SJ0201-2016版嗅探器的基礎(chǔ)知識與檢測前言這是我的一篇題為“關(guān)于基礎(chǔ)與檢測”的第一個版本。我試圖以一種非常簡單的方式解釋嗅探器是什么，它們是如何工作的，檢測嗅探器的方法，各種嗅探工具以及最后如何防范嗅探器。我寫這個文件的原因是當我開始嘗試嗅探，沒有一個全面地闡述過這一議題單個文檔。本文是一項正在進行的工作。我一直在添加材料，當用戶要求時。我打算再添加上一節(jié)使用本文中提到的各種嗅探工具。我很想聽到你的建議，特別是如果你想讓更多的細節(jié)被添加到本文檔中。是否有任何疑問/疑問，這篇文章不清楚？你想了解更多關(guān)于某個特定主題的信息嗎？如果是，請給我發(fā)郵件。如果可能的話，我很愿意聽你的話，幫助你。歡迎您的意見，建議和批評這篇文章。最后，這篇文章是獻給我的好朋友GVSKarthik（南葛我們過去在IIT稱呼他）。嗅探器：基礎(chǔ)與檢測“如果你認識敵人，了解你自己，你不必擔心一百場戰(zhàn)斗的結(jié)果。如果你認識自己，而不是敵人，因為每一次的勝利，你也會遭受失敗。如果你既不知道敵人，也不知道你自己，你就會屈服于每一場戰(zhàn)役。”簡介嗅探器是一個程序或一個設(shè)備，監(jiān)聽網(wǎng)絡(luò)上的流量通過抓住傳輸在網(wǎng)絡(luò)上的信息。嗅探器本質(zhì)上是“數(shù)據(jù)攔截技術(shù)。他們工作，是因為以太網(wǎng)是建立在一個共享的原則。大多數(shù)網(wǎng)絡(luò)使用廣播技術(shù)，其中一臺計算機上的消息可以通過另一臺計算機在網(wǎng)絡(luò)上讀取。在實踐中，除了有意義的消息，所有的其他計算機將忽略該消息。然而，即使不是他們的消息，計算機也可以接受信息。這是由一個嗅探手段完成的！許多人認為連接到一個交換機的計算機是安全的。沒有什么可以能遠離真相。連接到交換機和連接到集線器的計算機一樣容易受到攻擊。本文旨在探討嗅探器的話題，他們是如何工作的，檢測和保護你的資產(chǎn)，反對這些程序的惡意使用。最后，我們將討論一些常用的嗅探器。嗅探器的工作原理：連接到局域網(wǎng)的計算機有兩個地址。一種是媒體訪問控制（媒體訪問控制）地址，唯一標識網(wǎng)絡(luò)中的每個節(jié)點，并存儲在網(wǎng)絡(luò)卡本身。MAC地址由以太網(wǎng)所使用的協(xié)議，同時構(gòu)建“幀”從一臺機器傳輸數(shù)據(jù)。另一種則是應(yīng)用程序的地址。數(shù)據(jù)鏈路層使用一個以太網(wǎng)頭部和目標機器的MAC地址，而不是IP地址。網(wǎng)絡(luò)層負責將網(wǎng)絡(luò)地址映射到數(shù)據(jù)鏈路協(xié)議所要求的MAC地址。它最初是在一個表中的目標機器的MAC地址，通常稱為ARP（地址解析協(xié)議）緩存。如果沒有發(fā)現(xiàn)條目為IP地址，地址解析（ARP請求廣播請求包）網(wǎng)絡(luò)上所有的機器。該地址的機器與它的MAC地址的源程序響應(yīng)。這個MAC地址然后添加到源主機的ARP緩存。源主機在所有與目的地主機的通信，然后使用這個MAC地址。有兩種基本類型的以太網(wǎng)環(huán)境，嗅探器在這兩種情況下，工作稍有不同。共享以太網(wǎng)：在一個共享的以太網(wǎng)環(huán)境中，所有主機都連接到同一總線，并與另一個帶寬競爭。在這樣的環(huán)境中，一臺機器的數(shù)據(jù)包被所有其他機器接收。因此，當機器Venus（Comp1）想跟Cupid（Comp2）在這樣的環(huán)境中，它將與目的MAC地址的Cupid隨著自身的源MAC地址的網(wǎng)絡(luò)數(shù)據(jù)包。在共享式以太網(wǎng)的所有計算機（Comp3和COMP4）比較幀的目的MAC地址與自己的MAC地址，如果兩者不相匹配，則該幀被悄悄丟棄。一臺機器上運行一個嗅探器打破這個規(guī)則并接受所有幀。換句話說該機器已經(jīng)進入混雜模式能有效地監(jiān)聽網(wǎng)絡(luò)上的所有流量。在一個共享的以太網(wǎng)環(huán)境嗅探是完全被動的，因此很難檢測。圖1：共享以太網(wǎng)[從COMP1發(fā)出的數(shù)據(jù)包，目的指向COMP2，COMP3和COMP4也是被動接受的。但在正常情況下，他們拒絕的數(shù)據(jù)包的MAC地址不匹配他們的MAC地址。但如果這些電腦放在混雜模式，它能捕捉Comp1和Comp2之間的整個通信]交換式以太網(wǎng)：一個以太網(wǎng)環(huán)境，主機與主機相連通過交換機，而不是一個集線器被稱為交換式以太網(wǎng)。