Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义，并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。

然后系统地介绍了网络中几种重要的协议的数据报格式，在此基础上，介绍Snifer对这几种协议进行的解码分析，通过Sniffer的分析能够清楚地看到几种数据报的详细内容。

鉴于Sniffer对信息的监听，本文提出了几种防范Sniffer监听的方法，主要有防火墙技术、加密技术等。

最后，针对当前我国的信息监听面临的形势，提出了自己对信息监听技术发展前景的看法。

关键字：信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1．信息监听的意义；我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相关应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。

监听技术有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。

2、Sniffer的介绍；Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。

进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。

Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

Sniffer之所以著名，是因它在很多方面都做的很好，它可以监听到网上传输的所有信息。

Sniffer可以是硬件也可以是软件。

主要用来接收在网络上传输的信息。

网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP 等等，也可以是集中协议的联合体系。

Sniffer的优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。

硬件的Sniffer通常称为协议分析仪，具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号、经济数据、E-mail等等，更加可以用来攻击与己相临的网络。

3、网络数据包的结构；数据在网络中的传输要遵循不同的协议，根据不同的标准可以有不同的分层模型。

这里有ISO 七层模型和TCP/IP 的五层模型，ISO 七层分为：物理层、数据链路层、网络层、运输层、会话层、表示层、应用层；TCP/IP 的四层为：网络接口层、网络层、运输层、应用层。

数据在网络中的传输通过使用一些特定的协议来实现，下面以TCP/IP 的四层模型为例，每一层都有一些特定的协议构成（如图1所示）HTTP FTP 和Telnet 等 TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡（DLC ） ARP 图1网络中的数据包的总体结构如图2所示，数据在从应用层到达传输层时，将添加TCP 数据段头，或是UDP 数据段头。

在网络层，还要给数据包添加一个下面具体介绍一下TCP 、UDP 和IP 数据包的格式：2．UDP 报文的格式如图4所示；3．IP 报文结构为IP 协议头＋载荷（详细内容如图3所示），信息监听时对IP 协议头部的分析，时分析IP 报文的主要内容之一。

0 4 8 16 19 24 31版本：4个字节；首部长度：单位为4字节，最大60字节总长度：单位为字节，最大65535字节标识：IP报文标识字段标志：MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF=1，不允许分片DF=0，允许分片偏移量：分片后的分组在原分组中的相对位置，单位为8字节生存时间：TTL（Time To Live）丢弃TTL=0的报文协议：携带的是何种协议报文首部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的地址数据发送时从协议栈的高层到底层，会在每一层根据所使用的不同协议添加不同的数据头，所以通常在底层直接截获得到的数据包内，会有不止一个的协议头。

数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。

在网络层，还要给数据包添加一个IP数据段头以组成IP数据报。

4． ARP是地址解析协议，它是物理网络系统的一部分，不是网络协议的一部分，它的报文格式如图6所示。

4、Sniffer的数据报文解码；Sniffer具有强大的网络流量捕捉能力，可以将网络流量捕捉到计算机的内存或直接存储到硬盘上，从而进行解码分析。

Snifer能够对很多种协议进行解码分析，它的解码界面也是解码的一个标准界面。

解码界面分为Summary（概要解码）、Detail（详细解码）、Hex（十六进制码）。

通过以上对几种主要的数据报格式的介绍，有利于我们对Sniffer解码的理解。

下面介绍一下Sniffer对几种重要的协议的解码分析。

4.1 ARP协议的解码分析ARP协议，即地址解析协议，它提供了一种可以把IP地址映射到物理地址的协议。

通过分析Sniffer捕获的数据包中的ARP协议，可以知道信息的发送方和接收方的一些相关数据，如图7是捕获的数据包中的ARP协议内容：图7从以上的数据包可以看出ARP协议中的详细内容，例如：硬件类型（Hardware type）字段指明发送方想要知道的硬件接口类型，对于以太网，该字段含有的值为“1”；操作（Opcode）字段指明的是ARP请求（1）、ARP响应（2）、ARP请求（3）、ARP响应（4）；硬件地址长度字段和协议地址长度字段分别指出了硬件地址和高层协议地址的长度；目标硬件地址和目标协议地址字段分别指出了目标硬件地址和目标IP地址。

