第三章網(wǎng)絡(luò)嗅探第三章網(wǎng)絡(luò)嗅探3.1嗅探器概述嗅探器（Sniffer）是一種在網(wǎng)絡(luò)上常用的收集有用信息的軟件，可以用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)嗅探的方式來(lái)進(jìn)行攻擊，分析出用戶(hù)敏感的數(shù)據(jù)，例如用戶(hù)的賬號(hào)、密碼，或者是一些商用機(jī)密數(shù)據(jù)等。我們經(jīng)常使用的FTP、Telent、SMTP、POP協(xié)議等都采用明文來(lái)傳輸數(shù)據(jù)。嗅探器攻擊也是在網(wǎng)絡(luò)環(huán)境中非常普遍的攻擊類(lèi)型之一。

3.1嗅探器概述嗅探器（Sniffer）是一種在網(wǎng)絡(luò)上常3.1嗅探器概述嗅探器的定義Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。一部電話(huà)上的竊聽(tīng)裝置,可以用來(lái)竊聽(tīng)雙方通話(huà)的內(nèi)容，而嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)。后者的目的就是為了破環(huán)信息安全中的保密性，即越是不想讓我知道的內(nèi)容我就一定要知道。計(jì)算機(jī)直接傳送的數(shù)據(jù)，事實(shí)上是大量的二進(jìn)制數(shù)據(jù)。那么，嗅探器是怎樣能夠聽(tīng)到在網(wǎng)絡(luò)線(xiàn)路上邊傳送的二進(jìn)制數(shù)據(jù)信號(hào)呢？可不可以在一臺(tái)普通的PC機(jī)上邊就可以很好的運(yùn)作起來(lái)完成嗅探任務(wù)呢？3.1嗅探器概述嗅探器的定義計(jì)算機(jī)直接傳送的數(shù)據(jù)，事實(shí)上是3.1嗅探器概述嗅探器必須也使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分析嗅探到的數(shù)據(jù)，也就是說(shuō)嗅探器必須能夠識(shí)別出哪個(gè)協(xié)議對(duì)應(yīng)于這個(gè)數(shù)據(jù)片斷，只有這樣才能夠進(jìn)行正確的解碼。其次，嗅探器能夠捕獲的通信數(shù)據(jù)量與網(wǎng)絡(luò)以及網(wǎng)絡(luò)設(shè)備的工作方式是密切相關(guān)的。3.1嗅探器概述嗅探器必須也使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分析嗅探到3.1嗅探器概述局域網(wǎng)介質(zhì)訪(fǎng)問(wèn)控制方法共享式局域網(wǎng)共享式局域網(wǎng)的典型設(shè)備是集線(xiàn)器（Hub）該設(shè)備把一個(gè)端口接收的信號(hào)向所有其它端口分發(fā)出去。

Hub連接形成LAN

經(jīng)過(guò)3個(gè)Hub串聯(lián)形成的局域網(wǎng)，當(dāng)主機(jī)A需要與主機(jī)E通信時(shí)，A所發(fā)送的數(shù)據(jù)報(bào)通過(guò)Hub的時(shí)候就會(huì)向所有與之相連的端口轉(zhuǎn)發(fā)。在一般情況下，不僅主機(jī)E可以收到數(shù)據(jù)報(bào)，其余的主機(jī)也都能夠收到該數(shù)據(jù)包3.1嗅探器概述局域網(wǎng)介質(zhì)訪(fǎng)問(wèn)控制方法經(jīng)過(guò)3個(gè)Hub串聯(lián)3.1嗅探器概述交換式局域網(wǎng)典型設(shè)備是交換機(jī)（Switch）該設(shè)備引入了交換的概念，是對(duì)共享式的一個(gè)升級(jí)，能夠通過(guò)檢查數(shù)據(jù)包中的目標(biāo)物理地址來(lái)選擇目標(biāo)端口，從而將數(shù)據(jù)只轉(zhuǎn)發(fā)到與該目標(biāo)端口相連的主機(jī)或設(shè)備中。上頁(yè)描述的網(wǎng)絡(luò)，如轉(zhuǎn)發(fā)設(shè)備都采用Switch，那么只有主機(jī)E會(huì)正常收到主機(jī)A發(fā)送的數(shù)據(jù)，而其余的主機(jī)都不能接收到。3.1嗅探器概述交換式局域網(wǎng)3.1嗅探器概述共享式局域網(wǎng)存在的主要問(wèn)題是每個(gè)用戶(hù)的實(shí)際可用帶寬隨網(wǎng)絡(luò)用戶(hù)數(shù)的增加而遞減。這是因?yàn)樗械挠脩?hù)都通過(guò)一條共同的通道講話(huà)，如果兩個(gè)用戶(hù)同時(shí)說(shuō)話(huà)必然會(huì)造成相互的干擾，數(shù)據(jù)產(chǎn)生碰撞而出錯(cuò)。而在交換式局域網(wǎng)中，交換機(jī)供給每個(gè)用戶(hù)專(zhuān)用的信息通道，除非兩個(gè)源端口企圖將信息同時(shí)發(fā)往同一目的端口，否則各個(gè)源端口與各自的目的端口之間可同時(shí)進(jìn)行通信而不發(fā)生沖突。對(duì)于兩種結(jié)構(gòu)的網(wǎng)絡(luò)，前者相對(duì)來(lái)說(shuō)易于竊聽(tīng)，而后者需要用更為復(fù)雜的技術(shù)才能實(shí)現(xiàn)。嗅探器只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，就是說(shuō)，你和監(jiān)聽(tīng)的目標(biāo)中間不能有路由或其他屏蔽廣播包的設(shè)備。