局域網(wǎng)安全與攻防：基于Sniffer Pro實(shí)現(xiàn)

第1篇  Sniffer基礎(chǔ)
第1章  什么是Sniffer    2
1.1  局域網(wǎng)安全概述    2
1.1.1  網(wǎng)絡(luò)分段    2
1.1.2  交換式集線器代替共享式集線器    3
1.1.3  VLAN的劃分    3
1.2  Sniffer的用途    4
1.2.1  網(wǎng)絡(luò)數(shù)據(jù)傳輸原理    4
1.2.2  Sniffer工作原理    5
1.2.3  Sniffer應(yīng)用    6
1.3  相關(guān)網(wǎng)絡(luò)知識(shí)    6
1.3.1  OSI參考模型    6
1.3.2  網(wǎng)絡(luò)協(xié)議    9
1.3.3  HUB    11
1.3.4  交換機(jī)    13
1.3.5  橋接    15
1.3.6  網(wǎng)卡    17
1.3.7  網(wǎng)橋    19
1.3.8  網(wǎng)關(guān)    20
1.3.9  路由器    21
1.3.10  路由器和網(wǎng)橋的比較    24
1.4  Sniffer的基本原理    26
1.5  Sniffer常用的工具Sniffer Pro和Sniffit    28
1.5.1  Sniffer Pro的特點(diǎn)    28
1.5.2  Sniffit的特點(diǎn)    28
1.6  小結(jié)    29
第2章  Sniffer Pro和Sniffit的安裝    30
2.1  Sniffer Pro的安裝步驟    30
2.1.1  系統(tǒng)要求    30
2.1.2  安裝Sniffer Pro 4.7    31
2.2  定制自己的Sniffer Pro    34
2.2.1  遠(yuǎn)程訪問(wèn)模式的使用    34
2.2.2  個(gè)人設(shè)置技巧    35
2.3  Sniffit的安裝    36
2.4  常見(jiàn)安裝故障    37
2.4.1  安裝失敗    37
2.4.2  菜單不能正常顯示    38
2.5  小結(jié)    40
第3章  Sniffer Pro和Sniffit的界面介紹    41
3.1  Sniffer Pro和Sniffit概述    41
3.2  Sniffer Pro的表盤    41
3.2.1  Sniffer Pro表盤的基本信息    41
3.2.2  Sniffer Pro表盤的設(shè)置    43
3.3  Sniffer Pro的菜單    44
3.3.1  文件菜單（File）    44
3.3.2  監(jiān)控菜單（Monitor）    45
3.3.3  捕獲菜單（Capture）    54
3.3.4  顯示菜單（Display）    54
3.3.5  工具菜單（Tools）    55
3.3.6  數(shù)據(jù)庫(kù)菜單（Database）    55
3.3.7  窗口菜單（Window）    56
3.4  Sniffer Pro的工具欄    56
3.4.1  捕獲過(guò)程工具欄    57
3.4.2  定義過(guò)濾器工具欄    57
3.4.3  打開(kāi)捕獲結(jié)果    57
3.5  Sniffer Pro提供的基本工具    57
3.5.1  數(shù)據(jù)包產(chǎn)生器（Packet Generator）和環(huán)路模式    57
3.5.2  數(shù)據(jù)誤差率測(cè)試（Bit Error Rate Test）    59
3.5.3  報(bào)告生成器（Reporters）    60
3.5.4  Ping命令    60
3.5.5  路徑檢測(cè)（Trace Route）    61
3.5.6  DNS探測(cè)（DNS Lookup）    63
3.5.7  Finger工具    64
3.5.8  Whois    64
3.5.9  地址本（Address Book）    65
3.6  Sniffer Pro提供的高級(jí)工具    65
3.6.1  啟動(dòng)／關(guān)閉Sniffer Pro的高級(jí)工具    65
3.6.2  解碼    66
3.6.3  矩陣    67
3.6.4  主機(jī)列表    68
