网络嗅探、抓包工具、集线器、交换机和路由器介绍

网络嗅探

定义：

网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。

嗅探的原理：

要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：

1.与自己硬件地址相匹配的数据帧。

2.发向所有机器的广播数据帧。

在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式：

①广播方式：该模式下的网卡能够接收网络中的广播信息。

②组播方式：设置在该模式下的网卡能够接收组播数据。

③直接方式：在这种模式下，只有目的网卡才能接收该数据。

④混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是

传给它的。

好了，现在我们总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理：让网卡接收一切他所能接收的数据。

积极意义：

网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。

网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。

消极意义：

任何东西都有它的两面性，在黑客的手中，嗅探器就变成了一个黑客利器，如利用ARP 欺骗手段，很多攻击方式都要涉及到arp欺骗，如会话劫持和ip欺骗。首先要把网络置于混杂模式，再通过欺骗抓包的方式来获取目标主机的pass包，当然得在同一个交换环境下，也就是要先取得目标服务器的同一网段的一台服务器。Arp是什么？arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC

地址的一种协议，它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。例如：我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据，于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP

地址而MAC地址为A的MAC地址。这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。这样，B

想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C，这样就可以保证B,C的通信不被中断。

以上也是基于ARP欺骗的嗅探基本原理。

VC++实现网络嗅探器:

嗅探器作为一种网络通讯程序，也是通过对网卡的编程来实现网络通讯的，对网卡的编程也是使用通常的套接字（socket）方式来进行。但是，通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。显然，要达到此目的就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。

具体到编程实现上，这种对网卡混杂模式的设置是通过原始套接字（raw socket）来实现的，这也有别于通常经常使用的数据流套接字和数据报套接字。在创建了原始套接字后，需要通过setsockopt()函数来设置IP 头操作选项，然后再通过bind()函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的数据，还需要通过ioctlsocket()来进行设置，而且还可以指定是否亲自处理IP头。至此，实际就可以开始对网络数据包进行嗅探了，对数据包的获取仍象流式套接字或数据报套接字那样通过recv() 函数来完成。但是与其他两种套接字不同的是，原始套接字此时捕获到的数据包并不仅仅是单纯的数据信息，而是包含有 IP头、 TCP头等信息头的最原始的数据信息，这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数

据经过了网络层和传输层的打包，因此需要根据其附加的帧头对数据包进行分析。下面先给出结构.数据包的总体结构：

数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。其中UDP 数据段头比较简单，由一个8字节的头和数据部分组成，具体格式如下：

而TCP数据头则比较复杂，以20个固定字节开始，在固定头后面还可以有一些长度不固定的可选项，下面给出TCP数据段头的格式组成：

对于此TCP数据段头的分析在编程实现中可通过数据结构_TCP来定义：

typedef struct _TCP{ WORD SrcPort; // 源端口

WORD DstPort; // 目的端口

DWORD SeqNum; // 顺序号

DWORD AckNum; // 确认号

BYTE DataOff; // TCP头长

BYTE Flags; // 标志（URG、ACK等）

WORD Window; // 窗口大小

WORD Chksum; // 校验和

WORD UrgPtr; // 紧急指针

} TCP;

typedef TCP *LPTCP;

typedef TCP UNALIGNED * ULPTCP;

在网络层，还要给TCP数据包添加一个IP数据段头以组成IP数据报。IP数据头以大端点机次序传送，从左到右，版本字段的高位字节先传输（SPARC是大端点机；Pentium 是小端点机）。如果是小端点机，就要在发送和接收时先行转换然后才能进行传输。IP数据段头格式如下：

同样，在实际编程中也需要通过一个数据结构来表示此IP数据段头，下面给出此数据结构的定义：

typedef struct _IP{

union{ BYTE Version; // 版本

BYTE HdrLen; // IHL

};

BYTE ServiceType; // 服务类型

WORD TotalLen; // 总长

WORD ID; // 标识

union{ WORD Flags; // 标志

WORD FragOff; // 分段偏移

};

BYTE TimeToLive; // 生命期

BYTE Protocol; // 协议

WORD HdrChksum; // 头校验和

DWORD SrcAddr; // 源地址

DWORD DstAddr; // 目的地址

BYTE Options; // 选项

} IP;

typedef IP * LPIP;

typedef IP UNALIGNED * ULPIP;

在明确了以上几个数据段头的组成结构后，就可以对捕获到的数据包进行分析了。检测网络嗅探的方法:

检测单独一台主机中是否正在被嗅探，相对来说是比较简单的。可以通过查看系统进程，或者通过检查网络接口卡的工作模式是否为混杂模式来决定是否已经被嗅探。而对于整个网络来说，检测就要复杂得多。下面，给出了在以太网和无线局域网中检测单台主机或网络中是否已经存在嗅探器的一些方法。

(1)、检查网络接口卡是否为混杂模式(PROMISC) 。要想嗅探整个网络中的网络报文，就得将网卡的工作方式设混杂模式。检查网卡是否工作在这种模式下，在Linux系统中是很容易做到的。以根用户权限进入字符终端，在提示符下输入“ifconfig –a”就可以将系统中所有接口卡的详细信息都显示出来。你可以检查每一个接口所显示的信息，当发现某一个接口信息中出现了“PROMISC”标志，就说明这个接口卡已经工作在混杂模式下了，也就说明，如果不是你自己设置的，那么就可能是网络嗅探软件设置的。在Linux系统下，你还可以通过输入“ip link”命令来得到接口的详细信息。

如果要在Windows系统下检查网络接口卡的工作模式，就不会这么简单。因为没有一个具体的标准命令来输出这些信息。我们不得不通过使用第三方软件来检测网络接口卡的工作模式。PromiScan软件，就是一个可以在Windows NT/2000/XP系统下检测出网络接口卡是否工作在混杂模式下的工具。使用PromiScan之前，你需要从 https://www.wendangku.net/doc/d92520734.html, 网站下载PromiScan的压缩包，还需要从https://www.wendangku.net/doc/d92520734.html,网站下载Winpcap的安装包。安装好Winpcap，然后解压PromiScan压缩包后，直接运行解压目录中的PromiScan就可以进行检测工作。图1就是这个软件的主界面。

图1 PromiScan的主界面

另外，在Linux、BSD系统下，也有一些可以检测网络接口卡工作模式的软件。例如Sentinel，它是一个免费的检测软件，也需要Libpcap库才能工作，你可以从

https://www.wendangku.net/doc/d92520734.html,下载它。

但是，有些嗅探器会将表示网络接口卡混杂模式的字符“PROMISC”隐藏，来躲避上述这种检测方式。这样，你就不得不使用其它方法来检测网络中是否有网络嗅探器在运行了。

(2)、监视DNS Reverse Lookups。一些嗅探器在收到一个网络请求时，就会执行DNS 反向查询，试着将IP地址解释为主机名。因此，如果你在网络中执行一个Ping扫描或者Pinging一个不存在的IP地址，就会触发这种活动。如果得到了回应，就说明网络中安装有网络嗅探器，如果没有收到任何回应，表明没有嗅探器在运行。

