《网络安全防护项目教程》 课件 子任务13-1-1了解网络嗅探.pptx

了解网络嗅探准备要点了解网络嗅探工作原来掌握网络嗅探方法学习目标：知识目标技能目标态度目标能根据实际应用情况选择合适的嗅探工具能解决系统应用过程中出现的问题有强烈的安全意识耐心、细致分析问题具有一定自学能力，分析问题、解决问题能力和创新的能力

任务概览

1.嗅探所谓嗅探，简单来说就是窃听流经网络上的数据包。该技术得以实现是基于共享的原理，局域网内计算机都接收到相同的数据包，唯一区分的就是网卡通过识别MAC地址过滤掉与本身无关的信息，那么，如果将网卡的“过滤器”功能转换或去掉，即将网卡设置为“混杂模式”（promiscuous）就可以实现。也就是说，在混杂模式下，网卡并不判别数据的目标地址是不是本身，而是接收通过的一切数据。在正常情况下，网卡只会响应两种数据帧：一种是目标地址为自身MAC的数据帧；另一种是发向所有计算机的广播帧。子任务13-1-1了解网络嗅探任务13-1网络嗅探

1.嗅探嗅探技术在网络安全领域具有双重的作用，一方面常被黑客作为网络攻击工具，从而造成密码被盗、敏感数据被窃等安全事件；另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。嗅探技术怎么实现呢？通过嗅探器实现。嗅探器是功能强大的协议分析软件，嗅探可以作为捕获网络报文的设备，是一种常用的收集有用数据(如用户的帐号或密码)的方法，也可以是一些商用的机密数据等。典型的嗅探器如sniffer，主要被用来截获网络上位于OSI协议模型中各个协议层次上的数据包，通过对截获数据包的分析，可以掌握目标主机的信息。子任务13-1-1了解网络嗅探任务13-1网络嗅探

2.嗅探器工作原理网络嗅探器利用的是共享式的网络传输介质。共享即意味着网络中的一台机器可以嗅探到传递给本网段（冲突域）中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是，则把报文传递给操作系统；否则，将报文丢弃，不进行处理；网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将他收到的所有报文都传递给操作系统进行处理，这种特殊的工作模式，就称之为混杂模式。网络嗅探器通过将网卡设置为混杂模式来实现对网络的嗅探。任务13-1网络嗅探子任务13-1-1了解网络嗅探

2.嗅探器工作原理一个实际的主机系统中，数据的收发是由网卡来完成的，当网卡接收到传输来的数据包时，网卡内的单片程序首先解析数据包的目的网卡物理地址，然后根据网卡驱动程序设置的接收模式判断该不该接收，认为该接收就产生中断信号通知CPU，认为不该接收就丢掉数据包，所以不该接收的数据包就被网卡截断了，上层应用根本就不知道这个过程。CPU如果得到网卡的中断信号，则根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，并将接收的数据交给上层协议软件处理。任务13-1网络嗅探子任务13-1-1了解网络嗅探