第一篇 sniffer 基础 17
第1章 什么是Sniffer 17
1.1局域网安全概述 17
1.1.1网络分段 17
1.1.2交换式集线器代替共享式集线器 18
1.1.3 VLAN的划分 18
1.2 Snier的用途 19
1.2.1网络数据传输原理 19
1.2.2 Ser工作原理 20
1.2.3 Ser应用 21
1.3相关网络知识 21
1.3.1 OSI参考模型 21
1.3.2网络协议 24
1.3.4交换机 28
1.3.5桥接 30
1.3.6网卡 32
1.3.7网桥 34
1.3.8网关 35
1.3.9路由器 36
1.3.10路由器和网桥的比较 39
1.4 Snier的基本原理 41
1.5 Snier常用的工具Snier Pro和Snift 43
1.5.1 Snier Pro的特点 43
1.5.2 Sniffit的特点 43
1.6小结 44
第2章Snier Pro和Sniit的安装 45
2.1 Snier Pro的安装步骤 45
2.1.1系统要求 45
2.1.2安装Snier Portable 4.9 MR2 46
2.2定制自己的Snier Pro 49
2.2.1远程访问模式的使用 50
2.2.2个人设置技巧 50
2.3 Sniffit的安装 52
2.4常见安装故障 53
2.5小结 53
第3章Snier Pro和Sniit的界面介绍 54
3.1 Snier Pro和Sniit概述 54
3.2 Snier Pro的表盘 54
3.2.1 Snier Pro表盘的基本信息 54
3.2.2 Snier Pro表盘的设置 56
3.3 Snier Pro的菜单 57
3.3.1文件菜单(File) 57
3.3.2监控菜单(Monitor) 58
3.3.3捕获菜单(Capture) 65
3.3.4显示菜单(Display) 66
3.3.5工具菜单(Tools) 66
3.3.6数据库菜单(Database) 67
3.3.7窗口菜单(Window) 68
3.4 Snier Pro的工具栏 68
3.4.1捕获过程工具栏 68
3.4.2定义过滤器工具栏 69
3.4.3打开捕获结果 69
3.5 Snier Pro提供的基本工具 69
3.5.1数据包产生器(Packet Generator)和环路模式 69
3.5.2报告生成器(Snier Reporters) 71
3.5.3 Ping命令 72
3.5.4路径检测(Trace Route) 72
3.5.5 DNS探测(DNS Lookup ) 74
3.5.6 Finger工具 75
3.5.7 Whols 76
3.5.8地址本(Address Book) 76
3.6 Snier Pro提供的高级工具 77
3.6.1启动/关闭Snier Pro的高级工具 77
3.6.2解码 77
3.6.3矩阵 78
3.6.4主机列表 79
3.6.5协议分布统计 79
3.7 Snier Pro的地址本 80
3.7.1添加新地址 80
3.7.2导出地址 82
3.8 Sniffit的参数介绍 82
3.8.1 Snit文本参数 82
3.8.2 Sniffit的图形界面 83
3.9小结 84
第2篇Sniffer应用 86
第4章 应用Snier Pro对网络程序的监测 86
4.1网络程序监测概述 86
4.2捕获数据 86
4.2.1捕获过程 86
4.2.2分析过程 92
4.2.3时间标记 96
4.3高级分析介绍 96
4.4常见错误分析 101
4.5设置高级分析 102
4.5.1监控对象设置 102
4.5.2警告的设置 103
4.5.3监控协议的设置 103
4.5.4子网掩码的设置 104
4.5.5 RIP选项的设置 105
4.6查看应用程序响应时间 105
4.7小结 107
第5章 应用Sniffer Pro监控网络性能 108
5.1网络性能监控概述 108
5.2网络性能 108
5.2.1什么是网络性能 108
5.2.2影响网络性能的因素 109
5.3监控方式 110
5.3.1使用表盘 110
5.3.2阈值 114
5.4根据结果作出判断 115
5.4.1实际网络情况说明 115
5.4.2监控结果 116
5.4.3根据监控结果判断并制定措施 119