(3)、发送一个带有网络中不存在的MAC地址的广播包到网络中的所有主机。正常情况下，网络中的主机接口卡在收到带有不存在的MAC地址的数据包时，会将它丢弃，而当某台主机中的网络接口卡处于混杂模式时，它就会回应一个带有RST标志的包。这样，就可以认为网络中已经有嗅探器在运行。但是，在交换网络环境当中，由于交换机在转发广播包时不需要MAC地址，所以也有可能做出与上相同响应的，你得根据实际情况来决定。

在Linux系统下，这种方法是很容易实现的。你首先以根用户权限进入字符终端，在此终端下输入如下命令就可以完成：

# ifconfig eth0 down \\关闭eth0接口

# ifconfig eth0 hw ether 00:03:C2:00:00:AA \\用不存在的MAC地址指定到eth0接口

# ifconfig eht0 up \\重新启用eth0

# ping –c 1 –b 192.168.0.255 \\发布含不存在MAC地址的广播包

(4)、小心监控网络中各种交换机和路由器的运行情况，来及时发现这些网络设备出现的某种不正常的现象。比如当你发现有些本来关闭了的端口又被启用，而某些端口连接的主机在运行却没有流量时，你就得重新登录交换机或路由器中，仔细查看它现在的系统设置和端口设置情况，并和你的记录对比，以此来发现交换机或路由器是否已经被入侵。

(5)、使用Honeypot(蜜罐)技术来设计一个陷阱，以此来诱骗攻击者对它进行嗅探，并通过它来找到嗅探的源头。

(6)、小心监视你网络中的主机，经常查看主机中的硬盘空间是否增长过快，CPU资源是否消耗过多，系统响应速度是否变慢，以及系统是否经常莫名其妙地断网等等。

(7)、在Linux发行版本中运行ARPWatch来监控网络中是否有新的MAC地址加入。

(8)、无线局域网是以广播的方式来转发数据包的。从理论上来说，处于同一个无线局域网中的所有无线客户都可以“听”到所有在网络中传输的数据包。就如同共享式以太网一样，只要将无线嗅探器中所使用的无线适配器置为监控模式，它就再也不会与无线局域网中的访问点或其它无线客户进行会话，只会被动接收来自网络中的所有数据，就更不会对收到的数据包进行修改了。无线嗅探器这种被动嗅探的方式，使得要想检测出它们，变得非常困难。

但也并不是说完全不能被检测到。我们可以使用以其人之道还施彼身的方式，使用与攻击都一样的网络嗅探软件，就可以来发现非法的嗅探点。使用 NetStumbler和Kismet都可以达到检测非法嗅探点的目的。但是，使用Kismet的效果要优于NetStumbler。这是因为，

Kismet不仅能够找出被隐藏了SSID的无线网络嗅探器，而且，它还可以找出无线局域网中是否有安装NetStumbler软件的主机。更绝的是，你可以通过Kismet来找到你所在的无线局域网中所有的访问点和无线客户，并且利用GPS定位功能，Kismet就可以在地图上用圆点标出这些访问点和无线客户的位置。将这位置地图状态保存，以便给下次扫描结果提供对比标准。这样一来，你就可以使用Kismet在某个时间重新对整个无线局域网进行扫描，然后将扫描的结果和上次保存的结果进行比对，看看是否有不同之处。通过这种方法，就可以很容易地找到非法无线嗅探器。

有些攻击者会在安装网络嗅探器的主机之中，再安装上一些rootkits类的工具，用它来掩盖他(她)在这台主机当中的行动踪迹，例如清除系统日志，来躲避你的检测。有些攻击者还会在这台主机当中安装一些后门程序或木马程序，以方便控制。这就要求，在你经常进行检测的同时，你还应用使用一些方法来实时监控你的网络，以察觉这些隐秘行为。

防御网络嗅探的方法:

应对网络嗅探，只进行被动的检查是不行。有些攻击者会想法躲避你的检测。因此，你还应当采取一些积极的方法来防御网络嗅探。下面分别说明在以太网和无线局域网中防御网络嗅探的方法。

1、在以太网中防御网络嗅探的方法

在以太网中，你可以使用下列的方法来防御网络嗅探：

(1)、尽量在网络中使用交换机和路由器。虽然这种方法不能够完全杜绝被嗅探，但是，攻击者要想达到目的，也不是一件很容易的事。况且，你还可以在交换机中使用静态MAC

地址与端口绑定功能，来防止MAC地址欺骗。

(2)、对在网络中传输的数据进行加密。不管是局域网内部还是互联网传输都应该对传输的数据进行加密。现在，已经有许多提供加密功能的网络传输协议，例如SSL、SSH、IPSEC、OPENVPN等等。这样，一些网络嗅探器对这些加密了的数据就无法进行正确的解码了。

(3)、对于E-mail，你也应该对它的内容进行加密后再传输。应用于E-Mail加密的方法主要有数字认证与数字签名。

(4)、划分VLAN(虚拟局域网)

应用VLAN技术，将连接到交换机上的所有主机逻辑分开。将它们之间的通信变为点到点通信方式，可以防止大部分网络嗅探器的嗅探。

(5)、在你的网络中布置入侵检测系统(IDS)或入侵防御系统(IPS)，以网络防火墙等安全设备。它们对于许多针对交换机和路由器的攻击方法，很容易就识别出来。

(6)、你应当强化你的安全策略，加强员工安全培训和管理工作。

(7)、在内部关键位置布置防火墙和IDS，防止来自内部的嗅探。

(8)、如果要在你的网络中布置网络分析器，应当保证你的网络分析器本身的安全，最好事先制定一个网络分析策略来规范使用。

2、在无线局域网中防御无线网络嗅探的方法

尽管检测无线网络嗅探器有一定的难度，但是，还是可以使用一些方法来防御无线网络嗅探的。

这些方法有：

(1)、禁止SSID广播;

(2)、对数据进行加密。你可以在无线访问点(AP)后再连接一个VPN网关，通过VPN强大的数据加密功能来保护无线数据传输;

(3)、使用MAC地址过滤，强制访问控制;

(4)、使用定向天线;

(5)、采取屏蔽无线信号方法，将超出使用范围的无线信号屏蔽得;

(6)、使用无线嗅探软件实时监控无线局域网中无线访问点(AP)和无线客户连入情况。

嗅探器

概述：

使用WinPcap开发包，嗅探流过网卡的数据并智能分析过滤，快速找到所需要的网络信息（音乐、视频、图片等）。功能特点：

1 、支持WINPCAP的各个版本，不再挑食。

2 、支持所有操作系统(WIN9X/WIN2K/WINXP)，适应能力加强。

3 、增加支持无线网卡的嗅探能力，软件适用面更广泛。

4 、软件用Delphi 7编写，杜绝了类似VB特有的错误，如"运行时错误"，软件更加稳定。

5、不再使用PACKETB.DLL连接文件，软件“绿色环保”。

6、使用多线程编程技术，内存和CPU占用大幅度减少。

7、集成超强HTTP下载软件，突破HTTP下载难题。

应用背景：

网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见，嗅探器实际是一把双刃剑。虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其他黑软来完成的。而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用是有助于网络安全维护的。权衡利弊，有必要对网络嗅探器的实现原理进行深入的了解。

