Sniffer在校园网络环境中的应用.docx
《Sniffer在校园网络环境中的应用.docx》由会员分享,可在线阅读,更多相关《Sniffer在校园网络环境中的应用.docx(60页珍藏版)》请在冰豆网上搜索。
Sniffer在校园网络环境中的应用
山东理工大学
毕业设计(论文)
题目:
嗅探技术在校园网络
环境下的应用
学院:
工程技术学院
专业:
计算机科学与技术
学号:
0522221331
学生姓名:
陈芳
指导教师:
邢雪宁
毕业设计(论文)时间:
二ОО六年十二月十一日~二ОО七年四月十三日共十二周
摘要
Sniffer即嗅探器,利用嗅探技术可以对网络的整体流量状况及网络中每台计算机的通信状况进行监控,并对数据包进行解码分析。
利用嗅探器SnifferPro软件捕获数据,利用其专家系统对捕获到的数据包进行各项分析,迅速找到问题的根源,并及时解决网络问题。
本论文首先对Sniffer技术的基本概念及工作原理、工作环境进行了简要介绍,对于该技术在校园网中的应用,首先对在校园网中共享及交换环境下的监听原理进行了分析,在此基础上利用SnifferPro实现对校园网的管理和维护,并以Nachi蠕虫病毒为例描述如何查找受感染的机器,保证整个网络的正常运行。
同时,Sniffer是一个非常好的流量分析工具,使用SnifferPro软件设置过滤器,捕捉数据包,然后利用Sniffer专家系统分析数据包内容,查看协议使用情况,利用它我们可以实际了解到当前网络中正在发生的具体流量,对发生的问题采取相应的措施。
最后还介绍了使用SnifferPro监控BitTorrent协议,查找校园网中BT下载者的计算机地址,确认造成网络带宽瓶颈的原因。
通过使用Sniffer在校园网中进行分析,及时发现并解决校园网中存在的主要问题,优化校园网,以使校园网能够高效、稳定的运行。
关键词:
校园网,Sniffer,混杂模式,监听,病毒,流量分析,BT协议
Abstract
Sniffercarriesonthemonitoringtobepossibleeachcomputercorrespondenceconditionandinthenetworkoverallcurrentcapacitycondition,andcarriesonthedecodinganalysistothedatapacket.ByusingSnifferProsoftwaretocapturedata,byusingitsexpertsystemtoanalysistheeachdatapacketwhichcaptures,findstherootofthequestionrapidly,andpromptlyresolvesnetworkquestion.
Thepaperfirsthascarriedonthebriefintroductiontothebasicconceptandtheprincipleofwork,theworkingconditionsoftheSniffertechnology,fortheapplicationofthistechnologyinthecampusnetwork,aboveall,undersharingandtheexchangeenvironmenthascarriedontheanalysismonitoringprincipleinthecampusnetwork,inthisfoundation,achievedtothecampusnetworkmanagementandthemaintenance,andhowdescribestaketheNachiwormvirusastheexamplesearchesthemachinewhichinfects,guaranteesentirenormaloperationofthewholenetwork.Atthesametime,Snifferisanextremelygoodcurrentcapacityanalysistool,usestheSnifferProsoftwareestablishesfilter,capturesthedatapacket,thenusestheSnifferexpertsystemanalysisthecontentofthedatapacket,examinedtheapplicationconditionoftheprotocol,wecanactuallyunderstandthecurrentnetworkcapacitywhichisoccurringbyusingit,tothequestionwhichoccurstakesthecorrespondingmeasure.FinallyalsointroducedtomonitortheBitTorrentprotocolbyusingSnifferPro,searchesthecomputerwhichisdownloadingbyBTinthecampusnetwork,confirmedthereasonthatcreatesthebottleneckofnetworkbandwidth.
ByusingSniffertocarryontheanalysisinthecampus,promptlydiscoveredandsolvesthemainquestionwhichinthecampusnetworkexists,andoptimizesthecampusnetwork,toenablesthecampusnetworktoeffectivelyandstably.
