网络安全 第10章 嗅探器.pptVIP

* 第 10 章 嗅探器 本章要点 （1）嗅探器原理 （2）网卡原理 （3）嗅探器的危害 （4）嗅探器的关心内容 （4）几款简单嗅探器 （5）SNIFFER PRO 使用说明 10.1 嗅探器原理 嗅探侦听主要有两种途径，一种是将侦听工具软 件放到网络连接的设备或者放到可以控制网络连接 设备的电脑上，(比如网关服务器，路由器)——当然 要实现这样的效果可能也需要通过其他黑客技术来 实现：比如通过木马方式将嗅探器发给某个网络管理 员，使其不自觉的为攻击者进行了安装。另外一种是 针对不安全的局域网（采用交换hub 实现），放到个 人电脑上就可以实现对整个局域网的侦听，这里的原 理是这样的：共享 hub 获得一个子网内需要接收的 数据时，并不是直接发送到指定主机，而是通过广播 方式发送到每个电脑，对于处于接受者地位的电脑就 会处理该数据，而其他非接受者的电脑就会过滤这些 数据，这些操作与电脑操作者无关，是系统自动完成 的，但是电脑操作者如果有意的话，他是可以将那些 原本不属于他的数据打开！——这就是安全隐患！ 10.1.1 广播式网络原理 交换式 HUB 的内部单片程序能记住每个口的 MAC 地址，以后就该哪个机器接收就发往哪个口， 而不是像共享 HUB 那样发给所有的口，所以交换 HUB 下只有该接收数据的机器的网卡能接收到数 据，当然广播包还是发往所有口。 显然共享 HUB 的工作模式使得两个机器传输 数据的时候其他机器别的口也占用了，所以共享 HUB 决定了同一网段同一时间只能有两个机器进行 数据通信，而交换 HUB 两个机器传输数据的时候 别的口没有占用，所以别的口之间也可以同时传输。 这就是共享 HUB 与交换 HUB 不同的两个地方，共 享 HUB 是同一时间只能一个机器发数据并且所有 机器都可以接收，只要不是广播数据交换 HUB 同一 时间可以有对机器进行数据传输并且数据是私有的。 10.1.2 点对点式网络原理 1、交换机的工作原理 2、交换机的工作特性 3、交换机的分类 依照交换机处理帧时不同的操作模式，主要可分 为两类： 存储转发：交换机在转发之前必须接收整个帧， 并进行错误校检，如无错误再将这一帧发往目的地 址。帧通过交换机的转发时延随帧长度的不同而变 化。 直通式：交换机只要检查到帧头中所包含的目的 地址就立即转发该帧，而无需等待帧全部的被接收， 也不进行错误校验。由于以太网帧头的长度总是固定 的，因此帧通过交换机的转发时延也保持不变。 10.1.3网卡原理 10.1.4 网络数据包原理 数据在网络上是以很小的称为帧(Frame)的单位 传输的帧由好几部分组成，不同的部分执行不同的功 能。（例如，以太网的前 12 个字节存放的是源和目 的的地址，这些位告诉网络：数据的来源和去处。以 太网帧的其他部分存放实际的用户数据、TCP/IP 的 报文头或 IPX 报文头等等）。 10.1.5 嗅探器原理 可见，sniffer 工作在网络环境中的底层，它会拦 截所有的正在网络上传送的数据，并且通过相应的软 件处理，可以实时分析这些数据的内容，进而分析所 处的网络状态和整体布局。值得注意的是：sniffer 是 极其安静的，它是一种消极的安全攻击。嗅探器在功 能和设计方面有很多不同。有些只能分析一种协议， 而另一些可能能够分析几百种协议。一般情况下，大 多数的嗅探器至少能够分析下面的协议：标准以太 网、TCP/IP、IPX、DECNet。 10.1.6 嗅探器的危害 简单的放置一个嗅探器并将其放到随便什么地 方将不会起到什么作用。将嗅探器放置于被攻击机器 或网络附近，这样将捕获到很多口令，还有一个比较 好的方法就是放在网关上。sniffer 通常运行在路由 器，或有路由器功能的主机上。这样就能对大量的数 据进行监控。sniffer 属第二层次的攻击。通常是攻击 者已经进入了目标系统，然后使用 sniffer 这种攻击 手段，以便得到更多的信息。如果这样的话就能捕获 网络和其他网络进行身份鉴别的过程。 10.1.7 嗅探器的关心内容 通常 sniffer 所要关心的内容可以分成这样几 类： 1、口令 2、金融帐号 3、偷窥机密或敏感的信息数据 4、窥探低级的协议信息。 10.2 几款简单嗅探器 10.2.1 小巧玲珑的 X-SNIFFER 试验一：抓 FTP 密码 A 运行 X-SNIFFER,并监听 TCP 协议。 B 进行登陆，察看情况。 试验二：抓 telnet 密码 与 FTP 密码进行比较，看有什么不同。 10.2.2 ARPSNIFFER 的使用方法 10.3 SNIFFER PRO 10.3.1 Sniff