相关知识

互连网络层是TCP/IP协议参考模型中的关键部分。IP协议把传输层送来消息组装成IP数据包，并把IP数据包传递给数据链路层。IP协议TCP/IP协议族中处于核心地位，IP协议制定了统一的IP数据包格式，以消除各通信子网间的差异，从而为信息发送方和接受方提供了透明的传输通道。

作用：

当我们处理自身网络问题的时候，一个信息包嗅探器向我们展示出正在网络上进行的一切活动。于是，借助一定的知识水准，我们就可以确定问题的根源所在。必须记住的是，信息嗅探器并不会告诉你问题究竟是什么，而只会告诉你究竟发生了什么。黑客一般会使用嗅探器来盗取他人的信息，游戏币等东西！相关软件

相关软件：

网络嗅探器主要以两种形式来存在，一种是以单独的软件形式存在，另一种是以浏览器插件的形式存在。

1、嗅探软件

比较知名的网络嗅探器软件主要有以下三个，网络嗅探器(影音神探) 、影音嗅探专家和酷抓。经过测试，酷抓可以良好的在Windows7的环境下运行。

2、嗅探插件

火狐浏览器的netvideohunter插件，能够直接找出网页上的流媒体资源地址。

下载工具迅雷7默认下会在其支持的浏览器中加载迅雷下载助手，用于嗅探网页上的flv视频，并提供下载，不过加载此程序对浏览器的启动速度有一定的影响。

设备简介：

在讲述Sniffer的概念之前，首先需要讲述局域网设备的一些基本概念。

数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，存在安全方面的问题。

每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。

在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。

分类：

Sniffer分为软件和硬件两种，软件的Sniffer有NetXray、Packetboy、Net Monitor、Sniffer Pro、WireShark、WinNetCap等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。

实际上本章所讲的Sniffer指的是软件。它把包抓取下来，然后打开并查看其中的内容，可以得到密码等。Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。

监听目的：

当一个黑客成功地攻陷了一台主机，并拿到了root权限，而且还想利用这台主机去攻击同一网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个LOG 文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。

如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因

为所有进出网络的数据包都要经过路由器。

Sniffer属于第M层次的攻击。就是说，只有在攻击者已经进入了目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。

Sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。

Sniffer是一种比较复杂的攻击手段，一般只有黑客老手才有能力使用它，而对于一个网络新手来说，即使在一台主机上成功地编译并运行了Sniffer，一般也不会得到什么有用的信息，因为通常网络上的信息流量是相当大的，如果不加选择地接收所有的包，然后从中找到所需要的信息非常困难；而且，如果长时间进行监听，还有可能把放置Sniffer的机器的硬盘撑爆。

附：抓包工具介绍

集线器Hub、交换机、路由器的差异集线器hub简介：

集线器（Hub）是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。集线器是运作在OSI模型中的物理层。它可以视作多端口的中继器，若它侦测到碰撞，它会提交阻塞信号。[2]

集线器通常会附上BNC and/or AUI转接头来连接传统10BASE2或10BASE5网络。[2]

由于集线器会把收到的任何数字信号，经过再生或放大，再从集线器的所有端口提交，这会造成信号之间碰撞的机会很大，而且信号也可能被窃听，并且这代表所有连到集线器的设备，都是属于同一个碰撞域名以及广播域名，因此大部份集线器已被交换机取代。

集线器hub原理：

信号转发原理

集线器工作于OSI/RM参考模型的物理层和数据链路层的MAC（介质访问控制）子层。物理层定义了电气信号，符号，线的状态和时钟要求，数据编码和数据传输用的连接器。因为集线器只对信号进行整形、放大后再重发，不进行编码，所以是物理层的设备。10M集线器在物理层有4个标准接口可用，那就是：10BASE-5、10BASE-2、10BASE-T、10BASE-F。10M集线器的10BASE-5（AUI）端口用来连接层1和层2 。

集线器采用了CSMA/CD（载波帧听多路访问/冲突检测）协议，CSMA/CD为MAC 层协议，所以集线器也含有数据链路层的内容。[2]

10M集线器作为一种特殊的多端口中继器，它在连网中继扩展中要遵循5-4-3规则，即：一个网段最多只能分5个子网段；一个网段最多只能有4个中继器；一个网段最多只能有三个子网段含有PC，如图19，子网段2和子网段4是用来延长距离的。[2] 集线器的工作过程是非常简单的，它可以这样的简单描述：首先是节点发信号到线路，集线器接收该信号，因信号在电缆传输中有衰减，集线器接收信号后将衰减的信号整形放大，最后集线器将放大的信号广播转发给其他所有端口。

交换机定义：

交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机。广域的交换机（switch）就是一种在通信系统中完成信息交换功能的设备，它应用在数据链路层。交换机有多个端口，每个端口都具有桥接功能，可以连接一个局域网或一台高性能服务器或工作站。实际上，交换机有时被称为多端口网桥。[1]

在计算机网络系统中，交换概念的提出改进了共享工作模式。而HUB集线器就是一种物理层共享设备，HUB本身不能识别MAC 地址和IP地址，当同一局域网内的A 主机给B主机传输数据时，数据包在以HUB为架构的网络上是以广播方式传输的，由每一台终端通过验证数据报头的MAC地址来确定是否接收。也就是说，在这种工作方式下，同一时刻网络上只能传输一组数据帧的通讯，如果发生碰撞还得重试。这种方式就是共享网络带宽。通俗的说，普通交换机是不带管理功能的，一根进线，其他接口接到电脑上就可以了。[1]

在今天，交换机以更多的却是以应用需求为导向，在选择方案和产品时用户还非常关心如何有效保证投资收益。在用户提出需求后，由系统集成商或厂商来为其需求来提供相应的服务，然后再去选择相应的技术。这点是在网络方面表现尤其明显，广大用户，不论是重点行业用户还是一般的企业用户，在应用IT技术方面更加明智，也更加稳健。

此外，宽带的广泛应用、大容量视频文件的不断涌现等等都对网络传输的中枢--交换机的性能提出了新的要求。[1]

据《2013-2018年中国交换机市场竞争格局及投资前景评估报告》中显示：随着网络的发展从技术驱动应用，转为从应用选择技术；网络的融合也从理论走向实践；网络的安全越来越受到重视。而交换网络的智能化提供了解决这些问题的方法。网络将在综合应用、速度和覆盖范围等方面继续发展。

交换机原理：

交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端

口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分

数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播，即广播域。

交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段（注：非IP网段），连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。当节点A向节点D发送数据时，节点B可同时向节点C发送数据，而且这两个传输都

享有网络的全部带宽，都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机，那么该交换机这时的总流通量就等于2×10Mbps=20Mbps，而使用10Mbps的共享式HUB 时，一个HUB的总流通量也不会超出10Mbps。总之，交换机是一种基于MAC地址识别，

能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内

部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

交换机的传输模式有全双工，半双工，全双工/半双工自适应

交换机的全双工是指交换机在发送数据的同时也能够接收数据，两者同步进行，这好像我们平时打电话一样，说话的同时也能够听到对方的声音。交换机都支持全双工。全双工的好处在于迟延小，速度快。

