翟佩超

（運(yùn)城幼兒師范高等?？茖W(xué)校，山西 運(yùn)城 044000）

當(dāng)前我們已經(jīng)進(jìn)入了以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的信息化時(shí)代。通過不同的通信介質(zhì)，把不同廠家、不同操作系統(tǒng)的計(jì)算機(jī)以及相關(guān)設(shè)備連接在一起，打破時(shí)間和空間的界限，共享軟硬件資源和進(jìn)行信息傳輸。通信協(xié)議可以保證高層協(xié)議與應(yīng)用之間的互連、互通與資源共享。同時(shí)，在Internet安全隱患中扮演雙刃劍重要角色的Sniffer受到越來越大的關(guān)注。

一、可行性分析

基于以太網(wǎng)絡(luò)嗅探的Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，監(jiān)聽的目標(biāo)中間不能有路由或其他屏蔽廣播包的設(shè)備。由于以太網(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)，被監(jiān)聽的可能性較高，主要在使用以太網(wǎng)協(xié)議的局域網(wǎng)實(shí)驗(yàn)環(huán)境下實(shí)現(xiàn)。大多數(shù)網(wǎng)卡是支持混雜模式的，將網(wǎng)卡設(shè)置在混雜模式下，主要利用軟件嗅探器Sniffer和Ethereal（為輔助軟件）就能捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包并對(duì)其進(jìn)行分析。應(yīng)用軟件為：Sniffer和Serv-U。

1.理論依據(jù)

以太網(wǎng)是基于載波監(jiān)聽多路訪問/沖突檢測（CSMA/CD）協(xié)議建立的。該協(xié)議定義了用以太網(wǎng)進(jìn)行訪問的方法。每個(gè)工作站進(jìn)行傳輸?shù)臋C(jī)會(huì)相等，沒有任何一個(gè)具有優(yōu)先權(quán)。當(dāng)不止一個(gè)工作站同時(shí)傳輸時(shí)，就會(huì)發(fā)生沖突。而當(dāng)交叉電纜連接兩個(gè)工作站或者一個(gè)設(shè)備附屬于一個(gè)交換機(jī)端口時(shí)，工作站就可以進(jìn)入全雙工的工作模式。這種模式運(yùn)行電腦同時(shí)進(jìn)行傳輸與接受，提高了性能，但是該實(shí)驗(yàn)如果在全雙工模式下進(jìn)行，要借助于Sniffer提高到一個(gè)硬件設(shè)備Pod，無疑提高了實(shí)驗(yàn)的誤差性，故而在半雙工情況下進(jìn)行實(shí)驗(yàn)。

一個(gè)網(wǎng)絡(luò)分析程序（Sniffer）就是一個(gè)故障檢測的工具，可以用來發(fā)現(xiàn)并解決網(wǎng)絡(luò)交流問題，規(guī)劃網(wǎng)絡(luò)容量，并進(jìn)行網(wǎng)絡(luò)優(yōu)化。Sniffer可以捕獲所有通過的網(wǎng)絡(luò)流量，并把它們翻譯出來進(jìn)行解碼，還可以翻譯正在使用的不同的協(xié)議。解碼后的數(shù)據(jù)以一種容易理解的格式顯示。Sniffer還可以只捕獲用戶定義的數(shù)據(jù)類型，這就使網(wǎng)絡(luò)管理員可以僅僅捕獲與當(dāng)前網(wǎng)絡(luò)問題相關(guān)的數(shù)據(jù)。

Sniffer通常提供下述能力：

（1）捕獲并解碼網(wǎng)絡(luò)上的數(shù)據(jù)；

（2）生成并顯示關(guān)于網(wǎng)絡(luò)活動(dòng)的統(tǒng)計(jì)結(jié)果；

（3）進(jìn)行網(wǎng)絡(luò)能力的類型分析。

2.運(yùn)行環(huán)境

硬件環(huán)境：3臺(tái)PC機(jī)（處理器IntelPentium 200MHz以上、內(nèi)存128M以上、硬盤2G以上）；1臺(tái)路由器；1臺(tái)共享型集線器。

軟件環(huán)境：Windows 2003 server操作系統(tǒng)；Server-u；Sniffer4.75；QQ。

二、總體設(shè)計(jì)與實(shí)施

將網(wǎng)卡設(shè)置在混雜模式下，利用軟件嗅探器Sniffer和Ethereal（輔助軟件）捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包并對(duì)其進(jìn)行分析。

1.搭建實(shí)驗(yàn)平臺(tái)

將電腦PC1PC2PC3連接至HUB，并將HUB與一臺(tái)路由器相連接，最后連接至Internet。

2.數(shù)據(jù)包截取

數(shù)據(jù)包截取的步驟如下：（1）按照實(shí)驗(yàn)?zāi)Ｐ蛨D連接設(shè)備。（2）啟動(dòng)設(shè)備并使其穩(wěn)定運(yùn)行（PC,ROUTER,HUB）。（3）安裝應(yīng)用軟件（如 Sniffer、Ethereal、Server-u等）。（4）PC訪問互聯(lián)網(wǎng)或相互通信過程中，運(yùn)行Sniffer軟件并打開截取數(shù)據(jù)包按鈕。（5）截取一段時(shí)間后按停止并顯示按鈕。（6）保存截取數(shù)據(jù)以便分析使用。（7）安全退出軟件，關(guān)閉設(shè)備，關(guān)閉電源。

