提供的TCP数据流重组功能,非常方便地对基于TCP协议的应用层协议进行分析,对他们的操作过程以及传输的数据内容进行分析
(3)数据包存储
分析主程序在分析数据包的过程中,将分析的结果存入相应的数据结构中,保存数据包时,从数据结构中将数据包保存到文件里。当用户打开文件时,再从文件中提取数据包的信息,恢复到数据结构中。
(4)敏感信息提取
根据领域著作、经典文献、网络上获取与经济、网络、犯罪等相关的概念术语,建立一个面向网络经济犯罪相关的术语集。根据分词技术切分出单字串,然后和搜集到的信息库进行比对,如果是一个词就记录下来,否则通过增加或者减少一个单字,继续比较,一直到还剩下一个单字则终止。如果该单字串无法切分,则作为未处理。分词过程采用双栈的结构,减少了匹配花费时间,并分别采取长词优先和最大概率方法处理一般的交集型歧义和特殊的同词长交集型歧义。
分析对比分词匹配的各种算法和工具;根据已有的网络经济犯罪的相关术语,建立术语集;采用合适的分词工具,对嗅探器收集到信息进行分词匹配,获取网络经济犯罪敏感信息。
(5)预警
如果敏感信息提取模块获取到敏感信息,预警模块做出相应的报警处理,提醒系统的使用者,让用户及时发现潜在的网络经济犯罪。
3 系统测试
系统测试是系统开发过程重要的一个环节,是系统使用前的最后把关。本章就对基于Sniffer的网络经济犯罪预警系统进行系统测试。
测试环境搭建好以后,接下来就开始对系统的功能进行测试。预警系统启动后,主界面如图2所示。选择监控主机的网卡后,点击start进行监控,可以在界面中显示数据包的详细信息,比如源地址和目的地址等。这些数据会保存到数据中。
点击界面的某条记录会显示这条捕获数据的详细信息,如图3所示:
点击Analyze按钮对捕获的数据包进行分析,如果发现数据包中包含犯罪信息的敏感词系统也进行报警提示。
4 结语
还存在一些需要改进的地方,这也是未来研究的重点,主要包括一下几点:
(1)预警系统中捕获的数据包都是在有线网络环境中,接下来需要重点研究移动网络环境下的数据捕获;
(2)将不断地充实新的敏感词词库,丰富敏感词词库的语义,不断吸收和归纳新的经济网络犯罪词汇和新涌现的敏感词,极大限度地保证系统对于流行词汇的敏感度;
(3)因为时间和能力的限制,本文设计的预警系统主要注重功能的实现,在界面和美工方面还存在不足,有些用户界面会显得有些简单,这也需要在以后进行完善。
摘要:通过Sniffer(嗅探器)对公民通信数据进行收集,进而利用分词检索技术来分析这些数据,对于敏感犯罪数据进行提取预警提示,提前发现有作案动机的犯罪嫌疑人,将犯罪行为扼杀在摇篮中,或者指导警方破案。
关键词:Sniffer技术,分词技术,Jpcap技术,网络犯罪
参考文献
[1]Mukherjee B,Heberlein LT,Levitt KN.Network intrusion detection.IEEE Network 1994;8(3):26–41
[2]高明暄.新型经济犯罪研究.北京:中国方正出版社,2000:13.
[3]吴聪.网络嗅探器中协议包捕获的研究与实现.福建电脑,2008,12:94-95.