提到全双工，就不能不提与之密切对应的另一个概念，那就是“半双工”，所谓半双工就是指一个时间段内只有一个动作发生，举个简单例子，一条窄窄的马路，同时只能有一辆车通过，当有两辆车对开，这种情况下就只能一辆先过，等到头儿后另一辆再开，这个例子就形象的说明了半双工的原理。早期的对讲机、以及早期集线器等设备都是实行半双工的产品。随着技术的不断进步，半双工会逐渐退出历史舞台。

路由器定义：

路由器（Router），是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由器是互联网络的枢纽，"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以说两者实现各自功能的方式是不同的。

路由器（Router）又称网关设备（Gateway）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器的路由功能来完成。因此，路由器具有判断网络地址和选择IP路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。

路由器原理：

传输介质

路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。

路由器是互联网的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至整个Internet研究领域中，路由器技术始终处于核心地位，其发展历程和方向，成为整个Internet研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际，探讨路由器在互连网络中的作用、地位及其发展方向，对于国内的网络技术研究、网络建设，以及明确网络市场上对于路由器和网络互连的各种似是而非的概念，都有重要的意义。

出现了交换路由器产品，从本质上来说它不是什么新技术，而是为了提高通信能力，把交换机的原理组合到路由器中，使数据传输能力更快、更好。

结构

电源接口（POWER）：接口连接电源。usb

复位键（RESET）：此按键可以还原路由器的出厂设置。

猫(MODEM)或者是交换机与路由器连接口（WAN）：此接口用一条网线与家用宽带调制解调器（或者与交换机）进行连接。

电脑与路由器连接口（LAN1~4）：此接口用一条网线把电脑与路由器进行连接。

需注意的是：WAN口与LAN口一定不能接反。

家用无线路由器和有线路由器的IP地址根据品牌不同，主要有192.168.1.1和192.168.0.1两种。

IP地址与登录名称与密码一般标注在路由器的底部。

登录无线路由器网有的出厂默认登录账户：admin登录密码：admin

有的无线路由器的出厂默认登录账户是：admin 登录密码是空的。

启动过程

路由器里也有软件在运行，典型的例如H3C公司的Comware和思科公司的IOS，可以等同的认为它就是路由器的操作系统，像PC上使用的Windows系统一样。路由器的操作系统完成路由表的生成和维护。

同样的，作为路由器来讲，也有一个类似于我们PC系统中BIOS一样作用的部分，叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在IOS时，先引导起来，进入恢复模式，来使用TFTP或X-MODEM等方式去给FLASH中导入IOS文件。所以，路由器的启动过程应该是这样的：

路由器在加电后首先会进行POST。Power On Self Test (上电自检，对硬件进行检测的过程)。

POST完成后，首先读取ROM里的BootStrap程序进行初步引导。

初步引导完成后，尝试定位并读取完整的IOS镜像文件。在这里，路由器将会首先在FLASH 中查找IOS文件，如果找到了IOS文件的话，那么读取IOS文件，引导路由器。

如果在FLASH中没有找到IOS文件的话，那么路由器将会进入BOOT模式，在BOOT模式下可以使用TFTP上的IOS文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个IOS 文件(一般我们把这个过程叫做灌IOS)。传输完毕后重新启动路由器，路由器就可以正常启动到CLI模式。

当路由器初始化完成IOS文件后，就会开始在NVRAM中查找STARTUP-CONFIG文件，STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后，路由器就会加载该文件里的所有配置，并且根据配置来学习、生成、维护路由表，并将所有的配置加载到RAM(路由器的内存)里后，进入用户模式，最终完成启动过程。

如果在NVRAM里没有STARTUP-CONFIG文件，则路由器会进入询问配置模式，也就是俗称的问答配置模式，在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI[1] (Comman Line Interface)命令行模式后对路由器进行配置。

工作原理示例

（1）工作站A将工作站B的地址12.0.0.5连同数据信息以数据包的形式发送给路由器1。（2）路由器1收到工作站A的数据包后，先从包头中取出地址12.0.0.5，并根据路径表计算出发往工作站B的最佳路径：R1->R2->R5->B；并将数据包发往路由器2。

（3）路由器2重复路由器1的工作，并将数据包转发给路由器5。

（4）路由器5同样取出目的地址，发现12.0.0.5就在该路由器所连接的网段上，于是将该

数据包直接交给工作站B。

（5）工作站B收到工作站A的数据包，一次通信过程宣告结束

路由器、交换机、集线器的区别

（1）工作层次不同

最初的交换机是工作在OSI/RM开放体系结构的数据链路层（第二层），而路由器一开始设计

工作在OSI模型的网络层。由于交换机工作在OSI的第二层（数据链路层），所以它的工作原理比较简单，而路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可

以做出更加智能的转发决策。

（2）数据转发所依据的对象不同

交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。

（3）传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域。由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况会导致通信拥护和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。

虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信

交流的，它们之间的交流仍然需要路由器。

（4）路由器提供了防火墙的服务，它仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和求知目标网络数据包的传送，从而可以防止广播风暴。

/**

IP广播（群发）：指集线器在发送数据给下层设备时，不分原数据来自何处，将所得数据发给

每一个端口，如果其中有端口需要来源的数据，就会处于接收状态，而不需要的端口就处于拒绝状态。

举个例子来说：在网内时，当客户端A发送数据包给客户端B时，集线器便将来自A的数据包群发给每一个端口，此时B就处于接收状态，其它端口则处于拒绝状态；在网外也如此，当客

户端A发送域名“https://www.wendangku.net/doc/d92520734.html,”时，通过集线器，然后经过DNS域名解析把IP地址

（202.108.36.172）发回给集线器。此时，集线器便群发给所有接入的端口，需要此地址的

机器便处于接收状态（客户端A处于接收状态），不需要则处于拒绝状态。

这应该是最简单的一个名词了，也可以理解为Hub的工作频率，比如工作频率为33MHz的Hub，那么在单位时间内Hub能做什么事呢？上面在解释共享型的时候已经举了个例子，但是有一点在这需要解释的是，比如我们有的时候会看到A在向B发送数据的“同时”，C也在向D传送数据，这看起来似乎有点矛盾，也确实是这样，那为什么会看起来2者同时在进行呢？因为A在

第一个单位时间内发送数据给B的时候，由于广播的原因，B、C、D在第一个单位时间内会同

时接受广播，但是C，D会从第2个单位时间开始拒绝接收A发来的数据，因为C和D已经判断出这些数据不是他们需要的数据。而且在第2个单位时间的时候C也发送一个数据广播，A，B，D都接受，但是只有D会接收这些数据。这些操作只用2到3个单位时间，但是我们却很难察觉到，感觉上就是在同时“进行”一样。

网络嗅探器的设计与实现

计算机网络课程设计 题目网络嗅探器的设计与实现 系 (部) 姓名 学号 指导教师 2015年7月18日

计算机网络课程设计任务书

网络嗅探器的设计与实现 摘要：网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现，其功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。 关键字：网络嗅探器;数据包捕获; 套接字 引言 由于网络技术的发展，计算机网络的应用越来越广泛，其作用也越来越重要。计算机网络安全问题更加严重，网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。 嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。 1 基本概念 1.1 嗅探器 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层，在网络上监听数据包来获取敏感信息。从原理上来说，在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，其内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。对于网卡来说一般有四种接收模式： a)广播方式：该模式下的网卡能够接收网络中的广播信息。 b)组播方式：设置在该模式下的网卡能够接收组播数据。 c)直接方式：在这种模式下，只有目的网卡才能接收该数据。

