网络与信息安全-网络扫描技术37842.ppt

* 一个简单的sniffer程序 * 共享网络和交换网络 共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 * 共享式网络示意图 * 应用程序抓包的技术 UNIX系统提供了标准的API支持 Packet socket BPF Windows平台上通过驱动程序来获取数据包 驱动程序 WinPcap * Packet socket 设置混杂(promiscuous)模式 用ioctl()函数可以设置 打开一个packet socket packet_socket = socket(PF_PACKET, int socket_type, int protocol); 以前的做法，socket(PF_INET, SOCK_PACKET, protocol) 不同的UNIX或者Linux版本可能会有不同的函数调用，本质上 打开一个socket(或者通过open打开一个设备) 通过ioctl()或者setsockopt()设置为混杂模式 * BPF(Berkeley Packet Filter) BSD抓包法 BPF是一个核心态的组件，也是一个过滤器 Network Tap接收所有的数据包 Kernel Buffer，保存过滤器送过来的数据包 User buffer，用户态上的数据包缓冲区 Libpcap(一个抓包工具库)支持BPF Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的 BPF是一种比较理想的抓包方案 在核心态，所以效率比较高， 但是，只有少数OS支持(主要是一些BSD操作系统) * BPF和libpcap * 关于libpcap 用户态下的数据包截获 系统独立的API接口，C语言接口 目前必威体育精装版为1.10版本 广泛应用于： 网络数据收集 安全监控 网络调试 支持过滤机制，BPF Programming with pcap /pcap.htm * libpcap介绍 为捕获数据包做准备的几个函数 char *pcap_lookupdev(char *errbuf);返回一个指向网络设备的指针，这个指针下面用到 pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf);用来获取一个packet capture descriptor；snaplen指定了抓取数据包的最大长度 pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname);打开一个savefile文件，用于dump pcap_t *pcap_open_offline(char *fname, char *ebuf);打开一个savefile，从中读取数据包 * Libpcap: 设置filter 设置过滤器用到的函数 int pcap_lookupnet(char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf)? 获得与网络设备相关的网络号和掩码 int pcap_compile(pcap_t *p, struct bpf_program *fp,?char *str, int optimize, bpf_u_int32 netmask)把字符串str编译成一个过滤器程序 int pcap_setfilter(pcap_t *p, struct bpf_program *fp)设置一个过滤器 * Libpcap: 捕获数据 捕获数据用到的两个函数 int pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user) ? int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) ? 参数含义： cnt指定了捕获数据包的最大数目 pcap_handler是一个回调函数 二者区别在于pcap_loop不会因为read操作超时而返回。 另一个函数：void pcap_dump(u_char *user, struct pcap_pkthdr *h, u_char *sp)? 把数据包写到一个由pcap_dump_open()打开的文件中 * Windows平台下的抓包技术 内核本身没有提供标准的接口 通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包 在Windows不同操作系统平