20159320《网络攻防实践》第4周教材学习总结

网络嗅探

1、利用计算机网络端口截获别人的数据报文，以监听数据流中所包含的账户名和密码。

2、嗅探的危害和作用（被动性，非干扰性）

3、工具：可分为LAN（tcpdump）和WLAN（kismet）也可分为硬件嗅探器和软件嗅探器

4、原理：

a、以太网工作原理。

b、共享式网络与交换式网络中的嗅探。其中共享式即为总线方式，通过集线器完成，而交互式则是通过交换机完成。对于交互式嗅探的攻击方式包括MAC地址洪泛攻击、MAC欺骗和ARP欺骗。

c、类UNIX平台的嗅探技术实现：内核态（BPF）和用户态（libpcap）

d、windows平台的嗅探技术实现：内核态（NPF）和用户态（winpcap）

5、网络嗅探器软件：a、类UNIX平台嗅探软件；b、windows嗅探器软件；c、tcpdump

6、防范与检测：检测（L0pht）、防范包括（采用安全网络拓扑、静态ARP和MAC地址映射表替代动态机制等）

网络协议分析

网络协议分析过程

1、嗅探到原始数据

2、对以太网数据帧进行结构分析

3、对IP数据包进行分析

4、根据TCP与UDP目标端口确定具体应用层协议

5、根据相应应用层协议对数据进行整合恢复

在snort中网络协议分析过程：

1、解析以太网数据帧（预处理、拆包、解析上层协议）

2、解析IP数据包

3、解析TCP数据包

wireshark数据包分析工具

1、wireshark简介和发展

2、wireshark功能介绍：多平台、多接口、多协议类型、多种文件类型、图形化界面、包过滤功能、重组TCP会话的所有数据包。

3、wireshark使用：在课本中wireshark使用讲的比较少，这里给出几点书上的内容。

监听指定主机为源地址:[src|dst]host< host>

选择长度符合要求的包：less|greater

过滤tcp、udp及端口号[tcp|udp] [src|dst]port< port>

利用and、or、not连接多个条件

使用过滤栏设置可以只查看符合要求的数据包

过滤器对大小写敏感