集线器、交换机、路由器、网桥、网关之间的区别与联系

1、集线器(HUB) 集线器就是将网线集中到一起的机器，也就是多台主机和设备的连接器。集线器的主要功能是对接收到的信号进行同步整形放大，以扩大网络的传输距离，是中继器的一种形式，区别在于集线器能够提供多端口服务，也称为多口中继器。集线器在OSI/RM中的物理层。集线器的基本功能是信息分发，它把一个端口接收的所有信号向所有端口分发出去。一些集线器在分发之前将弱信号重新生成，一些集线器整理信号的时序以提供所有端口间的同步数据通信。 集线器实际就是一种多端口的中继器。集线器一般有4、8、16、24、32等数量的RJ45接口，通过这些接口，集线器便能为相应数量的电脑完成“中继”功能（将已经衰减得不完整的信号经过整理，重新产生出完整的信号再继续传送）。由于它在网络中处于一种“中心”位置，因此集线器也叫做“HUB”。 集线器的工作原理很简单，比如有一个具备8个端口的集线器，共连接了8台电脑。集线器处于网络的“中心”，通过集线器对信号进行转发，8台电脑之间可以互连互通。具体通信过程是这样的：假如计算机1要将一条信息发送给计算机8，当计算机1的网卡将信息通过双绞线送到集线器上时，集线器并不会直接将信息送给计算机8，它会将信息进行“广播”——将信息同时发送给8个端口，当8个端口上的计算机接收到这条广播信息时，会对信息进行检查，如果发现该信息是发给自己的，则接收，否则不予理睬。由于该信息是计算机1发给计算机8的，因此最终计算机8会接收该信息，而其它7台电脑看完信息后，会因为信息不是自己的而不接收该信息。 2、交换机(Switch) 交换机是集线器的升级换代产品，外形上和集线器没什么分别，是一种在通信系统中自动完成信息交换功能的设备，用途和HUB一样也是连接组网之用，但是它具有比集线器更强大的功能。 交换机也叫交换式集线器，它通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用，由于交换机根据所传递信息包的目的地址，将每一信息包独立地从源端口送至目的端口，避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。 在计算机网络系统中，交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表，如果把集线器比作一个邮递员，那么这个邮递员是个不认识字的“傻瓜”——要他去送信，他不知道直接根据信件上的地址将信件送给收信人，只会拿着信分发给所有的人，然后让接收的人根据地址信息来判断是不是自己的!而交换机则是一个“聪明”的邮递员——交换机拥有一条高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，当控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC （网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在，交换机才广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部地址表中。 可见，交换机在收到某个网卡发过来的“信件”时，会根据上面的地址信息，以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上，交换机才会像集线器一样将信分发给所有的人，然后从中找到收信人。而找到收信人之后，交换机会立刻将这个人的信息登记到“户口簿”上，这样以后再为该客户服务时，就可以迅速将信件送达了。

无线路由器作为无线交换机使用的设置方法

一、TP-Link 1、将设备回复默认配置：用笔尖或细铁丝按下无线路由器的 Default或Reset孔（在天线旁边），等到电源灯闪烁时松开，即可恢复出厂默认配置； 2、连接校园网络时将网线直接连接在LAN口上，空出WAN口不 用； 3、用有线或无线方式登入无线路由器的管理界面，设置如下： a)进入“网络参数”页面，点击“Wan口配置”，如图，设为 “动态IP”； b)点击“Lan口设置”，如图，将LAN IP地址更改为你所在 楼层的IP地址，最后一位设置为150之后的数值，并报本 楼网络协管员备案，以防止IP地址冲突；

c)进入“DHCP服务器设置”页面，如图，点击“启用”，设 置IP地址池开始地址为你所在楼层的IP地址，IP地址应配置为与无线路由器的IP地址相邻的地址，如无线路由器的IP最后一位是151，计算机可设成152、153等。宿舍楼各层的网关IP地址的前三位与本机IP地址相同，第四位均为254，如172.18.22.254。 d)根据提示重启无线路由器后，即可连入校园网络。

二、NetCore 1、将设备回复默认配置：用笔尖或细铁丝按下无线路由器的 Default或Reset孔（在天线旁边），等到电源灯闪烁时松开，即可恢复出厂默认配置； 2、连接校园网络插口时将网线直接连接在一个LAN口上，空出 WAN口不用； 3、用有线或无线方式登入无线路由器的管理界面，设置如下： a)进入Internet接入配置（或Wan口配置），设为动态IP用 户（如图）； b)Lan管理：如图，将LAN IP地址更改为你所在楼层的IP 地址，最后一位设置为150之后的数值，并报本楼网络协管 员备案，以防止IP地址冲突；

交换机和路由器的基本配置

实验一交换机和路由器的基本配置 交换机的基本配置 【实验名称】 交换机的基本配置。 【实验目的】 掌握交换机命令行各种操作模式的区别，能够使用各种帮助信息，以及用命令进行基本的配置。 【背景描述】 你是某公司新进的网管，公司要求你熟悉网络产品，公司采用全系列锐捷网络产品，首先要求你登录交换机，了解、掌握交换机的命令行操作技巧，以及如何使用一些基本命令进行配置。 【需求分析】 需要在交换机上熟悉各种不同的配置模式以及如何在配置模式间切换，使用命令进行基本的配置，并熟悉命令行界面的操作技巧。 【实验拓扑】 图1-1 实验拓扑图 【实验设备】 三层交换机1台 【预备知识】 交换机的命令行界面和基本操作 【实验原理】 交换机的管理方式基本分为两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络接口，其特点是需要使用配置线缆，近距离配置。第一次配置交换机时必须利用Console端口进行配置。 交换机的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式、端口模式等几种。 ???用户模式进入交换机后得到的第一个操作模式，该模式下可以简单查看交换机的软、硬件版本信息，并进行简单的测试。用户模式提示符为switch> ???特权模式由用户模式进入的下一级模式，该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。特权模式提示符为switch# ???全局配置模式属于特权模式的下一级模式，该模式下可以配置交换机的全局性参数（如主机名、登录信息等）。在该模式下可以进入下一级的配置模式，对交换机具体的功能进行配置。全局模式提示符为switch(config)# ???端口模式属于全局模式的下一级模式，该模式下可以对交换机的端口进行参数配置。端口模式提示符为switch(config-if)# 交换机的基本操作命令包括：

(2020年编辑)网络嗅探器的设计与实现

《网络与信息安全》课程设计报告 班级学号：姓名： 题目： 评阅： 成绩： 2011年1月

目录 一、开发背景 1、网络安全现状。 2、开发意义。 二、设计分析 1、实现目标。 2、开发技术简介。 三、详细设计 1、嗅探原理。 2、代码设计。 四、测试运行 五、总结 六、参考文献

摘要 网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。但是当有黑客使用它时，它又变得很可怕。它可以非法获取一些保密性信息，如帐号、密码等，它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说，要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包 的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩 瑞彬同学负责对数据包的解析设计。 关键字：嗅探器，安全，黑客，数据报文 一、开发背景

