二、Sniffer的应用技术.ppt

1、12014年4月27日计算机与信息工程学院 高殿武网络工程技术高殿武黑龙江科技学院计算机与信息工程系182461793162计算机与信息工程学院 高殿武二、二、SnifferSniffer的应用技术的应用技术 1 1、SnifferSniffer基本原理与设置基本原理与设置2 2、WiresharkWireshark 抓包工具使用抓包工具使用与与案例案例 3计算机与信息工程学院 高殿武回顾回顾 1 1、举例说明共享式网络特点？、举例说明共享式网络特点？2 2、以太网的中心结点设备以太网的中心结点设备? ?4计算机与信息工程学院 高殿武1 1、SnifferSniffer基本原理与设置基本原理与

2、设置 网卡接收模式网卡接收模式(1) (1) 广播方式广播方式(2) (2) 组播方式组播方式(3) (3) 直接方式直接方式(4) (4) 混杂混杂(Promiscuous)(Promiscuous)模式：模式：能够接收通过它的一切数能够接收通过它的一切数据，而不管该数据是否是传给它的据，而不管该数据是否是传给它的。5计算机与信息工程学院 高殿武嗅探嗅探(Sniffer)(Sniffer)原理原理 将本地将本地NICNIC工作状态工作状态设成混杂模式设成混杂模式，通过通过软件或硬件软件或硬件捕捉捕捉与其连接的物理媒体上传输的所有数据与其连接的物理媒体上传输的所有数据 常见的常见的Sniffe

3、rSniffer软件有软件有WiresharkWireshark、Sniffer ProSniffer Pro、TCPdumpTCPdump等。等。6计算机与信息工程学院 高殿武SnifferSniffer的应用的应用 SnifferSniffer一般用于一般用于分析网络的数据分析网络的数据，以便，以便找出网络中存在找出网络中存在的所关心的潜在问题的所关心的潜在问题。 sniffersniffer安全攻击安全攻击 口令口令 ：sniffersniffer可以记录到可以记录到明文传送明文传送的的useriduserid和和passwdpasswd. . 关于加密的数据关于加密的数据金融帐号金融帐

4、号 ：sniffersniffer可以很轻松截获在网上传送的用户可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和姓名、口令、信用卡号码、截止日期、帐号和pinpin（密（密码锁）码锁） 7计算机与信息工程学院 高殿武SnifferSniffer的应用的应用 sniffersniffer安全攻击安全攻击 偷窥机密或敏感的信息数据偷窥机密或敏感的信息数据窥探底层的协议信息：对底层的信息协议记录窥探底层的协议信息：对底层的信息协议记录比如比如记录两台主机之间的网络接口地址、远记录两台主机之间的网络接口地址、远程网络接口程网络接口ipip地址、地址、ipip路由信息和路由信息和t

5、cptcp连接连接的字节顺序号码的字节顺序号码等等 例如：例如：ipip地址欺诈就要求你准确插入地址欺诈就要求你准确插入tcptcp连连接的字节顺序号接的字节顺序号 8计算机与信息工程学院 高殿武SnifferSniffer软件的部署软件的部署 在共享式网络共享式网络中Sniffer软件的部署非常简单，只需要将它安置在你需你需要的网段中任意位置要的网段中任意位置即可。 在交换环境下在交换环境下 SPANSPAN（Switch Port AnalysisSwitch Port Analysis）：端口镜像）：端口镜像9计算机与信息工程学院 高殿武SnifferSniffer软件的部署软件的部署1

6、0计算机与信息工程学院 高殿武2 2、WiresharkWireshark 抓包工具使用抓包工具使用与与案例案例 WiresharkWireshark 简介简介 WiresharkWireshark常用功能常用功能抓包，停止抓包抓包，停止抓包保存抓包保存抓包设置抓包选项设置抓包选项捕捉过滤器捕捉过滤器显示过滤器显示过滤器Follow TCP StreamFollow TCP Stream 实际应用案例实际应用案例11计算机与信息工程学院 高殿武WiresharkWireshark简介简介 网络抓包分析工具网络抓包分析工具 可实时捕捉多种网络接口可实时捕捉多种网络接口 支持其他程序抓包保存文件，

7、例如支持其他程序抓包保存文件，例如TCPDumpTCPDump 开源软件开源软件 支持支持UNIXUNIX和和WindowsWindows平台平台12计算机与信息工程学院 高殿武Wireshark简介 发展简史：发展简史：19981998年年由由Gerald Combs Gerald Combs 完成第一个完成第一个Ethereal(WiresharkEthereal(Wireshark前身前身) )版本的开发版本的开发。此后不久，此后不久，Gilbert RamirezGilbert Ramirez发现它的潜力，并为其提发现它的潜力，并为其提供了底层分析供了底层分析19981998年年101