因此，對(duì)一般撥號(hào)上網(wǎng)的用戶(hù)來(lái)說(shuō)，是不可能利用嗅探器來(lái)竊聽(tīng)到其他人的通信內(nèi)容的。3.1嗅探器概述共享式局域網(wǎng)存在的主要問(wèn)題是每個(gè)用戶(hù)的實(shí)際3.1嗅探器概述嗅探器分為軟件和硬件兩種軟件的嗅探器：NetXray、Packetboy、Netmonitor等，優(yōu)點(diǎn)是物美價(jià)廉，易于學(xué)習(xí)使用，同時(shí)也易于交流缺點(diǎn)是無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無(wú)法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況硬件的Sniffer通常稱(chēng)為協(xié)議分析儀一般都是商業(yè)性的，價(jià)格也比較貴目前主要使用的嗅探器是軟件的。3.1嗅探器概述嗅探器分為軟件和硬件兩種3.1嗅探器概述MAC地址48bit固化在網(wǎng)卡EPROM中的，且應(yīng)該保證在全網(wǎng)是唯一的IEEE注冊(cè)委員會(huì)為每一個(gè)生產(chǎn)廠(chǎng)商分配物理地址的前三字節(jié)，即公司標(biāo)識(shí)后面三字節(jié)由廠(chǎng)商自行分配，即一個(gè)廠(chǎng)商獲得一個(gè)前三字節(jié)的地址可以生產(chǎn)的網(wǎng)卡數(shù)量是16777216塊3.1嗅探器概述MAC地址3.1嗅探器概述正常模式當(dāng)網(wǎng)卡處于正常的工作模式時(shí)，主機(jī)A收到一幀數(shù)據(jù)后，網(wǎng)卡會(huì)直接將自己的地址與接收幀目的地址比較，以決定是否接收。如果匹配成功接收，網(wǎng)卡通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理；如果匹配不成功則拋棄。也就是說(shuō)，即使是共享式的網(wǎng)絡(luò)，雖然所有網(wǎng)絡(luò)上的主機(jī)都能夠“聽(tīng)到”全部通過(guò)的流量，但如果不是發(fā)給本機(jī)的數(shù)據(jù)，我會(huì)主動(dòng)的拋棄，而不會(huì)響應(yīng)。就是利用這個(gè)原理，可以保證在局域網(wǎng)范圍內(nèi)可以有序的接收和發(fā)送數(shù)據(jù)。通常，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該可以響應(yīng)兩種數(shù)據(jù)幀幀的目標(biāo)物理地址和本地網(wǎng)卡相同幀的目標(biāo)區(qū)域?yàn)閺V播地址（48bit全部為1，即FF-FF-FF-FF-FF-FF）。3.1嗅探器概述正常模式3.1嗅探器概述混雜模式Sniffer通過(guò)將網(wǎng)卡的工作模式由正常改變?yōu)榛祀s（promiscuous），就可以對(duì)所有聽(tīng)到的數(shù)據(jù)幀都產(chǎn)生一個(gè)硬件中斷以提交給主機(jī)進(jìn)行處理。如前所述，網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無(wú)關(guān)的數(shù)據(jù)包。所以，為了繞過(guò)標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為混雜模式。一般情況下，要激活這種方式，內(nèi)核必須需要root權(quán)限來(lái)運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶(hù)的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼。目前，絕大多數(shù)的網(wǎng)卡都可以被設(shè)置成混雜的工作方式sniffer是極其安靜的，它是一種被動(dòng)的安全攻擊。3.1嗅探器概述混雜模式3.2交換式網(wǎng)絡(luò)上的嗅探交換式網(wǎng)絡(luò)中，理論上只有目的主機(jī)能夠收到該數(shù)據(jù)包，無(wú)關(guān)的主機(jī)是收不到的，無(wú)法進(jìn)行傳統(tǒng)的嗅探如果采用一些專(zhuān)用的手段，在交換式網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)嗅探也是可能的ARP欺騙交換機(jī)MAC地址表溢出MAC地址偽造ICMP重定向攻擊3.2交換式網(wǎng)絡(luò)上的嗅探交換式網(wǎng)絡(luò)中，理論上只有目的主機(jī)3.2交換式網(wǎng)絡(luò)上的嗅探ARP欺騙ARP是一種將IP地址轉(zhuǎn)化成物理MAC地址的協(xié)議，通過(guò)查找ARP緩存表來(lái)實(shí)現(xiàn)轉(zhuǎn)化計(jì)算機(jī)中維護(hù)著一個(gè)ARP高速緩存，并且這個(gè)ARP高速緩存是隨著計(jì)算機(jī)不斷的發(fā)出ARP請(qǐng)求和收到ARP響應(yīng)而不斷的更新在每張ARP高速緩存表中，都包含了所在局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射，這些都是該主機(jī)目前知道的一些地址在Windows中要查看或者修改ARP緩存中的信息，可以命令提示符窗口中鍵入“arp-a”命令查看ARP緩存表的內(nèi)容3.2交換式網(wǎng)絡(luò)上的嗅探ARP欺騙3.2交換式網(wǎng)絡(luò)上的嗅探ARP協(xié)議工作過(guò)程ARP(AddressResolutionProtocol):是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議主機(jī)A在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組，想知道IP地址是IPX的主機(jī)的物理地址；在本局域網(wǎng)上的所有主機(jī)都會(huì)收到此ARP請(qǐng)求分組；主機(jī)X在A(yíng)RP請(qǐng)求分組中看到了自己的IP地址，就向主機(jī)A發(fā)送ARP響應(yīng)分組，并寫(xiě)入自己的物理地址；主機(jī)A從收到的主機(jī)X的ARP響應(yīng)分組中，就在其ARP高速緩存中寫(xiě)入主機(jī)X的硬件地址。