1、网络安全现状 随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。 2、开发意义 本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说，要想有效地利用它、防范它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对网络安全技术这门课的学以致用，不断提高自我的一种有效途径。 二、设计分析 1、实现目标 （1）实现网络嗅探器的界面。 （2）实现抓取数据包的功能。

路由器、集线器、交换机的工作原理

路由器、集线器、交换机的工作原理 号称网络硬件三剑客的集线器（hub）、交换机（switch）与路由器（router）一直都是网络界的活跃分子，但让很多初入网络之门的菜鸟恼火的是，它们三者不仅外观相似，而且经常呆在一起，要想分清谁是谁，感觉有点难!就让我们一起来看看它们之间有什么区别和联系吧! 三剑客的工作原理 一、集线器 1.什么是集线器 在认识集线器之前，必须先了解一下中继器。在我们接触到的网络中，最简单的就是两台电脑通过两块网卡构成“双机互连”，两块网卡之间一般是由非屏蔽双绞线来充当信号线的。由于双绞线在传输信号时信号功率会逐渐衰减，当信号衰减到一定程度时将造成信号失真，因此在保证信号质量的前提下，双绞线的最大传输距离为100米。当两台电脑之间的距离超过100米时，为了实现双机互连，人们便在这两台电脑之间安装一个“中继器”，它的作用就是将已经衰减得不完整的信号经过整理，重新产生出完整的信号再继续传送。 中继器就是普通集线器的前身，集线器实际就是一种多端口的中继器。集线器一般有4、8、16、24、32等数量的rj45接口，通过这些接口，集线器便能为相应数量的电脑完成“中继”功能。由于它在网络中处于一种“中心”位置，因此集线器也叫做“hub” 2.集线器的工作原理 集线器的工作原理很简单，以图2为例，图中是一个具备8个端口的集线器，共连接了8台电脑。集线器处于网络的“中心”，通过集线器对信号进行转发，8台电脑之间可以互连互通。具体通信过程是这样的：假如计算机1要将一条信息发送给计算机8，当计算机1的网卡将信息通过双绞线送到集线器上时，集线器并不会直接将信息送给计算机8，它会将信息进行“广播”--将信息同时发送给8个端口，当8个端口上的计算机接收到这条广播信息时，会对信息进行检查，如果发现该信息是发给自己的，则接收，否则不予理睬。由于该信息是计算机1发给计算机8的，因此最终计算机8会接收该信息，而其它7台电脑看完信息后，会因为信息不是自己的而不接收该信息。 3.集线器的特点 （1）共享带宽

网络嗅探器的设计实现

- - -. 《网络与信息安全》课程设计报告

2011年1月 目录 一、开发背景 1、网络安全现状。 2、开发意义。 二、设计分析 1、实现目标。 2、开发技术简介。 三、详细设计 1、嗅探原理。 2、代码设计。 四、测试运行 五、总结

六、参考文献 摘要 网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。但是当有黑客使用它时，它又变得很可怕。它可以非法获取一些XX性信息，如XX、密码等，它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说，要想有效地利用它、防X它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包 的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩 瑞彬同学负责对数据包的解析设计。 关键字：嗅探器，安全，黑客，数据报文

一、开发背景 1、网络安全现状 随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题

交换机、集线器、路由器区别和作用

快速了解集线器、交换机、路由器很多人在网络中对集线器、交换机、路由器是的作用及使用常是是而非的感觉，到底三种设备的的功能如何，区别在哪，什么条件下使用无法准确把握，这里就这些问题简单的做些解答。 集线器的作用可以简单的理解为将一些机器连接起来组成一个局域网，交换机作用与集线器大体相同。但是两者在性能上有区别：集线器采用的式共享带宽的工作方式，而交换机是独享带宽，这样在机器很多或数据量很大时，两者将会有比较明显的。路由器与以上两者有明显区别，它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径，可以说一般情况下个人用户需求不大。路由器是产生于交换机之后，就像交换机产生于集线器之后，所以路由器与交换机也有一定联系，并不是完全独立的两种设备。路由器主要克服了交换机不能路由转发数据包的不足。总的来说，路由器与交换机的主要区别体现在以下几个方面： （1）工作层次不同 最初的的交换机是工作在OSI／RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI 的第二层（数据链路层），所以它的工作原理比较简单，而路由器工作在OSI 的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策。 （2）数据转发所依据的对象不同 交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。 （3）传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域 由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。

路由器可以直接当交换机用and交换机和路由器的区别(一文读懂)

1、路由器可以直接当交换机用， 2、路由器直接当交换机用需要进行一些设置，方法如下：首先登录路由器管理界面，（在浏览器中输入默认路由器登录地址即可，一般默认是192.168.1.1，然后输入路由器的管理账号和密码，一般默认为admin）， 3、进入路由器管理界面之后，选择左侧菜单栏“DHCP服务器”，“DHCP 服务”，选择不启用“DHCP服务器”，之后保存， 4、设置不启用DHCP服务器后，再在左侧菜单栏中选择“网络参数”，LAN 口设置，将LAN口的IP地址改为：192.168.1.254 或者其它IP地址只要不与别的电脑本地IP地址冲突即可，（建议统一改成192.168.1.254 比较好）， 5、LAN口IP地址设置，以上设置好了，基本路由器就可以当作交换机来使用了，不过需要注意的是路由器的WAN端口不可用，其它四个端口就可以当做交换机端口

路由器lan口完全可以当交换机使用。 1.众所周知，我们现在普遍使用的路由器一般只能分四台电脑使用。 如何把路由器当成交换机用？ 2.因为路由器的网线接口就5个，1个WAN接口，接外网，另外4个LAN接口，分四台电脑用。 3.可是有些人说，我的公司的电脑不只4台呀？那怎么办呢？稍微懂点的人马上会想到，加个8口或是16口的交换机，爱接多少台电脑就接多少台电脑，连接的方式也相当容易，腾出一个路由器的LAN口与交换机相接，交换机的其它接口就可以随便用了。实际上，路由器的4个LAN口本质上就是一个4口交换机，我们所使用的路由器，是路由器与交换机的结合，只不过交换接口就只有4个而已。交换机所连的所有电脑同属于一个局域网下，电脑之间可以互相访问。 4.有些人手头上路由器有好几个，就是没有交换机，为了省点钱，就想用路由器代替交换机，扩展电脑数量。那也容易，有两种方案。方案一，后路由器的WAN 接口与前路由器的LAN接口相连。这种接法就把7台电脑分成了两个局域网，不同局域网的电脑互相之间不能访问。一台电脑就无法把文件或者打印机共享给所有的电脑了。那有没有办法让两个路由器所连的电脑同属于一个局域网呢？答案是可以的。要用到方案二。 5.方案二：只用B路由器的LAN口，WAN口不用。路由器中的4个LAN口本来就是一个交换机。但每个路由器都带有DHCP自动分配地址的功能，为了防止冲突，必须关掉一个。另外，路由器的LAN口一般默认都是192.168.1.1，现在两个路由器的LAN口都接在一起了，要想不冲突，必须改掉。设置完成B 路由器后，就可以把它当成交换机用了，它所连的电脑和A路由器所连的电脑

