网络嗅探原理与分析要点.pptVIP

ARP欺骗 典型ARP欺骗类型之三 伪造网关，欺骗内网计算机，造成断网。 建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。 ARP攻击 ARP攻击主要是指ARP欺骗 ARP攻击也包括ARP扫描（或称请求风暴） 即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。 ARP扫描一般为ARP攻击的前奏。 ARP攻击主要是存在于局域网中 ARP攻击一般通过木马感染计算机 ARP攻击 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。 受到ARP攻击的计算机一般会出现的现象： 不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 计算机不能正常上网，出现网络中断的症状。 返回目录 嗅探器的检测 ARP广播地址探测 在混杂模式时，网卡检测是不是广播地址只看收到包的目的以太网址的第一个八位组值，是0xff则认为是广播地址 如果某台主机以自己的MAC地址回应，则该主机运行在混杂模式 Ping方法 构造一个ping包给目的主机，其中包含正确的IP地址和错误的MAC地址 如果该主机回应，则运行在混杂模式 * * * * * * * * * * * * 实验一：网络嗅探与检测原理实验 实验目的 内容 掌握网络嗅探原理，共享式网络与交换式网络嗅探区别 了解几种常见的嗅探软件特点。 掌握wireshark 软件 安装、配置以及 嗅探操作方法 掌握ARP 欺骗 原理与方法 为设计性实验：自主设计检测网络嗅探软件提供重要的理论和实验基础。 ? 网络嗅探概念 网络嗅探是指：利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术 网络嗅探工作在网络的底层，把网络传输的全部数据记录下来. ? 为何要嗅探 网络管理员：分析网络情况，监测网络流量 攻击者：监听网络数据，嗅探用户敏感信息。 ? 网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧（单播包） 广播包（Broadcast）和属于自己的组播包（Multicast） * * 以太网卡的工作方式 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包 * * 以太网卡的工作方式 共享式网络 通过网络的所有数据包发往每一个主机； 最常见的是通过HUB连接起来的子网； 交换式网络 通过交换机连接网络； 由交换机构造一个“MAC地址-端口”映射表； 发送包的时候，只发到特定的端口上； 交换机的镜像端口功能 * * 共享网络和交换网络 * * 共享网络和交换网络 A B C D to C 镜像端口 共享式网络嗅探 共享式网络中的嗅探 合法的网络接口可以响应两种数据帧 交换式网络嗅探 ARP欺骗 交换机MAC地址表溢出 MAC地址伪造 交换环境的网络使用交换机(Switch)连接各个网络节点 。  交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到所有端口了, 这种做法一方面大大提高了网络的性能, 另一方面也提高了安全性。 在交换环境下, 即使网卡设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机。 交换式网络嗅探 ARP 欺骗(ARP Spoofing), 通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的, 这样发送到被嗅探的主机的数据报完全转发到嗅探主机来, 而被嗅探主机收不到任何的数据包, 为了使得能够正常的截获数据报, 嗅探主机除了充当嗅探的身份之外, 还要充当中间人的身份 。 交换式网络嗅探 常见的网络嗅探工具 TcpDump Libcap （winpcap) Wireshark (etherenal) Sniffer pro TcpDump Linux中强大的网络数据采集分析工具 tcpdump，就是：dump the traffice on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层