3.2交換式網(wǎng)絡(luò)上的嗅探ARP協(xié)議工作過(guò)程3.2交換式網(wǎng)絡(luò)上的嗅探假設(shè)網(wǎng)絡(luò)中存在A(yíng)、B、C、D四臺(tái)主機(jī)，利用交換機(jī)連接。A主機(jī)的IP地址和MAC地址分別為IPA和MACAB主機(jī)的IP地址和MAC地址分別為IPB和MACBC主機(jī)的IP地址和MAC地址分別為IPC和MACC在沒(méi)有進(jìn)行ARP欺騙前，A和B正在通信，則主機(jī)A的ARP緩存表如表所示。3.2交換式網(wǎng)絡(luò)上的嗅探假設(shè)網(wǎng)絡(luò)中存在A(yíng)、B、C、D四臺(tái)主3.2交換式網(wǎng)絡(luò)上的嗅探惡意主機(jī)C試圖獲得A與B之間的通信，采用ARP欺騙攻擊。首先，C向A發(fā)送一個(gè)ARP響應(yīng)分組，含義是IPB對(duì)應(yīng)的主機(jī)的MAC地址是MACC（即修改了源IP地址，未修改MAC地址，所以A收到的數(shù)據(jù)包其來(lái)源為C的MAC地址），A不會(huì)驗(yàn)證此包的正確性，于是A更新其ARP緩存表所示。3.2交換式網(wǎng)絡(luò)上的嗅探惡意主機(jī)C試圖獲得A與B之間的通信3.2交換式網(wǎng)絡(luò)上的嗅探這時(shí)，A向B發(fā)送的消息全部發(fā)給了C。如果C同時(shí)用同樣的方法欺騙B，使其ARP表項(xiàng)關(guān)于A(yíng)對(duì)應(yīng)的MAC地址更新為MACC，并且在C上做好數(shù)據(jù)包的轉(zhuǎn)發(fā)，使得A和B借助C仍然能互相通信，不過(guò)速度會(huì)變慢。這樣，在C上監(jiān)聽(tīng)A和B之間的通信將輕而易舉，而主機(jī)A和B根本不知道主機(jī)C竊聽(tīng)了他們之間的通信。如果欺騙的是整個(gè)網(wǎng)絡(luò)，只需要發(fā)送ARP-Echo的廣播包，偽造包的目的MAC地址改為FF:FF:FF:FF:FF:FF（廣播地址）；目的IP地址改為FF:FF:FFLFF（廣播地址）；源IP地址改為網(wǎng)關(guān)的IP，源MAC地址仍為本機(jī)地址。類(lèi)似地，同時(shí)欺騙網(wǎng)關(guān)，并做好數(shù)據(jù)包的轉(zhuǎn)發(fā)，就能實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)聽(tīng)。3.2交換式網(wǎng)絡(luò)上的嗅探這時(shí)，A向B發(fā)送的消息全部發(fā)給了3.2交換式網(wǎng)絡(luò)上的嗅探交換機(jī)MAC地址表溢出交換機(jī)之所以能夠由數(shù)據(jù)包中目的MAC地址判斷出他應(yīng)該把數(shù)據(jù)包發(fā)送到那一個(gè)端口上，是根據(jù)他本身維護(hù)的一張地址表—轉(zhuǎn)發(fā)表。交換機(jī)有個(gè)致命的弱點(diǎn)，地址表的大小是有上限的，可以通過(guò)發(fā)送大量錯(cuò)誤的地址信息而使SWITCH維護(hù)的地址表“溢出”。當(dāng)交換機(jī)被錯(cuò)誤的轉(zhuǎn)發(fā)表填滿(mǎn)后，不能進(jìn)行正常的數(shù)據(jù)包的端到端轉(zhuǎn)發(fā)，交換機(jī)為了不漏掉數(shù)據(jù)包，會(huì)采取廣播的方式將所有的數(shù)據(jù)包轉(zhuǎn)發(fā)出去。此時(shí)相當(dāng)于集線(xiàn)器的功能，網(wǎng)絡(luò)也變成了共享式，在任一臺(tái)計(jì)算機(jī)上都可以監(jiān)聽(tīng)到整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包。3.2交換式網(wǎng)絡(luò)上的嗅探交換機(jī)MAC地址表溢出3.2交換式網(wǎng)絡(luò)上的嗅探MAC地址偽造基于網(wǎng)絡(luò)內(nèi)的Switch是動(dòng)態(tài)更新其轉(zhuǎn)發(fā)表，和ARP欺騙有些類(lèi)似，只不過(guò)現(xiàn)在想要Switch相信你，而不是要機(jī)器A相信你。Switch是動(dòng)態(tài)更新其轉(zhuǎn)發(fā)表的，要做的事情就是告訴Switch你是機(jī)器C。例如有三臺(tái)主機(jī)A、B、C，其中MACA對(duì)應(yīng)端口P1，其中MACB對(duì)應(yīng)端口P2，其中MACC應(yīng)端口P3?，F(xiàn)在惡意主機(jī)C向A發(fā)送數(shù)據(jù)幀，并更改源地址為MACB