Keywords:
CampusNetwork,sniffer,PromiscuousMode,Wiretapping,Virus,
TrafficAnalysis,BTprotocol
目录
摘要.….I
Abstract(英文摘要).…II
目录...III
第一章引言…………………….…………………………………………………..1
1.1课题的背景和意义.……………………………………………………………………..1
1.2Sniffer的应用发展………………………...…………………………………………....1
1.3典型的Sniffer软件………………………………………………………………….….2
第二章Sniffer技术……………………………………...…………………….….3
2.1Sniffer的含义及基本概念………………………………………………………..……3
2.2Sniffer的工作原理………………………………………………………..………..……5
2.3Sniffer的工作环境…………………………………………………….……………...…5
2.4本章小结……………………………………………………………..………....6
第三章Sniffer在校园网中的主要应用…………………………….….…….7
3.1用Sniffer软件管理和维护局域网……………………………………...….…7
3.1.1SnifferPro的主要功能…………………………………………….………8
3.1.2结论………………………………………………………………………113.2在校园网中使用Sniffer……………………………………………………………..12
3.2.1在校园网中共享式HUB下用Sniffer实施监听…………………………...13
3.2.2用Sniffer监测网络………………………..………………...…………………..14
3.2.3在交换机环境中用Sniffer实施监听……………………………………...…15
3.3用Sniffer检测校园网内中毒机器…………………………………..…….…16
3.3.1以Nachi蠕虫病毒为例描述特征…..……………………………………16
3.3.2校园网结构……………………………………………………………...17
3.3.3查找受感染机器…………………………………………...……………17
3.3.4分析………………………………………………………………....…...18
第四章用Sniffer软件分析网络问题…………………………………………..21
4.1借助Sniffer分析网络流量…………………………………………...……….21
4.2使用SnifferPro查找BT下载者的计算机……………………………...…….27
4.3用SnifferPro解决实际问题……………………..…………...………………32结论…………………………………………………………………….…………...34
参考文献…………………………………………………………………………….37
致谢………………………………………………………………………………….38
第一章引言
1.1课题的背景和意义
自从世界上第一个网络—ARPANET诞生后,网络技术得到了极大的发展,被广泛应用于社会的各个领域,但是随着网络规模的扩大,影响网络服务的因素也增加了,如网络故障、网络瓶颈、网络安全等。
网络故障以及人为故障也越来越多,怎样迅速发现故障及解决问题,是每一个网络管理员的当务之急。
为了使校园网络可靠、稳定的运行,必须对网络进行行之有效的管理与维护。
利用Sniffer网络监听技术,网络管理员也可以监控网络状态,捕捉网络信息,收集网络设备信息等,从而对这些进行分析,达到网络故障排除,网络负载结构调整,网络入侵检测等目的。
通过对Sniffer软件的研究应用,了解Sniffer到底是什么样的软件,了解它的发展过程,利用它来对网络进行监测和分析,找出问题;明白Sniffer的工作原理及其各种功能。
能够使用Sniffer检测局域网内Nachi蠕虫病毒,应用SnifferPro分析网络流量的问题,利用Sniffer软件管理和维护局域网。
1.2Sniffer的应用发展
作为降低网络故障的首选解决方案,Sniffer网络分析仪为用户提供了功能强大的网络管理工具,凭借先进的性能,帮助用户主动监测网络,在瓶颈造成故障之前,将其完满解决。
Sniffer网络分析仪是一个排除网络故障和对网络性能进行有效管理的可靠工具,它能够自动帮助网络专业人员维护网络,查找故障,协助扩展多拓朴结构、多协议的网络,极大地简化了发现及解决网络问题的过程。
Sniffer网络分析仪作为用于网络故障和性能管理领域最为智能和强大的工具系列,目前,已在世界上得到了广泛的应用,《财富》排名前1000家企业中有80%选择其作为网络信息安全解决方案,分析、维护、开发他们的网络产品,其中包括Cisco、3COM、Lucent及AT&T。
伴随着1998年NAI进入中国,Sniffer也来到了广大中国用户面前。
1.3典型的Sniffer软件
SnifferPro正是利用网络监听技术开发的一个功能强大的可视化网络分析软件,可运行Win9X/NT/2000/XP/2003等平台下,它具有六个功能:
(1)实时监控网络活动;
(2)详细收集各个主机、会话或者网络中任何部分的使用率和错误统计;(3)保存基线分析所用的历史使用率和错误信息;(4)当故障被发现时告知网络管理员;(5)捕获网络信息供详细的数据包分析;(6)使用模拟网络流量,测量反应时间,计算跳数和故障排除[1]。
Sniffer在校园网络环境中的应用广泛,这里主要讨论监听技术,在局域网内检测蠕虫病毒,分析网络流量等来管理和维护局域网,以便更好的在校园网内应用Sniffer,使校园网络更加稳定的运行。
第二章Sniffer技术
2.1Sniffer的含义及基本概念
Sniffer就是嗅探器。
是一种威胁性极大的被动攻击工具!