sniffer 篇5
传输控制协议TCP是TCP/IP的一个重要的传输层协议, 是TCP/IP最具代表性的协议, 是整个计算机网络教学的重难点内容之一, 该部分内容抽象难懂, 采用传统教学方法, 学生学习和接收均比较困难, 教师授课费力, 却收效甚微。笔者将sniffer软件引入到该部分内容的教学之中, 通过分析由该软件从实际网络中获取的数据包具体讲解了TCP协议的数据报格式、TCP运输连接机制和TCP传输中的流量控制机制等内容, 讲解形象具体, 浅显易懂, 取得了较好的教学效果。
2、sniffer简介及原理分析[1,2,3]
ISS (因特网安全系统公司) 是这样定义Sniffer的:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具软件。
Sniffer的基本原理是这样的:因为在以太网中, 所有的通信都是按广播方式进行的, 对于网卡来说能否获取网络中的数据包, 主要取决于网卡的工作模式。网卡的工作模式有四种, (1) 广播方式, 该模式下的网卡能够接收网络中的广播信息; (2) 组播方式, 设置在该模式下的网卡能够接收组播数据; (3) 直接方式, 在这种模式下, 只有目的网卡才能接收该数据; (4) 混杂模式, 在这种模式下的网卡能够接收一切通过它的数据, 而不管该数据是否是传给它的。
因此, 我们让网卡工作在混杂模式, 接收一切通过它的IP数据包, 通过分析这些获得的IP数据包, 可以知道和理解各种协议定义的数据结构、数据包的数目和大小, 也可以理解数据在每一层上的封装情况以及数据传输过程中的相关情况。本课堂教学正是利用Sniffer的这种功能来提高课堂教学效果的, 首先利用Sniffer软件获取http协议访问网络的IP数据包, 通过对数据包的分析结合TCP协议的相关内容进行讲解。
3、sniffer在TCP协议教学中的应用[4,5,6]
3.1 sniffer在TCP数据报格式教学中的应用
3.1.1 获取数据包
启动Sniffer软件, 点击"Capture"→"Define Filter"→"Address", 选择"IP", 在station1中填入211.64.47.177, 在station2中填入211.64.32.3, 即让Sniffer软件仅获取主机211.64.47.177和主机211.64.32.3之间的IP数据包。
打开浏览器, 在地址栏中输入http://211.64.32.3, 出现我校电子邮件服务器的登陆界面, 输入用户名和密码, 然后选择Sniffer软件"Capture"菜单中的"start"选项, 最后点击电子邮件服务器登陆界面上的确定按钮, 待显示登陆信息后, 选择Sniffer软件"Capture"菜单中的"Stop and Display"选项, 停止数据包获取, 并将获取的数据包以32.3.cap文件名保存, 点击"decode"按钮, 查看捕获的数据包, 如图2所示。
3.1.2 TCP数据报
图3即为本次从主机211.64.47.177登陆学校电子邮件服务器211.64.32.3所获得的数据包, 可以看到总共32个数据包, 点击图2中的第1个数据包, 如图1所示, 即为本节课要讲的TCP数据报。
数据报是TCP协议传输的基本数据单元, 一个数据报包括数据包头和数据两部分, TCP数据报头携带的主要标识及控制信息如下:
(1) 源端口和目的端口:各占16位, 分别表示发送方和接收方的端口号, 图1中TCP数据报源端口号Source port=1037, 目的端口号Destination port=80。
(2) 发送序号和确认序号:这两个字段都是32位的无符号整数, 其中, 发送序号表示数据部分第一个字节的序列号, 而确认序号表示该数据报的接收者希望对方发送的下一个字节的序号, 图1中TCP数据报发送序号Initial sequence number=
2823747293, 确认序号Next expected Seq number=2823747294。
(3) SYN标志位用来建立连接, 是连接双方同步序列号。如果SYN=1而ACK=0, 表示连接请求;如果SYN=1, 而ACK=1, 则表示是接收连接, 图1中SYN=1, 表示这是一个连接请求报文。
(4) FIN标志位表示发送方已经没有数据要传输了, 希望释放连接, 图1中FIN的值为0。
(5) 窗口大小字段表示从被确认的字节开始, 发送方对多可以连续发送的字节个数。接收方通过设置该窗口值的大小, 可以调节源端发送数据的速度, 从而实现流量控制, 图1中窗口大小Window=65535。
(6) 校验和域是TCP协议提供的一种检错机制, 对发送数据的正确性进行校验, 图1中Checksum=E960, 后面括号中显示correct, 表示该数据校验正确。
3.2 sniffer在TCP运输连接机制教学中的应用
