第三章

網(wǎng)絡(luò)嗅探主要內(nèi)容嗅探器簡介嗅探器工作原理交換式網(wǎng)絡(luò)嗅探簡易嗅探器的實現(xiàn)常用嗅探工具嗅探器簡介嗅探（Sniffer）技術(shù)是一種很重要的網(wǎng)絡(luò)安全攻防技術(shù)。對黑客來說，通過嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息，嗅探行為更難被察覺，也更容易操作。對安全管理人員來說，借助嗅探技術(shù)，可以對網(wǎng)絡(luò)活動進行實時監(jiān)控，并進行發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。嗅探器簡介嗅探器：最初是作為網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的一種工具，它既可以是軟件，又可以是一個硬件設(shè)備。軟件Sniffer應(yīng)用方便，針對不同的操作系統(tǒng)平臺都有多種不同的軟件Sniffer,而且很多都是免費的；硬件Sniffer

通常被稱作協(xié)議分析器，其價格一般都很高昂。?

載波偵聽/沖突檢測(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技術(shù)?

以太網(wǎng)采用了CSMA/CD技術(shù)，由于使用了廣播機制，所以，所有與共享式網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)。嗅探器的工作原理?

網(wǎng)卡的MAC地址(48位)

通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址?正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包

MAC地址與自己相匹配的數(shù)據(jù)幀

廣播包?

網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式

混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)?為了監(jiān)聽網(wǎng)絡(luò)上的流量，必須設(shè)置為混雜模式以太網(wǎng)卡的工作模式?

共享式網(wǎng)絡(luò)嗅探器的工作原理?

通過廣播方式實現(xiàn)一對一通信?

交換式網(wǎng)絡(luò)?

通過MAC—Port轉(zhuǎn)發(fā)表傳遞數(shù)據(jù)。嗅探器的工作原理?

如何實現(xiàn)嗅探？?

交換式網(wǎng)絡(luò)無法直接進行嗅探，需采用一些專門的手段1、ARP欺騙2、交換機MAC地址表溢出3、MAC地址偽造4、ICMP重定向交換式網(wǎng)絡(luò)上的嗅探A通過發(fā)送ARP請求報文給C，接收方C會進行應(yīng)答，發(fā)送方A會獲取C的IP-MAC映射關(guān)系，同時C也會存儲A的IP和MAC的映射關(guān)系。ARP是無狀態(tài)協(xié)議，A沒有發(fā)送請求報文，C可直接發(fā)送應(yīng)答報文給A，A會存儲/更新C的IP-MAC的映射關(guān)系。ARP欺騙B直接發(fā)送A應(yīng)答報文，但告訴A的是關(guān)于C的錯誤的IP-MAC的映射關(guān)系，IP是A的，MAC是C的。B直接發(fā)送A應(yīng)答報文，但告訴A的是關(guān)于C的錯誤的IP-MAC的映射關(guān)系，即IP地址是C的，但MAC地址是虛構(gòu)的。B直接發(fā)送A應(yīng)答報文，但告訴A的是關(guān)于C的錯誤的IP-MAC的映射關(guān)系，即IP地址是C的，但MAC地址是B的。有什么后果？ARP欺騙?

A彈出IP沖突警告框。?

A無法和C通信。?

B冒充C和A通信ARP欺騙的結(jié)果?

B冒充C和A通信過程注意ARP和MAC地址表關(guān)系A(chǔ)RP欺騙嗅探MAC地址映射表可以存儲的映射表條目有限。如果惡意攻擊者向交換機發(fā)送大量的虛假MAC地址數(shù)據(jù)，有些交換機在應(yīng)接不暇的情況下，就會像一臺普通的Hub

那樣只是簡單地向所有端口廣播數(shù)據(jù)。嗅探者就可以借機達到竊聽的目的。MAC地址表溢出MAC1Port1MAC2Port2MAC3Port3欺騙交換機C使用B的MAC地址給A發(fā)包，導(dǎo)致交換機刷新MAC地址表。MAC地址偽造MacAPort1MacBPort2MacCPort3MacAPort1(無效)MacBPort2MacBPort3重新指定發(fā)送數(shù)據(jù)包的下一條地址。ICMP重定向網(wǎng)絡(luò)硬件設(shè)備數(shù)據(jù)捕獲程序?qū)崟r分析程序嗅探器的實現(xiàn)捕獲口令捕獲專用的或者機密的信息,比如金融帳號

獲取更高級別的訪問權(quán)限窺探底層的協(xié)議信息，如TCP連接的序號。嗅探器的危害將嗅探器放置于被攻擊機器、網(wǎng)關(guān)或網(wǎng)絡(luò)附近，可以捕獲到很多口令。如果將Sniffer運行在路由器，或有路由器功能的主機上，可以對大量的數(shù)據(jù)進行監(jiān)控。

Sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進入了目標(biāo)系統(tǒng)，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進行身份鑒別的過程。嗅探器的放置

