用Sniffer Por网络检测与防范

　　【简介】

　　网络也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员检测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，在另一方面，网络也给以太网安全带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络行为，从而造成口令失窃、数据被截获连锁性安全事件。

　　【原理基础】

　　1.网络简介

　　网络也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员检测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，在另一方面，网络也给以太网安全带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络行为，从而造成口令失窃、数据被截获连锁性安全事件。

　　网络可以在网上任何一个实施，如局域网中的一台主机、网关或远程网中的调制解调等。效果最好的地方是在网关、由器、防火墙一类的设备上，通常由网络管理员来操作。网络工具在功能和实际用方面有很多不同，有些只能分析一种协议，有些则能分析几百种协议。大多数的网络工具都能够分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络工具都提供如下一些功能：

　　自动从网络中过滤及转换有用的信息。

　　将截取的数据包转换成易于识别的格式。

　　对网络中的通信失败进行分析。

　　探测网络下的通信瓶颈。

　　检测是否有黑客正在网络系统，以其入侵。

　　记录网络通信过程。

　　2.工作原理

　　在基于TCP/IP协议的局域网中，当数据由应用层自上而下传递时，首先在网络层形成IP数据包，然后再向下到达数据链层，由数据链层将IP数据包分割为数据帧，加上以太网包头后向下发送到物理上。以太网包头中包含着本地主机和目标主机的MAC地址，位于链层的数据帧是依赖48位的MAC地址（而非IP地址）来寻址的。网络接口卡的驱动程序不会关心IP数据包的目的IP地址，它所需要的仅仅是数据包中的MAC地址。

　　域网内的主机通过集线器（HUB）等方式连接时，一般采用的是共享的连接。这种共享的连接有一个很明显的特点：发送数据是物理上采用方式。当一台主机像另一台主机发送数据时，共享式的HUB会将接收到的所有数据向HUB上的每个端口转发。所以，从理论上说，当采用共享式连接时，位于同一网段的每台主机都可以截获在网络中传输的所遇数据。正常情况下，虽然局域网内同一网段的所有网卡都具有访问在物理上传输的所有数据的能力，但通常一个网卡只响应以下两种数据帧：

　　数据帧的目标MAC地址与网卡自身的MAC地址一致。

　　数据帧的目标MAC地址为地址。

　　只有当接收到两种类型的数据帧时，网卡才会通过CPU产生一个硬件中断，然后再由操作系统负责处理该中断，对数据帧中所包含的数据做进一步处理。网卡对不属于自己的报文不予响应，只是简单地忽略掉这些数据。如果网络中的某台主机不愿意忽略不属于自己的数据帧，则只需将网卡设置为混杂（promiscuous）模式，对接收到的每一个数据帧都产生一个硬件中断，以提醒操作系统处理经过网卡的每一个数据包，这样网卡就可以捕获网络上所有的数据了。

　　交换式的网络设备由于能够将数据报文准确地发给数据报文的目的主机，而不会同时发给其他的计算机。因此，在交换网络下，实现数据包的要复杂一些。目前，实现交换网络下数据包的方法主要有以下几种：

　　对交换机实行端口映射，将该端口的数据包全部映射到某个机器上。

　　将数据包捕获程序放在网关或代理服务器上，这样就能抓取到整个局域网的数据包。

　　在交换机和由器之间连接一个HUB，这样数据将以的方式发送。

　　实行ARP（AddressResolutionProtocol，地址解析协议），即在用户机器上实现整个包的转发，但这样会降低整个局域网的效率。

　　3.网络工具介绍

　　网络工具分为软件和硬件两大类。软件的网络工具是目前应用最广泛的，其优点是价廉物美，易于学习使用；缺点是无法抓取网络上所有的传输，在某些情况下也就无法真正了解网络的故障和运行情况。硬件的网络工具通常称为协议分析仪，一般都是商业性的，价格也比较贵。常见的网络工具有一下几种：

　　路由器地址SnifferPortable。SnifferPortable是NAI公司开发的一系列网络故障和性能管理解决方案，网络专业认识可以使用它对多拓扑结构和多协议网络进行、故障解决、优化调整和扩展。SnifferPortable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并且可以利用高级自定义硬件组件确保全线速的捕获能力。

