Sniffer的数据包分析与防范

1、 Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义，并简单介绍了目前比拟常见的信息监听软件Sniffer的特点及工作原理。然后系统地介绍了网络中几种重要的协议的数据报格式，在此根底上，介绍Snifer对这几种协议进行的解码分析，通过Sniffer的分析能够清楚地看到几种数据报的详细内容。 鉴于Sniffer对信息的监听，本文提出了几种防范Sniffer监听的方法，主要有防火墙技术、加密技术等。最后，针对当前我国的信息监听面临的形势，提出了自己对信息监听技术开展前景的看法。关键字：信息监听 Sniffer 数据包分析 信息平安 Sniffer的防范1信息监听的意义；我

2、国的网络正在快速开展中，相应的问题也就显现出来，网络管理及相关应用自然将越发重要，而监听技术正是网络管理和应用的根底，其意义当然重要，随着中国网络的开展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。监听技术有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。2、Sniffer的介绍；Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能

3、够让用户获得强大的网管和应用故障诊断功能。Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。Sniffer之所以著名，是因它在很多方面都做的很好，它可以监听到网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP等等，也可以是集中协议的联合体系。Sniffer的优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sni

4、ffer通常称为协议分析仪，具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号、经济数据、E-mail等等，更加可以用来攻击与己相临的网络。3、网络数据包的结构； 数据在网络中的传输要遵循不同的协议，根据不同的标准可以有不同的分层模型。这里有ISO七层模型和TCP/IP的五层模型，ISO七层分为：物理层、数据链路层、网络层、运输层、会话层、表示层、应用层；TCP/IP的四层为：网络接口层、网络层、运输层、应用层。 数据在网络中的传输通过使用一些特定的协议来实现，下面以

5、TCP/IP的四层模型为例，每一层都有一些特定的协议构成如图1所示 应用层传输层网络层链路层HTTP FTP和Telnet等TCP和UDPIP ICMP IGMP设备驱动程序及接口卡DLC ARP图1 网络中的数据包的总体结构如图2所示，数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。在网络层，还要给数据包添加一个IP数据段头以组成IP数据报。数据包IP头TCP头或其它信息头数据图2 数据包总体结构 下面具体介绍一下TCP、UDP和IP数据包的格式：1. TCP报文的格式如图3所示；源端口目的端口序号确认序号首部长度保存代码比特窗口校验和紧急指针选项如果有填充数据图3 T

6、CP报文段的格式2UDP报文的格式如图4所示；UDP源端口UDP目的端口UDP报文长度UDP检验和数据图4 UDP数据报的字段格式3IP报文结构为IP协议头载荷详细内容如图3所示，信息监听时对IP协议头部的分析，时分析IP报文的主要内容之一。 0 4 8 16 19 24 31版本首部长度效劳类型 总长度 标识符标志数据报片偏移量 生存时间 协议 首部校验和 源站IP地址 目的IP地址IP选项假设有填充数据 图5 IP报文格式版本：4个字节；首部长度：单位为4字节，最大60字节总长度：单位为字节，最大65535字节标识：IP报文标识字段标志：MF=1，后面还有分片的数据包MF=0，分片数据包的

7、最后一个 DF=1，不允许分片 DF=0，允许分片偏移量：分片后的分组在原分组中的相对位置，单位为8字节生存时间：TTLTime To Live丢弃TTL=0的报文协议：携带的是何种协议报文首部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的地址 数据发送时从协议栈的高层到底层，会在每一层根据所使用的不同协议添加不同的数据头，所以通常在底层直接截获得到的数据包内，会有不止一个的协议头。数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。在网络层，还要给数据包添加一个IP数据段头以组成IP数据报。4 ARP是地址解析协议，它是物理网络系统的

8、一局部，不是网络协议的一局部，它的报文格式如图6所示。08 16 24 31硬件类型 协议类型硬件地址长度协议地址长度操作发送方硬件地址八位组03发送方硬件地址八位组45发送方IP地址八位组01发送方IP地址八位组23目标硬件地址八位组01目标硬件地址八位组25目标IP地址八位组03 图6 报文格式4、Sniffer的数据报文解码；Sniffer具有强大的网络流量捕捉能力，可以将网络流量捕捉到计算机的内存或直接存储到硬盘上，从而进行解码分析。Snifer能够对很多种协议进行解码分析，它的解码界面也是解码的一个标准界面。解码界面分为Summary概要解码、Detail详细解码、Hex十六进制码。

9、 通过以上对几种主要的数据报格式的介绍，有利于我们对Sniffer解码的理解。下面介绍一下Sniffer对几种重要的协议的解码分析。 4.1 ARP协议的解码分析 ARP协议，即地址解析协议，它提供了一种可以把IP地址映射到物理地址的协议。通过分析Sniffer捕获的数据包中的ARP协议，可以知道信息的发送方和接收方的一些相关数据，如图7是捕获的数据包中的ARP协议内容： 图7 从以上的数据包可以看出ARP协议中的详细内容，例如：硬件类型Hardware type字段指明发送方想要知道的硬件接口类型，对于以太网，该字段含有的值为“1”；操作Opcode字段指明的是ARP请求1、ARP响应2、A

