20159320《网络攻防实践》第4周教材学习总结

网络嗅探

1、利用计算机网络端口截获别人的数据报文,以监听数据流中所包含的账户名和密码。

2、嗅探的危害和作用(被动性,非干扰性)

3、工具:可分为LAN(tcpdump)和WLAN(kismet)也可分为硬件嗅探器和软件嗅探器

4、原理:
a、以太网工作原理。
b、共享式网络与交换式网络中的嗅探。其中共享式即为总线方式,通过集线器完成,而交互式则是通过交换机完成。对于交互式嗅探的攻击方式包括MAC地址洪泛攻击、MAC欺骗和ARP欺骗。
c、类UNIX平台的嗅探技术实现:内核态(BPF)和用户态(libpcap)
d、windows平台的嗅探技术实现:内核态(NPF)和用户态(winpcap)

5、网络嗅探器软件:a、类UNIX平台嗅探软件;b、windows嗅探器软件;c、tcpdump

6、防范与检测:检测(L0pht)、防范包括(采用安全网络拓扑、静态ARP和MAC地址映射表替代动态机制等)

网络协议分析

网络协议分析过程

1、嗅探到原始数据

2、对以太网数据帧进行结构分析

3、对IP数据包进行分析

4、根据TCP与UDP目标端口确定具体应用层协议

5、根据相应应用层协议对数据进行整合恢复

在snort中网络协议分析过程:

1、解析以太网数据帧(预处理、拆包、解析上层协议)

2、解析IP数据包

3、解析TCP数据包

wireshark数据包分析工具

1、wireshark简介和发展

2、wireshark功能介绍:多平台、多接口、多协议类型、多种文件类型、图形化界面、包过滤功能、重组TCP会话的所有数据包。

3、wireshark使用:在课本中wireshark使用讲的比较少,这里给出几点书上的内容。

监听指定主机为源地址:[src|dst]host< host>

选择长度符合要求的包:less|greater

过滤tcp、udp及端口号[tcp|udp] [src|dst]port< port>

利用and、or、not连接多个条件

使用过滤栏设置可以只查看符合要求的数据包

过滤器对大小写敏感

posted @ 2016-03-26 15:44  miaohj  阅读(242)  评论(0编辑  收藏  举报