网络监听与ARP攻击.pptVIP

网络监听与ARP攻击;网络监听;网络监听事件;网络监听原理简介;网络数据传送原理;目标ip的mac地址又是如何获得的呢？发送端主时机向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧〔称为arp数据包〕，并期望目的主机回复，从而得到目的主机对应的mac地址，并将这个mac地址存入自己的一个arp缓存内。;当局域网内的主机都通过HUB等方式连接时，一般都称为共享式的连接，这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有数据向HUB上的每个端口转发，也就是说当主机根据mac地址进行数据包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常状况下其他主时机忽略这些通讯报文而已！

如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous(混杂)状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。;数据传送实例;4：由于A，B两机在一个共享网络中，IP路由选择很简单：IP数据报直接由源主机发送到目的主机。

5：由于A，B两机在一个共享网络中，所以A机必须将32bit的IP地址转换为48bit的以太网地址，请注意这一工作是由arp来完成的。

6：链路层的arp通过工作在物理层的hub向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧，在这份请求报文中申明：谁是B机IP地址的拥有者，请将你的硬件地址告诉我。

7：在同一个以太网中的每台机器都会“接收”〔请注意这一点！〕到这个报文，但正常状态下除了B机外其他主机应该会忽略这个报文，而B机网卡驱动程序识别出是在寻找自己的ip地址，于是回送一个arp应答，告知自己的ip地址和mac地址。;8：A机的网卡驱动程序接收到了B机的数据帧，知道了B机的mac地址，于是以后的数据利用这个的MAC地址作为目的地址进行发送。同在一个局域网内的主机虽然也能“看”到这个数据帧，但是都保持静默，不会接收这个不属于它的数据帧。

上面是一种正常的情况，如果网卡被设置为为混杂模式〔promiscuous〕，那么第8步就会发生变化，这台主机将会默不作声的听到以太网内传输的所有信息，也就是说：窃听也就因此实现了！这会给局域网平安带来极大的平安问题，一台系统一旦被入侵并进入网络监听状态，那么无论是本机还是局域网内的各种传输数据都会面临被窃听的巨大可能性。;网络监听的重要性;Sniffer介绍;为什么可以利用嗅探器Sniffer入侵;共享式网络中的侦听;注意;常用的监听工具;UNIX平台下的监听软件;硬件的网络窃听;网络监听在网络管理中的应用;交换环境下的网络监听;交换式网络中的ARP攻击;ARP简介;ARP攻击;ARP攻击原理;某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。

如果未找到，那么播送A一个ARP请求报文〔携带主机A的IP地址Ia——物理地址Pa〕，请求IP地址为Ib的主机B答复物理地址Pb。

网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据〔由网卡附加MAC地址〕。

因此，本地高速缓存的这个ARP表是本地网络流通的根底，而且这个缓存是动态的。;遭受ARP攻击后的现象;ARP攻击的实现

——Dsniff工具的使用;交换式网络中的网络监听;对网络监听的防范措施;(3)使用加密技术

数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和平安性上进行折中。

(4)划分VLAN

运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大局部基于网络监听的入侵。;防范ARP攻击手段;作业