网络安全技术及应用第四章.pptVIP

4.3网络嗅探技术网络嗅探技术是提供给网络安全管理人员进行管理的工具，监视网络的状态，数据流动情况以及网络上传输的信息等。4.3.1网络嗅探的原理网络嗅探是利用计算机的网络接口截获目的地为其他计算机数据报文的一种工具。通过把网络适配卡(一般如以太网卡)设置为一种混杂模式(Promiscuous)状态，使网卡能接受传输在网络上的每一个数据包。嗅探工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。第30页，共59页，星期日，2025年，2月5日4.3.2网络嗅探工具常用的网络监听工具或技术有Winpcap、Sniffer、NetXray、Tcpdump等，下面依次介绍这些监听工具。1、WinpcapWinpcap(WindowsPacketCapture)是Windows平台下捕获IP网络通讯数据包的驱动类库。通过这套类库可以很方便的获得通过本机网络数据包，很多抓包工具Wireshark、ClearSight、Sniffer等工具都是基于Winpcap开发的。在Linux平台上相应的类库为Libpcap。第31页，共59页，星期日，2025年，2月5日4.3.2网络嗅探工具Winpcap提供了以下功能：(1)捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；(2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；(3)在网络上发送原始的数据报；(4)收集网络通信过程中的统计信息。第32页，共59页，星期日，2025年，2月5日4.3.2网络嗅探工具SnifferSniffer原本是提供给管理员的一类管理工具，主要用途是进行数据包分析，通过网络监听软件，管理员可以观测分析实时经由的数据包，从而快速地进行网络故障定位。但是网络监听工具也是攻击者们常用的收集信息的工具。Sniffer网络监控主要包括：1)Monitor–Matrix（主机会话监控矩阵）2)Monitor–ProtocolDistribution(协议分布状态监控，第33页，共59页，星期日，2025年，2月5日4.3.2网络嗅探工具3)Monitor–GlobalStatistics（全局统计数据查看，4)Capture–definefilter（过滤器的定制）NetXrayNetXRay是由CiscoNetworks公司开发的，用于监视网络状态，并为优化网络性能提供数据的软件。通过长时间的捕获，依据统计数值分析网络性能。网络中包的捕捉和解码，用于故障分析。第34页，共59页，星期日，2025年，2月5日4.3.2网络嗅探工具4、TcpdumpTcpdump是一个非常经典的网络包监听分析工具，它最初是由美国加州大学伯克利分校劳伦斯伯克利国家实验室的网络研究小组开发，现在由“TheTcpdumpGroup”来更新和维护。Tcpdump(基于Libpcap)支持Solaris、HP-UX、Irix、BSD等多种操作系统平台。针对不同的平台，在具体安装时各有不同。第35页，共59页，星期日，2025年，2月5日4.4缓冲区溢出技术4.4.1缓冲区溢出原理缓冲区是指内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置时，如果没有足够的空间，就会发生缓冲区溢出。第36页，共59页，星期日，2025年，2月5日4.4.1缓冲区溢出原理下面是一段简单的C程序：voidSayHello(char*name){chartmpName[80];strcpy(tmpNname,name);printf(Hello%s\n,tmpName);}intmain(intargc,char**argv){if(argc!=2){printf(Usage:helloname.\n);return1;}SayHello(argv[1]);return0}第37页，共59页，星期日，2025年，2月5日4.4.1缓冲区溢出原理上面的例子中，如果输入的字符串长度超过80，则会造成name超出分配内存区，发生错误。在C语言中类似的函数还有：sprintf()、gets()、scanf()等。黑客要利用缓冲区溢出这个漏洞攻击系统，通常要完成两个任务，一是在程序的地址空间里安排适当的代码，二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址