信息安全网络监听.doc

《信息安全网络监听.doc》由会员分享，可在线阅读，更多相关《信息安全网络监听.doc（6页珍藏版）》请在三一文库上搜索。

1、 实验 （一） 项目名称：网络监听一网络监听的原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。二实施方案1.抓包工具Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络

2、和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。视窗数据包捕获（WinPcap的） :WinPcap的是Windows版本的libpcap库，它包括一个驱动程序以支持捕获数据包。Wireshark的使用这个库来捕获Windows Live网络上的数据.2.数据包分析捕获到的数据包：帧号 时间    源地址          目的地址      高层协

3、议  包内信息概况No.  Time    Source         Destination      Protocol    Info根据条件删选数据包：ip.dst=110.65.98.60&&http数据包分析，具体分为以下几个部分：第一部分：到达时间：2014年1月6日 12:51:04.016124000新纪元时间：1388983924秒捕获该帧与前一帧的时

4、间间隔是0.014120000秒显示陈列出该帧与前一帧的时间间隔是0.014120000秒从捕获第一帧到捕获该帧所用时间为388.095秒帧号（相对）：140297该帧的长度是544字节（4352比特）捕获的的帧长度544字节（4352比特）帧包含的协议：UDP/IP等第二部分：物理层的信息，包含了源端和目的端的物理地址第三部分：IP层数据段头部信息源地址：110.65.68.194目的地址：110.65.98.60版本号：IPv4头部长度：20字节区分服务域：0x2203分段策略：不分段TTL（生存时间）：64传输协议：TCP头部校验和：0x0000(接受不正确)第四部分：传输层TCP数据段

5、头部信息源端口名称（端口号）：62353（62353）目的端口名http：（8080）序列号（相对序列号）：1头部长度：20 bytesTCP标记字段：Flags: 0x18 (PSH，ACK) 流量控制的窗口大小：16425TCP数据段的校验和：Checksum: 0xa385第五部分：http协议语言中文：用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释激活连接：可接受编码，文件格式：目标所在的主机：允许站点跟踪用户：访问的网址：3.机密资料的获取与验证获取：验证：与自己输入的用户名和密码一致。三.网络监听视频教程录制1.录制提纲：网络监听原理 抓包工具 演示操作

6、（解说如何获取用户名和密码）2.视频教程效果自评：个人觉得良好，能够熟悉Wireshark如何抓包并分析数据包里面的信息。3. 他人视频教程点评：陈树江同学在录制教程过程中，条理清晰，语言连贯，但对如何使用wireshark这个软件的过滤功能还不是很熟悉。四. 网络监防范方法如何检测并防范网络监听 网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。 1. 对可能存在的网络监听的检测 (1）对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不

7、接收错误的物理地址，处理监听状态的机器能接收，但如果他的IPstack不再次反向检查的话，就会响应。 （2）向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。 （3）使用反监听工具如antisniffer等进行检测 。2. 对网络监听的防范措施 （1）从逻辑或物理上对网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 （2）以交换式集线器代替共享式集线器 对局域网的中心

8、交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所监听。 因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。但广播包和多播包内的关键信息，要远远少于单播包。 （3）使用加密技术 数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。 （4）划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。五. 信息安全学习心得 在这次试验中，我获益匪浅，从中了解到Wireshark是一个网络协议检测工具，在作业的同时，不断回顾和巩固之前所学，如IP协议、UDP协议、TCP协议等，并且通过动手亲自实践，对原有知识印象更深刻，理解也更深入。6 / 6文档可自由编辑打印