。這樣，Switch收到數(shù)據(jù)幀后，就會(huì)發(fā)現(xiàn)從來(lái)自MACB的數(shù)據(jù)是從端口P3轉(zhuǎn)發(fā)的，與原先對(duì)應(yīng)的P2矛盾。Switch更新轉(zhuǎn)發(fā)表采用牛奶策略，即新來(lái)的包比原先的包重要，因而將MACB與端口P3對(duì)應(yīng)起來(lái)。這樣，所有發(fā)往MACB的數(shù)據(jù)是就都會(huì)從端口P3轉(zhuǎn)發(fā)至主機(jī)C了。此時(shí)如果主機(jī)B向外發(fā)送數(shù)據(jù)就會(huì)使Switch更新轉(zhuǎn)發(fā)表。要達(dá)到一直欺騙的效果，主機(jī)C要不停地向Switch發(fā)送偽造數(shù)據(jù)包來(lái)阻止其更新表項(xiàng)，這將造成主機(jī)B不能向外通信。3.2交換式網(wǎng)絡(luò)上的嗅探MAC地址偽造3.2交換式網(wǎng)絡(luò)上的嗅探ICMP是（InternetControlMessageProtocol）Internet控制報(bào)文協(xié)議。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用3.2交換式網(wǎng)絡(luò)上的嗅探ICMP是（InternetCo3.2交換式網(wǎng)絡(luò)上的嗅探ICMP重定向攻擊告訴機(jī)器向另一個(gè)不同的路由發(fā)送他的數(shù)據(jù)包假設(shè)A與B兩臺(tái)機(jī)器分別位于同一個(gè)物理網(wǎng)段內(nèi)的兩個(gè)邏輯子網(wǎng)內(nèi)，而A和B都不知道這一點(diǎn)，只有路由器知道。當(dāng)A發(fā)送給B的數(shù)據(jù)到達(dá)路由器的時(shí)候，路由器會(huì)向A送一個(gè)ICMP重定向包，告訴A直接送到B那里就可以了。除了路由器，主機(jī)必須服從ICMP重定向。設(shè)想一下，一個(gè)攻擊者完全可以利用這一點(diǎn)，向網(wǎng)絡(luò)中的另一臺(tái)機(jī)器發(fā)送了一個(gè)ICMP重定向消息，這就可能引起其他機(jī)器具有一張無(wú)效的路由表。如果一臺(tái)機(jī)器偽裝成路由器截獲所有到某些目標(biāo)網(wǎng)絡(luò)或全部目標(biāo)網(wǎng)絡(luò)的IP數(shù)據(jù)包，就可以形成了竊聽(tīng)。目前基于ICMP重定向的技術(shù)都是停留在理論上的論述，沒(méi)有相關(guān)的具體攻擊實(shí)例和源程序。3.2交換式網(wǎng)絡(luò)上的嗅探ICMP重定向攻擊3.3簡(jiǎn)易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)3.3簡(jiǎn)易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)3.4嗅探器的檢測(cè)與防范ARP廣播地址探測(cè)正常情況下，就是說(shuō)不在混亂模式，網(wǎng)卡檢測(cè)是不是廣播地址要比較收到的目的以太網(wǎng)址是否等于FF-FF-FF-FF-FF-FF，是則認(rèn)為是廣播地址。在混亂模式時(shí)，網(wǎng)卡檢測(cè)是不是廣播地址只看收到包的目的以太網(wǎng)址的第一個(gè)八位組值，是0xFF則認(rèn)為是廣播地址。只要發(fā)一個(gè)目的地址是FF-00-00-00-00-00的ARP包，如果某臺(tái)主機(jī)以自己的MAC地址回應(yīng)這個(gè)包,那么它運(yùn)行在混雜模式下。3.4嗅探器的檢測(cè)與防范ARP廣播地址探測(cè)3.4嗅探器的檢測(cè)與防范PING方法假設(shè)可疑主機(jī)的IP地址為0.,MAC地址是AA-BB-CC-DD-EE-EE,檢測(cè)者和可疑主機(jī)位于同一網(wǎng)段。稍微改動(dòng)可疑主機(jī)的MAC地址,假設(shè)改成AA-BB-CC-DD-EE-EF。向可疑主機(jī)發(fā)送一個(gè)PING包,包含它的IP和改動(dòng)后的MAC地址。沒(méi)有運(yùn)行嗅探器的主機(jī)將忽略該幀,不產(chǎn)生回應(yīng)。如果看到回應(yīng),那么說(shuō)明可疑主機(jī)確實(shí)在運(yùn)行嗅探器程序。3.4嗅探器的檢測(cè)與防范PING方法3.4嗅探器的檢測(cè)與防范DNS方法檢測(cè)者需要監(jiān)聽(tīng)DNS服務(wù)器接收到的反向域名查詢(xún)數(shù)據(jù)。只要PING網(wǎng)內(nèi)所有并不存在的主機(jī),那么對(duì)這些地址進(jìn)行反向查詢(xún)的機(jī)器就是在查詢(xún)包中所包含的IP地址,也就是說(shuō)在運(yùn)行嗅探器程序源路徑方法設(shè)A為可疑主機(jī)，B為檢測(cè)主機(jī)，C為同一網(wǎng)段的另一臺(tái)主機(jī)，C不具有轉(zhuǎn)發(fā)功能。B發(fā)送數(shù)據(jù)給A，設(shè)置為必須經(jīng)過(guò)C。如果能接收到數(shù)據(jù)的響應(yīng)信息，那么查看TTL值域，如果不變，說(shuō)明A運(yùn)行嗅探器程序。分析B發(fā)給A的數(shù)據(jù)事實(shí)上發(fā)給C，由于C不具有轉(zhuǎn)發(fā)功能，所以數(shù)據(jù)不能到達(dá)A。但是由于A(yíng)運(yùn)行了嗅探器程序，所以才能接收到數(shù)據(jù)。3.4嗅探器的檢測(cè)與防范DNS方法3.4嗅探器的檢測(cè)與防范誘騙方法在網(wǎng)絡(luò)上建立一個(gè)客戶(hù)端和一個(gè)服務(wù)端。客戶(hù)端運(yùn)行一個(gè)腳本程序，使用Telnet，POP，IMAP或其他協(xié)議登錄到服務(wù)器。