4.2 IP协议的解码分析IP是英文Internet Protocol（网络之间互连的协议）的缩写，中文简称为“网协”，也就是为计算机网络相互连接进行通信而设计的协议，图8为Sniffer 对IP协议首部的解码分析。

从图8中可以看出IP数据报文中的详细内容，例如：版本（Version）字段指出了数据报所用的IP协议的版本信息；生存时间（Time to live）字段指明了数据报在互联网系统中允许保留的多长时间；首部校验和（Header checksum）字段等等。

这些内容与图5中的IP数据报文格式中的内容一一对应。

图84.3 UDP协议的解码分析UDP协议，用户数据报协议（User Datagram Protocol）提供应用程序之间发送数据报的基本机制。

用户数据报可以分为UDP首部和UDP数据区，下图是Sniffer对UDP协议首部的解码分析。

图9从图中可以看出，Source Port 为UDP 源端口，Destination 为UDP 目的端口，Length 为UDP 报文长度，Checksum 为UDP 检验和。

4.4 TCP 协议的解码分析TCP 协议，传输控制协议（Transmission Control Protocol ），它是面向连接的协议，所有的数据传输过程必须在一个TCP 连接的基础上进行，也就是说如果需要TCP 传输，首先要建立一个TCP 连接。

TCP 的连接过程，请求方和服务方需要在网络中传送三个数据包，即TCP 的三次握手。

具体过程如下图所示：图10 TCP 三次握手通过Sniffer 捕获的数据包可以清楚地看到TCP 的三次握手过程，下图所示为TCP 连接的请求数据包。

图11 TCP 链接请求包 源端口为客户端自动生成 目的端口为服务器提供服务所用的端口客户端为这个链接分配的初始TCP 序列号SYN 标识位客户端MSS 大小服务器收到客户端发送的TCP SYN 包后向客户端发送TCP ACK 数据包，如图。

图12 TCP 连接SYN ACK 包第三步是客户端发送ACK ，三次握手完成，TCP 连接建立，如下图所示图13 TCP 连接过程第三个包服务器服务端口服务器MSS 大小ACK 标识位5、信息安全问题产生的原因及如何防范信息监听；进入21世纪以来，信息安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。

信息的保密性、完整性、可用性、可控性就成了关键因素。

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。

1.互联网的开放性。

从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。

由于互联网成员的多样和位置的分散,其安全性并不好。

互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。

也就是说从技术层面上截取用户信息的可能性是显然存在的。

网络的开放性是信息安全问题产生的主要原因。

2．计算机网络系统安全漏洞。

系统安全漏洞,也叫系统脆弱性(Vulnerability) ,简称漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。

非法用户可以利用漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权限,从而破坏系统的安全性。

漏洞是针对系统安全而言的,包括一切可导致威胁、破坏计算机系统安全性(完整性、可用性、保密性、可靠性、可控性)的因素。

任何一个系统,无论是软件还是硬件都不可避免地存在漏洞,所以从来都没有绝对的安全。

当然漏洞的存在本身并不能对系统安全造成什么损害,关键的问题在于攻击者可以利用这些漏洞引发安全事件。

3.网络小甜饼cookie。

所谓的cookie就是用户在登陆某些需要用户名的网站上所留下的一些登陆痕迹，用户的cookie会在关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断。

Cookie 是用户输入另一种形式，它是以纯文本形式在浏览器和服务器之间传送，任何可以截取 Web 通信人都可以读取Cookie。

为了解决这些安全问题，各种安全机制、策略和工具被开发和应用。

针对Sniffer的监听机制，可以有以下几种方法防范Sniffer的监听。

1.防火墙技术。

我们知道，sniffer一般是发生在以太网内的，那么，很明显，首先就要确保以太网的整体安全性，因为sniffer行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行sniffer，去收集以太网内敏感的数据信息。