网络监听技术.pptx

计算机网络安全技术 电子信息学院 网络监听技术 网络监听指黑客在网络中监听他人的数据包，分析数据包，从而获得一些敏感信息，如账号和密码等。 网络监听也是网管用来监视网络的状态、数据流动情况以及传输的信息等工具。 网络监听工具称为Sniffer，有硬件和软件两种。硬件Sniffer也称为网络分析仪。 网络监听技术 Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 网络通信监视软件 网络故障诊断分析工具 网络性能优化、管理系统 什么是 Sniffer ? Sniffer原理 Sniffer工作原理就是更改网卡工作模式，利用网卡混杂模式接收一切所能接受的数据，从而捕获数据包，分析数据包。达到网络监听目的。 它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。 网络监听技术 网卡先接收数据包头部的目的MAC地址，根据网卡设置的接收模式判断该不该接收（正常情况下接收自己的），如需接收就在接收后通知CPU；如不接收就直接丢弃。CPU得到接收信号，调用驱动程序接收数据，并放入内存供操作系统进一步处理。 网卡工作原理 网络监听技术 网卡的工作模式 能够接收网络中的广播信息。 广播方式 Broad Cast Model 在此添加标题 组播方式 MultiCast Model 直接方式 Direct Model 混杂模式Promiscuous Model 能够接收组播数据，无论是否组内成员。 只接收目的地址是自己MAC的数据。 能够接收到一切通过它的数据。 网络监听技术 HUB共享工作模式 HUB工作模式下的监听 网络监听技术 交换机网络工作模式 交换机网络工作模式下的监听 网络监听技术 sniffer实现监听需要： 1 2 3 把网卡置于混杂模式 捕获数据包 分析数据包 1 2 3 划分VLAN进行合理的网络分段。 避免明文传输口令，用SSH/SSL建立加密连接，保证数据传输安全。 Sniffer通常被用来入侵系统后收集信息，因此防止系统被突破可以避免网络监听。 将共享式网络升级为交换式网络。 AntiSniff 工具用于检测局域网中是否有机器网卡处于混杂模式 （不是免费的）。 网络监听的检测和防范 网络监听技术 网络监听之ARP欺骗技术 网络监听技术 ARP欺骗是黑客常用的攻击手段之一，黑客通常用自己主机的MAC地址假冒网络网关地址，这样内网发往外网的数据包就经由假的网关转发到了黑客主机，黑客从中获取需要信息。 ARP是地址解析协议，将网络层IP地址转换为以太网使用的MAC地址。 ARP欺骗就是使用伪造的假MAC地址欺骗网络中某台主机，使其数据包发生错误的转发，从而达到监听目的。 ARP欺骗攻击 IP为10.3.40.59的黑客主机对IP为10.3.40.5的主机进行ARP欺骗，被欺骗的主机上网时，本该直接发往网关10.3.40.254的数据包发给了黑客主机10.3.40.59,经由黑客主机再发给网关，网关发给主机10.3.40.5的数据包也同样经由黑客主机中转，黑客主机完全监听了主机10.3.40.5的网络通信。 欺骗工具SwitchSniffer可实施ARP欺骗。 网络监听技术 网络存在大量ARP响应包 ARP命令静态绑定网关 ARP防火墙 加密传输数据、使用VLAN技术细分网络拓扑，可以降低ARP欺骗攻击的危害后果 ARP欺骗的检测和防范 网络监听技术