8、0月，月，Guy HarrisGuy Harris正寻找一种比正寻找一种比TcpViewTcpView更好的更好的工具，他开始为工具，他开始为EtherealEthereal进行改进，并提供分析。进行改进，并提供分析。13计算机与信息工程学院 高殿武Wireshark简介19981998年以后，正在进行年以后，正在进行TCP/IPTCP/IP教学的教学的Richard Sharpe Richard Sharpe 关注了它在这些课程中的作用。并开始研究该软件是关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新协议支持应该很方否他所需要的协议。如果不行，新协议支持应该很方

9、便被添加。所以他开始从事便被添加。所以他开始从事EtherealEthereal的分析及改进。的分析及改进。从那以后，帮助从那以后，帮助EtherealEthereal的人越来越多，他们的开始的人越来越多，他们的开始几乎都是由于一些尚不被几乎都是由于一些尚不被EtherealEthereal支持的协议。所以支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈他们拷贝了已有的解析器，并为团队提供了改进回馈20062006年年重重新命名为新命名为WiresharkWireshark14计算机与信息工程学院 高殿武Wireshark简介 支持的系统：支持的系统：WindowsWindows

10、APPleAPPle Mac OSX Mac OSXDebianDebian GNU/Linux GNU/LinuxFreeBSDFreeBSDNetBSDNetBSDOpenPKGOpenPKGRed Hat Fedora/Enterprise LinuxRed Hat Fedora/Enterprise Linux15计算机与信息工程学院 高殿武Wireshark简介 官方官方网站网站：http:/http:/www.wireshark.orgwww.wireshark.org/ / 维基网站地址：维基网站地址：http:/http:/wiki.wireshark.orgwiki.wire

11、shark.org/ / 中文用户手册：中文用户手册：http:/http:/ 高殿武Wireshark简介主界面主界面17计算机与信息工程学院 高殿武Wireshark常用功能 可通过可通过CaptureCapture菜单中的菜单中的InterfacesInterfaces打开网卡列表，然后点击网卡右边的打开网卡列表，然后点击网卡右边的“StartStart”按钮开始抓包。或者单击工具栏的第一个按钮，和单击按钮开始抓包。或者单击工具栏的第一个按钮，和单击Capture-Capture-InterfacesInterfaces的效果一样。的效果一样。18计算机与信息工程学院 高殿武Wiresh

12、ark常用功能 开始抓包后，开始抓包后，WiresharkWireshark的主界面中会以不同的颜色显示抓的主界面中会以不同的颜色显示抓取到的不同的数据包。取到的不同的数据包。 如果要停止抓包，可通过工具栏中的如果要停止抓包，可通过工具栏中的StopStop按钮，或者按钮，或者Capture-StopCapture-Stop菜单项停止抓包。菜单项停止抓包。19计算机与信息工程学院 高殿武Wireshark常用功能 停止抓包后我们可以将抓取到的数据包保存到文件供日后分析使用。停止抓包后我们可以将抓取到的数据包保存到文件供日后分析使用。 可通过菜单可通过菜单File-File-Save(SaveS

13、ave(Save As) As) 或者工具栏上的保存按钮。或者工具栏上的保存按钮。20计算机与信息工程学院 高殿武Wireshark常用功能抓包模式抓包模式 在开始抓包之前还可修改在开始抓包之前还可修改WiresharkWireshark的抓包选项。通过工具的抓包选项。通过工具栏或者菜单栏或者菜单Capture-Options Capture-Options 打打开抓包选项设置界面。开抓包选项设置界面。 这里可以设置很多选项，我们这里可以设置很多选项，我们这里介绍一下这里介绍一下 混杂模式和非混杂混杂模式和非混杂模式。模式。混杂模式：混杂模式：抓取经过网卡的所有数抓取经过网卡的所有数据包，包括

14、发往本网卡和非发往本据包，包括发往本网卡和非发往本网卡的。网卡的。非混杂模式：非混杂模式：只抓取目标地址是本只抓取目标地址是本网卡的数据包，对于发往别的主机网卡的数据包，对于发往别的主机而经过本网卡的数据包忽略。而经过本网卡的数据包忽略。 如左图中显示的是混杂模式如左图中显示的是混杂模式21计算机与信息工程学院 高殿武Wireshark常用功能 由于由于WiresharkWireshark是将抓包数据保存是将抓包数据保存在内存当中，当抓包时间比较长，抓在内存当中，当抓包时间比较长，抓的包比较多时可能出现内存不够用的的包比较多时可能出现内存不够用的情况。此时我们设置使用多个文件保情况。此时我们设

