所属课程:网络攻防实践
作业要求:第四次作业
1. 学习总结 有线/无线嗅探器;软件/硬件嗅探器 一些概念与原理: 以太网:广播共享;网络接口设备为网卡,接收广播地址数据帧(封装的是MAC);网卡驱动在混杂模式下接收一切通过其连接共享媒介的数据帧。 共享式/交换式网络(储存转发,MAC映射)。 在纯交换网络中的一些嗅探手段:MAC地址泛洪攻击(多发溢出失效机制);MAC欺骗(假冒MAC发送数据给交换机以修改映射表);ARP欺骗。 BPF:类UNIX系统链路层的数据包收发接口;过滤封包(加计算测试位)。 Libpcap(类UNIX系统),抓包工具库,同BPF配合,捕获数据包保存为pcap格式,字段格式同一般数据包类似。 NPF和WinPcap(packet.dll , wpcap.dll),win系统上的BPF和libpcap 调用Libpcab库函数帮助个人的一些小体量网络嗅探工具。 tcpdump(调用libpcab,利用BPF语法规则,) 检测:利用混杂模式下的linux内核多只检查ip来确认是否接收数据分组,正常模式只接收目标MAC为本机地址或广播地址的特性构造MAC地址无效,ip有效的ICMP主动请求,检测网段中是否有主机处于嗅探模式。 网络协议解析:保存各层次协议头字段信息及data字段信息;解析步骤依次为确定帧头部,网络层协议信息(协议类型ip(0800),源宿ip),ip数据报的重组,传输层信息(协议类型(tcp:6,udp:17),源宿端口),传输层报文段重组,确定应用协议类型并根据相应协议重组data信息(主要调用libpcap库的分组处理函数processpacket())。 wireshark一些过滤命令:[src|dst] host \<host>(监听指定主机为源或目的地址),less|greater\<length> 选择符合长度要求的包,\[tcp|udp][src|dst] port \<port>过滤tcp,udp及端口号。 Is Present, Contains, Matchs 2. 实践部分 1. 学习总结 有线/无线嗅探器