3.6.5  協(xié)議分布統(tǒng)計(jì)    70
3.7  Sniffer Pro的地址本    70
3.7.1  添加新地址    70
3.7.2  導(dǎo)出地址    72
3.8  Sniffit的參數(shù)介紹    73
3.8.1  Sniffit文本參數(shù)    73
3.8.2  Sniffit的圖形界面    74
3.9  小結(jié)    74
第2篇  Sniffer應(yīng)用
第4章  應(yīng)用Sniffer Pro對(duì)網(wǎng)絡(luò)程序的監(jiān)測(cè)    76
4.1  網(wǎng)絡(luò)程序監(jiān)測(cè)概述    76
4.2  捕獲數(shù)據(jù)    76
4.2.1  捕獲過(guò)程    76
4.2.2  分析過(guò)程    81
4.2.3  時(shí)間標(biāo)記    85
4.3  高級(jí)分析介紹    86
4.4  常見(jiàn)錯(cuò)誤分析    91
4.5  設(shè)置高級(jí)分析    91
4.5.1  監(jiān)控對(duì)象設(shè)置    91
4.5.2  警告的設(shè)置    92
4.5.3  監(jiān)控協(xié)議的設(shè)置    92
4.5.4  子網(wǎng)掩碼的設(shè)置    93
4.5.5  RIP選項(xiàng)的設(shè)置    94
4.6  查看應(yīng)用程序響應(yīng)時(shí)間    95
4.7  小結(jié)    97
第5章  應(yīng)用Sniffer Pro監(jiān)控網(wǎng)絡(luò)性能    98
5.1  網(wǎng)絡(luò)性能監(jiān)控概述    98
5.2  網(wǎng)絡(luò)性能    98
5.2.1  什么是網(wǎng)絡(luò)性能    98
5.2.2  影響網(wǎng)絡(luò)性能的因素    99
5.3  監(jiān)控方式    100
5.3.1  使用表盤    100
5.3.2  閾值    104
5.4  根據(jù)結(jié)果做出判斷    105
5.4.1  實(shí)際網(wǎng)絡(luò)情況說(shuō)明    105
5.4.2  監(jiān)控結(jié)果    105
5.4.3  根據(jù)監(jiān)控結(jié)果判斷并制定措施    109
5.5  使用網(wǎng)絡(luò)性能監(jiān)控發(fā)現(xiàn)網(wǎng)絡(luò)病毒    109
5.5.1  網(wǎng)絡(luò)情況說(shuō)明    109
5.5.2  網(wǎng)絡(luò)監(jiān)控結(jié)果及分析    110
5.6  小結(jié)    111
第6章  分析捕獲的數(shù)據(jù)    112
6.1  數(shù)據(jù)分析概述    112
6.2  捕獲數(shù)據(jù)流    112
6.2.1  什么是數(shù)據(jù)包    112
6.2.2  開(kāi)始捕獲數(shù)據(jù)流    113
6.3  保存捕獲的數(shù)據(jù)    116
6.3.1  保存一個(gè)Sniffer Pro捕獲數(shù)據(jù)包的結(jié)果    116
6.3.2  載入文件并使用    117
6.4  分析地址解析協(xié)議ARP    117
6.4.1  地址解析協(xié)議（ARP）    117
6.4.2  ARP的簡(jiǎn)單命令    119
6.4.3  運(yùn)用Sniffer Pro捕獲ARP數(shù)據(jù)包    120
6.4.4  分析ARP數(shù)據(jù)包    121
6.5  分析ICMP協(xié)議    122
6.5.1  ICMP協(xié)議    122
6.5.2  ICMP實(shí)驗(yàn)需要使用的命令    125
6.5.3  運(yùn)用Sniffer Pro捕獲ICMP數(shù)據(jù)包    126
6.5.4  分析ICMP數(shù)據(jù)包    127
6.6  分析TCP協(xié)議    130
6.6.1  TCP協(xié)議    130
6.6.2  TCP實(shí)驗(yàn)需要使用的命令    132
6.6.3  運(yùn)用Sniffer Pro捕獲TCP數(shù)據(jù)包    132
