返回
基于C#的网络嗅探器设计与实现文献综述

基于C#的网络嗅探器设计与实现文献综述

ID:479934

大小:47.50 KB

页数:5页

时间:2017-08-09

基于C#的网络嗅探器设计与实现文献综述_第1页
基于C#的网络嗅探器设计与实现文献综述_第2页
基于C#的网络嗅探器设计与实现文献综述_第3页
基于C#的网络嗅探器设计与实现文献综述_第4页
基于C#的网络嗅探器设计与实现文献综述_第5页
资源描述:

《基于C#的网络嗅探器设计与实现文献综述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、文献综述基于C#的网络嗅探器设计与实现 一、前言部分1.写作目的随着网络技术的发展和网络应用的普及,越来越多的信息资源放在了互联网上,网络的安全性和可靠性显得越发重要。因此,对于能够分析、诊断网络,测试网络性能与安全性的工具软件的需求也越来越迫切。网络嗅探器就是一种用于网络分析的好工具,且它具有两面性,攻击者可以用它来监听网络中数据,达到非法获得信息的目的,网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析,分析结果可供网络安全分析之用。于是编写一个网络嗅探器就极其重要了。2.有关概念、

2、综述范围网络嗅探器是一种网络分析工具,用于监听流经网络接口的信息,网络管理员可以用它来分析数据包,而黑客可以用它来窃听数据。²网卡的混杂模式:处于该模式的网卡能接受所有通过它的数据流,无论是什么格式,什么地址。网卡的混杂模式是为网络分析提供的[11]。²Winpcap:它是一个基于Win32的开源的包捕获驱动构架,它弥补了windows系统内核本身提供很少包捕获接口的劣势,可以直接捕获到链路层的数据帧,而且基于它开发的监听程序具有很好的移植性。它包含了一个内核级的数据包过滤器NPF,一个底层动态链接(

3、Packet.dll)和一个高层的独立于系统的库(Wpcap.dll)。NPF模块过滤数据包,将数据包不做任何改动的传递给用户。Packet.dll模块提供了Win32平台下的捕获包的驱动接口,基于Packet.dll编写的程序可以不经过重新编译就在各种Win32平台下实现捕获数据包[4]。²网络监听:一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便

4、可以有效地截获网络上的数据,这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等[13]。²网络嗅探技术:网络嗅探也称为网络监听,包括网络监测、流量分析和数据获取等功能[9]。在局域网中,由于以太网的共享式特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点,此外网卡可以被设置成混杂模式,这种模式下,无论监听到得数据帧目的地址如何,网卡都能予以接收。而TCP/IP协议栈中的应用协议大多数以明文在网络上传输,这些明文数

5、据中往往包含一些敏感的信息(如密码、账号等),因此使用嗅探器可以悄无声息地监听到所有局域网的数据通信,达到这些敏感信息。同时嗅探器的隐蔽性好,它只是“被动”接收数据,而不向外发送数据,所以在传输数据的过程中,根本无法觉察到有人监听。当然,嗅探器的局限性是只能在局域网的冲突域中进行,或者是在点到点连接的中间节点上进行监听[5]。在交换网络中,虽然避免了利用网卡混杂模式进行嗅探,但交换机并不会解决所有问题,在一个完全由交换机连接的局域网内,同样可以进行网络嗅探。主要有以下三种可行的方法。MAC洪水法:交换

6、机要负责建立两个节点间的“虚电路”,就必须维护一个交换机端口与MAC地址的映射表,这个映射表是放在交换机内存中的,但由于内存数量的有限,地址映射表可以存储的映射表项也有限。如果恶意攻击者向交换机发送大量的虚假MAC地址数据,有些交换机在应接不暇的情况下,就会像一台普通的Hub,简单地向所有端口广播数据,嗅探者就可以借机达到窃听的目的。当然,并不是所有交换机都采用这样的处理方式,况且,如果交换机使用静态地址映射表,这种方法就失灵了[5]。MAC复制法:实际上就是修改本地的MAC地址,使其与所要嗅探的主机

7、的MAC地址相同,这样,交换机就会发现,有两个端口对应相同的MAC地址,于是到该MAC地址的数据包就同时从这两个交换机端口发送出去。但是只要简单设置交换机使用静态地址映射表,这种欺骗方式也失效了[5]。ARP欺骗:按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一台主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中的两台主机之间的通信,他会分别给这两台主机发送一个ARP应答包,让两台主机都误认为对方

8、的MAC地址是第三方黑客所在的主机,这样,双方看似直接的通信连接,实际上都是通过黑客所在的主机间接进行。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发给黑客所在的中转主机的[5]。1.有关争论焦点网络嗅探器是一个很好的网络分析工具,网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析,分析结果可供网络安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。