第3章： 网络嗅探.ppt

第三章 网络嗅探 3.1 嗅探器概述 3.1.1 网络嗅探器简介绍 Sniffer(嗅探器) 是一种在网络上常用的收集有用信息的软件，可以用来监视网络的状态，数据流动情况以及网络上传输的信息。 分析用户的敏感的数据： 账号，密码，商业机密信息。 FTP,Telent,SMTP,POP协议的密码都是用明文传输的。 嗅探器目的是破坏信息的保密性。 定义：Sniffer是利用计算机网络接口截获目的地为其他计算机的数据报文的一种工具。 局域网介质访问方式划分 共享式局域网与交换式局域网。 共享式局域网： 典型设备是集线器(Hub),该设备把一个端口接收到的信号向所有其他端口发出去。 A 发送到B的信息可以被所有的机器接收 交换局域网的典型设备是交换机（Switch),交换机能检测数据包中的目的物理 地址来选择目的端口，从而将数据只转发到该目标端口相连的主机设备中。 共享局域网易于窃听，交换局域网需要更为复杂的技术才能实现。 嗅探器只能抓取到一个物理网段的包，也就是说，你和监听目标中间不能有路由器或其他屏蔽广播包的设备。 嗅探器分类 软件嗅探器： 优点：物美价廉，易于学习使用，易于交流。 缺点：无法抓到所有的包，有的情况下无法真正了解网络故障和运行情况。 硬件嗅探器： 一般都是商业性的，价格比较贵。 3.1.2 嗅探器的工作原理 网卡的几个特性： 1. 唯一的48位MAC地址，每个网卡有一个唯一的MAC地址。 2. 网卡的正常工作模式 ： 主机A收到一帧数据后，网卡会直接将自己的MAC地址和接收帧的地址比较，以决定是否接收。如果匹配成功接收，网卡通过CPU产生一个硬件中断，以接收存放处理改数据帧。如果不匹配则抛弃。 网卡在正常工作模式下只接收以自己地址为目的地址的数据帧或者帧目的地址为广播地址的数据帧。 3.网卡混杂工作模式：如果将网卡工作模式设置为混杂模式，网卡会把所有发到网络端口上的数据包都通过中断送给CPU处理。我们可以通过软件绕过TCP/IP协议监听到这些数据包。 Sniffer 是极其安静的，它是一种被动的安全攻击。 3.2 交换式网络上的嗅探 数据包只送到目的端口，无法进行传统的嗅探，使得sniffer变得很困难，增加了安全性。 如何在交换式网络中实现嗅探？ 1.ARP 欺骗 ARP 原理。。。。。。。。 ARP 缓存表 1.ARP 缓存表定期会刷新。 2.ARP缓存表可以被任意的ARP响应刷新。而不管是否发送过ARP询问包。 思考第二个特点，隐藏的缺陷？？ ARP欺骗实施 C欺骗A,和B,并转发A,B间的数据，A,B无法发现被C监听了。 ARP欺骗监控整个网络 用ARP-ECHO广播方式欺骗整个网络，冒充网关，然后转发数据，就可以监控所有发向网关的数据。 2.交换机MAC地址表溢出 交换机的一个弱点导致黑客有机可乘： 交换机靠一张地址表（转发表）来转发数据。 交换机的致命弱点，地址表的大小是有限制的。 1.可以通过发送大量错误的地址信息而使得SWITCH维护的地址表“溢出”。 2.当交换机被错误的转发表填满后，不能进行正常的数据包端到端转发。 3.交换机为了不漏掉数据包，会采用广播的方式将所有的数据转发出去。此时相当于集线器的功能，网络也变成了共享模式， 在这种极端情况下，SWITCH ------------HUB 3.MAC 地址伪造 欺骗交换机: Switch更新端口的MAC地址，将本来发给B的发到C连接端口上，但C需要不断的发欺骗包。 B发包时会改变Switch的转发表。 4.ICMP 重定向 目前停留在理论上，没有相关的攻击实例和源代码。 伪装成路由器就可以监控所有的包了，不必要采用这个办法。 3.3 简易网络嗅探器实现 翻到P340面，阅读简单Sniffer程序源代码。 3.4嗅探器的检测与防范 1.ARP 广播地址探测 在混杂模式下，网卡认为MAC地址的第8位为0xff 就认为是广播包，只要发送一个谜底地址为FF0000000000的ARP包，如果有混杂模式的网卡，就会给自己回复ARP包。 2 PING方法 1）假设可疑主机的ip地址为0，MAC地址为AA-BB-CC-DD-EE-EE,检测者和可疑者主机在同一网段。 2）稍微改动可疑主机的MAC地址，假设改为AA-BB-CC-DD-EE-EF. 3) 向可疑主机发送一个PING包，包含它的IP和改动的MAC地址。 4）没有运行嗅觉器的主机将不会理会该帧，不回应。如果看到了回应，那就说明可疑主机确实在运行嗅探器程序。 DNS方法