图书信息

宣传语

内 容 简 介

前 言

作者的话

读者对象

本书作者

目 录

图书信息

安全技术大系

局域网安全与攻防解密：基于Sniffer Pro实现

公芳亮等编著

ISBN 978-7-121-13166-0 2011年5月出版

定价：59.00元

16开

400页

宣传语

详解网络程序和网络性能监控

分析常见的6大通信协议

分析和排除常见网络故障

深入讲解sniffer过滤器、触发器、报表高级应用

介绍常见木马和病毒的分析和防护

内 容 简 介

Sniffer Pro是美国Network Associates公司出品的一款网络分析软件。它可用于网络故障分析与性能管理，在网络界应用非常广泛。本书不仅详细地介绍了Sniffer的基本知识，还结合实际讲述了Sniffer在网络管理中的应用，内容包括Sniffer Pro和Sniffit的安装、应用Sniffer Pro对网络程序的监测、Sniffer在Linux下的应用和网络安全问题等。为了便于读者理解掌握，笔者根据多年网络管理维护工作的经验，选取了经典案例进行讲解。每个实例都具有极强的代表性。

本书适于网络管理人员及其他相关领域的专业技术人员、管理人员阅读，也可作为高等院校相关课程的核心参考书。

前 言

本书目的

网络是一个很广泛的概念，包括了很多的内容。其中最基础的内容就是构成网络的所有硬件设备和运行在这些设备上的协议和基础软件。没有这些作基础，任何使用网络的服务都无法进行。如何保证这些网络基础的正常运行就是每一个网络工程师的工作。随着网络的发展，网络互连的范围在不断扩大，每一个网络工程师的负担也越来越重，如何使用最简单、快捷的方式诊断网络中的故障成为每一个网络工程师必要的研究主题。使用相应的工具软件是一个很好的解决方式。本书介绍的Sniffer软件是广大网络工程师常用的一类软件。希望本书能够为有志于从事网络工程的读者打开一扇管理网络、分析网络的大门。

本书优势

1．讲解力求通俗

网络数据传输一直以抽象著称。虽然网络应用相当普及，但是由于网络数据传输涉及较多底层知识，导致大多数读者对其望而却步。而作为网络探测利器，Sniffer一直被认为是某些人士的专利。本书在内容讲解上突破常规，不去深究晦涩难懂的协议和报文构成，以多种形象生动的方式介绍如何使用Sniffer。例如，以广大读者比较常见的自来水网络来解释网络的运作。

2．内容力求实用

多数网络书籍会大篇幅介绍网络设备、网络协议和网络构成。这些内容往往占大量篇幅，而与实际应用又有很大距离。为了不增加读者的阅读负担，本书只选取与实际应用相关的内容进行介绍。例如，本书中的协议相关内容都与Sniffer密切相关，是读者最需要的部分。

3．实例力求典型

作为大型服务器维护人员，笔者负责几百台服务器的维护。为了使读者学以致用，笔者从工作日志中的几百个实例中精选出书中的实例。在选择时，力求实例具有最大的典型性和代表性。希望读者能仔细分析这些实例，便于日后工作中引为鉴戒。

本书组织结构

本书共分为3篇。

第1篇为基础篇，共包括3章。其中，第1章首先简单介绍了一下相关知识，讲述了一些和Sniffer相关的知识，尤其是为第一次接触网络管理的读者介绍了一些网络相关的知识和术语，为以后知识的展开做相应的铺垫；第2章按照标准的安装步骤搭建了Windows平台和Linux平台下的Sniffer软件，并针对其常见的问题给出了解决方案；第3章介绍了Sniffer软件的界面和参数，希望能够给读者一个直观的印象。

第2篇为Sniffer应用篇，共包括9章。第4章介绍了如何使用Sniffer Pro的基本功能——网络程序监控功能，作为Sniffer Pro的一个常用功能，希望读者熟悉Sniffer Pro操作及工作原理；第5章介绍了如何使用Sniffer Pro监控网络性能，读者可以将第5章看成是第4章的延续，继续通过本书的介绍熟悉操作；第6章讲解了如何分析捕获到的数据，这也是Sniffer Pro的难点之一，在后面的章节中要反复使用本章的内容；第7章是前面几章知识的实践，运用已学过的知识解决一些常见的简单网络故障；第8章和第9章在前面的基础上介绍了Sniffer Pro的扩展内容，将读者带入真正的数据捕获与监控的世界；第10章介绍了Sniffer Pro的报表功能；第11章介绍了Sniffer软件的防御措施，通过对这些措施的学习使用户对Sniffer Pro的工作原理有更进一步的了解，同时提高读者的网络安全防范意识；第12章则使用了一些例子介绍了另外一个主流网络平台——Linux下的Sniffer软件的安装调试和工作方式。

