• 基础知识简介
以太网的网卡设备驱动程序不关心IP数据报中 的目的IP地址，它所需要的仅仅是MAC地址，所 以我们需要在MAC地址和IP地址间使用ARP和 RARP协议进行相互转换。
一般网络接口接收的两种数据：与自己硬件地 址相匹配的数据帧；发向所有机器的广播地址。
网卡有4种接收方式：广播方式；组播方式； 直接方式；混杂方式。
• 2.IrisEeye公司的一款付费软件，有试用期，完全图形化界面，可以 很方便的定制各种截获控制语句，对截获数据包进行分析，还原等。 对管理员来讲很容易上手，入门级和高级管理员都可以从这个工具上 得到自己想要得东西。运行在Windowsgx/ME/NT/2000/xP平台上。
• 以太网的工作机制：
把要发送的数据包发往连接在同一网段 中的所有主机，在包头中包括有目标主机 的正确地址，只有与数据包中目标地址相 同的主机才能接收到信息包。
2.2网络监听技术定义及原理
• 2.2.1网络监听定义 网络监听也叫嗅探器，其英文名是
Sniffer，即将网络上传输的数据捕获并进行 分析的行为。
2.4网络监听工具简介
• 1.WinDump是最经典的Unix平台上的TcpDump的Window移植版，和 TcpDump几乎完全兼容，采用命令行方式运行，对用惯TcpDump的 人来讲会非常容易上手。目前版本是3.5.2，可运行在 Windows95/98/ME/WindowsNT/2000/XP平台上。
网络监听是一种网络监测设备，既可以 是硬件，也可以是软件。
2.2.2网络监听原理
• 2.原理 以太网数据是以广播方式发送的，也就是说
局域网内的每台主机都在监听网内传输数据。以 太网硬件将监听到的数据帧所包含的MAC地址与 自己的滤MAC地址相比较，如果相同，则接收该 帧，否则丢掉它，这就是以太网的过滤规则。但 是，如果把网卡设置为“混杂模式”，它就能接 收传输在网络上的每一个信息包。Sniffer就是依 据这种原理来监测网络中流动着的数据。
2.3网络监听的实现方式
• (1)针对集线器的监听
首先从TCP/IP模型的角度来看数据包在局域网内发送 的过程：当数据由应用层自上而下地传递时，在网络层形 成IP数据报，再向下到达数据链路层，由数据链路层将IP 数据报分割为数据帧，增加以太网包头，再向下一层发送。 需要说明的是，以太网的包头中包含着本机和目标设备的 MAC地址，也就是说，数据链路层的数据帧发送时，是依 靠48bit/s的以太网地址而非IP地址来确认的，以太网的网 卡设备驱动程序不会关心IP数据报中的目的IP地址，它所 需要的仅仅是MAC地址。当局域网内的主机通过集线器连 接时，集线器的作用就是局域网上面的一个共享的广播媒 体，所有通过局域网发送的数据首先被送到集线器，然后 集线器将接收到的所有数据向它的每个端口转发。
网络监听技术
• 2.1 网络监听技术概览 • 2.2网络监听技术定义及原理 • 2.3网络监听的实现方式 • 2.4网络监听工具简介 • 2.5网络监听工具sniffer
2.1 网络监听技术概览
• 基础知识简介
以太网的通信是基于广播方式的，这意味着 在同一个网段的所有网络接口都可以访问到物理 媒体上传输的数据，而每一个网络接口都有一个 惟一的硬件地址，即MAC地址，一般来说每一块 网卡上的MAC地址都是不同的。一台接在以太网 内的计算机为了和其他主机进行通讯，在硬件上 需要网卡，在软件上需要网卡驱动程序。
第2章 网络监听与TCP/IP协议分析
• 教学提示：本章主要介绍网络监听的基本 原理，概括网络层和传输层各协议的数据 报结构，讲解Sniffer Pro的安装和使用方法。
• 教学要求：了解网络监听的基本原理，熟 悉网络监听在网络管理中的应用，掌握网 络层协议和传输层协议的报头结构，熟悉 Sniffer Pro的安装和基本操作方法，熟练掌 握使用Sniffer Pro进行抓包并分析的步骤。
2.2.4网络监听的用途
1.把网络中的数据流转化成可读格式。 2.进行性能分析以发现网络瓶颈。 3.进行入侵检测以发现外界入侵者。 4.生成网络活动日志和安全审计。 5.进行故障分析以发现网络中潜在的问题。
2.2.5网络监听的意义
• 在网络安全中，sniffer起着“双刀刃”的作 用：一方面，通过网络监听软件，管理员 可以监视网络的状态、数据流动的情况以 及网络上传输的信息，可以观测分析实时 的数据包，从而快速地进行网络故障定位。 另一方面，sniffer给以太网带来很大的隐患， 很多网络入侵事件往往伴随着以太网内的 Sniffer行为，从而造成口令失窃，敏感数据 被截获等恶性安全事件。
ቤተ መጻሕፍቲ ባይዱ
2.2.3网络监听的组成
(1)网络硬件设备如网卡、集线器、路由器等。 (2)监听驱动程序截获数据流，进行过滤并把数据存入缓冲区。 (3)捕获驱动程序这是最重要的部件，它直接控制网络硬件从
信道上抓取数据，并将数据存入缓冲器。 (4)缓冲器用来存放捕获到的数据的容器。由于缓冲器容量有
限，监听器使用缓冲器时，通常有两种方式：一是如果缓 冲器满，马上停止捕获；二是缓冲器满了还继续捕获，但 是新的数据会覆盖旧的数据。 (5)实时分析程序实时分析数据帧中所包含的数据，目的是发 现网络性能问题和故障，侧重于网络性能和故障方面的问 题。 (6)解码程序将接收到的加密数据进行解密，构造自己的加密 数据包并把它发送到网络中。 (7)数据包分析器对截取到的数据包进行模式匹配和分析，将 感兴趣的信息从原始数据包中剥离出来。
2.3网络监听的实现方式
• (2)针对交换机的监听
不同于工作在物理层的集线器，交换机是工作在数据 链路层的。交换机在工作时维护着一张ARP的数据库表， 在这个库中记录着交换机每个端口所绑定的MAC地址，当 有数据报发送到交换机时，交换机会将数据报的目的MAC 地址与自己维护的数据库内的端口对照，然后将数据报发 送到“相应的”端口上，交换机转发的报文是一一对应的。 对交换机而言，仅有两种情况会发送广播方式，一是数据 报的目的MAC地址不在交换机维护的数据库中，此时报文 向所有端口转发；二是报文本身就是广播报文。因此，基 于交换机以太网建立的局域网并不是真正的广播媒体，交 换机限制了被动监听工具所能截获的数据。为了实现监听 的目的，可以采用MAC Flooding和ARP欺骗等方法。