使用这个攻击可以监视网络的状态。
数据流动情况以及网络上传输的信息,便可以用网络监听的方式来进行攻击,截获网上的信息。
Sniffer只能抓取一个物理网段的包,就是说你和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备,所以对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的!
Sniffer属于第二层次的攻击。
就是说只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。
Sniffer除了能得到口令或用户名外,还能得到更多的其他的信息,比如一个其他重要的信息,在网上转送的金融信息等等。
Sniffer几乎能得到任何在以太网上转送的数据包。
通常网络上的信息流量相当大,如果不加选择的接收所有的包,然后从中找到所需要的信息是非常困难的,而且如果长时间地进行监听,还有可能把放置Sniffer的机器的硬盘撑爆!
Sniffer是一种常用的收集有用数据方法。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装Sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"Sniffer"程序。
这种方法要求运行Sniffer程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行Sniffer是没有效果的。
再者,必须以root的身份使用Sniffer程序,才能够监听到以太网段上的数据流。
以太网Sniffer对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"password"的包[2]。
它的目的是将网络层放到promiscuous模式,从而能干些事情。
Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
根据有关对以太网的工作原理的基本介绍,可以知道:
一个设备要向某一目标发送数据时,它是对以太网进行广播的。
一个连到以太网总线上的设备在任何时间里都在接受数据。
不过只是将属于自己的数据传给该计算机上的应用程序。
利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从而实现Sniffer。
Sniffer通常运行在路由器,或有路由器功能的主机上。
这样就能对大量的数据进行监控。
通常是攻击者已经进入了目标系统,然后使用Sniffer这种攻击手段,以便得到更多的信息。
Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个其他重要的信息,在网上传送的金融信息等等。
Sniffer几乎能得到任何以太网上的传送的数据包。
以太网Sniffer程序将系统的网络接口设定为混合模式。
这样,它就可以监听到所有流经同一以太网网段的数据包,不管它的接受者或发送者是不是运行Sniffer的主机。
程序将用户名、密码和其它黑客感兴趣的数据存入log文件。
黑客会等待一段时间-----比如一周后,再回到这里下载记录文件[3]。
计算机网络与电话电路不同,计算机网络是共享通讯通道的。
共享意味着计算机能够接收到发送给其它计算机的信息。
捕获在网络中传输的数据信息就称为Sniffing(窃听)。
以太网是现在应用最广泛的计算机连网方式。
以太网协议是在同一回路向所有主机发送数据包信息。
数据包头包含有目标主机的正确地址。
一般情况下只有具有该地址的主机会接受这个数据包。
如果一台主机能够接收所有数据包,而不理会数据包头内容,这种方式通常称为"混杂"模式。
由于在一个普通的网络环境中,帐号和口令信息以明文方式在以太网中传输,一旦入侵者获得其中一台主机的root权限,并将其置于混杂模式以窃听网络数据,从而有可能入侵网络中的所有计算机。
一句话,Sniffer就是一个用来窃听的黑客手段和工具,Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
2.2Sniffer的工作原理
Sniffer就是一种能将本地nc状态设成(promiscuous)状态的软件,当nc处于这种"混杂"方式时,该nc具备"广播地址",它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
(绝大多数的nc具备置成promiscuous方式的能力)
可见,Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
2.3Sniffer的工作环境
Sniffer就是能够捕获网络报文的设备。
嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
嗅探器与一般的键盘捕获程序不同。
键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。
嗅探器通过将其置身于网络接口来达到这个目的——例如将以太网卡设置成杂收模式。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。
通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。
