第三章-網(wǎng)絡(luò)嗅探課件

第三章

網(wǎng)絡(luò)嗅探主要內(nèi)容嗅探器簡(jiǎn)介嗅探器工作原理交換式網(wǎng)絡(luò)嗅探簡(jiǎn)易嗅探器的實(shí)現(xiàn)常用嗅探工具嗅探器簡(jiǎn)介嗅探（Sniffer）技術(shù)是一種很重要的網(wǎng)絡(luò)安全攻防技術(shù)。對(duì)黑客來(lái)說(shuō)，通過(guò)嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息，嗅探行為更難被察覺(jué)，也更容易操作。對(duì)安全管理人員來(lái)說(shuō)，借助嗅探技術(shù)，可以對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控，并進(jìn)行發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。嗅探器簡(jiǎn)介嗅探器：最初是作為網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具，它既可以是軟件，又可以是一個(gè)硬件設(shè)備。軟件Sniffer應(yīng)用方便，針對(duì)不同的操作系統(tǒng)平臺(tái)都有多種不同的軟件Sniffer,而且很多都是免費(fèi)的；硬件Sniffer

通常被稱作協(xié)議分析器，其價(jià)格一般都很高昂。?

載波偵聽(tīng)/沖突檢測(cè)(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技術(shù)?

以太網(wǎng)采用了CSMA/CD技術(shù)，由于使用了廣播機(jī)制，所以，所有與共享式網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)。嗅探器的工作原理?

網(wǎng)卡的MAC地址(48位)

通過(guò)ARP來(lái)解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址?正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包

MAC地址與自己相匹配的數(shù)據(jù)幀

廣播包?

網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式

混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來(lái)非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)?為了監(jiān)聽(tīng)網(wǎng)絡(luò)上的流量，必須設(shè)置為混雜模式以太網(wǎng)卡的工作模式?

共享式網(wǎng)絡(luò)嗅探器的工作原理?

通過(guò)廣播方式實(shí)現(xiàn)一對(duì)一通信?

交換式網(wǎng)絡(luò)?

通過(guò)MAC—Port轉(zhuǎn)發(fā)表傳遞數(shù)據(jù)。嗅探器的工作原理?

如何實(shí)現(xiàn)嗅探？?

交換式網(wǎng)絡(luò)無(wú)法直接進(jìn)行嗅探，需采用一些專門的手段1、ARP欺騙2、交換機(jī)MAC地址表溢出3、MAC地址偽造4、ICMP重定向交換式網(wǎng)絡(luò)上的嗅探A通過(guò)發(fā)送ARP請(qǐng)求報(bào)文給C，接收方C會(huì)進(jìn)行應(yīng)答，發(fā)送方A會(huì)獲取C的IP-MAC映射關(guān)系，同時(shí)C也會(huì)存儲(chǔ)A的IP和MAC的映射關(guān)系。ARP是無(wú)狀態(tài)協(xié)議，A沒(méi)有發(fā)送請(qǐng)求報(bào)文，C可直接發(fā)送應(yīng)答報(bào)文給A，A會(huì)存儲(chǔ)/更新C的IP-MAC的映射關(guān)系。ARP欺騙B直接發(fā)送A應(yīng)答報(bào)文，但告訴A的是關(guān)于C的錯(cuò)誤的IP-MAC的映射關(guān)系，IP是A的，MAC是C的。B直接發(fā)送A應(yīng)答報(bào)文，但告訴A的是關(guān)于C的錯(cuò)誤的IP-MAC的映射關(guān)系，即IP地址是C的，但MAC地址是虛構(gòu)的。B直接發(fā)送A應(yīng)答報(bào)文，但告訴A的是關(guān)于C的錯(cuò)誤的IP-MAC的映射關(guān)系，即IP地址是C的，但MAC地址是B的。有什么后果？ARP欺騙?

A彈出IP沖突警告框。?

A無(wú)法和C通信。?

B冒充C和A通信ARP欺騙的結(jié)果?