第3篇为Sniffer实战篇。在前两部分的基础上，介绍了Sniffer在实际的网络工程中的一些实际应用。该部分包括5章。第13章讲解了Sniffer的一些攻击方式；第14章则针对网络操作平台的一些安全问题进行了讨论，并提出了一些常见的解决方案；第15章分析了网络中常见软件的监听和捕获方式；第16章和第17章有针对性地分析了病毒和木马这两种常见的网络软件。

作者的话

如何在迷宫一样的网络中更快捷地找到需要的资源与存在的错误，以及到达目的地的道路呢？在实际的迷宫中我们可以使用指南针，而在网络中我们则使用工具软件。我一直有这样一个想法，就是如何能够推开网络世界中的每一扇门，然后找到门后的真谛。但是当我进入网络世界中以后，我发现每前进一步都会付出比上一步多十倍乃至百倍的努力。尽管这样，我还是在努力着。我希望能够完成我的梦想，同时也希望我身边能有一些和我有共同志向的朋友，和我一起努力。网络是广阔的，技术是无穷无尽的，而我的生命有限，希望能够在我有限的生命中推开更多扇网络知识的大门，为那些和我有着同样梦想的人开启通向梦想的道路。谨以这段文字与那些和我有着同样梦想的人共勉。

阅读本书的注意事项

任何一个网络检测和监控的软件都是以记录系统情况并发现系统漏洞为目的的。本书介绍了很多和网络漏洞相关的实例，希望读者在阅读本书时注意这些实例的使用方法和范围。尤其在做实验操作时，希望读者能够根据实验的内容构建自己的实验环境，对于大部分的实验，本书已经给出了相应的网络结构图，依照这些网络结构图搭建网络环境可以很好地做出相应的实验结果。