就是在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
每一个在LAN上的工作站都有其硬件地址。
这些地址唯一地表示着网络上的机器。
当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据)。
如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。
一般只嗅探每个报文的前200到300个字节,因为用户名和口令都包含在这一部分中。
也可以嗅探给定接口上的所有报文,如果有足够的空间进行存储的话,将会发现另一些非常有趣的东西……
简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。
将嗅探器放置于被攻击机器或网络附近,这样将捕获到很多口令,还有一个比较好的方法就是放在网关上。
如果这样的话就能捕获网络和其他网络进行身份鉴别的过程。
这样的方式将成倍地增加攻击的范围。
2.4本章小结
通过本章了解Sniffer的含义及其技术原理和工作环境,Sniffer是一种网络监听技术,利用此技术可以制作出Sniffer网络监听工具。
Sniffer是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种工具。
Sniffer可以捕获OSI协议模型中的各个协议层次上的数据,通过对网络实时信息进行监控,对保存的历史信息进行统计分析,从而了解网络状态和整体布局。
Sniffer为网络性能的分析、网络故障的判断、信息流量的审计、配置管理的调整和网络安全的检测提供动态信息依据。
第三章Sniffer在校园网中的主要应用
目前校园网络基本都采用三层结构,即核心层、汇聚层和接入层,而且为了网络安全和管理方便划分了许多VLAN。
在这种网络结构下使用Sniffer,必须进行必要的设置才能使Sniffer接收到网络中所有设备的数据包,从而对网络状况进行分析。
校园网络中访问互联网的数据包,无论来自那个网段,都将经过核心层的主交换机。
现在的主交换机都支持端口映射功能,在主交换机中设置,使来自所有网段的数据包都映射到主机的某个端口,安装有Sniffer工具的计算机连接到该端口。
要想接收所有在网络中传输的数据包,而不理会数据包头内容,就必须使该网络接口设置成“混杂”(Promiscuous)模式。
Sniffer就是一种将本地网卡状态设成“混杂”状态的软件,当网卡处于这种“混杂”方式时,该网卡就具备了“广播地址”,Sniffer程序便能接收传输在网络上的每一个信息包。
3.1用Sniffer软件管理和维护局域网
对于大中型局域网系统,网络系统管理员的管理和维护工作主要包括:
1.及时解决出现的网络故障(包括设备和软件),并分析产生原因,防止今后发生类似问题;
2.随时了解网络状况,分析可能产生瓶颈的因素,及时调整网络的负载结构;
3.收集、分析网络的历史资料,识别网络工作的长期趋势,为网络的扩展提供参考。
网络分析软件Snifferpro可以帮助系统管理员比较轻松的完成管理和维护的工作任务。
Snifferpro是NetworkAssociates公司开发的一个可视化网络分析软件,可运行在Windows9X、WindowsNT等平台下,它的功能非常强大。
可以用于:
1.捕捉网络通信以便详细分析;
2.诊断网络故障;
3.实时监视网络活动;
4.收集某台工作站、某个会话或网络中任意一点的详细应用和出错信息;
5.保存历史记录和出错信息以便作基线分析;
6.在问题发生时产生实时警报并通知网络管理员;
7.探察网络,并进行通信仿真、测量响应时间、疑难解答等。
3.1.1SnifferPro的主要功能
1.实时监视
SnifferPro提供了6种实时监视工具,动态显示网络通信和网络运行状况。
这6种工具是Dashboard、Hosttable、Matrix、Historysamples、Protocoldistribution、Globalstatics[4]。
它们既可以从Monitor菜单中选择也可以在工具栏中快速启动。
图3-1Monitor工具栏
1)Dashboard
图3-2Dashboard
图中2个动态变化的仪表盘,分别表示数据包数/秒、网络利用率(%)、错误数/秒,选择下方的“Detail”标签,会显示每项的详细数值。
扇形部分表示系统缺省的极限值,超过了极限值,系统将报警并记录在日志中。
通过观察这些数据,可以实时掌握网络利用和发生错误等运行情况。
2)Hosttable
Hosttable通过表格、柱形图和饼图显示网络中每个节点的通信状态:
表格:
详细显示流入/流出的数据包数;
柱形图和饼图:
显示数据包流量最大的十个节点。
通过Hosttable,可以了解目前的网络流量以及哪些节点流量较大。
3)Matrix
Matrix显示两个节点间的会话,可以了解它们相互发送数据包的数量。
有4种表示方法:
地图:
直观的表示两个节点间的通信;
表格:
显示数据包数;
柱形图:
显示流量最大的10个节点;
饼图:
显示流量最大的10个节点。
4)Historysamples
Historysamples对24h内网络状况采样记录,并可输出到文件保存。
采样间隔可自行设定,默认为15s。
有20个选项,如图3。
图3-3Historysamples
5)Protocol