B冒充C和A通信過(guò)程注意ARP和MAC地址表關(guān)系A(chǔ)RP欺騙嗅探MAC地址映射表可以存儲(chǔ)的映射表?xiàng)l目有限。如果惡意攻擊者向交換機(jī)發(fā)送大量的虛假M(fèi)AC地址數(shù)據(jù)，有些交換機(jī)在應(yīng)接不暇的情況下，就會(huì)像一臺(tái)普通的Hub

那樣只是簡(jiǎn)單地向所有端口廣播數(shù)據(jù)。嗅探者就可以借機(jī)達(dá)到竊聽(tīng)的目的。MAC地址表溢出MAC1Port1MAC2Port2MAC3Port3欺騙交換機(jī)C使用B的MAC地址給A發(fā)包，導(dǎo)致交換機(jī)刷新MAC地址表。MAC地址偽造MacAPort1MacBPort2MacCPort3MacAPort1(無(wú)效)MacBPort2MacBPort3重新指定發(fā)送數(shù)據(jù)包的下一條地址。ICMP重定向網(wǎng)絡(luò)硬件設(shè)備數(shù)據(jù)捕獲程序?qū)崟r(shí)分析程序嗅探器的實(shí)現(xiàn)捕獲口令捕獲專用的或者機(jī)密的信息,比如金融帳號(hào)

獲取更高級(jí)別的訪問(wèn)權(quán)限窺探底層的協(xié)議信息，如TCP連接的序號(hào)。嗅探器的危害將嗅探器放置于被攻擊機(jī)器、網(wǎng)關(guān)或網(wǎng)絡(luò)附近，可以捕獲到很多口令。如果將Sniffer運(yùn)行在路由器，或有路由器功能的主機(jī)上，可以對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。

Sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過(guò)程。嗅探器的放置

ARP廣播地址探測(cè)

Ping方法

DNS方法源路徑方法誘騙方法網(wǎng)絡(luò)帶寬出現(xiàn)反常等待時(shí)間方法嗅探器的檢測(cè)

ARP廣播地址探測(cè)

檢測(cè)可疑主機(jī)網(wǎng)卡是否工作在混在模式，通過(guò)ARP請(qǐng)求廣播包（地址FF-00-00-00-00-00）看是否應(yīng)答。

Ping方法Ping可疑主機(jī)，但Ping包的MAC地址不是可疑主機(jī)的，判斷是否產(chǎn)生回應(yīng)。嗅探器的檢測(cè)DNS方法源路徑方法嗅探器的檢測(cè)誘騙方法架設(shè)客戶機(jī)/服務(wù)器環(huán)境，有意設(shè)置虛擬帳號(hào)、口令并使用，探測(cè)是否有登錄信息。網(wǎng)絡(luò)帶寬出現(xiàn)反常通過(guò)帶寬控制器，查看是否有機(jī)器長(zhǎng)期占用了較大的帶寬。等待時(shí)間方法發(fā)送大量數(shù)據(jù)前后，ping可疑主機(jī)，對(duì)比兩次響應(yīng)時(shí)間。嗅探器的檢測(cè)及時(shí)打補(bǔ)丁

本機(jī)監(jiān)控一般使用ifconfig查看網(wǎng)卡是否工作在混雜模式。但是在許多時(shí)候，本地監(jiān)控卻并不可靠，可結(jié)合其他更高級(jí)的工具，例如tripwire、lsof等。監(jiān)控本地局域網(wǎng)的數(shù)據(jù)幀。管理員可以運(yùn)行自己的Sniffer(嗅探器)，例如tcpdump，Windump和snoop等等，監(jiān)控網(wǎng)絡(luò)中指定主機(jī)的數(shù)據(jù)流量。嗅探器的防范會(huì)話加密如用SSH（SecureShell）代替Telnet，使用IPV6等。使用安全的拓樸結(jié)構(gòu)少用Hub，Sniffer無(wú)法穿過(guò)交換機(jī)、路由器、網(wǎng)橋。網(wǎng)絡(luò)分段越細(xì)，則安全程度越大。使用靜態(tài)ARP

arp–sip

mac嗅探器的防范?

主要內(nèi)容1、概述2、操作界面介紹3、操作演示4、實(shí)驗(yàn)內(nèi)容SnifferPro?