該交換機包含一個表保持跟蹤每個計算機的MAC地址和交換機上的物理端口，該MAC地址是發(fā)送數(shù)據(jù)包到特定的機器并連接。該交換機是一個智能設(shè)備，發(fā)送數(shù)據(jù)包到特定的計算機，并沒有廣播到所有機器上的網(wǎng)絡(luò)，正如以前那樣。這將導(dǎo)致更好地利用現(xiàn)有的帶寬并提高安全性。因此，處理前，將本機設(shè)置為混雜模式，收集包不工作。由于這一結(jié)果，甚至許多有經(jīng)驗的系統(tǒng)管理員都陷入了這樣的思考，即交換網(wǎng)絡(luò)是完全安全和免疫嗅探的?？杀氖牵@不是真的。圖2：交換網(wǎng)絡(luò)[在一個交換網(wǎng)絡(luò)，從Comp1發(fā)送到Comp2的包不被連接到其他連接到該交換機的終端接收。即使Comp3和Comp4在混雜模式，他們將不能夠看到Comp1和Comp2之間的通信。]雖然交換機比集線器更安全，但是以下的方法仍然可以用于對交換機進行監(jiān)聽：1．ARP欺騙：我們先前解釋ARP是如何用來獲取我們希望傳達MAC地址的目標機器。ARP協(xié)議是無狀態(tài)的，你甚至可以不要求這樣的答復(fù)將接受發(fā)送一個ARP應(yīng)答。最理想的是當你想嗅探從機器Venus的傳輸，你可以ARP欺騙網(wǎng)絡(luò)網(wǎng)關(guān)。Venus的ARP緩存將網(wǎng)關(guān)的一個錯誤的條目，稱之為中毒。這樣所有的傳輸都注定要作為網(wǎng)關(guān)通過你的機器。另一種方法，可以用來設(shè)置網(wǎng)關(guān)的MAC地址的主機ARP緩存FF:FF:FF:FF:FF:FF（也被稱為廣播MAC）。這是一個非常好的工具，自帶的dsniff套件對ARP欺騙有效。使用ARP欺騙中毒機器的ARP緩存是通過命令來完成：圖3：ARP欺騙命令這個-t參數(shù)指定我們希望侵害目標的ARP緩存，另一種說法是，我們希望欺騙網(wǎng)關(guān)的IP地址。因此，現(xiàn)在從目標機器的網(wǎng)關(guān)發(fā)出所有的數(shù)據(jù)都將不得不通過我們的機器。在你做這件事之前，你必須打開你的機器上的IP轉(zhuǎn)發(fā)。你可以通過命令來做這件事：圖4：開啟IP轉(zhuǎn)發(fā)命令如果cat命令返回值為1，則轉(zhuǎn)發(fā)已啟用，但如果返回0，則意味著未啟用網(wǎng)絡(luò)轉(zhuǎn)發(fā)。啟用IP轉(zhuǎn)發(fā)是很重要的，否則將致使網(wǎng)絡(luò)堵塞。注意：這樣的方法你可以嗅探從目標機器到網(wǎng)關(guān)的流量傳輸，但不能嗅探從網(wǎng)關(guān)到目標機器的流量傳輸。為了做到這一點，你也將需要侵毒網(wǎng)關(guān)的ARP緩存。鑒于網(wǎng)關(guān)機器的重要性，不少管理員通常安裝程序比如ARP監(jiān)測表檢測惡意活動。因此試圖毒害網(wǎng)關(guān)可能是有風險的。2．mac泛洪：交換機有一個翻譯表，該表將各種MAC地址映射到交換機的物理端口上。因此，它可以智能地路由數(shù)據(jù)包從一個主機到另一個主機。在這種工作狀態(tài)下的交換機有一個內(nèi)存的限制。MAC泛洪利用這種限制轟擊交換機假冒MAC地址直到交換機不能保持連接。交換機然后進入所謂的“failopen模式”，它開始作為一個樞紐，在整個網(wǎng)絡(luò)中廣播數(shù)據(jù)包到所有機器。一旦發(fā)生這種情況，可以很容易地進行嗅探。MAC泛洪可以使用macof附帶的dsniff套件的實用程序來執(zhí)行。圖5：Mac泛洪命令警告：這種方法可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的退化，不應(yīng)該運行一個很長的時間間隔。我們討論了目前的情況，包括惡意的未經(jīng)授權(quán)的用戶使用數(shù)據(jù)包嗅探器。如果你是網(wǎng)絡(luò)管理員，需要設(shè)置一些合法活動的嗅探器，可以連接網(wǎng)絡(luò)信息中心到交換機的端口。作為端口鏡像所有數(shù)據(jù)傳輸都流經(jīng)交換機，你不需要執(zhí)行類似的操作，如ARP欺騙或MAC泛洪截獲到其他機器的數(shù)據(jù)包。檢測嗅探器：嗅探器通常是被動的，它只是收集數(shù)據(jù)。