3监听 网络攻击防范.pptVIP

3.3.1 通用策略 由于嗅探器是一种被动攻击技术，因此非常难以被发现。 完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。 这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的安全防范。 3.1.2 网络监听技术的发展情况 1．网络监听（Sniffer）的发展历史 Sniffer这个名称最早是一种网络监听工具的名称，后来其也就成为网络监听的代名词。在最初的时候，它是作为网络管理员检测网络通信的一种工具。 网络监听器分软、硬两种 3.1.2 网络监听技术的发展情况 1．网络监听（Sniffer）的发展历史 软件嗅探器便宜易于使用，缺点是功能往往有限，可能无法抓取网络上所有的传输数据(比如碎片)，或效率容易受限； 硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，处理速度很高，但是价格昂贵。 目前主要使用的嗅探器是软件的。 3.1.2 网络监听技术的发展情况 2．Sniffer软件的主要工作机制 驱动程序支持：需要一个直接与网卡驱动程序接口的驱动模块，作为网卡驱动与上层应用的“中间人”，它将网卡设置成混杂模式，捕获数据包，并从上层接收各种抓包请求。 分组捕获过滤机制：对来自网卡驱动程序的数据帧进行过滤，最终将符合要求的数据交给上层。 链路层的网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获过滤模块，对于非本地的数据包，前者会丢弃（通过比较目的IP地址），而后者则会根据上层应用的要求来决定上传还是丢弃。 3.1.2 网络监听技术的发展情况 2．Sniffer软件的主要工作机制 许多操作系统都提供这样的“中间人”机制，即分组捕获机制。在UNIX类型的操作系统中，主要有3种：BSD系统中的BPF(Berkeley Packet Filter)、SVR4中的DLPI(Date Link Interface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。 目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。 3.2.1 局域网中的硬件设备简介 1．集线器 (1) 集线器的原理： 集线器（又称为Hub）是一种重要的网络部件，主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。 集线器工作在局域网的物理环境下，其主要应用在OSI参考模型第一层，属于物理层设备。它的内部采取电器互连的方式，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。 3.2.1 局域网中的硬件设备简介 1．集线器 (2) 集线器的工作特点 依据IEEE 802.3协议，集线器功能是随机选出某一端口的设备，并让它独占全部带宽，与集线器的上联设备(交换机、路由器或服务器等)进行通信。集线器在工作时具有以下两个特点： 首先是集线器只是一个多端口的信号放大设备； 其次集线器只与它的上联设备(如上层Hub、交换机或服务器)进行通信，同层的各端口之间不会直接进行通信，而是通过上联设备再将信息广播到所有端口上。 3.2.1 局域网中的硬件设备简介 1．集线器 (3) 用集线器组建的局域网示意图 3.2.1 局域网中的硬件设备简介 2．交换机 (2) 交换机的工作特点 把每个端口所连接的网络分割为独立的LAN，每个LAN成为一个独立的冲突域。 每个端口都提供专用的带宽。这是交换机与集线器的本质区别，集线器不管有多少端口，都是共享其全部带宽。 转发机制。交换机维护有每个端口对应的地址表，其中保存与该端口连接的各个主机的MAC地址。 3.2.1 局域网中的硬件设备简介 2．交换机 (2) 用交换机组建的局域网示意图 相关开发库 WinPcap的架构包括： 内核级的数据包监听设备驱动程序NPF：把设备驱动增加在Windows，它直接从数据链路层取得网络数据包不加修改地传递给运行在用户层的应用程序上，也允许用户发送原始数据包。 低级动态连接库packet.dll：运行在用户层，?把应用程序和数据包监听设备驱动程序隔离开，使得应用程序可以不加修改地在不同Windows系统上运行。 高级系统无关库Wpcap.dll：它和应用程序编译在一起，它使用低级动态链接库提供的服务，向应用程序提供完善的监听接口，不同Windows平台上的高级系统无关库是相同的。 相关开发库 WinPcap架构图 3.2.3 交换式局域网的监听技术 产生交换式局域网的原因： 系统管理人员常常通过在本地网络中加入交换设备，来预防sniffer(嗅探器)的侵入。 交换机工作在数据链路层，工作时维护着一