5.5使用网络性能监控发现网络病毒 120
5.5.1网络情况说明 120
5.5.2网络监控结果及分析 120
5.6小结 121
第6章 分析捕获的数据 122
6.1数据分析概述 122
6.2捕获数据流 122
6.2.1什么是数据包 122
6.2.2开始捕获数据流 123
6.3保存捕获的数据 126
6.3.1保存一个Snier Pro捕获数据包的结果 126
6.3.2载入文件并使用 127
6.4分析地址解析协议(ARP) 127
6.4.1地址解析协议(ARP) 128
6.4.2 ARP的简单命令 129
6.4.3运用Snier Pro捕获ARP数据包 130
6.4.4分析ARP数据包 131
6.5分析ICMP协议 132
6.5.1 ICMP协议 133
6.5.2 ICMP实验需要使用的命令 136
6.5.3运用Snier Pro捕获ICMP数据包 137
6.5.4分析ICMP数据包 138
6.6分析TCP协议 141
6.6.1 TCP协议 141
6.6.2 TCP实验需要使用的命令 143
6.6.3运用Snier Pro捕获TCP数据包 143
6.6.4分析TCP数据包 144
6.7分析UDP协议 146
6.7.1 UDP协议 146
6.7.2 UDP协议实验需要的简单命令 150
6.7.3运用Snier Pro捕获UDP数据包 151
6.7.4分析UDP数据包 152
6.8分析IPX协议 154
6.8.1 IPX协议 154
6.8.2 IPX实验需要的实验环境 155
6.8.3运用Snier Pro捕获IPX协议数据包 156
6.8.4分析IPX协议数据包 157
6.9分析PPPoE协议 158
6.9.1 PPPoE协议 159
6.9.2分析PPPoE数据包 160
6.10小结 162
第7章 应用Snier Pro 163
7.1引言 163
7.2网络传输速度下降 163
7.2.1分析原因 163
7.2.2简单案例分析 165
7.3简单网络设备故障 176
7.3.1 BOOTP协议 176
7.3.2定义过滤器 177
7.3.3分析捕获过程 178
7.3.4典型故障分析 182
7.4小结 184
第8章Snier Pro高级应用——过滤器 185
8.1引言 185
8.2过滤器的意义 185
8.3预定义的过滤器 186
8.3.1使用默认的过滤器 186
8.3.2获得更多的过滤器 186
8.4建立自己的过滤器 188
8.5高级过滤功能使用 190
8.5.1过滤节点间的过滤器 190
8.5.2指定关键字的过滤器 192
8.5.3使用逻辑关系建立过滤器 193
8.6定制专用过滤器 195
8.7小结 199
第9章 触发功能的应用 200
9.1引言 200
9.2触发的意义 200
9.3触发功能的使用 200
9.3.1触发介绍 201
9.3.2开始触发 205
9.4报警功能的使用 210
9.4.1报警功能的处理 210
9.4.2实际使用报警功能 211
9.5定义警告的阈值 214
9.5.1警告级别的设置 214
9.5.2高级警告的阈值修改 215
9.5.3监控警告的阈值修改 216
9.5.4 ART监控警告的阈值修改 217
9.6小结 218
第10章 详解Snier Pro的报表 219
10.1引言 219
10.2为什么要使用报表 219
10.3输出数据 221
10.3.1输出HTML格式的数据 221
10.3.2输出CSV格式的数据 223
10.4小结 226
第11章 防御Snier攻击 227
11.1引言 227
11.2 Snier攻击 227
11.2.1 Snier攻击原理 227
11.2.2攻击实例 228
11.3防御Snier Pro攻击 230
11.3.1发现Snier Pro 230
11.3.2使用SSH加密 232
11.3.3改变网络拓扑结构 233
11.3.4使用工具检查 234
11.4小结 235
第12章Snier Pro在Linux下的应用 236
12.1 Snit的应用举例 236
12.1.1实验环境 236
12.1.2使用Snit Pro捕获Telnet数据 237
12.2 TcpDump的安装和应用 238
12.2.1 TcpDump的安装 238