6.6.4  分析TCP數(shù)據(jù)包    133
6.7  分析UDP協(xié)議    135
6.7.1  UDP協(xié)議    135
6.7.2  UDP協(xié)議實(shí)驗(yàn)需要的簡(jiǎn)單命令    139
6.7.3  運(yùn)用Sniffer Pro捕獲UDP數(shù)據(jù)包    140
6.7.4  分析UDP數(shù)據(jù)包    141
6.8  分析IPX協(xié)議    143
6.8.1  IPX協(xié)議    143
6.8.2  IPX實(shí)驗(yàn)需要的實(shí)驗(yàn)環(huán)境    144
6.8.3  運(yùn)用Sniffer Pro捕獲IPX協(xié)議數(shù)據(jù)包    145
6.8.4  分析IPX協(xié)議數(shù)據(jù)包    146
6.9  分析PPPoE協(xié)議    147
6.9.1  PPPoE協(xié)議    147
6.9.2  分析PPPoE數(shù)據(jù)包    149
6.10  小結(jié)    151
第7章  應(yīng)用Sniffer Pro具體解決簡(jiǎn)單網(wǎng)絡(luò)問(wèn)題    153
7.1  引言    153
7.2  網(wǎng)絡(luò)傳輸速度下降    153
7.2.1  分析原因    153
7.2.2  簡(jiǎn)單案例分析    155
7.3  簡(jiǎn)單網(wǎng)絡(luò)設(shè)備故障    164
7.3.1  BOOTP協(xié)議    164
7.3.2  定義過(guò)濾器    165
7.3.3  分析捕獲過(guò)程    167
7.3.4  典型故障分析    171
7.4  小結(jié)    173
第8章  Sniffer Pro高級(jí)應(yīng)用——過(guò)濾器    174
8.1  引言    174
8.2  過(guò)濾器的意義    174
8.3  預(yù)定義的過(guò)濾器    175
8.3.1  使用默認(rèn)的過(guò)濾器    175
8.3.2  獲得更多的過(guò)濾器    175
8.4  建立自己的過(guò)濾器    177
8.5  高級(jí)過(guò)濾功能使用    179
8.5.1  過(guò)濾節(jié)點(diǎn)間的過(guò)濾器    179
8.5.2  指定關(guān)鍵字的過(guò)濾器    180
8.5.3  使用邏輯關(guān)系建立過(guò)濾器    182
8.6  定制專用過(guò)濾器    184
8.7  小結(jié)    187
第9章  觸發(fā)功能的應(yīng)用    188
9.1  引言    188
9.2  觸發(fā)的意義    188
9.3  觸發(fā)功能的使用    188
9.3.1  觸發(fā)介紹    189
9.3.2  開(kāi)始觸發(fā)    193
9.4  報(bào)警功能的使用    197
9.4.1  報(bào)警功能的處理    198
9.4.2  實(shí)際使用報(bào)警功能    199
9.5  定義警告的閾值    206
9.5.1  警告級(jí)別的設(shè)置    207
9.5.2  高級(jí)警告的閾值修改    208
9.5.3  監(jiān)控警告的閾值修改    208
9.5.4  ART監(jiān)控警告的閾值修改    209
9.6  小結(jié)    210
第10章  詳解Sniffer Pro的報(bào)表    211
10.1  引言    211
10.2  為什么要使用報(bào)表    211
10.3  輸出數(shù)據(jù)    213
10.3.1  輸出HTML格式的數(shù)據(jù)    213
10.3.2  輸出CSV格式的數(shù)據(jù)    215
10.4  Sniffer Reporter的安裝和設(shè)置    219
10.4.1  系統(tǒng)要求    219
10.4.2  安裝Sniffer Reporter 4.5    219
10.4.3  Sniffer Reporter的構(gòu)成    220
10.4.4  數(shù)據(jù)控制    221
10.4.5  數(shù)據(jù)操作    222
