网络安全攻防实践 课程4-网络嗅探与协议分析.ppt

2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟32以太网头部IP头部TCP头部应用数据以太网尾部IP头部TCP头部应用数据应用层协 议首部应用数据应用数据TCP头部以太网驱动程序IPTCP原始数据包粒度网络协议分析?对网络上传输的二进制格式数据包进行解析 ，以恢复出各层网络协议信息以及传输内容 的技术方法 应用数据 应用程序IP数据报TCP数据报 以太网以太网帧网络协议分析技术实现?实现参考源码 ?Snort中的网络解码器模块 ?decode.c/decode.h?解析以太网数据帧 DecodeEthPkt ?预处理：拆包前进行一些前期处理 ?拆包：将当前得到的包内存位置赋 给Packet数据结构中相应的指针 eh(EtherHdr)型的指针即可 ?解析上层协议：switch语句，根 据ether_type分别调用相应的上 层协议解析例程2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟33 SetPktProcessor DecodeEthPkt DecodeIP DecodeTCP(UDP/ICMP) 上层协议typedefstruct_EtherHdr{ u_int8_tether_dst[6]; u_int8_tether_src[6]; u_int16_tether_type;}EtherHdr;DecodeEthPkt()insnortdecode.c2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟34DecodeEthPkt()insnortdecode.c–con’d??????PPPoEIPARP,RARPIPv6IPX802.1Q2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟352011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟36Wireshark*(ethereal)?Wireshark(ethereal) ?1998-2006:Ethereal ?GeraldCombs,UniversityofMissouri-KansasCity ?2006-now:wireshark ?RenamedfromEtherealduetotrademarkissues ?eWEEKLabsnamedWiresharkoneofTheMost ImportantOpen-SourceAppsofAllTime“?Wireshark特性?????图形化界面/命令行(tshark)在线/离线抓包(支持标准pcap二进制日志文件)支持BPF过滤器支持分析几百种常见网络协议跨平台：类UNIX、Win32(依赖libpcap/WinPcap)2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟37Wireshark界面*2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟1 网络攻防技术与实践课程课程4.网络嗅探与协议分析 诸葛建伟 zhugejw@2011年3月6日 网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟2内容1.网络嗅探技术2.课堂实践：使用Tcpdump3.网络协议分析技术4.课堂实践：使用Wireshark5.作业4－解码网络扫描/网络扫描 攻防对抗作业网络嗅探?网络嗅探(Sniff) ?网络监听、网络窃听 ?类似于传统的电话线窃听?网络嗅探技术定义 ?利用计算机网络接口截获目的地为其他计算机的数据报文 ?监听网络流中所包含的用户账户密码或私密信息等?网络嗅探器(Sniffer) ?实现嗅探的软件或硬件设备 ?嗅探获得数据?二进制格式数据报文 ?解析和理解二进制数据，获取各层协议字段和应用层传输数据 ?网络协议分析2011年3月6日 网络攻防技术与实践课程Co