　　IrisNetworkTrafficAnalyzer。IrisNetworkTrafficAnalyzer是eEye公司开发的一个用于网络诊断的网络程序，其优点在于便于使用，具有全面丰富的流量状态和报告、高级数据重建功能、精密的数据包操作和伪造能力、扩展的过滤功能以及数据分析能力。

　　TCPDump。TCPDump是一款Linux平使用广泛、基于命令行的网络工具，它可以将网络中传送的数据包的“头”完全截获下来提供分析，支持针对网络层、协议、主机、网络或端口的过滤，并提供And、Or和Not等逻辑语句过滤无用的信息。

　　DSniffer。DSniffer是一个UNIX可执行工具的集合，是为执行网络审核和网络渗透设计，拥有ARP功能，具有在交换下执行网络的功能。

　　4.网络检测与防范

　　因为运行网络的主机只是被动地接收在局域网上传输的信息，不会主动地与其他主机交换信息，也不会修改在网上传输的数据包，所以，一般来说，网络是很难被发现的。检测网络的主要方法有一下几种：

　　对于怀疑运行程序的机器，用正确的IP地址和错误的物理地址的ICMP数据包去Ping它。正常的机器一般不接收错误物理地址的Ping信息；而运行程序的机器却能够接收，如果其IPStack不再次反向检查，就会对Ping做出响应。不过这种方法依赖于系统的IPStack。

　　向怀疑有网络行为的网络发送大量不存在的物理地址包，由于程序要分析和处理大量的数据包，会占用大量的CPU资源，这将会导致性能下降。此时，可以用ICMP、ECHO等命令通过比较该机器前后性能加以判断。显然，正常系统的反应时间不会有什么变化。

　　许多网络软件都会尝试进行地址反向解析，在怀疑有网络发生时，可以在DNS系统上看大有没有明显增多的解析请求。

　　可以利用ARP方式进行检测，这种模式是Ping方式的一种变体，它用ARP数据包替代了上述的ICMP数据包。向局域网内的主机发送非方式的ARP包，如果局域网内某台主机响应了这个ARP请求，就可以判断它很可能就是处于网络模式，这是目前相对而言比较好的检测模式。

　　可以利用诸如AntiSniffer等工具软件来发现网络。

　　网络进听的防范一般比较困难，目前对于网络的主要防范措施有以下几种：

　　从逻辑或物理上对网络分段。

　　以交换式集线器代替共享线器。

　　使用加密技术。

　　・Windows7系统自带超强文件搜索功能

　　・办公技巧：批量清除WPS/Word回车符

　　・WPS文字微技巧三则打印存图页脚设置

　　・打造万能的Windows操作系统封装包

　　・小技巧:在XP中创建一个隐藏的帐户

　　・情人节：给Windows7任务栏加上爱心

　　・消息称奇虎计划上半年在美国上市

　　・个性的QQ分组设计：往事不堪回

　　・甜蜜QQ个性签名等待也是一种幸福

　　・Ps鼠绘绚丽的油画头像

　　・Ps为照片调出唯美色调

　　・用Ps打造时尚炫酷海报

　　・Ps精细鼠绘漂亮的古代王妃

　　・用Ps打造一个七彩苹果标志

　　・Ps合成在梦幻山谷中的飞龙

　　・Ps调出个性颓废中性色

　　・用Ps合成装在蛋壳中的小鸡

　　・李刚之子李启铭车祸案一审从轻判罚

　　・寒假补课12岁女生闭门父母

　　・姚晨离婚与凌潇潇联手发声明原文

　　・广东卫视原主持人李泳终被组图

　　・美国黄石即将喷发的超级火山新动向

　　・老贝‘雏妓’后续多名妙龄女被包养

　　・360杀毒免费杀毒软件下载

　　・可牛免费杀毒软件下载最新正式版

　　・微软免费杀毒软件中文版MSE32位版

　　・微软免费杀毒软件中文版MSE64位版

　　・熊猫简体中文版免费云杀毒软件下载

　　・Avast!免费杀毒软件中文版本下载