服務(wù)器配置一些沒(méi)有實(shí)際權(quán)限的帳戶(hù)，或者就是完全虛擬的。一旦黑客竊取口令，他將試圖用這些信息登錄。那么標(biāo)準(zhǔn)的入侵檢測(cè)系統(tǒng)或?qū)徲?jì)程序?qū)⒂涗涍@些信息，從而發(fā)出警告。網(wǎng)絡(luò)帶寬出現(xiàn)反常通過(guò)某些帶寬控制器，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。應(yīng)該也可以察覺(jué)出網(wǎng)絡(luò)通訊速度的變化。3.4嗅探器的檢測(cè)與防范誘騙方法3.4嗅探器的檢測(cè)與防范網(wǎng)絡(luò)通訊丟包率高通過(guò)一些網(wǎng)管軟件，可以看到信息包傳送情況，最簡(jiǎn)單是PING命令。它會(huì)告訴你掉了百分之多少的包。如果網(wǎng)絡(luò)結(jié)構(gòu)正常，而又有20%-30%數(shù)據(jù)包丟失以致數(shù)據(jù)包無(wú)法順暢的流到目的地，就有可能有人在監(jiān)聽(tīng)，這是由于嗅探器攔截?cái)?shù)據(jù)包導(dǎo)致的。等待時(shí)間方法在網(wǎng)絡(luò)中發(fā)送大量數(shù)據(jù)，這對(duì)設(shè)置在非混雜模式的機(jī)器沒(méi)有影響,但是對(duì)運(yùn)行嗅探器程序的機(jī)器有影響，特別是用于口令的語(yǔ)法分析應(yīng)用層協(xié)議。只要在未發(fā)送數(shù)據(jù)之前以及發(fā)送數(shù)據(jù)之后PING主機(jī)，對(duì)比兩次的響應(yīng)時(shí)間差別就可以檢測(cè)。這種方法很有效，不過(guò)可能明顯降低網(wǎng)絡(luò)性能。3.4嗅探器的檢測(cè)與防范網(wǎng)絡(luò)通訊丟包率高3.4嗅探器的檢測(cè)與防范被動(dòng)的防御措施安全的拓?fù)浣Y(jié)構(gòu)會(huì)話(huà)加密用靜態(tài)的ARP或者IP－MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP－MAC對(duì)應(yīng)表重視重點(diǎn)區(qū)域的安全防范3.4嗅探器的檢測(cè)與防范被動(dòng)的防御措施3.5常用嗅探工具TcpdumpLibpcapSnifferProWireShark3.5常用嗅探工具Tcpdump第三章網(wǎng)絡(luò)嗅探第三章網(wǎng)絡(luò)嗅探3.1嗅探器概述嗅探器（Sniffer）是一種在網(wǎng)絡(luò)上常用的收集有用信息的軟件，可以用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)嗅探的方式來(lái)進(jìn)行攻擊，分析出用戶(hù)敏感的數(shù)據(jù)，例如用戶(hù)的賬號(hào)、密碼，或者是一些商用機(jī)密數(shù)據(jù)等。我們經(jīng)常使用的FTP、Telent、SMTP、POP協(xié)議等都采用明文來(lái)傳輸數(shù)據(jù)。嗅探器攻擊也是在網(wǎng)絡(luò)環(huán)境中非常普遍的攻擊類(lèi)型之一。

3.1嗅探器概述嗅探器（Sniffer）是一種在網(wǎng)絡(luò)上常3.1嗅探器概述嗅探器的定義Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。一部電話(huà)上的竊聽(tīng)裝置,可以用來(lái)竊聽(tīng)雙方通話(huà)的內(nèi)容，而嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)。后者的目的就是為了破環(huán)信息安全中的保密性，即越是不想讓我知道的內(nèi)容我就一定要知道。計(jì)算機(jī)直接傳送的數(shù)據(jù)，事實(shí)上是大量的二進(jìn)制數(shù)據(jù)。那么，嗅探器是怎樣能夠聽(tīng)到在網(wǎng)絡(luò)線(xiàn)路上邊傳送的二進(jìn)制數(shù)據(jù)信號(hào)呢？可不可以在一臺(tái)普通的PC機(jī)上邊就可以很好的運(yùn)作起來(lái)完成嗅探任務(wù)呢？3.1嗅探器概述嗅探器的定義計(jì)算機(jī)直接傳送的數(shù)據(jù)，事實(shí)上是3.1嗅探器概述嗅探器必須也使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分析嗅探到的數(shù)據(jù)，也就是說(shuō)嗅探器必須能夠識(shí)別出哪個(gè)協(xié)議對(duì)應(yīng)于這個(gè)數(shù)據(jù)片斷，只有這樣才能夠進(jìn)行正確的解碼。其次，嗅探器能夠捕獲的通信數(shù)據(jù)量與網(wǎng)絡(luò)以及網(wǎng)絡(luò)設(shè)備的工作方式是密切相關(guān)的。3.1嗅探器概述嗅探器必須也使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分析嗅探到3.1嗅探器概述局域網(wǎng)介質(zhì)訪(fǎng)問(wèn)控制方法共享式局域網(wǎng)共享式局域網(wǎng)的典型設(shè)備是集線(xiàn)器（Hub）該設(shè)備把一個(gè)端口接收的信號(hào)向所有其它端口分發(fā)出去。

Hub連接形成LAN

