協議分析攻擊第1頁，課件共31頁，創作于2023年2月協議分析攻擊第2頁，課件共31頁，創作于2023年2月協議分析器與嗅探器協議分析器的功能捕獲數據包協議分析器可以監視某個網絡實體，捕獲所有流經該實體的數據。高端協議分析還可以制定捕獲的計劃和觸發條件第3頁，課件共31頁，創作于2023年2月數據包統計協議分析器可以對捕獲的數據包進行統計和分析，根據時間、協議類型和錯誤率等進行分析，甚至可以打印出各種直觀的圖表和報表。第4頁，課件共31頁，創作于2023年2月過濾數據許多協議分析器設置過濾器，通過過濾，可以有選擇地捕獲數據包，或對所捕獲的數據有選擇地加以顯示，以避免捕獲大量數據包造成系統資源的太多消耗，降低系統性能。第5頁，課件共31頁，創作于2023年2月數據包解碼協議分析器可以從捕獲的比特流中識別出封裝的頭部信息。讀取其他協議分析器的數據包格式一種好的協議分析器能更好地利用其他協議分析器獲得的數據，以提高其工作效率。第6頁，課件共31頁，創作于2023年2月嗅探器（sniffer)

Sniffer（嗅探器）是一種常用的收集有用數據方法，這些數據可以是用戶的帳號和密碼，可以是一些商用機密數據等等。Snifffer可以作為能夠捕獲網絡報文的設備。

ISS為Sniffer這樣定義：Sniffer是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種工具。第7頁，課件共31頁，創作于2023年2月Sniffer原理Sniffer程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太同卡）置為雜亂（promiscuous）模式狀態的工具，一旦同卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。

第8頁，課件共31頁，創作于2023年2月HUB工作原理

由于以太網等很多網絡（常見共享HUB連接的內部網）是基于總線方式，物理上是廣播的，就是當一個機器發給另一個機器的數據，共享HUB先收到然后把它接收到的數據再發給其他的（來的那個口不發了）每一個口，所以在共享HUB下面同一網段的所有機器的網卡都能接收到數據。

第9頁，課件共31頁，創作于2023年2月Sniffer嗅探器的安裝位置第10頁，課件共31頁，創作于2023年2月嗅探器的協議分析嗅探器在功能和設計方面有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析下面的協議：標準以太網、TCP/IP、IPX、NETBUI。第11頁，課件共31頁，創作于2023年2月Sniffer的分類軟件:軟件的Sniffer有NetXray、Packetboy、Netmonitor等，其優點是物美價廉，易于學習使用，同時也易于交流；缺點是無法抓取網絡上所有的傳輸，某些情況下也就無法真正了解網絡的故障和運行情況。硬件：硬件的Sniffer通常稱為協議分析儀，一般都是商業性的，價格也比較貴。

第12頁，課件共31頁，創作于2023年2月嗅探器造成的危害嗅探器能夠捕獲口令。這大概是絕大多數非法使用sniffer的理由，sniffer可以記錄到明文傳送的userid和passwd。能夠捕獲專用的或者機密的信息。比如金融帳號，許多用戶很放心在網上使用自己的信用卡或現金帳號，然而sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin。比如偷窺機密或敏感的信息數據，通過攔截數據包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的email會話過程。

第13頁，課件共31頁，創作于2023年2月窺探低級的協議信息：通過對底層的信息協議記錄，比如記錄兩臺主機之間的網絡接口地址、遠程網絡接口ip地址、ip路由信息和tcp連接的字節順序號碼等。這些信息由非法入侵的人掌握后將對網絡安全構成極大的危害，通常有人用sniffer收集這些信息只有一個原因：他正要進行一次欺騙（通常的ip地址欺騙就要求你準確插入tcp連接的字節順序號），如果某人很關心這個問題，那么sniffer對他來說只是前奏，今后的問題要大得多。第14頁，課件共31頁，創作于2023年2月典型嗅探器:SnifferPro

(NetworkAssociates)為網絡協議分析捕獲網絡數據包。可識別250種以上的網絡協議，可以基于協議、MAC、IP地址，匹配模式等設置過濾。實時監控網絡活動，用專家系統幫助分析網絡及應用故障。進行網絡使用統計、錯誤統計、協議統計、工作站和服務器統計。第15頁，課件共31頁，創作于2023年2月可以設置多種觸發模式，如基于錯誤報文，外部事件。具有可選的流量發生器，模擬網絡運行，衡量響應時間，路由跳數計數，進行排錯。第16頁，課件共31頁，創作于2023年2月第17頁，課件共31頁，創作于2023年2月第18頁，課件共31頁，創作于2023年2月捕獲面板第19頁，課件共31頁，創作于2023年2月捕獲過程報文統計

（在捕獲過程中可以通過查看下面面板查看捕獲報文的數量和緩沖區的利用率）第20頁，課件共31頁，創作于2023年2月捕獲報文查看

Sniffer軟件提供了強大的分析能力和解碼功能。如后圖所示，對于捕獲的報文提供了一個Expert專家分析系統進行分析，還有解碼選項及圖形和表格的統計信息。第21頁，課件共31頁，創作于2023年2月第22頁，課件共31頁，創作于2023年2月解碼分析

第23頁，課件共31頁，創作于2023年2月設置捕獲條件

基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進行捕獲，輸入方式為十六進制連續輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進行捕獲。輸入方式為點間隔方式，如：10.107.1.1。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。第24頁，課件共31頁，創作于2023年2月第25頁，課件共31頁，創作于2023年2月高級捕獲條件

在“Advance”頁面下，編輯協議捕獲條件第26頁，課件共31頁，創作于2023年2月在協議選擇樹中你可以選擇你需要捕獲的協議條件，如果什么都不選，則表示忽略該條件，捕獲所有協議。在捕獲幀長度條件下，你可以捕獲，等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄，你可以選擇當網絡上有如下錯誤時是否捕獲。在保存過濾規則條件按鈕“Profiles”，你可以將你當前設置的過濾規則，進行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。第27頁，課件共31頁，創作于2023年2月任意捕獲條件

在DataPattern下，可以編輯任意捕獲條件第28頁，課件共31頁，創作于2023年2月Dashbord

Dashbord可以監控網絡的利用率，流量及錯誤報文等內容。通過應用軟件可以清楚看到此功能。第29頁，課件共31頁，創作于2023年2月嗅探器的防御加密使用安全的拓撲結構。因為Sniffer只對以太網、令牌環網等網絡起作用，所以盡量使用交換設備的網絡可以從最大程度上防止被Sniff