ARP廣播地址探測

Ping方法

DNS方法源路徑方法誘騙方法網(wǎng)絡(luò)帶寬出現(xiàn)反常等待時間方法嗅探器的檢測

ARP廣播地址探測

檢測可疑主機網(wǎng)卡是否工作在混在模式，通過ARP請求廣播包（地址FF-00-00-00-00-00）看是否應(yīng)答。

Ping方法Ping可疑主機，但Ping包的MAC地址不是可疑主機的，判斷是否產(chǎn)生回應(yīng)。嗅探器的檢測DNS方法源路徑方法嗅探器的檢測誘騙方法架設(shè)客戶機/服務(wù)器環(huán)境，有意設(shè)置虛擬帳號、口令并使用，探測是否有登錄信息。網(wǎng)絡(luò)帶寬出現(xiàn)反常通過帶寬控制器，查看是否有機器長期占用了較大的帶寬。等待時間方法發(fā)送大量數(shù)據(jù)前后，ping可疑主機，對比兩次響應(yīng)時間。嗅探器的檢測及時打補丁

本機監(jiān)控一般使用ifconfig查看網(wǎng)卡是否工作在混雜模式。但是在許多時候，本地監(jiān)控卻并不可靠，可結(jié)合其他更高級的工具，例如tripwire、lsof等。監(jiān)控本地局域網(wǎng)的數(shù)據(jù)幀。管理員可以運行自己的Sniffer(嗅探器)，例如tcpdump，Windump和snoop等等，監(jiān)控網(wǎng)絡(luò)中指定主機的數(shù)據(jù)流量。嗅探器的防范會話加密如用SSH（SecureShell）代替Telnet，使用IPV6等。使用安全的拓樸結(jié)構(gòu)少用Hub，Sniffer無法穿過交換機、路由器、網(wǎng)橋。網(wǎng)絡(luò)分段越細，則安全程度越大。使用靜態(tài)ARP

arp–sip

mac嗅探器的防范?

主要內(nèi)容1、概述2、操作界面介紹3、操作演示4、實驗內(nèi)容SnifferPro?

Sniffer的產(chǎn)品：1、便攜式軟件(portable)－SnifferPro2、分布式硬件3、InfiniStream(硬件)?

Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。SnifferPro概述?

SnifferPro是什么？1、捕獲網(wǎng)絡(luò)流量進行詳細分析2、利用專家分析系統(tǒng)診斷問題3、實時監(jiān)控網(wǎng)絡(luò)活動4、收集網(wǎng)絡(luò)利用率和錯誤等SnifferPro是網(wǎng)絡(luò)管理軟件、協(xié)議分析軟件、故障檢測工具、網(wǎng)絡(luò)攻擊軟件。SnifferPro概述?

Sniffer的三大功能：1、Monitor；2、Expert；3、Decode；SnifferPro概述1、設(shè)置網(wǎng)卡2、報文捕獲解析3、報文生成發(fā)送4、網(wǎng)絡(luò)監(jiān)視功能5、數(shù)據(jù)報文解碼SnifferPro操作界面?

設(shè)置網(wǎng)卡啟動Sniffer或通過File->selectsettings

SnifferPro操作界面?捕獲面板SnifferPro報文捕獲解析?捕獲過程報文統(tǒng)計SnifferPro報文捕獲解析?捕獲報文查看SnifferPro報文捕獲解析?專家分析SnifferPro報文捕獲解析?解碼分析SnifferPro報文捕獲解析?設(shè)置捕獲條件-基本捕獲條件設(shè)置SnifferPro報文捕獲解析?設(shè)置捕獲條件-高級捕獲條件設(shè)置SnifferPro報文捕獲解析?設(shè)置捕獲條件-任意捕獲條件設(shè)置SnifferPro報文捕獲解析?報文生成界面SnifferPro生成發(fā)送報文?報文編輯界面SnifferPro生成發(fā)送報文?捕獲報文編輯并發(fā)送SnifferPro生成發(fā)送報文?界面SnifferPro網(wǎng)絡(luò)監(jiān)視?報文分層SnifferPro報文解碼?以太網(wǎng)幀結(jié)構(gòu)SnifferPro報文解碼?802.3幀結(jié)構(gòu)SnifferPro報文解碼?IP協(xié)議SnifferPro報文解碼?ARP協(xié)議SnifferPro報文解碼SnifferPro操作演示1、建立實驗環(huán)境：（1）兩臺安裝Windows2000／XP的PC機，其中一臺上安裝SnifferPro軟件，另一臺安裝網(wǎng)絡(luò)執(zhí)法官，安裝SnifferPro；（2）安裝SnifferPro4.75,需重啟計算機SnifferPro實驗2、熟悉SnifferPro操作：（1）儀表盤；（2）HostTable：主機列表，搜集網(wǎng)絡(luò)上的所有節(jié)點；（3）Matrix：矩陣，網(wǎng)絡(luò)上所有會話的列表；（4）ART，應(yīng)用程序響應(yīng)時間；（5）HistorySample；（6）ProtocolDistribution；（7）Switch，交換機監(jiān)控；（8）捕捉－－解碼；

（9）包產(chǎn)生器SnifferPro實驗3、分析Ping工具協(xié)議工作過程；兩人一組進行，一方Ping另一方；4、分析網(wǎng)絡(luò)執(zhí)法官工作工程；兩人一組進行；5、捕獲獲取用戶、密碼6、進行IP沖突攻擊；捕獲ARPReplay包，進行編輯，后轉(zhuǎn)發(fā)7、無法通信的攻擊需同時更改包幀的源MAC和ARP數(shù)據(jù)部分的源MAC地址，并且應(yīng)一致8、偽裝網(wǎng)關(guān)攻擊；SnifferPro實驗經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,