华三主流路由器交换机简介和规格

华三系列网络产品 一、路由器 1、H3C CR系列核心路由器 i.H3C CR16000-F 100G核心路由器 产品简介： H3C CR16000-F是H3C自主研发的100G平台核心路由器，采用业界先进的CLOS 交换架构，整机交换容量高达26.88Tbps，采用Comware V7网络操作系统，提供丰富的业务特性和强大的自愈功能，可广泛应用于行业IP专网核心层和汇聚层以及运营商网络MSE等网络位置。 H3C CR16000-F支持主控和交换网板完全物理分离，提供高品质的设备可靠性；支持高密度10GE、40GE、100GE接口，单槽位性能灵活扩展，可以满足不同网络位置需求；支持多维度的虚拟化技术，包括横向虚拟化IRF2、纵向虚拟VCF以及虚拟路由器MDC，可简化网络管理、提高可靠性；支持MSE，集SR和BRAS功能于一身，满足运营商的多业务边缘设备发展需求；支持1588v2以太网时钟同步、TDM仿真以及多种线路保护技术，满足运营商IP RAN组网需求；控制平面采用多核及SMP(Symmetrical Multi-Processing对称多处理)技术，运行先进的操作系统Comware V7，各软件模块具有独立的运行空间，可以动态加载、单独升级，实现ISSU。 产品规格： ii.H3C CR16000核心路由器

产品简介： CR16000 核心路由器（以下简称CR16000）是杭州华三通信技术有限公司自主研发的、基于100G平台的新一代核心路由器，主要应用在运营商IP骨干网、数据中心骨干互联节点以及各种行业大型IP网络的核心和汇聚位置。CR16000先进的体系架构和强大的路由转发性能能够满足用户现在及未来业务扩展的需求。 CR16000采用了创新的硬件架构，可以实现跨板数据的无阻塞交换能力，保障高密度10G 或100G板卡的线速转发；CR16000支持海量的路由表和转发表，作为互联网核心节点能够抵御大路由震荡的冲击，保证数据报文的准确转发；CR16000通过NSR、ISSU、IRF2、APS、BFD等多种高可靠性技术，保证业务永续。 产品规格:

三层交换机与路由器的配置_实例(图解)

三层交换机与路由器的配置实例（图解） 目的：学会使用三层交换与路由器让处于不同网段的网络相互通信 实验步骤：一：二层交换机的配置： 在三个二层交换机上分别划出两VLAN，并将二层交换机上与三层交换或路由器上的接线设置为trunk接口 二：三层交换机的配置： 1：首先在三层交换上划出两个VLAN，并进入VLAN为其配置IP，此IP将作为与他相连PC的网关。 2：将与二层交换机相连的线同样设置为trunk接线，并将三层交换与路由器连接的线设置为路由接口（no switchsport） 3：将路由器和下面的交换机进行单臂路由的配置 实验最终结果：拓扑图下各个PC均能相互通信

交换机的配置命令： SW 0: Switch> Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#no shut Switch(config-if)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)#exit Switch(config)# SW 1: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 % Access VLAN does not exist. Creating vlan 2 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)# SW 2: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]?

分析和比较集线器、交换机、网桥、路由器的区别

集线器 集线器实际就是一种多端口的中继器。集线器一般有4、8、16、24、32等数量的RJ45接口，通过这些接口，集线器便能为相应数量的电脑完成“中继”功能（将已经衰减得不完整的信号经过整理，重新产生出完整的信号再继续传送）。由于它在网络中处于一种“中心”位置，因此集线器也叫做“Hub”。 集线器的工作原理很简单，比如有一个具备8个端口的集线器，共连接了8 台电脑。集线器处于网络的“中心”，通过集线器对信号进行转发，8台电脑之间可以互连互通。具体通信过程是这样的：假如计算机1要将一条信息发送给计算机8，当计算机1的网卡将信息通过双绞线送到集线器上时，集线器并不会直接将信息送给计算机8，它会将信息进行“广播”——将信息同时发送给8个端口，当8个端口上的计算机接收到这条广播信息时，会对信息进行检查，如果发现该信息是发给自己的，则接收，否则不予理睬。由于该信息是计算机1发给计算机8的，因此最终计算机8会接收该信息，而其它7台电脑看完信息后，会因为信息不是自己的而不接收该信息。 交换机 交换机也叫交换式集线器，它通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用，由于交换机根据所传递信息包的目的地址，将每一信息包独立地从源端口送至目的端口，避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。 在计算机网络系统中，交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表，如果把集线器比作一个邮递员，那么这个邮递员是个不认识字的“傻瓜”——要他去送信，他不知道直接根据信件上的地址将信件送给收信人，只会拿着信分发给所有的人，然后让接收的人根据地址信息来判断是不是自己的!而交换机则是一个“聪明”的邮递员——交换机拥有一条高带宽的背部 总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，当控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在，交换机才广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部地址表中。 可见，交换机在收到某个网卡发过来的“信件”时，会根据上面的地址信息，以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。万一收信人的地址不在“户口簿”上，交换机才会像集线器一样将信分发给所有的人，然后从中找到收信人。而找到收信人之后，交换机会立刻将这个人的信息登记到“户口簿”上，这样以后再为该客户服务时，就可以迅速将信件送达了。 网桥 简单的说网桥就是个硬件网络协议翻译器，假设你有2台电脑，一台兼容机安装windows，一台是Apple安装OS2，那么两台电脑之间是默认网络协议是不同的，兼容机可能只会说TCP/IP，苹果机只会说Apple talk，就好象两个外国人都不会说对方的语言，怎么办？找个翻译，网桥就是翻译。 在386、486时代网桥可能是一台安装了协议转换程序的电脑，如今交换机也包含这个功能。今天的操作系统之间为了互相交流，支持更多的协议，操作系统

交换机和路由器常用命令大全

交换机和路由器配置命令 Cisco 交换机的命令行模式： 1、用户模式 Switch> 2、特权模式 Switch>enable Switch# 3、全局配置模式 Switch#config terminal Switch(config)# 4、接口模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)# Fastethernet表示百兆位以太网接口。 Ethernet表示十兆位以太网接口。 Gigabitethernet表示千兆位以太网接口。 Tengigabitethernet表示万兆位以太网接口。 如果从特权模式回到用户模式，需要输入disable命令，其他无论在那个模式，只要输入命令exit就能回到前一个模式，在全局模式或是接口模式，只要输入命令end都能回到特权模式，或者按下ctrl+z组合键等效于命令end。 （命令行帮助机制：1、“？”。2、Tab键。）

常用快捷组合键： Ctrl+A 光标移动到命令行的开始位置。 Ctrl+E 光标移动到命令行的结束位置。 一、常用命令介绍： 1、hostname 用于配置主机名，可简写为host. Switch(config)#host sw1 Sw1(config)# 2、show version 显示系统IOS名称以及版本信息，可简写为sh ver. 3、Show running-config 查看交换机当前配置信息，可简写为sh run. 4、Show startup-config 显示已保存的配置信息，可简写为sh star. 5、Copy running-config startup-config 保存当前配置信息，可简写 为copy run star。这个命令还等效于write(简写为wr)。 保存当前配置如下： Switch#wr 或者switch#copy run star 6、erase nvram 删除已保存的配置信息，这命令等效于erase startup-config.(擦除)。 7、reload 重新启动。 8、设置console口永不超时命令exec-timeout 0 0 (第一个0为分 钟，第二个0为秒钟)。 Switch(config)#line con 0