因此它成為檢測嗅探器非常困難，尤其是在一個共享的以太網(wǎng)中運行時。但它是更容易實現(xiàn)，當嗅探功能在一個交換式以太網(wǎng)網(wǎng)段。被安裝在計算機上的時候，一個嗅探器會產(chǎn)生一些少量的流量。這里是一個概述的檢測方法：?Ping方法：這里所使用的技巧是發(fā)送一個ping請求到可疑機器的ip地址，但不是它的MAC地址。理想情況下，沒有人應(yīng)該看到這個數(shù)據(jù)包，因為每個以太網(wǎng)適配器會拒絕它，因為它不匹配它的MAC地址。但如果可疑機器運行嗅探器就可以，因為它不會拒絕數(shù)據(jù)包以不同的目的MAC地址的方式。這是一個古老的方法，但再也不可靠了。?ARP方法：機器緩存Arps。所以我們要做的是發(fā)送非廣播ARP。在混雜模式的機器將緩存你的地址。下一步我們發(fā)送一個廣播數(shù)據(jù)包與我們的IP，但伴隨不同的MAC地址。只有正確的MAC地址的主機能嗅探ARP幀并回應(yīng)我們的廣播ping請求。瞧！?本地主機：經(jīng)常在你的機器已被攻破后，黑客將停止嗅探，然后侵攻其他機器。在本地機器上運行ifconfig。在一個未攻破的機器上，輸出將是：圖6：正常運行ifconfig命令但在一臺機器上運行一個嗅探器輸出會略有不同。具體查看最后一行所提到的“運行promisc”。這意味著機器處于混雜模式，可能是一個嗅探器運行它。ifconfig命令的輸出被稍微修改來適應(yīng)屏幕。圖7：運行了嗅探器的ifconfig命令?延遲的方法：這種方法是基于這樣的假設(shè)：大多數(shù)嗅探器做一些解析。很簡單，在這種方法中，如果機器處于混雜模式，它將解析數(shù)據(jù)，增加它的負荷。因此，它需要額外的時間來回應(yīng)的ping包。這對響應(yīng)時間的差異可以作為一臺機器是否處于混雜模式的指示。值得注意的一點是，該數(shù)據(jù)包可能會被延遲，因為負載在導(dǎo)線上，導(dǎo)致假陽性。?ARP表：如前所述，嗅探在交換網(wǎng)絡(luò)的一種方法是ARP欺騙網(wǎng)關(guān)。一種稱為arpwatch可用于監(jiān)測機器的ARP高速緩存中是否有一個機器復(fù)制。如果有，可以觸發(fā)警報，導(dǎo)致檢測嗅探器。不幸的是，在網(wǎng)絡(luò)中DHCP的作用，這可能引發(fā)許多假警報。一個簡單的改變，可以是增加DHCP租約時間。這樣的方式，即使你的用戶在周末休息后回來，他們也會得到相同的IP地址，同時也會大大減少假警報的機會。?使用IDS：一定的入侵檢測系統(tǒng)，對ARP欺騙的網(wǎng)絡(luò)進行監(jiān)控。有一個開源的IDSSnort的實例存在ARP欺騙的預(yù)處理器能夠記錄數(shù)據(jù)包在網(wǎng)絡(luò)ARP地址欺騙。通常將IP/MAC配對是在snort.conf文件，對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進行匹配，每當有一個不匹配，它會產(chǎn)生一個警告。說實話，檢測嗅探器是不容易被發(fā)現(xiàn)的。基于C8051F單片機直流電動機反饋控制系統(tǒng)的設(shè)計與研究基于單片機的嵌入式Web服務(wù)器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試驗臺控制器的研制基于單片機的軟起動器的研究和設(shè)計基于單片機控制的高速快走絲電火花線切割機床短循環(huán)走絲方式研究基于單片機的機電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機的智能手機充電器基于單片機的實時內(nèi)核設(shè)計及其應(yīng)用研究基于單片機的遠程抄表系統(tǒng)的設(shè)計與研究基于單片機的煙氣二氧化硫濃度檢測儀的研制基于微型光譜儀的單片機系統(tǒng)單片機系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機的液體點滴速度自動檢測儀的研制基于單片機系統(tǒng)的多功能溫度測量儀的研制基于PIC單片機的電能采集終端的設(shè)計和應(yīng)用基于單片機的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機單片機控制系統(tǒng)的研制基于單片機的數(shù)字磁通門傳感器基于單片機的