读者对象

计算机、信息安全、网络工程、信息工程等相关专业的在校学生

从事计算机网络安全设计、管理、维护的从业人员

网络爱好者

本书作者

本书由公芳亮主笔编写，其他参与编写的人员还有昊燃、张昆、方振宇、陈冠佐、傅奎、陈勤、梁洋洋、毕梦飞、陈庆、柴相花、陈非凡、陈华、陈嵩、承卓。在此表示感谢！

编著者

目 录

第1篇 Sniffer基础

第1章 什么是Sniffer17

1.1 局域网安全概述17

1.1.1 网络分段17

1.1.2 交换式集线器代替共享式集线器18

1.1.3 VLAN的划分18

1.2 Sniffer的用途19

1.2.1 网络数据传输原理19

1.2.2 Sniffer工作原理20

1.2.3 Sniffer应用21

1.3 相关网络知识21

1.3.1 OSI参考模型21

1.3.2 网络协议24

1.3.4 交换机28

1.3.5 桥接30

1.3.6 网卡32

1.3.7 网桥34

1.3.8 网关35

1.3.9 路由器36

1.3.10 路由器和网桥的比较39

1.4 Sniffer的基本原理41

1.5 Sniffer常用的工具Sniffer Pro和Sniffit43

1.5.1 Sniffer Pro的特点43

1.5.2 Sniffit的特点43

1.6 小结44

第2章 Sniffer Pro和Sniffit的安装45

2.1 Sniffer Pro的安装步骤45

2.1.1 系统要求45

2.1.2 安装Sniffer Portable 4.9 MR246

2.2 定制自己的Sniffer Pro49

2.2.1 远程访问模式的使用50

2.2.2 个人设置技巧50

2.3 Sniffit的安装52

2.4 常见安装故障53

2.5 小结53

第3章 Sniffer Pro和Sniffit的界面介绍54

3.1 Sniffer Pro和Sniffit概述54

3.2 Sniffer Pro的表盘54

3.2.1 Sniffer Pro表盘的基本信息54

3.2.2 Sniffer Pro表盘的设置56

3.3 Sniffer Pro的菜单57

3.3.1 文件菜单（File）57

3.3.2 监控菜单（Monitor）58

3.3.3 捕获菜单（Capture）65

3.3.4 显示菜单（Display）66

3.3.5 工具菜单（Tools）66

3.3.6 数据库菜单（Database）67

3.3.7 窗口菜单（Window）68

3.4 Sniffer Pro的工具栏68

3.4.1 捕获过程工具栏68

3.4.2 定义过滤器工具栏69

3.4.3 打开捕获结果69

3.5 Sniffer Pro提供的基本工具69

3.5.1 数据包产生器（Packet Generator）和环路模式69

3.5.2 报告生成器（Sniffer Reporters）71

3.5.3 Ping命令72

3.5.4 路径检测（Trace Route）72

3.5.5 DNS探测（DNS Lookup）74

3.5.6 Finger工具75

3.5.7 WhoIs76

3.5.8 地址本（Address Book）76

3.6 Sniffer Pro提供的高级工具77

3.6.1 启动/关闭Sniffer Pro的高级工具77

3.6.2 解码77

3.6.3 矩阵78

3.6.4 主机列表79

3.6.5 协议分布统计79

3.7 Sniffer Pro的地址本80

3.7.1 添加新地址80

3.7.2 导出地址82

3.8 Sniffit的参数介绍82

3.8.1 Sniffit文本参数82

3.8.2 Sniffit的图形界面83

3.9 小结84

第2篇 Sniffer应用

第4章 应用Sniffer Pro对网络程序的监测86

4.1 网络程序监测概述86

4.2 捕获数据86

4.2.1 捕获过程86

4.2.2 分析过程92

4.2.3 时间标记96

4.3 高级分析介绍96

4.4 常见错误分析101

4.5 设置高级分析102

4.5.1 监控对象设置102

4.5.2 警告的设置103

4.5.3 监控协议的设置103

4.5.4 子网掩码的设置104

4.5.5 RIP选项的设置105

4.6 查看应用程序响应时间105

4.7 小结107

第5章 应用Sniffer Pro监控网络性能108

5.1 网络性能监控概述108

5.2 网络性能108

5.2.1 什么是网络性能108

5.2.2 影响网络性能的因素109

5.3 监控方式110

5.3.1 使用表盘110

5.3.2 阈值114

5.4 根据结果作出判断115

5.4.1 实际网络情况说明115

5.4.2 监控结果116

5.4.3 根据监控结果判断并制定措施119

5.5 使用网络性能监控发现网络病毒120

5.5.1 网络情况说明120

5.5.2 网络监控结果及分析120

5.6 小结121

第6章 分析捕获的数据122

6.1 数据分析概述122

6.2 捕获数据流122

6.2.1 什么是数据包122

6.2.2 开始捕获数据流123

6.3 保存捕获的数据126

6.3.1 保存一个Sniffer Pro捕获数据包的结果126

6.3.2 载入文件并使用127

6.4 分析地址解析协议（ARP）127

6.4.1 地址解析协议（ARP）128

6.4.2 ARP的简单命令129

6.4.3 运用Sniffer Pro捕获ARP数据包130

6.4.4 分析ARP数据包131

6.5 分析ICMP协议132

6.5.1 ICMP协议133

6.5.2 ICMP实验需要使用的命令136

6.5.3 运用Sniffer Pro捕获ICMP数据包137

6.5.4 分析ICMP数据包138

6.6 分析TCP协议141

6.6.1 TCP协议141

6.6.2 TCP实验需要使用的命令143

6.6.3 运用Sniffer Pro捕获TCP数据包143

6.6.4 分析TCP数据包144

6.7 分析UDP协议146

6.7.1 UDP协议146

6.7.2 UDP协议实验需要的简单命令150

6.7.3 运用Sniffer Pro捕获UDP数据包151

6.7.4 分析UDP数据包152

6.8 分析IPX协议154

6.8.1 IPX协议154

6.8.2 IPX实验需要的实验环境155

6.8.3 运用Sniffer Pro捕获IPX协议数据包156

6.8.4 分析IPX协议数据包157

6.9 分析PPPoE协议158

6.9.1 PPPoE协议159

6.9.2 分析PPPoE数据包160

6.10 小结162

第7章 应用Sniffer Pro163

7.1 引言163

7.2 网络传输速度下降163