10.4.6  啟動(dòng)Sniffer Reporter    223
10.4.7  對(duì)Reporter Agent進(jìn)行設(shè)置    224
10.4.8  對(duì)Sniffer Reporter顯示格式進(jìn)行設(shè)置    226
10.4.9  保存一個(gè)Sniffer Reporter報(bào)表    227
10.5  Sniffer Reporter功能分析    229
10.5.1  全局報(bào)表（Global Statics）    229
10.5.2  主機(jī)列表報(bào)表（Host Table）    235
10.5.3  數(shù)據(jù)傳輸報(bào)表（Matrix）    242
10.5.4  協(xié)議分布報(bào)表（Protocol Distribution）    242
10.5.5  Sniffer Reporter的高級(jí)功能    244
10.6  例子：應(yīng)用Sniffer Reporter制作Sniffer Pro報(bào)表的設(shè)置過(guò)程    247
10.6.1  網(wǎng)絡(luò)情況說(shuō)明    247
10.6.2  制作報(bào)表定義過(guò)程    247
10.7  小結(jié)    248
第11章  防御Sniffer攻擊    249
11.1  引言    249
11.2  Sniffer攻擊    249
11.2.1  Sniffer攻擊原理    249
11.2.2  攻擊實(shí)例    250
11.3  防御Sniffer攻擊    252
11.3.1  發(fā)現(xiàn)Sniffer    252
11.3.2  使用SSH加密    254
11.3.3  改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)    255
11.3.4  使用工具檢查    256
11.4  小結(jié)    257
第12章  Sniffer在Linux下的應(yīng)用    258
12.1  Sniffit的應(yīng)用舉例    258
12.1.1  實(shí)驗(yàn)環(huán)境    258
12.1.2  使用Sniffit捕獲Telnet數(shù)據(jù)    259
12.2  TcpDump的安裝和應(yīng)用    260
12.2.1  TcpDump的安裝    260
12.2.2  命令、參數(shù)和表達(dá)式    262
12.2.3  簡(jiǎn)單應(yīng)用舉例    264
12.2.4  TcpDump的解碼    264
12.2.5  TcpDump輸出結(jié)果的解釋    265
12.3  Ethereal的安裝和應(yīng)用    268
12.3.1  Ethereal的安裝    268
12.3.2  Ethereal過(guò)濾規(guī)則的建立    270
12.3.3  用Ethereal分析數(shù)據(jù)包    273
12.4  EtherApe的安裝和應(yīng)用    274
12.4.1  EtherApe的安裝    274
12.4.2  設(shè)置EtherApe的過(guò)濾規(guī)則    275
12.5  小結(jié)    278
第3篇  Sniffer實(shí)戰(zhàn)
第13章  常見(jiàn)攻擊    280
13.1  捕獲E-mail密碼    280
13.1.1  了解密碼傳輸方式    280
13.1.2  定制過(guò)濾器    281
13.1.3  捕獲數(shù)據(jù)包    283
13.1.4  獲取密碼    288
13.2  域名服務(wù)的攻擊    289
13.2.1  DNS工作方式    289
13.2.2  定制過(guò)濾器    291
13.2.3  捕獲數(shù)據(jù)    292
13.2.4  處理DNS緩存數(shù)據(jù)    294
13.2.5  在Windows 2003中防止DNS污染    294
13.3  Telnet密碼捕獲    295
13.3.1  Telnet的工作原理    295
13.3.2  定制過(guò)濾器    296
13.3.3  數(shù)據(jù)捕獲    297
13.4  小結(jié)    302