三、數(shù)據(jù)分析

1.FTP包內(nèi)容解析

利用嗅探器對(duì)FTP傳輸時(shí)的數(shù)據(jù)包進(jìn)行截取，得到FTP用戶名及密碼。

PC3 上裝有 Sniffer，PC1 的 IP 為 222.30.78.4，PC3的IP為222.30.78.67，在PC1上用server-u搭建成FTP服務(wù)器，并設(shè)置用戶名和密碼都是tjuci,在PC2通過用戶名密碼登錄PC1進(jìn)行權(quán)限訪問時(shí)，PC3截取到的數(shù)據(jù)包。

從截取數(shù)據(jù)包可以清晰地看到，用戶名是tjuci，用戶密碼是tjcci。實(shí)驗(yàn)之所以能夠得到用戶名及密碼，主要因?yàn)镕TP用戶名和密碼在默認(rèn)情況下以明文進(jìn)行傳輸。

另一方面，從數(shù)據(jù)截獲的情況來看，F(xiàn)TP采用TCP傳輸，從第三行到第五行，可以清楚地看出TCP傳輸?shù)娜挝帐謾C(jī)制，首先是在連接請(qǐng)求的主機(jī)一方（也就是客戶機(jī)，這里是FTP客戶端，即PC2,它的IP是222.30.78.67）。由3829＞ftp可以看出，第一次數(shù)據(jù)流是由PC2發(fā)向PC1的請(qǐng)求，即第一次握手，它只有SYN標(biāo)識(shí)，第二次握手是由PC1發(fā)給PC2確認(rèn)連接，它不僅有SYN還有ACK標(biāo)識(shí)，第三次握手再由PC2發(fā)給PC1，表示開始傳輸。

2.HTTP包內(nèi)容解析

在網(wǎng)絡(luò)中應(yīng)用最為廣泛的就是訪問互聯(lián)網(wǎng)。訪問互聯(lián)網(wǎng)通常用到的協(xié)議是HTTP協(xié)議，瀏覽器通過超文本傳輸協(xié)議(HTTP)將Web服務(wù)器上站點(diǎn)的網(wǎng)頁代碼提取出來，并翻譯成漂亮的網(wǎng)頁。對(duì)HTTP數(shù)據(jù)包的解析如下：

（1）對(duì)Frame項(xiàng)的分析

從選項(xiàng)中可以得到一些相關(guān)信息如下：捕獲的這個(gè)數(shù)據(jù)幀是第七個(gè)幀；它的大小是608比特；到達(dá)時(shí)間是2008年11月29日；與捕獲的前一個(gè)數(shù)據(jù)幀相差的時(shí)間是0.303619秒；與捕獲的第一個(gè)數(shù)據(jù)幀相差的時(shí)間是0.687199秒；使用的協(xié)議有TCP、ETH、HTTP；HTTP使用的協(xié)議端口號(hào)是80。

（2）Ethernet選項(xiàng)分析

從選項(xiàng)中基本看到如下信息：發(fā)送源端口的物理（MAC）地址是 00：0f：e2：82：1d：27；接收端口的物理地址是 00：13：e8：74：07：77。從內(nèi)容信息中不難理解，它的作用是保證數(shù)據(jù)包在以太網(wǎng)中的正確傳輸，以太網(wǎng)中的數(shù)據(jù)包傳輸主要通過ARP協(xié)議將IP轉(zhuǎn)換成MAC，靠MAC地址來識(shí)別主機(jī)。

（3）IP選項(xiàng)的數(shù)據(jù)分析

從選項(xiàng)中可以看到的信息如下：IP協(xié)議是第四版本；IP包頭的長度是20比特；IP包的總長度是594比特；源地址IP是65.55.128.52；目的端 IP是222.30.78.67。從展開項(xiàng)提供的信息可以看出，網(wǎng)絡(luò)層依靠對(duì)IP包頭的解析來保證數(shù)據(jù)包在網(wǎng)絡(luò)層的正確路由，主要靠目的IP和源IP來識(shí)別主機(jī)。

（4）TCP選項(xiàng)的詳細(xì)解析

從選項(xiàng)中可以看到如下信息：HTTP使用端口80；目的端口2751；其余為TCP的標(biāo)志控制位。從展開的項(xiàng)可以看到，TCP對(duì)傳輸?shù)目刂浦饕褂玫亩丝谑?0，其余控制位保證了可靠的傳輸。

（5）HTTP選項(xiàng)的標(biāo)識(shí)部分解析

從選項(xiàng)中可以看到：數(shù)據(jù)接收時(shí)間是2008年11月29日；服務(wù)是由微軟IIS6.0組件提供的；網(wǎng)頁是用ASP.NET編寫的；網(wǎng)頁內(nèi)容類型是文本格式，因?yàn)镠TML就是文本格式。