10、RP请求3、ARP响应4；硬件地址长度字段和协议地址长度字段分别指出了硬件地址和高层协议地址的长度；目标硬件地址和目标协议地址字段分别指出了目标硬件地址和目标IP地址。 4.2 IP协议的解码分析IP是英文Internet Protocol网络之间互连的协议的缩写，中文简称为“网协，也就是为计算机网络相互连接进行通信而设计的协议，图8为Sniffer对IP协议首部的解码分析。 从图8中可以看出IP数据报文中的详细内容，例如：版本Version字段指出了数据报所用的IP协议的版本信息；生存时间Time to live字段指明了数据报在互联网系统中允许保存的多长时间；首部校验和Header che

11、cksum字段等等。这些内容与图5中的IP数据报文格式中的内容一一对应。 图8 4.3 UDP协议的解码分析UDP协议，用户数据报协议User Datagram Protocol提供给用程序之间发送数据报的根本机制。用户数据报可以分为UDP首部和UDP数据区，下列图是Sniffer对UDP协议首部的解码分析。 图9 从图中可以看出，Source Port为UDP源端口，Destination为UDP目的端口，Length为UDP报文长度，Checksum为UDP检验和。 4.4 TCP协议的解码分析TCP协议，传输控制协议Transmission Control Protocol，它是面向连接

12、的协议，所有的数据传输过程必须在一个TCP连接的根底上进行，也就是说如果需要TCP传输，首先要建立一个TCP连接。TCP的连接过程，请求方和效劳方需要在网络中传送三个数据包，即TCP的三次握手。具体过程如下列图所示： 图10 TCP三次握手 通过Sniffer捕获的数据包可以清楚地看到TCP的三次握手过程，下列图所示为TCP连接的请求数据包。客户端MSS大小SYN标识位客户端为这个链接分配的初始TCP序列号目的端口为效劳器提供效劳所用的端口源端口为客户端自动生成 图11 TCP链接请求包效劳器收到客户端发送的TCP SYN包后向客户端发送TCP ACK数据包，如图。SYN标识位ACK标识位AC

13、K号位为客户端初始TCP序列号+1效劳器为该连接分配的初始TCP序列号客户端发起连接的源端口效劳器效劳端口效劳器MSS大小 图12 TCP连接SYN ACK包ACK标识位ACK号为效劳器初始TCP序列号+1客户端初始TCP序列号+1第三步是客户端发送ACK，三次握手完成，TCP连接建立，如下列图所示 图13 TCP连接过程第三个包 5、信息平安问题产生的原因及如何防范信息监听；进入21世纪以来，信息平安的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的效劳和限制非授权用户的效劳，以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因

14、素。Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多平安问题。1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其平安性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。网络的开放性是信息平安问题产生的主要原因。2计算机网络系统平安漏洞。系统平安漏洞,也叫系统脆弱性

15、(Vulnerability) ,简称漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统平安策略上存在的缺陷和缺乏。非法用户可以利用漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权限,从而破坏系统的平安性。漏洞是针对系统平安而言的,包括一切可导致威胁、破坏计算机系统平安性(完整性、可用性、保密性、可靠性、可控性)的因素。任何一个系统,无论是软件还是硬件都不可防止地存在漏洞,所以从来都没有绝对的平安。当然漏洞的存在本身并不能对系统平安造成什么损害,关键的问题在于攻击者可以利用这些漏洞引发平安事件。3.网络小甜饼cookie。所谓的cookie就是用户在登陆某些需要用户

16、名的网站上所留下的一些登陆痕迹，用户的cookie会在关闭浏览器之后还保存在硬盘,下次访问同一网站的时候会进行判断。Cookie 是用户输入另一种形式，它是以纯文本形式在浏览器和效劳器之间传送，任何可以截取 Web 通信人都可以读取 Cookie。为了解决这些平安问题，各种平安机制、策略和工具被开发和应用。针对Sniffer的监听机制，可以有以下几种方法防范Sniffer的监听。1. 防火墙技术。我们知道，sniffer一般是发生在以太网内的，那么，很明显，首先就要确保以太网的整体平安性，因为sniffer行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破

17、的主机，才能进行sniffer，去收集以太网内敏感的数据信息。防火墙(Firewall)是近年来开展的最重要的平安技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。2. 加密技术。数据加密被认为是最可靠的平安保障形式,它可以从根本上满足信息完整性的要求,是一种主动平安防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。采用加密手段是一个很好的方法，因为如果Sniffer抓取到的数据都是以密文传输的，那对入侵者即使抓取到了传输的数据信息，意义也是不大的。Sniffer依然可以监视到信息的传送,但是显示的是乱码。如果信息在网络中以明文的形式传输，其内容就很有可能被截获，例如用户在登录邮箱时，如果以明文的形式传输，就可能被Sniffer截获如下列图14 所示。 一些加密术的缺点是速度问题和使用一个弱加密术比拟容易被攻破。几乎所有的加密术将导致网络的延迟。加密术越强,网络沟通速度就越慢。邮箱用户名和密码 图14 截获邮箱用户名和密码6、信息监听的开展前景；到目前为止，从美国这样的网络兴旺国家到中国这样的网络开展中国家，社会各界包括网民们对信息监听的认识和