15、置使用多个文件保存抓包数据就可避免这种情况。存抓包数据就可避免这种情况。 多个文件保存的方式可以是每隔多个文件保存的方式可以是每隔多久保存一个文件，也可以是限制每多久保存一个文件，也可以是限制每个文件保存的大小，同时也可以设置个文件保存的大小，同时也可以设置限制文件个数。限制文件个数。 默认情况下默认情况下WiresharkWireshark是只使用一是只使用一个临时文件来保存抓包数据的。个临时文件来保存抓包数据的。多文件自动保存抓包数据多文件自动保存抓包数据22计算机与信息工程学院 高殿武Wireshark常用功能自动停止抓包自动停止抓包 在无人值守情况下，我们可在无人值守情况下，我们可设置

16、在某些条件下自动停止抓包。设置在某些条件下自动停止抓包。这些条件可以是：这些条件可以是： 抓到多少包之后；抓到多少包之后； 抓到多大数据量之后抓到多大数据量之后( (存储容存储容量量) )； 抓取多少分钟之后抓取多少分钟之后 23计算机与信息工程学院 高殿武Wireshark常用功能过滤器过滤器 在在WiresharkWireshark中有两中有两种过滤器。种过滤器。捕捉过滤器：捕捉过滤器：在抓包之前在抓包之前设置，让设置，让WiresharkWireshark只抓只抓取过滤器指定的包。取过滤器指定的包。显示过滤器：显示过滤器：在抓包之前在抓包之前或者完成抓包之后都可，或者完成抓包之后都可，不

17、影响抓包，只是方便查不影响抓包，只是方便查看。看。 24计算机与信息工程学院 高殿武Wireshark常用功能 捕捉过滤器例子：捕捉过滤器例子： src|dstsrc|dst host host 主机过滤主机过滤 srcsrc host 192.168.20.159 host 192.168.20.159 捕捉源捕捉源IPIP地址是地址是192.168.20.159192.168.20.159的的包。包。 dstdst host 192.168.20.159 host 192.168.20.159 捕捉目标捕捉目标IPIP地址是地址是192.168.20.159192.168.20.159的包

18、。的包。 host 192.168.20.159 host 192.168.20.159 捕捉源捕捉源IPIP或者目标或者目标IPIP是是192.168.20.159192.168.20.159的包。的包。 tcp|udptcp|udp src|dstsrc|dst port port 端口过滤端口过滤 host 192.168.20.159 and host 192.168.20.159 and tcptcp port 9990 port 9990 捕捉源捕捉源/ /目标目标IPIP地址地址是是192.168.20.159192.168.20.159，源，源/ /目标目标 端口是端口是TCP

19、 9990TCP 9990端口的数据包。端口的数据包。 25计算机与信息工程学院 高殿武Wireshark常用功能 ProtocolProtocol（协议）（协议）: :可能的值可能的值: ether, : ether, fddifddi, , ipip, , arparp, , rarprarp, , decnetdecnet, lat, , lat, scasca, , moprcmoprc, , mopdlmopdl, , tcptcp and and udpudp. .如果没有特别指明是什么协议，则默认使用所有支持的协议。如果没有特别指明是什么协议，则默认使用所有支持的协议。 Dire

20、ctionDirection（方向）（方向）: :可能的值可能的值: : srcsrc, , dstdst, , srcsrc and and dstdst, , srcsrc or or dstdst如果没有特别指明来源或目的地，则默认使用如果没有特别指明来源或目的地，则默认使用 “ “srcsrc or or dstdst” ” 作为关键字作为关键字。例如，例如，”host 10.2.2.2host 10.2.2.2与与”srcsrc or or dstdst host 10.2.2.2 host 10.2.2.2是一样的。是一样的。捕捉过滤器捕捉过滤器26计算机与信息工程学院 高殿武Wi

21、reshark常用功能 Host(sHost(s):):可能的值：可能的值： net, port, host, net, port, host, portrangeportrange. .如果没有指定此值，则默认使用如果没有指定此值，则默认使用“hosthost”关键字。关键字。例如，例如，srcsrc 10.1.1.1 10.1.1.1与与srcsrc host 10.1.1.1 host 10.1.1.1相同。相同。 Logical OperationsLogical Operations（逻辑运算）（逻辑运算）: :可能的值：可能的值：not, and, or.not, and, or.

