协议分析攻击

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,安全检测与攻击技术,协议分析攻击,协议分析器与嗅探器,协议分析器的功能,捕获数据包,协议分析器可以监视某个网络实体，捕获所有流经该实体的数据。高端协议分析还可以制定捕获的计划和触发条件,数据包统计,协议分析器可以对捕获的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，甚至可以打印出各种直观的图表和报表。,过滤数据,许多协议分析器设置过滤器，通过过滤，可以有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗，降低系统性能。,数据包解码,协议分析器可以从捕获的比特流中识别出封装的头部信息。,读取其他协议分析器的数据包格式,一种好的协议分析器能更好地利用其他协议分析器获得的数据，以提高其工作效率。,嗅探,器（,sniffer,),Sniffer,（,嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。,Snifffer,可以作为能够捕获网络报文的设备。,ISS,为,Sniffer,这样定义：,Sniffer,是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。,Sniffer,原理,Sniffer,程序是一种利用以太网的特性把网络适配卡（,NIC,，,一般为以太同卡）置为杂乱（,promiscuous,）,模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。,HUB,工作原理,由于以太网等很多网络（常见共享,HUB,连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享,HUB,先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享,HUB,下面同一网段的所有机器的网卡都能接收到数据。,Sniffer,嗅探器的安装位置,嗅探器的,协议分析,嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。,一般情况下，大多数的嗅探器至少能够分析下面的协议：,标准以太网、,TCP/IP,、,IPX,、,NETBUI,。,Sniffer,的分类,软件,:,软件的,Sniffer,有,NetXray,、,Packetboy,、,Net monitor,等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。,硬件：,硬件的,Sniffer,通常称为协议分析仪，一般都是商业性的，价格也比较贵。,嗅探器造成的危害,嗅探器能够捕获口令。,这大概是绝大多数非法使用,sniffer,的理由，,sniffer,可以记录到明文传送的,userid,和,passwd,。,能够捕获专用的或者机密的信息。,比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而,sniffer,可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和,pin,。,比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的,email,会话过程。,窥探低级的协议信息：,通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口,ip,地址、,ip,路由信息和,tcp,连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用,sniffer,收集这些信息只有一个原因：他正要进行一次欺骗（通常的,ip,地址欺骗就要求你准确插入,tcp,连接的字节顺序号），如果某人很关心这个问题，那么,sniffer,对他来说只是前奏，今后的问题要大得多。,典型嗅探器,:,Sniffer,Pro(Network Associates),为网络协议分析捕获网络数据包。,可识别,250,种以上的网络协议，可以基于协议、,MAC,、,IP,地址，匹配模式等设置过滤。,实时监控网络活动，用专家系统帮助分析网络及应用故障。,进行网络使用统计、错误统计、协议统计、工作站和服务器统计。,可以设置多种触发模式，如基于错误报文，外部事件。,具有可选的流量发生器，模拟网络运行，衡量响应时间，路由跳数计数，进行排错。,捕获面板,捕获过程报文统计,（,在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率,）,捕获报文查看,Sniffer,软件提供了强大的分析能力和解码功能。如后图所示，对于捕获的报文提供了一个,Expert,专家分析系统进行分析，还有解码选项及图形和表格的统计信息。,解码分析,设置捕获条件,基本捕获条件,基本的捕获条件有两种：,1,、链路层捕获，按源,MAC,和目的,MAC,地址进行捕获，输入方式为十六进制连续输入，如：,00,E0FC123456,。,2,、,IP,层捕获，按源,IP,和目的,IP,进行捕获。输入方式为点间隔方式，如：,10.107.1.1,。如果选择,IP,层捕获条件则,ARP,等报文将被过滤掉。,高级捕获条件,在“,Advance,”,页面下，编辑协议捕获条件,在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。,在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。,在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。,在保存过滤规则条件按钮,“,Profiles,”,，,你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。,任意捕获条件,在,Data Pattern,下，可以编辑任意捕获条件,Dashbord,Dashbord,可以监控网络的利用率，流量及错误报文等内容。通过应用软件可以清楚看到此功能。,嗅,探器的,防御,加密,使用安全的拓扑结构。,因为,Sniffer,只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被,Sniffer,窃听到不属于自己的数据包。,防止,Sniffer,的工具,Antisniff,：,用于检测本地网络是否有机器处于混杂模式（即监听模式）,怎么检测？,作业：,1.,请详述你对“网络嗅探技术”的理解，及其应对方案。,