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機的多生理信號檢測儀基于單片機的電機運動控制系統(tǒng)設(shè)計Pico專用單片機核的可測性設(shè)計研究基于MCS-51單片機的熱量計基于雙單片機的智能遙測微型氣象站MCS-51單片機構(gòu)建機器人的實踐研究基于單片機的輪軌力檢測基于單片機的GPS定位儀的研究與實現(xiàn)基于單片機的電液伺服控制系統(tǒng)用于單片機系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機的時控和計數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機和CPLD的粗光柵位移測量系統(tǒng)研究單片機控制的后備式方波UPS提升高職學(xué)生單片機應(yīng)用能力的探究基于單片機控制的自動低頻減載裝置研究基于單片機控制的水下焊接電源的研究基于單片機的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機的氚表面污染測量儀的研制基于單片機的紅外測油儀的研究96系列單片機仿真器研究與設(shè)計基于單片機的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機的溫度智能控制系統(tǒng)的設(shè)計與實現(xiàn)基于MSP430單片機的電梯門機控制器的研制基于單片機的氣體測漏儀的研究基于三菱M16C/6N系列單片機的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機和DSP的變壓器油色譜在線監(jiān)測技術(shù)研究基于單片機的膛壁溫度報警系統(tǒng)設(shè)計基于AVR單片機的低壓無功補償控制器的設(shè)計基于單片機船舶電力推進電機監(jiān)測系統(tǒng)基于單片機網(wǎng)絡(luò)的振動信號的采集系統(tǒng)基于單片機的大容量數(shù)據(jù)存儲技術(shù)的應(yīng)用研究基于單片機的疊圖機研究與教學(xué)方法實踐基于單片機嵌入式Web服務(wù)器技術(shù)的研究及實現(xiàn)基于AT89S52單片機的通用數(shù)據(jù)采集系統(tǒng)基于單片機的多道脈沖幅度分析儀研究機器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機控制系統(tǒng)基于單片機的控制系統(tǒng)在PLC虛擬教學(xué)實驗中的應(yīng)用研究基于單片機系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機的莫爾斯碼自動譯碼系統(tǒng)設(shè)計與研究基于單片機的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機沖床數(shù)控系統(tǒng)的研究與開發(fā)基于Cygnal單片機的μC/OS-Ⅱ的研究基于單片機的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機與Internet互聯(lián)的研究與實現(xiàn)變頻調(diào)速液壓電梯單片機控制器的研究基于單片機γ-免疫計數(shù)器自動換樣功能的研究與實現(xiàn)基于單片機的倒立擺控制系統(tǒng)設(shè)計與實現(xiàn)單片機嵌入式以太網(wǎng)防盜報警系統(tǒng)基于51單片機的嵌入式Internet系統(tǒng)的設(shè)計與實現(xiàn)單片機監(jiān)測系統(tǒng)在擠壓機上的應(yīng)用MSP430單片機在智能水表系統(tǒng)上的研究與應(yīng)用基于單片機的嵌入式系統(tǒng)中TCP/IP協(xié)議棧的實現(xiàn)與應(yīng)用單片機在高樓恒壓供水系統(tǒng)中的應(yīng)用基于ATmega16單片機的流量控制器的開發(fā)基于MSP430單片機的遠程抄表系統(tǒng)及智能網(wǎng)絡(luò)水表的設(shè)計基于MSP430單片機具有數(shù)據(jù)存儲與回放功能的嵌入式電子血壓計的設(shè)計基于單片機的氨分解率檢測系統(tǒng)的研究與開發(fā)鍋爐的單片機控制系統(tǒng)基于單片機控制的電磁振動式播種控制系統(tǒng)的設(shè)計基于單片機技術(shù)的WDR-01型聚氨酯導(dǎo)熱系數(shù)測試儀的研制一種RISC結(jié)構(gòu)8位單片機