12.2.2命令、参数和表达式 240
12.2.3简单应用举例 242
12.2.4 TcpDump的解码 242
12.2.5 TcpDump输出结果的解释 243
12.3 Ethereal的安装和应用 246
12.3.1 Ethereal的安装 246
12.3.2 Ethereal过滤规则的建立 248
12.3.3用Ethereal分析数据包 251
12.4 EtherApe的安装和应用 252
12.4.1 EtherApe的安装 252
12.4.2设置EtherApe的过滤规则 253
12.5小结 256
第3篇Sniffer实战 258
第13章 Sniffer常见攻击 258
13.1捕获E-mail密码 258
13.1.1了解密码传输方式 258
13.1.2定制过滤器 259
13.1.3捕获数据包 261
13.1.4获取密码 266
13.2域名服务的攻击 267
13.2.1 DNS工作方式 267
13.2.2定制过滤器 268
13.2.3捕获数据 270
13.2.4处理DNS缓存数据 272
13.2.5在Windows 2003中防止DNS污染 272
13.3 Telnet密码捕获 273
13.3.1 Telnet的工作原理 273
13.3.2定制过滤器 274
13.3.3数据捕获 275
13.4小结 280
第14章 网络安全问题 282
14.1网络安全技术措施 282
14.1.1网络安全的概念 282
14.1.2 Inteet上存在的主要安全隐患 282
14.1.3网络安全防范的内容 283
14.1.4确保网络安全的主要技术 283
14.1.5常见安全措施 284
14.2网络漏洞介绍 284
14.2.1常见网络漏洞 285
14.2.2过滤器的定制 287
14.3网络漏洞的扫描和监听 290
14.3.1网络扫描 290
14.3.2网络扫描和监听的实例 293
14.4端口的禁止 296
14.4.1 Windows服务器平台的端口禁止 296
14.4.2 Linux平台的端口管理 299
14.5访问的控制 300
14.6操作系统安全漏洞的处理 303
14.6.1 Windows平台的安全漏洞的处理 303
14.6.2 Linux平台的安全漏洞的处理 306
14.7小结 307
第15章 常用网络软件 308
15.1 FTP类软件——CuteFTP 308
15.1.1 FTP软件工作方式 308
15.1.2定制CuteFTP专用过滤器 310
15.1.3捕获及分析数据包 311
15.1.4数据信息防护 315
15.2邮件收发软件——Outlook Express 318
15.2.1邮件收发软件的工作方式 319
15.2.2定制专用过滤器 319
15.2.3捕获数据包 321
15.2.4数据信息防护 322
15.3即时聊天工具——MSN Messenger 324
15.3.1 MSN Messenger通信工作方式 324
15.3.2定制MSN专用过滤器 325
15.3.3捕获数据包 327
15.3.4分析聊天信息 330
15.3.5保护MSN通信安全 332
15.4小结 336
第16章 病毒防护 337
16.1病毒概述 337
16.1.1病毒的定义 337
16.1.2病毒发展趋势 337
16.2 Sniffer Pro病毒防护 340
16.2.1防护原理 340
16.2.2定制过滤器 340
16.3常见病毒分析 343
16.3.1尼姆达病毒过滤 343
16.3.2 CodeRed病毒过滤 345
16.3.3病毒的发现与分析 348
16.3.4制定病毒捕获措施 350
16.4小结 351
第17章 木马防护 352
17.1木马概述 352
17.1.1木马类型 352
17.1.2木马特性 354
17.1.3中木马病毒后出现的状况 355
17.2发现木马 356
17.2.1木马常用端口 356
17.2.2定制过滤器 360
17.2.3定制触发器 363
17.3常见木马的检查方案 365
17.3.1木马隐身方法 365
17.3.2手动检查木马 366
17.3.3自动检查木马 370
17.4小结 375
附录A 网络操作 376
附录B 病毒特征码和木马进程 395