22、否否( (“notnot”) )具有最高的优先级。或具有最高的优先级。或( (“oror”) )和与和与( (“andand”) )具有相同的优先具有相同的优先级，运算时从左至右进行。级，运算时从左至右进行。例如，例如，“not not tcptcp port 3128 and port 3128 and tcptcp port 23 port 23与与”(not (not tcptcp port 3128) and port 3128) and tcptcp port 23 port 23相同。相同。“not not tcptcp port 3128 and port 3128 and tc

23、ptcp port 23 port 23与与”not (not (tcptcp port 3128 and port 3128 and tcptcp port 23) port 23)”不同。不同。捕捉过滤器捕捉过滤器27计算机与信息工程学院 高殿武Wireshark常用功能 显示过滤器显示过滤器例子：例子： http 显示显示TCP 80端口的端口的http包。包。 tcp.port = 9990 显示显示tcp 端口是端口是9990的包。的包。 tcp.flags.reset = 1 显示显示tcp标志字段中标志字段中reset标志为标志为1的包。的包。 tcp.port=80 or tc

24、p.port=9990 显示端口是显示端口是80或者或者9990的包的包显示过滤器显示过滤器28计算机与信息工程学院 高殿武Wireshark常用功能Protocol（协议）（协议）:可以使用大量位于可以使用大量位于OSIOSI模型第模型第2 2至至7 7层的协议。点击层的协议。点击“Expression”Expression”按钮后，可以按钮后，可以看到它们。看到它们。比如：比如：IPIP，TCPTCP，DNSDNS，SSHSSH。String1, String2 (String1, String2 (可选项可选项):):协议的子类。协议的子类。点击相关父类旁的点击相关父类旁的“+”+”号，

25、然号，然后选择其子类。后选择其子类。显示过滤器显示过滤器29计算机与信息工程学院 高殿武Wireshark常用功能Comparison operators Comparison operators （比较运算符）（比较运算符）例如：例如：tcp.porttcp.port=9990=9990过滤显示过滤显示TCPTCP端口是端口是99909990的数据的数据包。包。Tcp.seqTcp.seq eqeq 115 115过滤显示序列号为过滤显示序列号为115115的数据包。的数据包。30计算机与信息工程学院 高殿武Wireshark常用功能Logical expressionsLogical ex

26、pressions（逻辑运算符）（逻辑运算符）例如：例如：tcp.porttcp.port= 9990 or = 9990 or tcp.porttcp.port= 9991= 9991过滤显示过滤显示TCPTCP端口是端口是99909990或或者者99919991的包。的包。!(!(ip.srcip.src = = 180.149.135.236)180.149.135.236)过滤显示源过滤显示源IPIP地址不是地址不是180.149.135.236180.149.135.236的数据包。的数据包。31计算机与信息工程学院 高殿武Wireshark常用功能 如果是在抓取和分析基于如果是在抓

27、取和分析基于TCPTCP协协议的包，从应用层的角度查看议的包，从应用层的角度查看TCPTCP流流的内容有时是非常有用的。要查看的内容有时是非常有用的。要查看TCPTCP流的内容，只需要选中其中的任流的内容，只需要选中其中的任意一个意一个TCPTCP包，选择右键菜单中的包，选择右键菜单中的“Follow Follow tcptcp stream stream”即可。即可。Follow TCP StreamFollow TCP Stream32计算机与信息工程学院 高殿武Wireshark常用功能 这里有一个技巧可以比这里有一个技巧可以比较简单方便的查看到每一较简单方便的查看到每一个个TCP连接流

28、的内容：连接流的内容：一一. 我们通过显示过滤器我们通过显示过滤器tcp.flags.syn=1 and tcp.flags.ack != 1 将所将所抓包的建立每个抓包的建立每个TCP连接连接的第一个包给过滤出来。的第一个包给过滤出来。二二 . 在每个单独的包上在每个单独的包上面执行面执行“Follow TCP Stream”。三三 . 回到显示过滤器重回到显示过滤器重新选择第一步中的过滤器新选择第一步中的过滤器，再对其他的包执行第二，再对其他的包执行第二步。步。Follow TCP StreamFollow TCP Stream33计算机与信息工程学院 高殿武实际应用案例实际应用案例201

29、02010年底到年底到20112011年初一段时间公司组织客户端，服务端，年初一段时间公司组织客户端，服务端，运维等对网盘上传失败率较高的原因进行了深入调查分析，运维等对网盘上传失败率较高的原因进行了深入调查分析，找出了很多网络和程序上的问题，这个是其中的一个案例。找出了很多网络和程序上的问题，这个是其中的一个案例。问题现象：问题现象：彩讯深圳办公室的网盘或者超大附件采用控件上传经常在彩讯深圳办公室的网盘或者超大附件采用控件上传经常在中途失败中途失败。彩讯深圳办公室内网彩讯深圳办公室内网 深信服防火墙深信服防火墙 阻断分布式上阻断分布式上传的案例传的案例34计算机与信息工程学院 高殿武实际应用