Sniffer的產(chǎn)品：1、便攜式軟件(portable)－SnifferPro2、分布式硬件3、InfiniStream(硬件)?

Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。SnifferPro概述?

SnifferPro是什么？1、捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析2、利用專家分析系統(tǒng)診斷問(wèn)題3、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)4、收集網(wǎng)絡(luò)利用率和錯(cuò)誤等SnifferPro是網(wǎng)絡(luò)管理軟件、協(xié)議分析軟件、故障檢測(cè)工具、網(wǎng)絡(luò)攻擊軟件。SnifferPro概述?

Sniffer的三大功能：1、Monitor；2、Expert；3、Decode；SnifferPro概述1、設(shè)置網(wǎng)卡2、報(bào)文捕獲解析3、報(bào)文生成發(fā)送4、網(wǎng)絡(luò)監(jiān)視功能5、數(shù)據(jù)報(bào)文解碼SnifferPro操作界面?

設(shè)置網(wǎng)卡啟動(dòng)Sniffer或通過(guò)File->selectsettings

SnifferPro操作界面?捕獲面板SnifferPro報(bào)文捕獲解析?捕獲過(guò)程報(bào)文統(tǒng)計(jì)SnifferPro報(bào)文捕獲解析?捕獲報(bào)文查看SnifferPro報(bào)文捕獲解析?專家分析SnifferPro報(bào)文捕獲解析?解碼分析SnifferPro報(bào)文捕獲解析?設(shè)置捕獲條件-基本捕獲條件設(shè)置SnifferPro報(bào)文捕獲解析?設(shè)置捕獲條件-高級(jí)捕獲條件設(shè)置SnifferPro報(bào)文捕獲解析?設(shè)置捕獲條件-任意捕獲條件設(shè)置SnifferPro報(bào)文捕獲解析?報(bào)文生成界面SnifferPro生成發(fā)送報(bào)文?報(bào)文編輯界面SnifferPro生成發(fā)送報(bào)文?捕獲報(bào)文編輯并發(fā)送SnifferPro生成發(fā)送報(bào)文?界面SnifferPro網(wǎng)絡(luò)監(jiān)視?報(bào)文分層SnifferPro報(bào)文解碼?以太網(wǎng)幀結(jié)構(gòu)SnifferPro報(bào)文解碼?802.3幀結(jié)構(gòu)SnifferPro報(bào)文解碼?IP協(xié)議SnifferPro報(bào)文解碼?ARP協(xié)議SnifferPro報(bào)文解碼SnifferPro操作演示1、建立實(shí)驗(yàn)環(huán)境：（1）兩臺(tái)安裝Windows2000／XP的PC機(jī)，其中一臺(tái)上安裝SnifferPro軟件，另一臺(tái)安裝網(wǎng)絡(luò)執(zhí)法官，安裝SnifferPro；（2）安裝SnifferPro4.75,需重啟計(jì)算機(jī)SnifferPro實(shí)驗(yàn)2、熟悉SnifferPro操作：（1）儀表盤；（2）HostTable：主機(jī)列表，搜集網(wǎng)絡(luò)上的所有節(jié)點(diǎn)；（3）Matrix：矩陣，網(wǎng)絡(luò)上所有會(huì)話的列表；（4）ART，應(yīng)用程序響應(yīng)時(shí)間；（5）HistorySample；（6）ProtocolDistribution；（7）Switch，交換機(jī)監(jiān)控；（8）捕捉－－解碼；

（9）包產(chǎn)生器SnifferPro實(shí)驗(yàn)3、分析Ping工具協(xié)議工作過(guò)程；兩人一組進(jìn)行，一方Ping另一方；4、分析網(wǎng)絡(luò)執(zhí)法官工作工程；兩人一組進(jìn)行；5、捕獲獲取用戶、密碼6、進(jìn)行IP沖突攻擊；捕獲ARPReplay包，進(jìn)行編輯，后轉(zhuǎn)發(fā)7、無(wú)法通信的攻擊需同時(shí)更改包幀的源MAC和ARP數(shù)據(jù)部分的源MAC地址，并且應(yīng)一致8、偽裝網(wǎng)關(guān)攻擊；SnifferPro實(shí)驗(yàn)經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,