网络攻防原理与技术教学课件（共14章）第9章 网络监听技术.pptxVIP

第 九 章 网络监听内容提纲网络监听概述1流量劫持2数据采集3网络监听工具4网络监听防御5知识回顾如何攻陷控制一台主机？网络侦察网络扫描口令攻击缓冲区溢出攻击木马 控制一台主机后如何把战果扩大到该局域网？网络监听网络监听（ Network Listening）：是指在计算机网络接口处截获网上计算机之间通信的数据，也称网络嗅探（Network Sniffing ）。协助网络管理员监测网络传输数据，排除网络故障；被黑客利用来截获网络上的敏感信息，给网络安全带来极大危害。网络监听案例网络监听在安全领域引起普遍注意是在1994年。在该年2月，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，对美国骨干互联网和军方网窃取了超过10万个有效的用户名和口令。该事件是互联网上最早期的大规模网络监听事件，使网络监听从“地下”走向了公开，并迅速地在大众中普及开来。黑客用网络监听能干什么？嗅探敏感的帐号信息Telnet会话的用户名和密码；HTTP应用程序的用户名和密码；FTP口令；电子邮件消息……截获网络上传输的文件分析协议信息网络监听环境主机A 外网 内网 Internet LAN路由器R 主机B 监听点主机C 黑客 网络监听要解决的问题要实施网络监听，主要解决两个问题：一是网络流量劫持，即使监听目标的网络流量经过攻击者控制的监听点（主机），主要通过各种地址欺骗或流量定向的方法来实现二是在监听点上采集并分析网络数据，主要涉及网卡的工作原理、协议分析技术，如果通信流量加密了，则还需要进行解密处理。内容提纲网络监听概述1流量劫持2数据采集3网络监听工具4网络监听防御5问题攻击者要想监听目标的通信，首先要能够接收到目标的网络通信数据，如何做到呢？与网络环境有关。一般来说，网络环境可以划分为共享式网络环境和交换式网络环境两类。共享式网络监听的原理广播特性的总线：主机发送的物理信号能被物理连接在一起的所有主机接收到。网卡处于混杂模式：接收所有的数据帧。共享式网络监听：总线型以太网广播特性的总线：所有都能收到，但只有地址对了，才处理，从而实现了一对一的通信只有 D 接受B 发送的数据 E AB D CB向 D发送数据 不接受 接受 不接受 不接受 共享网络监听：Hub一、交换式网络监听MAC 端口 1 ① ② 2 3 ③ 以太网 交换机 交换机的工作方式交换机 CAMContent Addressable Memory，内容可寻址存储器端口管理 端口1 端口2 缓存 存储转发实现了无碰撞地传输数据①③②(一)交换网络监听：交换机+集线器内网外网A:交换机 B:路由器R C:1 2 3 4 5 6 (二)交换网络监听：端口镜像端口镜像（Port Mirroring）：是把交换机一个或多个端口的数据镜像到某个端口的方法。管理员为了部署网络分析仪等设备，通过配置交换机端口镜像功能来实现对网络的监听。CAM 伪造MAC 3 MAC3 3 MAC2 2 伪造MAC 3 MAC1 1 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 MAC地址 端口 伪造MAC 3 (三)交换网络监听：MAC洪泛攻击思路：在局域网中发送带有欺骗性MAC地址源的数据；CAM表中将会填充伪造的MAC地址记录，随着记录增多，与CAM表相关的交换机内存将被耗尽，这时交换机以类似于集线器的模式工作，向其它所有的物理端口转发数据。CAM MAC2 2 伪造MAC 3 MAC1 1 伪造MAC 3 MAC3 3 MAC地址 端口 伪造MAC 3 伪造MAC 3 伪造MAC 3 伪造MAC 3 交换网络监听：MAC洪泛为什么MAC洪泛攻击会成功？难道交换机不能根据自己的端口数来固定CAM表的长度吗? (三)交换网络监听：MAC洪泛问题：网络速度明显降低；目前许多交换机具有MAC洪泛免疫功能。 IP地址MAC地址 IP地址MAC地址 11:22:33:44:55:CC 11:22:33:44:55:RR 11:22:33:44:55:CC 11:22:33:44:55:RR的MAC地址是11:22:33:44:55:CC的MAC地址是11:22:33:44:55:CC(四)交换网络监听：ARP欺骗A:内网外网 11:22:33:44:55:BB 11:22:33:44:55:CC 11:22:33:44:55:CC 11:22:33:44:55:AA交换机 B:路由器R: 步骤1：攻击者向主机A和B发送ARP欺骗报文C: 11:22:33:44:55:CC IP地址MAC