本文的研究主要围绕以下几个方面进行。
1.网络嗅探器的概念及技术的研究。主要包括网络嗅探器的概念、网络嗅探器的工作原理及常见网络嗅探器的实现原理等。
2.入侵检测与嗅探器之间的联系,入侵检测的实现由四部分组成:数据包嗅探解析部分、数据行为检测部分、算法部分和扫描检测部分。数据包嗅探技术是实现入侵检测的基础,将数据包从共享网络线路中捕获,并将其提取到应用程序中。
3.网络嗅探程序的实现。主要工作包括:给出了一个网络嗅探程序的系统框架、数据包捕获程序的设计、数据包的解析、数据的显示等。
4.网络嗅探程序的性能测试与评价,得出结论。
2 网络嗅探器的基本原理
2.1网络嗅探器概述
网络嗅探器又称为网络监听器,简称为Sniffer子系统,放置于网络节点处,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法,这些数据可以是用户的账号和密码,可以是一些商用机密数据等等。
Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包,分析问题的所在。而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。
2.2 嗅探器实现基础
以太网数据帧是一组数字脉冲,它们在传输介质上进行传输,从而实现信息的传递。以太网帧格式符合IEEE802.3标准,帧中包含目的地址和源地址,目的地址最高位为0是普通地址,为1时是组地址。当一个帧送到组地址时,组内的所有站点都会收到该帧。如果将它送到一个普通地址,一般情况下,只有一个站点收到这个帧,但是,以太网是以广播方式发送帧的,也即这个帧会传播到其所在网段内的所有站点,只不过该站点不会接收目的地址不为本机地址的帧。为了捕获网段内的所有帧(以后称数据包),可以设置以太网卡的工作方式,以太网卡通常有正常模式(normal mode)和混杂模式(promiscuous mode)两种工作模式。在正常模式下,网卡每接收到一个到达的数据包,就会检查该数据包的目的地址,如果是本机地址和广播地址,则将接收数据包放入缓冲区,其他目的地址的数据包则直接丢掉。因此,正常模式下主机仅处理以本机为目的的数据包,网卡如果工作在混杂模式,则可以接收本网段内传输的所有数据包。如果要进行数据包捕获,必须利用网卡的混杂模式,获得经过本网段的所有数据信息。
2.3 常见的sniffer
sniff网络分析仪有专用硬件和软件的产品,尖端的网络分析仪产品可以找出一般网络接口检测不到的错误:中等商业市场的网络分析仪产品往往是带有特定软件的便携计算机;而基于各个平台的很多普通的网络监听软件则在网上可以自由下载。比较知名的被广泛用于调试网络故障的免费sniff工具有:tcpdump(运行在FreeBSD、linux、SunOS等系统下);Nfswatch(运行在HP-UX、 Irix、SunOS); Etherfind, Snooper(运行在SunOS); Ipman, therload,Gobbler(运行在DOS、Windows)。在Linux下监听的基本实现过程是通过Socket来实现的。Linux支持一种特殊的套接字,即Sock-Packet型套接字。在这种套接字下,应用程序可以读到网卡传递给系统的全部报文,一般情况下,网卡只将那些目的地址是自身的报文传递给系统内核。因此,需要将网卡的工作模式设定为混杂模式,这样系统内核就可以读到网卡监听到的所有报文,从而监听器应用程序也可以读到这些报文。
上一篇:asp玩具网上销售系统
下一篇:asp网上求职招聘系统