30、案例实际应用案例调查分析的大致过程是：调查分析的大致过程是：1 1 抓包发现在上传失败时，有较多抓包发现在上传失败时，有较多RSTRST包关闭连接，包关闭连接，RSTRST包是包是TCPTCP标志位标志位resetreset志为志为1 1的包。的包。以下几种情况可能导致出现以下几种情况可能导致出现RSTRST包：包：（1 1）.connect.connect一个不存在的端口。一个不存在的端口。（2 2）.send.send一个已经关掉的连接。一个已经关掉的连接。（3 3）. .采用采用shutdownshutdown立即关闭一个已经建立的连接。立即关闭一个已经建立的连接。显然现在属于第三中情况

31、，而且显然现在属于第三中情况，而且RSTRST包的源包的源IPIP地址都是服务器地址都是服务器的的IPIP地址，说明是地址，说明是“服务器服务器”主动关闭连接。主动关闭连接。35计算机与信息工程学院 高殿武实际应用案例实际应用案例2 2 查看服务器端的日志及抓包看什么原因导致其关闭连接，查看服务器端的日志及抓包看什么原因导致其关闭连接，发现服务器并没有主动关闭连接。发现服务器并没有主动关闭连接。3 3 倒回来对客户端的抓包进一步进行分析，对倒回来对客户端的抓包进一步进行分析，对RSTRST包的包的IPIP层层的的TTLTTL进行对比发现其进行对比发现其TTLTTL值为值为127127，而其他从

32、服务器发过来，而其他从服务器发过来的正常包的的正常包的TTLTTL值是值是117117，明显大很多，说明其经过的路由器，明显大很多，说明其经过的路由器跳转少很多，而如果服务器的默认跳转少很多，而如果服务器的默认TTLTTL值是值是128128的话，说明这的话，说明这种种RSTRST包只经过了一跳就被发送到客户端，所以很有可能是包只经过了一跳就被发送到客户端，所以很有可能是内网网关或者防火墙所为。内网网关或者防火墙所为。36计算机与信息工程学院 高殿武实际应用案例实际应用案例37计算机与信息工程学院 高殿武实际应用案例实际应用案例38计算机与信息工程学院 高殿武实际应用案例实际应用案例 于是找公

33、司网管确认并查看防火墙日志，果然防火墙日于是找公司网管确认并查看防火墙日志，果然防火墙日志中有对这些连接进行关闭的记录，原因是这些连接被防火志中有对这些连接进行关闭的记录，原因是这些连接被防火墙判定为墙判定为P2PP2P软件。至于为什么判定为软件。至于为什么判定为P2PP2P软件原因可能是软件原因可能是：（1 1）分布式的）分布式的TCPTCP上传采用了非上传采用了非8080的特殊端口的特殊端口99909990和和99919991（2 2）控件上传采用多线程，对于同一个端口同时存在多个）控件上传采用多线程，对于同一个端口同时存在多个连接进行上传连接进行上传（3 3）上传数据量或者时间达到了防火

34、墙的阀值，当上传少）上传数据量或者时间达到了防火墙的阀值，当上传少量数据在短时间内可完成上传时，防火墙不会有关闭连接的量数据在短时间内可完成上传时，防火墙不会有关闭连接的行为行为 所以后来控件上传也进行了改进，在原有所以后来控件上传也进行了改进，在原有TCP 9990TCP 9990和和99919991端口上传的基础上，增加了端口上传的基础上，增加了fcgifcgi的的http 80http 80端口上传，端口上传，并且能够自动动态切换，线程数也可根据网络情况自动动态并且能够自动动态切换，线程数也可根据网络情况自动动态调整。调整。39计算机与信息工程学院 高殿武实际应用案例实际应用案例工具不是最重要，熟悉协议更重要工具不是最重要，熟悉协议更重要40计算机与信息工程学院 高殿武思考题思考题 1 1、SnifferSniffer工作要求的网卡接收模式？工作要求的网卡接收模式？2 2、简要回答如何部署、简要回答如何部署SnifferSniffer软件软件？3 3、SnifferSniffer软件破解用户名和密码的基本要求。软件破解用户名和密码的基本要求。4 4、使用、使用WiresharkWireshark，完成某项网络任务，并写成案例报告。，完成某项网络任务，并写成案例报告。