协议分析攻击

协议分析攻击第1页，课件共31页，创作于2023年2月协议分析攻击第2页，课件共31页，创作于2023年2月协议分析器与嗅探器协议分析器的功能捕获数据包协议分析器可以监视某个网络实体，捕获所有流经该实体的数据。高端协议分析还可以制定捕获的计划和触发条件第3页，课件共31页，创作于2023年2月数据包统计协议分析器可以对捕获的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，甚至可以打印出各种直观的图表和报表。第4页，课件共31页，创作于2023年2月过滤数据许多协议分析器设置过滤器，通过过滤，可以有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗，降低系统性能。第5页，课件共31页，创作于2023年2月数据包解码协议分析器可以从捕获的比特流中识别出封装的头部信息。读取其他协议分析器的数据包格式一种好的协议分析器能更好地利用其他协议分析器获得的数据，以提高其工作效率。第6页，课件共31页，创作于2023年2月嗅探器（sniffer)

Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备。

ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。第7页，课件共31页，创作于2023年2月Sniffer原理Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太同卡）置为杂乱（promiscuous）模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

第8页，课件共31页，创作于2023年2月HUB工作原理

由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。

第9页，课件共31页，创作于2023年2月Sniffer嗅探器的安装位置第10页，课件共31页，创作于2023年2月嗅探器的协议分析嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP/IP、IPX、NETBUI。第11页，课件共31页，创作于2023年2月Sniffer的分类软件:软件的Sniffer有NetXray、Packetboy、Netmonitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件：硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。

第12页，课件共31页，创作于2023年2月嗅探器造成的危害嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。能够捕获专用的或者机密的信息。比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

第13页，课件共31页，创作于2023年2月窥探低级的协议信息：通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正要进行一次欺骗（通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号），如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。第14页，课件共31页，创作于2023年2月典型嗅探器:SnifferPro

(NetworkAssociates)为网络协议分析捕获网络数据包。可识别250种以上的网络协议，可以基于协议、MAC、IP地址，匹配模式等设置过滤。实时监控网络活动，用专家系统帮助分析网络及应用故障。进行网络使用统计、错误统计、协议统计、工作站和服务器统计。第15页，课件共31页，创作于2023年2月可以设置多种触发模式，如基于错误报文，外部事件。具有可选的流量发生器，模拟网络运行，衡量响应时间，路由跳数计数，进行排错。第16页，课件共31页，创作于2023年2月第17页，课件共31页，创作于2023年2月第18页，课件共31页，创作于2023年2月捕获面板第19页，课件共31页，创作于2023年2月捕获过程报文统计

（在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率）第20页，课件共31页，创作于2023年2月捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如后图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。第21页，课件共31页，创作于2023年2月第22页，课件共31页，创作于2023年2月解码分析

第23页，课件共31页，创作于2023年2月设置捕获条件

基本捕获条件基本的捕获条件有两种：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。第24页，课件共31页，创作于2023年2月第25页，课件共31页，创作于2023年2月高级捕获条件

在“Advance”页面下，编辑协议捕获条件第26页，课件共31页，创作于2023年2月在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。第27页，课件共31页，创作于2023年2月任意捕获条件

在DataPattern下，可以编辑任意捕获条件第28页，课件共31页，创作于2023年2月Dashbord

Dashbord可以监控网络的利用率，流量及错误报文等内容。通过应用软件可以清楚看到此功能。第29页，课件共31页，创作于2023年2月嗅探器的防御加密使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniff