信息安全網(wǎng)絡(luò)監(jiān)聽

1、實驗 （一） 項目名稱：網(wǎng)絡(luò)監(jiān)聽一. 網(wǎng)絡(luò)監(jiān)聽的原理對于目前很流行的以太網(wǎng)協(xié)議，其工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，包中包含著應(yīng)該接收數(shù)據(jù)包主機的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收。 但是，當(dāng)主機工作監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機都將接收（當(dāng)然只能監(jiān)聽經(jīng) 過自己網(wǎng)絡(luò)接口的那些包）。二. 實施方案1. 抓包工具Wireshark （前稱Ethereal ）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò) 封包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個強大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并

2、為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他 網(wǎng)絡(luò)工具一樣，Wireshark 也使用pcap network library來進行圭寸包捕捉。視窗數(shù)據(jù)包捕獲（WinPcap的）：WinPcap的是Windows版本的libpcap庫，它包括一個驅(qū)動程 序以支持捕獲數(shù)據(jù)包。Wireshark的使用這個庫來捕獲 Windows Live網(wǎng)絡(luò)上的數(shù)據(jù).2. 數(shù)據(jù)包分析捕獲到的數(shù)據(jù)包： 幀號時間源地址目的地址高層協(xié)議包內(nèi)信息概況No. TimeSourceDesti nati onProtocolInfo根據(jù)條件刪選數(shù)據(jù)包：ip.dst=數(shù)據(jù)包分析，具體分為以下幾個部分： 第一部分：到達時間：

3、2014年1月6日12:51:04.0新紀(jì)元時間：24秒捕獲該幀與前一幀的時間間隔是0.0秒顯示陳列出該幀與前一幀的時間間隔是 0.0秒從捕獲第一幀到捕獲該幀所用時間為 388.095秒幀號（相對）：140297該幀的長度是544字節(jié)（4352比特）捕獲的的幀長度544字節(jié)（4352比特）幀包含的協(xié)議：UDP/IP等第二部分：物理層的信息，包含了源端和目的端的物理地址 第三部分：IP層數(shù)據(jù)段頭部信息 源地址：目的地址：版本號：IPv4頭部長度：20字節(jié)區(qū)分服務(wù)域：0x2203分段策略：不分段TTL （生存時間）：64傳輸協(xié)議：TCP頭部校驗和：0x0000（接受不正確） 第四部分：傳輸層 TC

4、P數(shù)據(jù)段頭部信息源端口名稱（端口號）：62353（ 62353）目的端口名 http :（ 8080）序列號（相對序列號）：1頭部長度：20 bytesTCP標(biāo)記字段：Flags: 0x18 （PSH ，ACK）流量控制的窗口大?。?6425TCP數(shù)據(jù)段的校驗和：Checksum: 0xa385第五部分：http協(xié)議語言中文：Accept-Language: 2h-CN 廣n用戶代理，瀏覽器的類型是Netscape瀏覽器；括號內(nèi)是相關(guān)解釋激活連接：connection: Keep-Alive ,r,n可接受編碼，文件格式：目標(biāo)所在的主機：w二昭國盤：站豹允許站點跟蹤用戶:cookie; 35E

5、SSIONIO-6C40a760aS4F14b8M605caebS32aC5 r nFull 電au電si URI： litto:/110幻5.9昌.盲0:tapturiluut電es.jSD】訪問的網(wǎng)址：3. 機密資料的獲取與驗證Line-based texr data:app 11 cation/x-wi-torm-ur lencoiuser-4 54 5&pas&word=4 54 5獲?。候炞C：與自己輸入的用戶名和密碼一致。三. 網(wǎng)絡(luò)監(jiān)聽視頻教程錄制1. 錄制提綱：網(wǎng)絡(luò)監(jiān)聽原理 f 抓包工具 演示操作（解說如何獲取用戶名和密碼）2. 視頻教程效果自評：個人覺得良好，能夠熟悉Wiresh

6、ark如何抓包并分析數(shù)據(jù)包里面的信息。3. 他人視頻教程點評：陳樹江同學(xué)在錄制教程過程中，條理清晰，語言連貫，但對如何使用 wireshark這個軟件的過濾功能還不是很熟悉。四. 網(wǎng)絡(luò)監(jiān)防范方法如何檢測并防范網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，因為運行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在局域局上傳輸?shù)男畔?，不?動的與其他主機交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包。1. 對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測（1 ）對于懷疑運行監(jiān)聽程序的機器，用正確的 IP 地址和錯誤的物理地址 ping ，運行監(jiān)聽程序的機 器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收，但如果他 的 IPstac

7、k 不再次反向檢查的話，就會響應(yīng)。（ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包， 由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致性能下降。通過比較前后該機器性能加以判斷。這種方法難度比較大。（ 3）使用反監(jiān)聽工具如 antisniffer 等進行檢測 。2. 對網(wǎng)絡(luò)監(jiān)聽的防范措施（1）從邏輯或物理上對網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項措施。 其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。（2）以交換式集線器代替共享式集線器對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終

8、用戶的接 入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這 樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包Unicast Packet ）還是會被同一臺集線器上的其他用戶所監(jiān)聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非 法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet ）和多播包（ Multicast Packet ）。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠遠少于單播包。（3）使用加密技術(shù)數(shù)據(jù)經(jīng)過加密后， 通過監(jiān)聽仍然可以得到傳送的信息 , 但顯示的是亂碼。 使用加密技術(shù)的缺點是影響 數(shù)據(jù)傳輸速度以及使用一個弱加密術(shù)比較容易被攻破。系統(tǒng)管理員和用戶需要在網(wǎng)絡(luò)速度和安全性 上進行折中。（ 4）劃分 VLAN運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，可以防止大部分