TCP协议是面向连接的协议, TCP连接的建立和释放是每一个采用TCP协议的进行数据传输的网络协议每一次通信必不可少的过程, 3.1.1中所获取的数据包是http协议访问时的数据包, 而http协议采用的时面向连接的TCP协议, 所以必然要遵循TCP运输连接机制, 这种机制发生在两个主机刚刚开始建立连接时, 具体见图2中的前3个数据包:
(1) 图2中的第1个数据包是211.64.47.177客户主机首先向211.64.32.3服务器主机发起连接请求, 其中SYN=1, SEQ=2823747293。
(2) 图2中第2个数据包是211.64.32.3服务器主机向21164.47.177客户主机的确认, 其中SYN=1, ACK=2823747294, SEQ=3129892668 (区别于 (1) 中的SEQ) 。
(3) 图2中的第3个数据包是211.64.47.177客户主机对211.64.32.3服务器主机发送的数据包的确认, 其中ACK=3129892669。
同样TCP连接的释放也遵循"三次握手"机制, TCP协议用FIN数据包 (数据报头中FIN标志位置1) 来请求关闭一个连接。该过程对应的数据包为图3中的第29、30、31和32四个数据包:
(1) 图2中第29个数据包, 主机211.64.32.3向211.64.47177主机发起连接拆除的请求, 其中FIN=1, SEQ=3127195609。
(2) 图2中的第30个数据包主机211.64.47.177向主机211.64.32.3发送确认信息, 其中ACK=3127195610, 同时发送关闭连接的请求, 图2中的第31个数据包, 其中FIN=1, SEQ=482231041。
(3) 图2中的第32个数据包, 主机211.64.32.3向主机21164.47.177发送确认信息, 其中ACK=482231042。
3.3 sniffer在TCP传输中的流量控制机制中的应用
TCP协议采用滑动窗口机制来进行流量控制, 窗口是指发送方在未收到接收方返回的确认信息的情况下, 最多能发送多少个字节的数据。
图2中第1个数据包发送窗口大小为WIN=65535, 第2个数据包发送窗口大小为WIN=5840, 第3个数据包发送窗口为WIN=65535, 第5个数据包发送窗口大小为WIN=6622。
说明发送窗口不仅在建立连接时由通信双方商定, 接收端还会在通信过程中根据本地资源的情况动态地调整接收窗口的大小, 并通知对方, 使对方的发送窗口和自己的接收窗口保持一致。以上几个数据包中发送窗口的大小变化印证了TCP协议数据发送过程中采用的动态窗口滑动机制。
4、结束语
本教学过程从同学们平时最为熟悉的上网问题 (登陆电子邮箱) 为切入点, 通过Sniffer软件抓取网络中的数据包, 并对其进行分析讲解, 解决了同学们以往学习该部分内容是普遍存在的"TCP数据报是什么样子的、是否真实存在、TCP数据报头具体有哪些域, 具体在什么位置"等诸多疑问, 使原本抽象枯燥的理论讲解变为了生动的科普教学, 可谓教师易教, 学生易学, 摆脱了传统教学法中理论说教, 加深了同学们对理论的理解, 收到较好的教学效果。
参考文献
[1].施永军.使用Sniffer检测局域网内Nachi蠕虫病毒[J].茂名学院学报, 2004, 14[1]:44-47.
[2].陈夕华, 李生红.利用Sniffer分析数据库应用系统的数据传输安全性[J], 计算机应用, 2005, 25[2]:297-300.
[3].李志远, 黎慧.借助Sniffer深入理解TCP/IP协议[J], 桂林航天工业高等专科学校学报, 2006, [1]:10-13.
[4].谢希仁.计算机网络教程[M].人民邮电出版社.2002, 5:166-224.
[5].马立云, 马皓等.计算机网络基础教程[M].清华大学出版社, 北方交通大学出版社.2005, 8:166-202.
sniffer 篇6
Sinffer Pro可用于网络故障与性能管理, 在局域网领域应用非常广泛。它是一款很好的网络分析程序, 允许管理员分析通过网络的实际数据和协议, 从而了解网络的运行情况。
它具有以下特点:
1) Sniffer Pro可以解码TCP/IP、IPX、SPX、FTP等几乎所有的网络传输标准协议。
2) 支持局域网、城域网、广域网等网络技术。
3) 提供对网络问题的分析和诊断, 并推荐针对分析所应该采取的措施。
4) 可以离线捕获数据, 并对捕获的数据进行存储, 以方便网络管理人员对所捕获的数据进行细致的分析。
有了Sniffer Pro, 网络管理员就能够在一个容纳几十台甚至更多计算机的网络中查找网络故障并及时进行修复。
2 Sniffer Pro的使用
(1) 安装Sniffer工具
为了避免Sniffer遗漏捕获网络中的数据, Sniffer安装的位置非常重要。Sniffer应安装在笔记本电脑上, 并通过对核心交换机进行端口镜像, 直接将笔记本电脑连接至核心交换机的镜像端口上, 就可以捕获整个网络传输的所有数据, 非常方便。
(2) 配置交换机端口镜像
