口镜像功能时,我们可以通过镜像端口完成抓包工作。路由器或交换机的端口镜像功能,是指可以将一个端口的流量自动复制到另一端口,供网络管理员在判断网络问题时对端口流量和内容进行实时分析。通过交换机的镜像端口,这些流量就可以被一个特殊的设备监控,对发现和排除故障有很大的帮助。
(2) mac洪泛法。通过在局域网上发送大量随机的mac地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。不过这种方法对网络会造成很大的堵塞,造成网络性能下降。
(3) arp欺骗。arp协议的作用是将ip地址映射到mac地址,攻击者通过向目标主机发送伪造的arp应答包,骗取目标系统更新自身的arp缓存表,将目标系统的网关的mac地址修改为监听者的主机mac地址,使数据包都经由监听者的主机,同时监听者向网关发送伪造的arp应答包,欺骗网关更新自己的arp缓存表,是网关发给目标主机的数据也都流经监听者的主机,这样就实现了交换环境下的网络监听。值得一提的是,黑客经常会以此方法进行攻击和窃取数据。
4 总结
不同的操作系统实现的底层包捕获机制可能是不一样的,但从形式上看大同小异。数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、网络层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理,对发送和接收到的数据包做过滤、缓冲等相关处理,最后直接传递到应用程序。值得注意的是,包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言,包捕获机制提供了一个统一的接口,使用户程序只需要简单的调用若干函数就能获得所期望的数据包。这样一来,针对特定操作系统的捕获机制对用户透明,使用户程序有比较好的可移植性。包过滤机制是对所捕获到的数据包根据用户的要求进行筛选,最终只把满足过滤条件的数据包传递给用户程序。
参考文献
[1]王电.包捕获型网络计费系统[j].杭州电子科技大学学报,2005,(06):6064.
[2]赵树升,范刚龙,张焕剑.一种windows网络嗅探器的检测原理与实现[j].郑州大学学报(理学版),2005,(03).
[3]申志,赵跃龙,申强.一种分布式网络管理监控系统的研究与开发[j].计算技术与自动化,2006,(01).
上一页 [1] [2]