經(jīng)過(guò)3個(gè)Hub串聯(lián)形成的局域網(wǎng)，當(dāng)主機(jī)A需要與主機(jī)E通信時(shí)，A所發(fā)送的數(shù)據(jù)報(bào)通過(guò)Hub的時(shí)候就會(huì)向所有與之相連的端口轉(zhuǎn)發(fā)。在一般情況下，不僅主機(jī)E可以收到數(shù)據(jù)報(bào)，其余的主機(jī)也都能夠收到該數(shù)據(jù)包3.1嗅探器概述局域網(wǎng)介質(zhì)訪(fǎng)問(wèn)控制方法經(jīng)過(guò)3個(gè)Hub串聯(lián)3.1嗅探器概述交換式局域網(wǎng)典型設(shè)備是交換機(jī)（Switch）該設(shè)備引入了交換的概念，是對(duì)共享式的一個(gè)升級(jí)，能夠通過(guò)檢查數(shù)據(jù)包中的目標(biāo)物理地址來(lái)選擇目標(biāo)端口，從而將數(shù)據(jù)只轉(zhuǎn)發(fā)到與該目標(biāo)端口相連的主機(jī)或設(shè)備中。上頁(yè)描述的網(wǎng)絡(luò)，如轉(zhuǎn)發(fā)設(shè)備都采用Switch，那么只有主機(jī)E會(huì)正常收到主機(jī)A發(fā)送的數(shù)據(jù)，而其余的主機(jī)都不能接收到。3.1嗅探器概述交換式局域網(wǎng)3.1嗅探器概述共享式局域網(wǎng)存在的主要問(wèn)題是每個(gè)用戶(hù)的實(shí)際可用帶寬隨網(wǎng)絡(luò)用戶(hù)數(shù)的增加而遞減。這是因?yàn)樗械挠脩?hù)都通過(guò)一條共同的通道講話(huà)，如果兩個(gè)用戶(hù)同時(shí)說(shuō)話(huà)必然會(huì)造成相互的干擾，數(shù)據(jù)產(chǎn)生碰撞而出錯(cuò)。而在交換式局域網(wǎng)中，交換機(jī)供給每個(gè)用戶(hù)專(zhuān)用的信息通道，除非兩個(gè)源端口企圖將信息同時(shí)發(fā)往同一目的端口，否則各個(gè)源端口與各自的目的端口之間可同時(shí)進(jìn)行通信而不發(fā)生沖突。對(duì)于兩種結(jié)構(gòu)的網(wǎng)絡(luò)，前者相對(duì)來(lái)說(shuō)易于竊聽(tīng)，而后者需要用更為復(fù)雜的技術(shù)才能實(shí)現(xiàn)。嗅探器只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，就是說(shuō)，你和監(jiān)聽(tīng)的目標(biāo)中間不能有路由或其他屏蔽廣播包的設(shè)備。因此，對(duì)一般撥號(hào)上網(wǎng)的用戶(hù)來(lái)說(shuō)，是不可能利用嗅探器來(lái)竊聽(tīng)到其他人的通信內(nèi)容的。3.1嗅探器概述共享式局域網(wǎng)存在的主要問(wèn)題是每個(gè)用戶(hù)的實(shí)際3.1嗅探器概述嗅探器分為軟件和硬件兩種軟件的嗅探器：NetXray、Packetboy、Netmonitor等，優(yōu)點(diǎn)是物美價(jià)廉，易于學(xué)習(xí)使用，同時(shí)也易于交流缺點(diǎn)是無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無(wú)法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況硬件的Sniffer通常稱(chēng)為協(xié)議分析儀一般都是商業(yè)性的，價(jià)格也比較貴目前主要使用的嗅探器是軟件的。3.1嗅探器概述嗅探器分為軟件和硬件兩種3.1嗅探器概述MAC地址48bit固化在網(wǎng)卡EPROM中的，且應(yīng)該保證在全網(wǎng)是唯一的IEEE注冊(cè)委員會(huì)為每一個(gè)生產(chǎn)廠(chǎng)商分配物理地址的前三字節(jié)，即公司標(biāo)識(shí)后面三字節(jié)由廠(chǎng)商自行分配，即一個(gè)廠(chǎng)商獲得一個(gè)前三字節(jié)的地址可以生產(chǎn)的網(wǎng)卡數(shù)量是16777216塊3.1嗅探器概述MAC地址3.1嗅探器概述正常模式當(dāng)網(wǎng)卡處于正常的工作模式時(shí)，主機(jī)A收到一幀數(shù)據(jù)后，網(wǎng)卡會(huì)直接將自己的地址與接收幀目的地址比較，以決定是否接收。如果匹配成功接收，網(wǎng)卡通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理；如果匹配不成功則拋棄。也就是說(shuō)，即使是共享式的網(wǎng)絡(luò)，雖然所有網(wǎng)絡(luò)上的主機(jī)都能夠“聽(tīng)到”全部通過(guò)的流量，但如果不是發(fā)給本機(jī)的數(shù)據(jù)，我會(huì)主動(dòng)的拋棄，而不會(huì)響應(yīng)。就是利用這個(gè)原理，可以保證在局域網(wǎng)范圍內(nèi)可以有序的接收和發(fā)送數(shù)據(jù)。通常，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該可以響應(yīng)兩種數(shù)據(jù)幀幀的目標(biāo)物理地址和本地網(wǎng)卡相同幀的目標(biāo)區(qū)域?yàn)閺V播地址（48bit全部為1，即FF-FF-FF-FF-FF-FF）。3.1嗅探器概述正常模式3.1嗅探器概述混雜模式Sniffer通過(guò)將網(wǎng)卡的工作模式由正常改變?yōu)榛祀s（promiscuous），就可以對(duì)所有聽(tīng)到的數(shù)據(jù)幀都產(chǎn)生一個(gè)硬件中斷以提交給主機(jī)進(jìn)行處理。如前所述，網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無(wú)關(guān)的數(shù)據(jù)包。