第14章  網(wǎng)絡(luò)安全問(wèn)題    303
14.1  網(wǎng)絡(luò)安全技術(shù)措施    303
14.1.1  網(wǎng)絡(luò)安全的概念    303
14.1.2  Internet上存在的主要安全隱患    303
14.1.3  網(wǎng)絡(luò)安全防范的內(nèi)容    304
14.1.4  確保網(wǎng)絡(luò)安全的主要技術(shù)    304
14.1.5  常見(jiàn)安全措施    305
14.2  網(wǎng)絡(luò)漏洞介紹    305
14.2.1  常見(jiàn)網(wǎng)絡(luò)漏洞    306
14.2.2  過(guò)濾器的定制    308
14.3  網(wǎng)絡(luò)漏洞的掃描和監(jiān)聽(tīng)    311
14.3.1  網(wǎng)絡(luò)掃描    311
14.3.2  網(wǎng)絡(luò)掃描和監(jiān)聽(tīng)的實(shí)例    314
14.4  端口的禁止    316
14.4.1  Windows服務(wù)器平臺(tái)的端口禁止    317
14.4.2  Linux平臺(tái)的端口管理    320
14.5  訪問(wèn)的控制    321
14.6  操作系統(tǒng)安全漏洞的處理    324
14.6.1  Windows平臺(tái)的安全漏洞的處理    324
14.6.2  Linux平臺(tái)的安全漏洞的處理    327
14.7  小結(jié)    328
第15章  常用網(wǎng)絡(luò)軟件    329
15.1  FTP類軟件——CuteFTP    329
15.1.1  FTP軟件工作方式    329
15.1.2  定制CuteFTP專用過(guò)濾器    331
15.1.3  捕獲及分析數(shù)據(jù)包    332
15.1.4  數(shù)據(jù)信息防護(hù)    337
15.2  郵件收發(fā)軟件——Outlook Express    340
15.2.1  郵件收發(fā)軟件的工作方式    340
15.2.2  定制專用過(guò)濾器    341
15.2.3  捕獲數(shù)據(jù)包    342
15.2.4  數(shù)據(jù)信息防護(hù)    344
15.3  即時(shí)聊天工具——MSN Messenger    345
15.3.1  MSN Messenger通信工作方式    345
15.3.2  定制MSN專用過(guò)濾器    346
15.3.3  捕獲數(shù)據(jù)包    348
15.3.4  分析聊天信息    351
15.3.5  保護(hù)MSN通信安全    353
15.4  小結(jié)    357
第16章  病毒防護(hù)    358
16.1  病毒概述    358
16.1.1  病毒的定義    358
16.1.2  病毒發(fā)展趨勢(shì)    358
16.2  Sniffer病毒防護(hù)    361
16.2.1  防護(hù)原理    361
16.2.2  定制過(guò)濾器    361
16.3  常見(jiàn)病毒分析    363
16.3.1  尼姆達(dá)病毒過(guò)濾    363
16.3.2  CodeRed病毒過(guò)濾    366
16.3.3  病毒的發(fā)現(xiàn)與分析    368
16.3.4  制定病毒捕獲措施    370
16.4  小結(jié)    371
第17章  木馬防護(hù)    372
17.1  木馬概述    372
17.1.1  木馬類型    372
17.1.2  木馬特性    374
17.1.3  中木馬病毒后出現(xiàn)的狀況    375
17.2  發(fā)現(xiàn)木馬    376
17.2.1  木馬常用端口    376
17.2.2  定制過(guò)濾器    380
17.2.3  定制觸發(fā)    383
17.3  常見(jiàn)木馬的檢查方案    385
17.3.1  木馬隱身方法    385
17.3.2  手動(dòng)檢查木馬    386
17.3.3  自動(dòng)檢查木馬    390
17.4  小結(jié)    395
附錄A  網(wǎng)絡(luò)操作    396
附錄B  病毒特征碼和木馬進(jìn)程    415