(整理)路由器与交换机的工作原理

路由器与交换机的工作原理 计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起，它们之间并不能进行通信，那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时，就已经暗示这些相互连接的计算机是可以进行通信的，也就是说，从功能上和逻辑上看，这些计算机网络已经组成了一个大型的计算机网络，或称为互联网络，也可简称为互联网、互连网。 将网络互相连接起来要使用一些中间设备（或中间系统），ISO的术语称之为中继（relay）系统。根据中继系统所在的层次，可以有以下五种中继系统： 1.物理层（即常说的第一层、层L1）中继系统，即转发器（repeater）。 2.数据链路层（即第二层，层L2），即网桥或桥接器（bridge）。 3.网络层（第三层，层L3）中继系统，即路由器（router）。 4.网桥和路由器的混合物桥路器（brouter）兼有网桥和路由器的功能。 5.在网络层以上的中继系统，即网关（gateway）. 当中继系统是转发器时，一般不称之为网络互联，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。高层网关由于比较复杂，目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。 2 交换机和路由器 “交换”是今天网络里出现频率最高的一个词，从桥接到路由到ATM直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备；而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。 我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。

网络嗅探器的设计与实现论文总结

目录 1 引言 (1) 1.1 开发背景 (1) 1.2 开发意义 (1) 2 系统分析 (2) 2.1 设计概述 (2) 2.1.1 实现目标 (2) 2.1.2 开发环境 (2) 2.2 开发相关技术简介 (2) 2.2.1 C#语言简介 (2) 2.2.2 嗅探技术简介 (3) 2.2.3 TCP/IP协议 (4) 2.2.4 数据包简介 (6) 2.3 可行性分析 (8) 3 详细设计 (9) 3.1 设计原理 (9) 3.2 功能说明 (12) 3.3 系统实施 (12) 3.4 系统测试 (14) 4 论文总结 (19) 5 参考文献 (20) 6 致谢 (21)

1 引言 1.1 开发背景 随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。[1] 1.2 开发意义 本次毕业设计是基于C#的网络嗅探器的设计与实现，由于本人能力上的限度，只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说，要想有效地利用它、防范它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对大学四年的学以致用，不断提高自我的一种有效途径。

路由器、交换机、集线器的异同点简介

集线器,路由器，交换机的作用和区别是什么?如何区分交换 机,集线器,路由器? 号称网络硬件三剑客的集线器（Hub）、交换机（Switch）与路由器（Router）一直都是网络界的活跃分子，但让很多初入网络之门的菜鸟恼火的是，它们三者不仅外观相似，而且经常呆在一起，要想分清谁是谁，感觉有点难!就让我们一起来看看它们之间有什么区别和联系吧! 三剑客的工作原理 一、集线器 1.什么是集线器 在认识集线器之前，必须先了解一下中继器。在我们接触到的网络中，最简单的就是两台电脑通过两块网卡构成“双机互连”，两块网卡之间一般是由非屏蔽双绞线来充当信号线的。由于双绞线在传输信号时信号功率会逐渐衰减，当信号衰减到一定程度时将造成信号失真，因此在保证信号质量的前提下，双绞线的最大传输距离为100米。当两台电脑之间的距离超过100米时，为了实现双机互连，人们便在这两台电脑之间安装一个“中继器”，它的作用就是将已经衰减得不完整的信号经过整理，重新产生出完整的信号再继续传送。中继器就是普通集线器的前身，集线器实际就是一种多端口的中继器。集线器一般有4、8、16、24、32等数量的RJ45接口，通过这些接口，集线器便能为相应数量的电脑完成“中继”功能。由于它在网络中处于一种“中心”位置，因此集线器也叫做“Hub”。 2.集线器的工作原理 集线器的工作原理很简单，以图2为例，图中是一个具备8个端口的集线器，共连接了8台电脑。集线器处于网络的“中心”，通过集线器对信号进行转发，8台电脑之间可以互连互通。具体通信过程是这样的：假如计算机1要将一条信息发送给计算机8，当计算机1的网卡将信息通过双绞线送到集线器上时，集线器并不会直接将信息送给计算机8，它会将信息进行“广播”--将信息同时发送给8个端口，当8个端口上的计算机接收到这条广播信息时，会对信息进行检查，如果发现该信息是发给自己的，则接收，否则不予理睬。由于该信息是计算机1发给计算机8的，因此最终计算机8会接收该信息，而其它7台电脑看完信息后，会因为信息不是自己的而不接收该信息。 3.集线器的特点 1）共享带宽 集线器的带宽是指它通信时能够达到的最大速度。目前市面上用于中小型局域网的集线器主要有10Mbps、100Mbps和10/100Mbps自适应三种。 10Mb带宽的集线器的传输速度最大为10Mbps，即使与它连接的计算机使用的是100Mbps 网卡，在传输数据时速度仍然只有10Mbps。10/100Mbps自适应集线器能够根据与端口相连的网卡速度自动调整带宽，当与10Mbps的网卡相连时，其带宽为10Mb；与100Mbps的网卡相连时，其带宽为100Mb，因此这种集线器也叫做“双速集线器”。 集线器是一种“共享”设备，集线器本身不能识别目的地址，当同一局域网内的A主机给B 主机传输数据时，数据包在以集线器为架构的网络上是以广播方式传输的，由每一台终端通

交换机和路由器配置技术

交换机和路由器配置技术 一、交换机基本配置 实验目的： 掌握交换机命令行各种操作模式的区别，以及模式之间的切换。 技术原理： 交换机的管理方式基本分为两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络接口，其特点是需要使用配置线缆，近距离配置。第一次配置交换机时必须利用Console端口进行配置。 交换机的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式、端口模式等几种： 用户模式进入交换机后得到的第一个操作模式，该模式下可以简单查看交换机的软、硬件版本信息，并进行简单的测试。用户模式提示符为switch> 特权模式由用户模式进入的下一级模式，该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。特权模式提示符为 switch# 端口模式属于全局模式的下一级模式，该模式下可以对交换机的端口进行参数配置。端口模式提示符为switch（config-if）# Exit命令是退回到上一级操作模式。 End命令是指用户从特权模式以下级别直接返回到特权模式。 交换机命令行支持获取帮助信息、命令的简写、命令的自动补齐、快捷键功能。 实验功能： 熟练掌握交换机的命令行操作模式。 实验设备： S2126G（1台） 实验步骤： 步骤1.交换机命令行操作模式的进入 S2126G-1>en 14 ！进入特权模式 Password: ruijie S2126G-1#configure terminal ！进入全局配置模式 S2126G-1(config)# S2126G-1(config)#interface fastEthernet 0/5 ！进入交换机F0/5的接口模式 S2126G-1(config-if)# S2126G-1(config-if)#exit ！退回到上一级操作模式 S2126G-1(config)# S2126G-1(config)#end ！直接退回到特权模式 S2126G-1# S2126G-1#exit ！退出特权模式 Press RETURN to get started! 步骤2.交换机命令行基本功能 ?帮助信息 S2126G-1>? ！显示当前模式下所有可执行的命令 disable Turn off privileged commands enable Turn on privileged commands