所以，為了繞過(guò)標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為混雜模式。一般情況下，要激活這種方式，內(nèi)核必須需要root權(quán)限來(lái)運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶(hù)的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼。目前，絕大多數(shù)的網(wǎng)卡都可以被設(shè)置成混雜的工作方式sniffer是極其安靜的，它是一種被動(dòng)的安全攻擊。3.1嗅探器概述混雜模式3.2交換式網(wǎng)絡(luò)上的嗅探交換式網(wǎng)絡(luò)中，理論上只有目的主機(jī)能夠收到該數(shù)據(jù)包，無(wú)關(guān)的主機(jī)是收不到的，無(wú)法進(jìn)行傳統(tǒng)的嗅探如果采用一些專(zhuān)用的手段，在交換式網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)嗅探也是可能的ARP欺騙交換機(jī)MAC地址表溢出MAC地址偽造ICMP重定向攻擊3.2交換式網(wǎng)絡(luò)上的嗅探交換式網(wǎng)絡(luò)中，理論上只有目的主機(jī)3.2交換式網(wǎng)絡(luò)上的嗅探ARP欺騙ARP是一種將IP地址轉(zhuǎn)化成物理MAC地址的協(xié)議，通過(guò)查找ARP緩存表來(lái)實(shí)現(xiàn)轉(zhuǎn)化計(jì)算機(jī)中維護(hù)著一個(gè)ARP高速緩存，并且這個(gè)ARP高速緩存是隨著計(jì)算機(jī)不斷的發(fā)出ARP請(qǐng)求和收到ARP響應(yīng)而不斷的更新在每張ARP高速緩存表中，都包含了所在局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射，這些都是該主機(jī)目前知道的一些地址在Windows中要查看或者修改ARP緩存中的信息，可以命令提示符窗口中鍵入“arp-a”命令查看ARP緩存表的內(nèi)容3.2交換式網(wǎng)絡(luò)上的嗅探ARP欺騙3.2交換式網(wǎng)絡(luò)上的嗅探ARP協(xié)議工作過(guò)程ARP(AddressResolutionProtocol):是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議主機(jī)A在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組，想知道IP地址是IPX的主機(jī)的物理地址；在本局域網(wǎng)上的所有主機(jī)都會(huì)收到此ARP請(qǐng)求分組；主機(jī)X在A(yíng)RP請(qǐng)求分組中看到了自己的IP地址，就向主機(jī)A發(fā)送ARP響應(yīng)分組，并寫(xiě)入自己的物理地址；主機(jī)A從收到的主機(jī)X的ARP響應(yīng)分組中，就在其ARP高速緩存中寫(xiě)入主機(jī)X的硬件地址。3.2交換式網(wǎng)絡(luò)上的嗅探ARP協(xié)議工作過(guò)程3.2交換式網(wǎng)絡(luò)上的嗅探假設(shè)網(wǎng)絡(luò)中存在A(yíng)、B、C、D四臺(tái)主機(jī)，利用交換機(jī)連接。A主機(jī)的IP地址和MAC地址分別為IPA和MACAB主機(jī)的IP地址和MAC地址分別為IPB和MACBC主機(jī)的IP地址和MAC地址分別為IPC和MACC在沒(méi)有進(jìn)行ARP欺騙前，A和B正在通信，則主機(jī)A的ARP緩存表如表所示。3.2交換式網(wǎng)絡(luò)上的嗅探假設(shè)網(wǎng)絡(luò)中存在A(yíng)、B、C、D四臺(tái)主3.2交換式網(wǎng)絡(luò)上的嗅探惡意主機(jī)C試圖獲得A與B之間的通信，采用ARP欺騙攻擊。首先，C向A發(fā)送一個(gè)ARP響應(yīng)分組，含義是IPB對(duì)應(yīng)的主機(jī)的MAC地址是MACC（即修改了源IP地址，未修改MAC地址，所以A收到的數(shù)據(jù)包其來(lái)源為C的MAC地址），A不會(huì)驗(yàn)證此包的正確性，于是A更新其ARP緩存表所示。3.2交換式網(wǎng)絡(luò)上的嗅探惡意主機(jī)C試圖獲得A與B之間的通信3.2交換式網(wǎng)絡(luò)上的嗅探這時(shí)，A向B發(fā)送的消息全部發(fā)給了C。如果C同時(shí)用同樣的方法欺騙B，使其ARP表項(xiàng)關(guān)于A(yíng)對(duì)應(yīng)的MAC地址更新為MACC，并且在C上做好數(shù)據(jù)包的轉(zhuǎn)發(fā)，使得A和B借助C仍然能互相通信，不過(guò)速度會(huì)變慢。這樣，在C上監(jiān)聽(tīng)A和B之間的通信將輕而易舉，而主機(jī)A和B根本不知道主機(jī)C竊聽(tīng)了他們之間的通信。如果欺騙的是整個(gè)網(wǎng)絡(luò)，只需要發(fā)送ARP-Echo的廣播包，偽造包的目的MAC地址改為FF:FF:FF:FF:FF:FF（廣播地址）；目的IP地址改為FF:FF:FFLFF（廣播地址）；源IP地址改為網(wǎng)關(guān)的IP，源MAC地址仍為本機(jī)地址。類(lèi)似地，同時(shí)欺騙網(wǎng)關(guān)，并做好數(shù)據(jù)包的轉(zhuǎn)發(fā)，就能實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)聽(tīng)。