由于各个厂家品牌交换机配置命令不同, 在此以我单位使用的H3C交换机为例, 通过CLI命令行模式配置。进入SYS特权模式进行如下配置:
启用镜像组1, 将交换机端口20作为监控端口, 下接装有sniffer pro软件的PC:
[SwitchA] mirroring-group 1 local (创建本地镜像组1)
[SwitchA] mirroring-group 1 mirroring-port e0/1, e0/4 both (为本地镜像组1添加源端口e0/1, e0/4)
[SwitchA]mirroring-group 1 monitor-port e0/20 (为本地镜像组1添加目标端口e0/20)
以上为交换机端口镜像的配置, 保存后退出, 即可在端口20上连接安装有Sniffer Pro的笔记本电脑, 对整个网络捕获数据进行分析。
(3) 监控网络状况
汉化后的Sniffer操作界面, 可以通过工具栏完成监控任务的操作, 并在当前窗口中显示出所监测的效果。在Sniffer主窗口中, 默认会显示仪表盘窗口, 分别用来显示网络利用率、传输的数据和错误统计。
Sniffer Pro的很多网络分析结果都可以设定警戒值, 若超出警戒值, 报警记录就会生成一条信息, 并在仪表盘上以红色来标记超过设定警戒值的范围。
(4) 查看捕获数据
在工具栏上单击“开始”按钮, Sniffer便开始捕获网络间传输的所有数据。
当缓冲器中积累了一定流量后, 可以停止并查看所捕获的数据。单击窗口下方的“解码”选项卡, 当前窗口便可自上至下依次显示:汇总、详细资料和Hex窗口的内容, 并可以查看所捕获的每个帧的详细信息。
最上面的窗口中显示了捕获的帧、“Source Address (源地址) ”、“Dest Address (目的地址) ”、“Summary (摘要信息) ”等信息。
中间的窗口部分显示所选择的协议的详细资料。最上面显示的就是DLC文件头信息, 包括协议类型、目标地址、源地址、以及UDP端口号等。
最下方为“Hex窗口”, 这里显示的内容最直观, “Hex窗口”中的信息是16进制代码的信息集合, 看到的就是处于传输状态的ASCⅡ码。
(5) 分析网络协议
在默认情况下, Sniffer会接收网络传输中的所有的数据, 但在分析网络协议时, 其中捕获的大量数据对我们查找网络故障并没有一点意义, 反而会增加我们分析网络故障的负担。此时, 我们可以通过对Sniffer进行设置过滤器, 只接收与分析的事件相关的数据, 从而大大提高查找网络故障的效率。
1) 捕获并分析ARP协议。
ARP协议即地址识别协议, 它的作用是将网络设备的物理地址 (MAC地址) 与IP地址进行映射配对。网络中如果有ARP欺骗病毒, 网络传输就会出现时通时断的情况, 故障出现的频率在短时间内也不会总结出来, 并且故障来源的查找将会是很多网络管理员最为头疼的事情。如果遇到这种情况, 我们可以设置一个过滤器, 只用来捕获ARP数据包并分析网络传输过程中所产生的所有ARP协议。通过分析ARP协议能够发现在网络传输过程中是否存在IP地址与MAC地址映射错误或者某台主机将自己的MAC地址伪装成网关服务器的MAC地址的情况, 快速定位故障主机的IP和MAC地址, 将这个罪魁祸首从网络中断开并进行杀毒清理, 从而可以解决网络中ARP欺骗等故障。
2) 分析ICMP协议来报告错误。
ICMP协议即Internet控制信息协议, 它是网络设备间报告错误的协议。ICMP信息是封装在IP数据包中的, 而IP数据包又会封装在以太网帧中。通过查看IP数据包中的所有数据就可彻底分析ICMP协议, 从而了解多达10种以上的不同的网络状况。
3应用效果及注意事项
在日常的网络维护过程中把sniffer软件作为网络维护工具引入实际工作中, 能够通过分析网络传输的核心协议, 包括协议传输的源主机是哪一台、协议传输的目的主机是哪一台、以及主机相互间的报文传送间隔等等, 为管理员诊断网络中不可见的模糊问题、管理网络提供了宝贵的信息。
但同时也要注意, sniffer可以记录明文传送的用户名和密码, 比如金融帐号;sniffer可以偷窥敏感的信息数据, 甚至拦截整个email会话。sniffer软件这把双刃剑如果被一些别有用心的人员用作黑客工具, 对整个网络将造成巨大的破坏。所以网络管理员在网络中使用sniffer软件的同时, 一定要做好sniffer软件的防范工作, 只有在对sniffer软件的使用及工作原理熟悉的情况下, 才能够更好的驾驭该软件, 助我们在网络维护工作中一臂之力。
摘要:Sniffer, 作为一种侦听分析网络的嗅探器。可以用来监视网络的状态以及网络上传输的信息。Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术如果应用于网络故障诊断, 其强大的网络分析能力, 将成为网络维护人员迅速定位网络故障点的利器。
关键词:sniffer,网络,应用
参考文献
[1]公芳亮.《局域网安全与攻防解密-基于Snifferpro实现》, 电子工业出版社
【sniffer】推荐阅读: