Sniffer网络监听及防范.doc

单元三 网络系统的安全配置与管理 项目六　Sniffer网络监听及防范 教学目标 1．熟悉网络监听的原理以及网络监听的用途、功能。 2. 熟悉Sniffer Pro监控功能的使用方法。 3．掌握Sniffer Pro软件的多种监测模式的使用，利用它的图示和数据掌握网络运行状况。 教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。 知识要点 1．网络嗅探工作原理； 2．网络嗅探器Sniffer的作用、原理及功能； 3．网络监听运行的发现及防范。 技术要点 1．Sniffer Pro监控功能的使用方法； 2．Sniffer Pro件的多种监测模式的使用，利用它的图示和数据掌握网络运行状况。 技能训练 一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。 (一)网络嗅探工作原理 1．基于集线器以太网 数据的传输是基于“共享”原理的，所有的同一网段范围内的计算机共同接收同样的数据包。 嗅探程序则是利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息了。 2．基于交换机的以太网 Sniffer是利用arp欺骗的所谓中间介入攻击的技术，诱骗网络上的计算机先把数据包传到Sniffer所在的网卡，再传给目标机。 (二) 网络嗅探器Sniffer 1．作用 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，可用于网络故障与性能管理。 2．Sniffer嗅探原理 sniffer就是一种能将本地网络接口设置成“混杂”（promiscuous）状态的软件，当网络接口处于这种"混杂"方式时，该网络接口具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。 sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。 3．功能 1）监视功能 用于计算并显示实时网络通信量数据，监控网络活动，并进行详细分析。 2）捕获功能 用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。 3）实时专家系统分析功能 用于在捕获过程中分析网络数据包进行分析诊断，并对潜在的问题发出警告，。 4）显示功能 用于解码和分析捕获缓冲区中的数据包，收集网络利用率和错误等，并用各种格式加以显示。 5）网络硬件设备的测试与管理 测试或管理网络上的交换机或路由器，或者具体路由器功的主机的运行性能、状态等。 (三) Sniffer的操作与测试 1．安装Sniffer 环境：将部署sniffer的代理服务器直接连到核心交换机的某个端口上，然后通过配置端口镜像，将所有流量镜像到代理服务器所在端口，即可实现对整个网络的流量监测与分析。 安装：在主机上运行Sniffer Pro 4.7的安装程序。根据安装向导的提示，输入用户信息，指定安装路径，填写用户注册信息，输入序列号，不要指定连接到Internet的方式，并进行汉化安装，安装结束后，重新启动计算机。 2．网卡配置 启动sniffer程序，选对检测网络接口网卡，点击“确定”，如图1所示。 图1　网卡选择 单击“文件(File)”，选择“选定设置(Select Settings)”，在“当前设置（Settings）”对话框中选择用于检测网络的接口网卡，如图2所示，单击“确定”打开程序主窗口。 图2 “当前设置”对话框 3．监控功能的操作 1）Dashboard（仪表盘） ① 仪表作用 仪表盘是Sniffer Pro的可视化网络性能监视器。仪表盘窗口如图2所示包括3个数字表盘： 在第1次启动Sniffer Pro时，仪表盘就会出现在屏幕上。关闭仪表盘窗口：选择菜单Monitor（监控）→ Dashboard（仪表盘）来启动它，或者单击Sniffer Pro工具栏中的仪表盘图标。 图2 Sniffer Pro仪表盘窗口 ◆ 利用率百分比（Utilization%）仪表 说明线路使用带宽的百分比，是用传输量与端口能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。 ◆ 每秒传输的数据包（Packets/s）仪表 说明当前数据包的传输速度。表盘的红色区域表示警戒值。 ◆ 每秒产生的错误（Errors/s）仪表 说明网络的出错率。表盘的红色区域表示警戒值. ② 标尺(Gauge)及细节(Detal)卷标 Gauge计量表卷标：实时显示利用率、数据包速率和错误率。 Detail详细资料：以表格方式显示网络计数结果、规模分成和错误计数结果的详细情况，如图3所示。 图3 Sniffer Pro仪表盘的详细资料卷标 Packets：网络传输的数据包总数 Drops：网络中遗失的数据包数量(网络活高峰时经常遗失数据包) Broadcasts：网络中广播帧的数量 Multicasts：网络中组播帧的数量 Bytes：数据包的总字节数 Utilization：当前网络的利用率 Errors：网络中存在的错误的总数 单击Short Term（短期）或Long Term（长期）按钮，可以缩小或扩大、详细错误和规模分布图形的范围，短期范围大约是25分钟，长期范围是24小时. ③ Network（网络）选择框 单击仪表盘左下方的Network（网络）选择框，显示如图4所示的网络仪表盘图和网络事件选择框。仪表盘中的网络图根据每秒的统计结果，提供所有网络图。 图4 网络仪表盘图和网络事件选择框 ④ Size Distribution（规模分布）选择框 单击仪表盘在下方的Size Distribution（规模分布）选择框，显示如图5所示的规模分布仪表盘图和规模分布事件选择框。仪表盘中的分布图是与Sniffer Pro系统相连的网络区段上所有的活动按规模划分的一种实时视图。 图5 规模分布仪表盘图和规模分布事件选择框 ⑤ Detail Errors（详细错误） 单击仪表盘左下方的Detail Errors（详细错误）选择框，相看仪表盘中的详细错误图以及详细错误的事件选择框。 ⑥ 仪表设定阀值 Sniffer Pro的网络分析结果都可以设定阀值。若超出阀值，报警记录就会生成一条信息。在仪表盘上，超过设定阀值的范围用红色标记。 操作：单击仪表盘上方Set Thresholds（设置阀值）按钮，会出现仪表盘属性对话框，如图6所示。 图6 仪表盘属性对话框 参数：左边是名称栏，右边是高阈值栏，底部是以秒为单位计算的监控样本间隔时间。 若修正了一个参数，但是又想恢复默认值，首先就要选中这个参数，然后单击Reset（重置）按钮。如果要把所有参数都重新设定默认值，可以单击Reset All（全部重置）按钮。 2） Host table（主机列表） 主机列表功能是以列表形式显示当前网络上计算机的流量信息或通信情况。 ① 作用 若发现某台计算机在某时间段内发送或接收大量数据，则说明用户可能使用BT、PPLive等P2P软件或者中蠕虫病毒不正常的其他操作。 ② 操作 选择菜单Monitor（监视）→ Host Table（主机列表）来启动它。 3 1 2 图7 主机列表大纲视图 ③视图 主机列表窗口底部，选择MAC、IP、IPX地址查看主机列表。如图7所示，选择2所指向的IP选项。 ◆ 大纲（Outline） 单击大纲图标，如图7所示，显示出主机列表，以及经过这些主机的传输字节数量。 查看：若想了解某一个特定工作站（例如192.168.1.101）的连网情况，只须单击图7中3所指向的IP地址，出现如图8所示的界面。 图8 主机连接地址示例 图8中清楚地显示出该机器（192.168.1.101）连接的地址。单击左边的主机列表工具栏中其他的图标，会弹出该机器连接情况的相关数据界面。 ◆ 详细资料(Detail) 在图7所示的界面中单击Detail（详细资料）图标，将显示出整个网络中的协议分布情况，可清楚地看出网络中各台机器上正在运行的网络应用层协议，如图9所示。 图9 详细资料视图 ◆ 直方图（Bar） 在图7所示的界面中单击Bar（直方图）图标，出现以直方图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图10所示。 图10 传输量为前N位的主机直方图 ◆ 饼图（Pie） 在图7所示的界面中单击Pie（饼图）图标，出现以饼图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图11所示。 图11 传输量为前N位的主机饼图 饼图按钮下方的按钮：捕获、定义过滤器、暂停、更新、重置、输出、属性、单个工作站等。 3) Matrix（矩阵） 主机列表提供了单台主机的通信情况，矩阵则提供了被监视到的主机对之间的网络通信情况，两者的操作界面和功能信息是很相似的。 ① 作用 管理员通过“Matrix”功能可以发现网络中使用BT或等P2P软件、或者中蠕虫病毒的用户或操作 如：某用户的并发连接特别多，并且不断地向其计算机发送数据，说明该计算机很可能中了病毒，则管理员及进封掉该计算机所连接的交换机端口，并对计算机查杀病毒。 ② 操作 选择菜单Monitor（监控）→Matrix（矩阵）或者单击Sniffer Pro工具栏中的矩阵图标。 ③ 查看方式 地图：以图形形式显示主机之间的会话列表，当鼠标移动到线上时显示该会话的统计数字； 图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接，将鼠标放到线上可以看出连接情况。 大纲：显示主机间会话列表以及之间传输的字节数； 详细资料：以表格的形式提供了主机之间的会话列表以及统计数字； 直方图：提供主机间的会话列表传送字节数量前10位的会话状态； 饼图：类似直方图，可以以饼图格式查看同样的数据。 如：若要详细查看某台主机的连接情况，则只显示该主机的连接 右击该主机IP地址 →“show select nodes”，查看选定点对多点的网络连接，如图12所示，图中表示出与192.168.0.250相连接的其他IP地址的主机。若鼠标放在连线上，还会显示该主机所传输的数据大小。 图12 “Matrix”窗口 4）应用响应时间(Application Response Time) 作用：主要用于显示网络中Web网站的连接情况，局域网中那些计算机在上网，浏览那些网站。 步骤：“Monitor” →“Application Response Time”， 将显示出各种所应用的响应时间，即显示局域网内的通信及数据传输大小，并且显示了本地计算机与WEB网站的IP地址。如图13所示。可以柱图方式显示网络计算机的数据传输，柱形长短显示传输量大小。 显示方式：表单视图或直方图以表单形式详细显示服务器与客户端之间的服务响应状态 图13 “Application Response Time”窗口 “ART　options”按钮：在“ART Options”对话框中选择相应应用。如图14所示。 General通用：设置更新的时间间隔； Server-Client：设置显示几对服务器与客户端间的服务响应以及排序内容和显示项目。 Server Only：设置显示几个服务器的服务响应以及排序内容和显示项目； Display Protocols：设置基于TCP和UDP的“默认协议”。 图14 “ART Options”对话框 5）历史采样(History Samples) 作用：记录捕获过程中各个时间段的网络利用情况，包话多种记录。 是确定基准的一个重要工具。基准指的网络的正常运行情况，可通过建立月基准或年基准。 步骤： “Monitor” →“History Samples” 打开“History Samples”窗口，里面有多种历史取样统计数据类型可供选择，如图15所示。双击“Packets/s”图标，将会对网络中每秒种数据包流量开始统计。如图22所示。 图15 “History Samples”窗口 图16 “Packets/s”统计窗口 6）协议分类(Protocol Distribution) 作用：以不同颜色的柱形或饼图或表格显示网络中不同协议的使用情况 步骤： “Monitor” →“Protocol Distribution” 在打开的窗口中可查看被使用协议的分布状态，不同颜色的区块代表不同的网络协议。如图17所示。 图17 “Protocol Distribution”窗口 7）全局统计(Global Statistics) 作用：以饼图或柱形方式显示网络上不同大小传输包的比例分配的统计数据。 步骤 “Monitor” →“Global Statistics” 在打开的窗口中，显示网络上传输包的大小比例分配的统计数据。如图18所示。 图18 “Global Statistics”窗口 4．警告日志 见118 (四)如何监测主机正在窃听 1．网络通讯掉包率反常的高 通过一些网络软件，查看到传送信息包情况(不是sniffer）若网络中有人在听，那传送信息包将无法每次都顺畅的传到目的地。 2．网络带宽将出现反常 通过某些带宽控制器（通常是防火墙所带），可实时看到目前网络带宽的分布情况。在非高速信道上，若网络中存在sniffer,可察觉出网络通讯速度的变化。 3．sniffer记录文件会快速增大 通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中，sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。 4．查看网络接口是否为混杂模式 一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。只有混杂模式下的 sniffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。 二．课堂任务实践 任务1　创建过滤器 要求：运用Sniffer创建过滤器，实现报文的捕获与解析 步骤： ① 创建过滤器 ◆ 启动sniffer软件，主窗口“捕获(Capture)” → 定义过滤器(Define Filer) → 配置文件(Profiles) →新建(new) → 新配置文件名(New Profile Name) ：10-100 → 好(OK)，如图所示。 图25　过滤器的定义 ◆ 选中过滤器“10-100”，切换到“地址(Address)”选项，设置如图26所示。 图26　过滤器的地址定义 ◆ 菜单“捕获(Capture)” →选择过滤器(Select Filter) → 查看过滤器设定的条件 ② 创建过滤网络协议的过滤器 主窗口“捕获(Capture)” → 定义过滤器(Define Filer) → 配置文件(Profiles) →新建(new) → 新配置文件名(New Profile Name) ：FTP → 好(OK) 选中过滤器“FTP” → 高级(Advanced) → IP → TCP → FTP，即使用过滤器捕获FTP协议传输的数据。 ③ 缓冲器的设置 ◆ 同理按②创建一个过滤器：new buffer； ◆ 选中过滤器“new buffer”→ 高级(Advanced) → IP → TCP → HTTP； ◆ “缓冲(bufer) ”选项卡 → 设置参数如图27所示。 图27　缓冲器的设置 ④ 过滤器的使用 ◆ 点击按钮，运行过滤器，创建的地滤器会被设置为默认过滤器。若使用其他过滤器，则需要选择。 诊断 症状 对象 ◆ 高级系统Layer层 服务层(Service)：显示汇总使用HTTP或FTP等协议的对象，通过单击对象按钮深入了解每次连接的详细情况。 应用程序层(Application)：可显示TCP/IP的应用层各种服务的工作状况； 会话层(Session)：检查与注册和安全有关的问题； 数据连接层(Connection)：会检查与端到端通信的效率和错误有关的问题； 工作站层(Station)：检查网络寻址和路由选择问题； DLC层：显示物理层和数据链接层的工作状况； 全局层(Global)：显示与系统和区段整体相关的问题； 路由层(Route)：显示网络上的路由问题； 子网层(Subnet)：在对象栏中会将所有的子网显示出来； ⑤ 捕获数据 ◆ 分析数据：DLC、IP、UDP、ARP、ICMP、Hex、Matrix、Host Table； ◆ 发现并阻止外部主机恶意扫描网络； ◆ 查找盗用IP地址的计算机； ◆ 阻止蠕虫泛滥； (P441) 三．课堂小结 1．本课的纪律评价。 2．实习操作情况分析及出现的常用操作强调。 3．提出要求：要积极参与，仔细理解，增加主动性，才能有所收获。 四．作业 要求：课后复习相关知识及操作，准备期末考试。