3.2交換式網(wǎng)絡(luò)上的嗅探這時(shí)，A向B發(fā)送的消息全部發(fā)給了3.2交換式網(wǎng)絡(luò)上的嗅探交換機(jī)MAC地址表溢出交換機(jī)之所以能夠由數(shù)據(jù)包中目的MAC地址判斷出他應(yīng)該把數(shù)據(jù)包發(fā)送到那一個(gè)端口上，是根據(jù)他本身維護(hù)的一張地址表—轉(zhuǎn)發(fā)表。交換機(jī)有個(gè)致命的弱點(diǎn)，地址表的大小是有上限的，可以通過(guò)發(fā)送大量錯(cuò)誤的地址信息而使SWITCH維護(hù)的地址表“溢出”。當(dāng)交換機(jī)被錯(cuò)誤的轉(zhuǎn)發(fā)表填滿(mǎn)后，不能進(jìn)行正常的數(shù)據(jù)包的端到端轉(zhuǎn)發(fā)，交換機(jī)為了不漏掉數(shù)據(jù)包，會(huì)采取廣播的方式將所有的數(shù)據(jù)包轉(zhuǎn)發(fā)出去。此時(shí)相當(dāng)于集線(xiàn)器的功能，網(wǎng)絡(luò)也變成了共享式，在任一臺(tái)計(jì)算機(jī)上都可以監(jiān)聽(tīng)到整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包。3.2交換式網(wǎng)絡(luò)上的嗅探交換機(jī)MAC地址表溢出3.2交換式網(wǎng)絡(luò)上的嗅探MAC地址偽造基于網(wǎng)絡(luò)內(nèi)的Switch是動(dòng)態(tài)更新其轉(zhuǎn)發(fā)表，和ARP欺騙有些類(lèi)似，只不過(guò)現(xiàn)在想要Switch相信你，而不是要機(jī)器A相信你。Switch是動(dòng)態(tài)更新其轉(zhuǎn)發(fā)表的，要做的事情就是告訴Switch你是機(jī)器C。例如有三臺(tái)主機(jī)A、B、C，其中MACA對(duì)應(yīng)端口P1，其中MACB對(duì)應(yīng)端口P2，其中MACC應(yīng)端口P3?，F(xiàn)在惡意主機(jī)C向A發(fā)送數(shù)據(jù)幀，并更改源地址為MACB

。這樣，Switch收到數(shù)據(jù)幀后，就會(huì)發(fā)現(xiàn)從來(lái)自MACB的數(shù)據(jù)是從端口P3轉(zhuǎn)發(fā)的，與原先對(duì)應(yīng)的P2矛盾。Switch更新轉(zhuǎn)發(fā)表采用牛奶策略，即新來(lái)的包比原先的包重要，因而將MACB與端口P3對(duì)應(yīng)起來(lái)。這樣，所有發(fā)往MACB的數(shù)據(jù)是就都會(huì)從端口P3轉(zhuǎn)發(fā)至主機(jī)C了。此時(shí)如果主機(jī)B向外發(fā)送數(shù)據(jù)就會(huì)使Switch更新轉(zhuǎn)發(fā)表。要達(dá)到一直欺騙的效果，主機(jī)C要不停地向Switch發(fā)送偽造數(shù)據(jù)包來(lái)阻止其更新表項(xiàng)，這將造成主機(jī)B不能向外通信。3.2交換式網(wǎng)絡(luò)上的嗅探MAC地址偽造3.2交換式網(wǎng)絡(luò)上的嗅探ICMP是（InternetControlMessageProtocol）Internet控制報(bào)文協(xié)議。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用3.2交換式網(wǎng)絡(luò)上的嗅探ICMP是（InternetCo3.2交換式網(wǎng)絡(luò)上的嗅探ICMP重定向攻擊告訴機(jī)器向另一個(gè)不同的路由發(fā)送他的數(shù)據(jù)包假設(shè)A與B兩臺(tái)機(jī)器分別位于同一個(gè)物理網(wǎng)段內(nèi)的兩個(gè)邏輯子網(wǎng)內(nèi)，而A和B都不知道這一點(diǎn)，只有路由器知道。當(dāng)A發(fā)送給B的數(shù)據(jù)到達(dá)路由器的時(shí)候，路由器會(huì)向A送一個(gè)ICMP重定向包，告訴A直接送到B那里就可以了。除了路由器，主機(jī)必須服從ICMP重定向。設(shè)想一下，一個(gè)攻擊者完全可以利用這一點(diǎn)，向網(wǎng)絡(luò)中的另一臺(tái)機(jī)器發(fā)送了一個(gè)ICMP重定向消息，這就可能引起其他機(jī)器具有一張無(wú)效的路由表。如果一臺(tái)機(jī)器偽裝成路由器截獲所有到某些目標(biāo)網(wǎng)絡(luò)或全部目標(biāo)網(wǎng)絡(luò)的IP數(shù)據(jù)包，就可以形成了竊聽(tīng)。目前基于ICMP重定向的技術(shù)都是停留在理論上的論述，沒(méi)有相關(guān)的具體攻擊實(shí)例和源程序。3.2交換式網(wǎng)絡(luò)上的嗅探ICMP重定向攻擊3.3簡(jiǎn)易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)3.3簡(jiǎn)易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)3.4嗅探器的檢測(cè)與防范ARP廣播地址探測(cè)正常情況下，就是說(shuō)不在混亂模式，網(wǎng)卡檢測(cè)是不是廣播地址要比較收到的目的以太網(wǎng)址是否等于FF-FF-FF-FF-FF-FF，是則認(rèn)為是廣播地址。在混亂模式時(shí)，網(wǎng)卡檢測(cè)是不是廣播地址只看收到包的目的以太網(wǎng)址的第一個(gè)八位組值，是0xFF則認(rèn)為是廣播地址。只要發(fā)一個(gè)目的地址是FF-00-00-0