第7章 网络嗅探.ppt

* * * * * CSMA/CD：载波监听多路访问/冲突检测 * * * * * * 单播模式：广播和本地MAC 组播模式：也称多播混杂模式，MAC地址第一个字节最后一位为1 混杂模式：所有MAC * * * SOCK_STREAM SOCK_DATAGRAM SOCK_RAW * * * * * * * * 第7章 嗅探 ——网络中的窃听技术 网络攻防技术 主要内容 嗅探技术概述 嗅探的原理与实现 嗅探的检测与防范 网络攻防技术 嗅探 窃听是间谍获取情报的一种重要手段 嗅探（Sniff）技术是网络中的窃听 嗅探程序（Sniffer）截获网络中传输的数据，并从中解析出其中的机密信息 网络攻防技术 口令嗅探 主机A：您的主机 FTP服务器 主机B：安装了“窃听程序”的主机 Username：student Password：htjtyd%32 如果主机B处于主机A和FTP通信的信道上，就可以“窃听到”合法的用户名及口令。 ？Username ？Password student htjtyd%32 网络攻防技术 攻击者进行嗅探的目的 窃取各种用户名和口令 窃取机密的信息 如电子邮件正文及附件、网络打印的文档等 窥探底层的协议信息 如DNS的IP地址、本机IP地址、本机MAC地址，远程主机的IP地址、网关的IP地址、一次TCP连接的Sequence Number 中间人攻击时篡改数据的基础 网络攻防技术 嗅探的正当用途 解释网络上传输的数据包的含义 为网络诊断提供参考 为网络性能分析提供参考，发现网络瓶颈 发现网络入侵迹象，为入侵检测提供参考 将网络事件记入日志 网络攻防技术 讨论范围限定 802.3以太网 使用广播信道的网络，在以太网中所有通信都是广播的 目前的以太网分为共享式以太网和交换式以太网 共享式以太网使用同轴电缆或HUB连接 交换式以太网使用交换机连接 网络攻防技术 共享式以太网包转发 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 E0 E1 E2 E3 D C A B 发送到C 网络攻防技术 数据到达主机时的格式 在以太网中传输的数据包，其包格式为： 应用层数据 TCP包头 IP包头 MAC帧头 应用层 传输层 网络层 数据链路层 应用程序 操作系统 网络接口 网络攻防技术 数据发送 应用层 传输层 网络层 主机网络层 应用程序 操作系统 操作系统 网络设备 应用数据 应用数据 TCP头 应用数据 TCP头 IP头 应用数据 TCP头 IP头 帧头 网络攻防技术 数据接收 应用层 传输层 网络层 主机网络层 应用程序 操作系统 操作系统 网络设备 应用数据 应用数据 TCP头 应用数据 TCP头 IP头 应用数据 TCP头 IP头 帧头 网络攻防技术 主机接收数据 以太网卡首先从网络中接收数据，并在处理完成数据链路层的任务后向操作系统的传递。 网络攻防技术 以太网卡的工作原理 网卡接收到传输来的数据，网卡内的单片程序检查数据帧的目的MAC地址，根据网卡驱动程序设置的接收模式决定是否接收 若不应接收就直接丢弃 否则通过中断的方式通知操作系统 操作系统根据驱动设置的中断程序地址调用驱动程序接收数据 驱动程序将数据放入堆栈让操作系统处理。 网络攻防技术 以太网卡的侦听模式 侦听模式是网络适配器分析传入帧的目标MAC地址，以决定是否进一步处理它们的方式。 单播模式：接收单播和广播数据帧 组播模式：接收单播、广播和组播数据帧 混杂模式：接收所有数据帧 网络攻防技术 单播模式 单播模式下，网卡只让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过，而过滤掉其它的帧。 网络攻防技术 混杂模式 混杂（promiscuous）模式下工作的网卡能够接收到一切通过它的数据，而不进行数据的目的地址检查，即不再进行硬件过滤。 网络攻防技术 嗅探程序设计 从程序设计角度，Sniffer程序至少包括三个模块： 网络数据驱动：捕获数据包 协议还原：分析数据包 缓冲区管理：管理缓冲区 网络攻防技术 Windows环境下的包捕获 使用WinSock编程接口 创建原始套接字，并使用WSAIoctl()函数将套接字设置为接收所有数据。 使用Winpcap Npf.sys：设备驱动，捕获和发送原始数据包 Packet.dll ：使用Npf.sys包捕获和发送能力的应用程序编程接口 Wpcap.dll ：与Libpcap相兼容的更高层次抽象 http://winpcap.polito.it/ 网络攻防技术 嗅探器 Windows Sniffer_pro Netxray wireshark Unix Sniffit Snort Tcpdump/etherreal 网络攻防