WinPcap网络分析与嗅探的基础知识(二).docVIP

深度剖析WinPcap之(二)——网络分析与嗅探的基础知识 工欲善其事，必先利其器。为了有利于深入了解WinPcap的内部机制，我们需要对网络分析与嗅探、网络模型与硬件基础作必要了解。 1.1 什么是网络分析与嗅探 网络分析(Network analysis) (也称为网络流量分析、协议分析、嗅探、数据包分析、窃听，等等)就是通过捕获网络流量并深入检查，来决定网络中发生了什么情况的过程。一个网络分析器对通用协议的数据包进行解码，并以可读的格式显示网络流量的内容。嗅探器（sniffer）是一种监视网络上所传输数据的程序。未经授权的嗅探器对网络安全构成威胁，因为它们很难被发现并且可在任何地方被插入，这使得它们成为黑客最喜欢使用的一种工具。 网络分析器之间的差别，在于诸如支持能解码的协议数量、用户接口、图形化与统计能力等主要特性的不同。其它的差别还包括了推理能力（比如，专家分析特性）与数据包解码的质量。尽管几个不同的网络分析器针对同一个协议进行解码，但在实际环境中可能其中的一些会比另外一些工作得更好。 图2-1为Wireshark网络分析器的显示窗口。一个典型的网络分析器用三个窗格显示所捕获的网络流量： 图2-1?Wireshark网络分析器的显示窗口 概要?该窗格对所捕获的内容显示一行概要。包含日期、时间、源地址、目标地址、与最高层协议的名字与信息字段。 详情?该窗格提供所捕获数据包所包含的每层细节信息（采用树形结构）。 数据?该窗格用十六进制与文本格式显示原始的被捕获数据。 一个网络分析器是由硬件与软件共同组成。可以是一个带有特定软件的单独硬件设备，或者是安装在台式电脑或膝上电脑之上的一个软件。尽管每种产品之间具有差别，但都是由下列五个基本部分组成。 硬件?多数网络分析器是基于软件的，并工作于标准的操作系统与网卡之上。然而，一些硬件网络分析器提供额外的功能，诸如分析硬件故障（比如循环冗余纠错（CRC）错误、电压问题、网线问题、抖动、逾限（jabber）、协商错误等等）。一些网络分析器仅支持以太网或无线网适配器，而其它的可支持多重适配器，并允许用户定制它们的配置。依据实际情况，可能也需要一个集线器或一个网线探针（cable tap）连接已有的网线。 捕获驱动器?这是网络分析器中负责从网线上捕获原始网络流量的部分。它滤出了所需保持的流量，并把所捕的获数据保存在一个缓冲区中。这是网络分析器的核心——没有它就无法捕获数据。 缓冲区?该组件存储所捕获的数据。数据能够被存入一个缓冲区中只到该缓冲区被填满为止，或者采用循环缓冲的方式，那么必威体育精装版的数据将会替换最旧的数据。采用磁盘或内存均可实现缓冲区。 实时分析?当数据一离开网线，该特性就可对数据执行分析。一些网络分析器利用该特性发现网络性能问题、同时网络入侵检测系统利用它寻找入侵活动。 解码(器)?该组件显示网络流量的内容（带有描述），所以是可读的 。解码是特定于每个协议的，因此网络分析器当前支持可解码的协议数目是变化的，网络分析器可能经常加入新的解码。 1.2 谁需要使用网络分析? 系统管理员、网络工程师、安全工程师、系统操作员、与程序员都需要使用网络分析器，其对诊断与解决网络问题、系统配置问题、与应用程序的难点(或瓶颈)都是无价的工具。在历史上，网络分析器曾经专注于昂贵与难于使用的硬件设备。然而，新出现的先进技术允许基于软件进行网络分析器开发，其为有效解决网络问题提供了一种更为方便与廉价的工具，它也具备网络分析的能力。 网络分析的技术是一个双刃剑。当网络、系统、与安全的专业人员使用它处理网络故障与监视网络时，入侵者为了非法的目的正在使用网络分析器。网络分析器是一种工具，就像所有的工具一样，它可被用在好的与坏的目的之上。 网络分析器的用途为： ? 将在数据包中的二进值数据转换成易读的格式 ? 处理网络故障 ? 分析网络性能以发现瓶颈 ? 网络入侵检测 ? 为了辩护与证据记录网络流量 ? 分析应用程序的操作 ? 发现有问题的网卡 ? 发现病毒爆发的源头或拒绝服务（DoS）的攻击 ? 发现间谍软体 ? 在开发阶段对网络编程进行调试 ? 发现一部泄密的计算机 ? 确认符合公司的政策 ? 学习协议时作为学习的资源 ? Reverse-engineering protocols to write clients and supporting programs（逆向工程协议去写客户与支持计划） 1.2.1 入侵者如何使用嗅探器？ 当被心怀恶意的人使用时，嗅探器能对网络安全构成重要威胁。网络入侵者使用嗅探的方式获取秘密的信息，嗅探和窃听在该应用中通常是相互关联的。然而，嗅探正成为一个非负面的术语；大多数人互换地使用嗅探和网络分析这两个术语。 以非法方式使用一个嗅探器被视为一个被动的攻击，因为它不直接与网络上