（6）HTTP整個(gè)數(shù)據(jù)包內(nèi)原始數(shù)據(jù)

從圖中看出，這部分?jǐn)?shù)據(jù)是經(jīng)過加密的，在傳輸過程中并非使用明文，這樣保證了數(shù)據(jù)的安全性和傳輸?shù)目煽啃浴?/p>

3.IPX包內(nèi)容解析

IPX協(xié)議是一種開放的協(xié)議，對(duì)IPX數(shù)據(jù)包的解析如下：

（1）Frame選項(xiàng)的分析得到：截取時(shí)間是2008年11月29下午3時(shí)；這是第一個(gè)數(shù)據(jù)包；包大小是58比特；用到的協(xié)議有ETH、IPX、IP等。

（2）IEEE802.3選項(xiàng)分析得到：目的地址是ff:ff:ff:ff:ff:ff(為廣播地址)；源地址是00:e0:a0:06:58:45。這是物理地址信息，主要負(fù)責(zé)在以太網(wǎng)中尋找使用IPX的主機(jī)。

（3）IPX路由信息協(xié)議分析信息：這是一個(gè)IPX請(qǐng)求；路由矢量參數(shù)，65535跳級(jí)等。IPX整個(gè)數(shù)據(jù)包內(nèi)原始數(shù)據(jù)。這部分?jǐn)?shù)據(jù)也是采用加密傳輸?shù)?，并非以明文出現(xiàn)在信道上。

4.IMCP包內(nèi)容的解

由于IP協(xié)議并不是一個(gè)可靠的協(xié)議，它不能保證數(shù)據(jù)被可靠送達(dá)，因此要由其他的模塊來完成以保證數(shù)據(jù)送達(dá)的工作。其中一個(gè)重要的模塊就是ICMP(網(wǎng)絡(luò)控制報(bào)文)協(xié)議。當(dāng)傳送IP數(shù)據(jù)包發(fā)生錯(cuò)誤時(shí)，如主機(jī)不可達(dá)、路由不可達(dá)等等，ICMP協(xié)議將會(huì)把錯(cuò)誤信息封包，然后傳送回給主機(jī)，給主機(jī)一個(gè)處理錯(cuò)誤的機(jī)會(huì)。這也就是為什么說建立在IP層以上的協(xié)議是可能做到安全的原因。PC3上裝有Sniffer嗅探軟件，當(dāng)PC3向PC1發(fā)出PING命令的同時(shí)開始截包，完成IMPC協(xié)議下的網(wǎng)絡(luò)數(shù)據(jù)包捕獲。

四、數(shù)據(jù)包截取解析的擴(kuò)展和防范

Sniffer Pro是網(wǎng)絡(luò)應(yīng)用中的一把雙刃劍，既能竊取數(shù)據(jù)，又能為網(wǎng)絡(luò)運(yùn)營做出統(tǒng)計(jì)和維護(hù)。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)管理員可以利用高級(jí)網(wǎng)絡(luò)分析程序提供的分析能力，這種特性允許網(wǎng)絡(luò)管理員查看上千個(gè)數(shù)據(jù)包，然后發(fā)現(xiàn)問題。網(wǎng)絡(luò)分析程序還可以提供這些問題出現(xiàn)的可能原因，以及如何解決問題的線索。Sniffer Pro是用于高級(jí)分組檢錯(cuò)的工具。它可以提供分組獲取和譯碼的功能，也可以提供圖形，以確切地指出在你的網(wǎng)絡(luò)中哪里正出現(xiàn)嚴(yán)重的業(yè)務(wù)擁塞。

另一方面，在網(wǎng)絡(luò)應(yīng)用中最普遍的安全威脅來自內(nèi)部，同時(shí)這些威脅通常都是致命的，其破壞性遠(yuǎn)大于外部威脅。其中網(wǎng)絡(luò)嗅探器對(duì)于安全防護(hù)一般的網(wǎng)絡(luò)來說，操作簡單的同時(shí)威脅巨大，很多黑客也使用嗅探器進(jìn)行網(wǎng)絡(luò)入侵的滲透。網(wǎng)絡(luò)嗅探器對(duì)信息安全的威脅來自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。但是，嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端輸入的鍵值，而嗅探器捕獲的則是真實(shí)的網(wǎng)絡(luò)報(bào)文，威脅程度遠(yuǎn)遠(yuǎn)高于鍵盤捕獲程序。

[1]趙新輝,李祥.捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法[M].北京：清華大學(xué)出版社，2004.

[2]高嗣呂,姚青.基于網(wǎng)絡(luò)入侵檢測的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的設(shè)計(jì)[M].北京：機(jī)械工業(yè)出版社，2006.

[3]Cui Yun，Zhu Da ming.A 1.752ApproximationAlgorithms for Unsigned Translocation Distance[J].ISAAC,2005，（17）:397-401.