网络安全技术实践教程（微课版）课件 第六章 网络嗅探技术.pptx

《网络安全技术实践教程》第六章揭秘网络脉络——网络嗅探技术

本章思维导图

16.1网络嗅探26.2MAC地址泛洪攻击36.3ARP欺骗攻击目录CONTENTS46.4DHCP攻击

6.1网络嗅探任务描述：工程师小林为了使学校管理人员进一步了解网络嗅探的危害，搭建了嗅探攻击模拟环境，在嗅探过程中加深学校管理人员对网络嗅探原理的理解。他通过嗅探软件来监听口令密码等敏感信息，并尝试对截获的感兴趣的数据进行还原。

知识准备：一、网络嗅探简介网络嗅探是指利用计算机的网络接口截获其他计算机的数据报文的一种手段。网络嗅探需要用到嗅探器，其最早为网络管理员使用的技术工具。有了嗅探器，网络管理员可以实时掌握网络的实际情况，查找网络漏洞和检测网络性能。当网络性能急剧下降的时候，网络管理员可以通过嗅探器分析网络流量，找出网络阻塞的原因。网络嗅探是网络监控系统的实现基础。网络的特点之一就是数据总是在流动，从一处到另一处，而互联网是由错综复杂的各种网络交汇而成的，当数据从网络中的一台计算机到另一台计算机的时候，通常会经过大量不同的网络设备，使用traceroute命令可以看到具体的路径。在数据传输过程中，如果设备的网卡被置于混杂模式，该网卡将能接收到一切通过它的数据，而不管实际上数据的目的地址是不是自身。这就意味着，假如传送的数据是企业的机密文件，或是账户密码，就存在被黑客嗅探并截获的风险。6.1网络嗅探

知识准备：一、网络嗅探简介网络嗅探主要可在两种网络中实现。一种是交换式网络：在这种网络下，需将嗅探器放到网络连接设备（如网关服务器、路由器）上或者放到可以控制网络连接设备的计算机上。当然，要实现侦听效果，需要借助于交换机的镜像功能，将所有需要的数据镜像到监控端口，也可通过其他黑客技术来实现该效果。另一种是共享式网络：针对共享式连接的局域网，嗅探器放到任意一台主机上就可以实现对整个局域网的侦听。共享式网络集线器设备接收到数据时，并不是直接将其发送到指定主机，而是通过广播方式将其发送到每台主机，局域网内所有主机都会收到数据信息，存在安全隐患。网络嗅探技术是一把双刃剑，作为管理工具，其可以监视网络状态、数据流量以及信息传输等，但网络嗅探技术也常被黑客用于窃听网络中流经的数据包，获取敏感信息，如用户正在访问什么网站、用户的邮箱密码是多少等。很多攻击方式（如会话劫持）都是建立在网络嗅探的基础上的，网络嗅探技术是一种很重要的网络攻防技术，属于被动攻击技术，具有隐蔽性。6.1网络嗅探

知识准备：二、常用的网络嗅探工具工具分为软件和硬件两种，这里主要介绍常用的网络嗅探软件，主要有以下几种。1．WiresharkWireshark是最经典、最著名的网络分析器和密码破解工具之一，它是一个开源免费的高性能网络协议分析软件，前身为网络协议分析软件Ethereal。通常，技术人员使用Wireshark对网络进行故障排查、检查安全问题，以及了解有关网络协议内部的更多信息，同时也可以将其作为学习各种网络协议的教学工具等。Wireshark支持现在市面上的绝大多数以太网网卡，以及主流的无线网卡。Wireshark具有如下特点。（1）支持多种操作系统平台，可以运行于Windows、Linux、MacOSX10.5.5、Solaris和FreeBSD等操作系统平台上。（2）支持超过上千种网络协议，并且还会不断地增加对新协议的支持。（3）支持实时捕捉数据，可在离线状态下对其进行分析。（4）支持对VoIP（VoiceoverIP，互联网电话）数据包进行分析。6.1网络嗅探

知识准备：二、常用的网络嗅探工具（5）支持对通过IPsec、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互联网安全联合密钥管理协议）、Kerberos、SNMPv3、SSL/TLS（TransportLayerSecurity，传输层安全协议）、WEP（WiredEquivalentPrivacy，有线等效保密）和WPA（WiFiProtectedAccess，WiFi保护接入）/WPA2等协议加密的数据包进行解密。（6）可以实时获取来自以太网、IEEE802.11、PPP（Point-to-PointProtocal，点到点协议）/HDLC（High-levelDataLinkControl，高级数据链路控制）、ATM（AsynchronousTransferMode，异步传输方式）、蓝牙、令牌环和FDDI（FiberDistributedDataInterface，光纤分布式数据接口）等网络中的数据包。（7）支持读取和分析许多其他网络嗅探软件保存的文件，包括tcpd