7.2.1 分析原因163

7.2.2 简单案例分析165

7.3 简单网络设备故障176

7.3.1 BOOTP协议176

7.3.2 定义过滤器177

7.3.3 分析捕获过程178

7.3.4 典型故障分析182

7.4 小结184

第8章 Sniffer Pro高级应用——过滤器185

8.1 引言185

8.2 过滤器的意义185

8.3 预定义的过滤器186

8.3.1 使用默认的过滤器186

8.3.2 获得更多的过滤器186

8.4 建立自己的过滤器188

8.5 高级过滤功能使用190

8.5.1 过滤节点间的过滤器190

8.5.2 指定关键字的过滤器192

8.5.3 使用逻辑关系建立过滤器193

8.6 定制专用过滤器195

8.7 小结199

第9章 触发功能的应用200

9.1 引言200

9.2 触发的意义200

9.3 触发功能的使用200

9.3.1 触发介绍201

9.3.2 开始触发205

9.4 报警功能的使用210

9.4.1 报警功能的处理210

9.4.2 实际使用报警功能211

9.5 定义警告的阈值214

9.5.1 警告级别的设置214

9.5.2 高级警告的阈值修改215

9.5.3 监控警告的阈值修改216

9.5.4 ART监控警告的阈值修改217

9.6 小结218

第10章 详解Sniffer Pro的报表219

10.1 引言219

10.2 为什么要使用报表219

10.3 输出数据221

10.3.1 输出HTML格式的数据221

10.3.2 输出CSV格式的数据223

10.4 小结226

第11章 防御Sniffer攻击227

11.1 引言227

11.2 Sniffer攻击227

11.2.1 Sniffer攻击原理227

11.2.2 攻击实例228

11.3 防御Sniffer Pro攻击230

11.3.1 发现Sniffer Pro230

11.3.2 使用SSH加密232

11.3.3 改变网络拓扑结构233

11.3.4 使用工具检查234

11.4 小结235

第12章 Sniffer Pro在Linux下的应用236

12.1 Sniffit的应用举例236

12.1.1 实验环境236

12.1.2 使用Sniffit Pro捕获Telnet数据237

12.2 TcpDump的安装和应用238

12.2.1 TcpDump的安装238

12.2.2 命令、参数和表达式240

12.2.3 简单应用举例242

12.2.4 TcpDump的解码242

12.2.5 TcpDump输出结果的解释243

12.3 Ethereal的安装和应用246

12.3.1 Ethereal的安装246

12.3.2 Ethereal过滤规则的建立248

12.3.3 用Ethereal分析数据包251

12.4 EtherApe的安装和应用252

12.4.1 EtherApe的安装252

12.4.2 设置EtherApe的过滤规则253

12.5 小结256

第3篇 Sniffer实战

第13章 Sniffer常 见 攻 击258

13.1 捕获E-mail密码258

13.1.1 了解密码传输方式258

13.1.2 定制过滤器259

13.1.3 捕获数据包261

13.1.4 获取密码266

13.2 域名服务的攻击267

13.2.1 DNS工作方式267

13.2.2 定制过滤器268

13.2.3 捕获数据270

13.2.4 处理DNS缓存数据272

13.2.5 在Windows 2003中防止DNS污染272

13.3 Telnet密码捕获273

13.3.1 Telnet的工作原理273

13.3.2 定制过滤器274

13.3.3 数据捕获275

13.4 小结280

第14章 网络安全问题282

14.1 网络安全技术措施282

14.1.1 网络安全的概念282

14.1.2 Internet上存在的主要安全隐患282

14.1.3 网络安全防范的内容283

14.1.4 确保网络安全的主要技术283

14.1.5 常见安全措施284

14.2 网络漏洞介绍284

14.2.1 常见网络漏洞285

14.2.2 过滤器的定制287

14.3 网络漏洞的扫描和监听290

14.3.1 网络扫描290

14.3.2 网络扫描和监听的实例293

14.4 端口的禁止296

14.4.1 Windows服务器平台的端口禁止296

14.4.2 Linux平台的端口管理299

14.5 访问的控制300

14.6 操作系统安全漏洞的处理303

14.6.1 Windows平台的安全漏洞的处理303

14.6.2 Linux平台的安全漏洞的处理306

14.7 小结307

第15章 常用网络软件308

15.1 FTP类软件——CuteFTP308

15.1.1 FTP软件工作方式308

15.1.2 定制CuteFTP专用过滤器310

15.1.3 捕获及分析数据包311

15.1.4 数据信息防护315

15.2 邮件收发软件——Outlook Express318

15.2.1 邮件收发软件的工作方式319

15.2.2 定制专用过滤器319

15.2.3 捕获数据包321

15.2.4 数据信息防护322

15.3 即时聊天工具——MSN Messenger324

15.3.1 MSN Messenger通信工作方式324

15.3.2 定制MSN专用过滤器325

15.3.3 捕获数据包327

15.3.4 分析聊天信息330

15.3.5 保护MSN通信安全332

15.4 小结336

第16章 病 毒 防 护337

16.1 病毒概述337

16.1.1 病毒的定义337

16.1.2 病毒发展趋势337

16.2 Sniffer Pro病毒防护340

16.2.1 防护原理340

16.2.2 定制过滤器340

16.3 常见病毒分析343

16.3.1 尼姆达病毒过滤343

16.3.2 CodeRed病毒过滤345

16.3.3 病毒的发现与分析348

16.3.4 制定病毒捕获措施350

16.4 小结351

第17章 木 马 防 护352

17.1 木马概述352

17.1.1 木马类型352

17.1.2 木马特性354

17.1.3 中木马病毒后出现的状况355

17.2 发现木马356

17.2.1 木马常用端口356

17.2.2 定制过滤器360

17.2.3 定制触发器363

17.3 常见木马的检查方案365

17.3.1 木马隐身方法365

17.3.2 手动检查木马366

17.3.3 自动检查木马370

17.4 小结375

附录A 网 络 操 作376

附录B 病毒特征码和木马进程395