第3章：網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)

1、第第3章章 網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)監(jiān)聽及防御技術(shù) 張玉清張玉清 國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 2021-7-20網(wǎng)絡(luò)入侵與防范講義2 內(nèi)容介紹內(nèi)容介紹 o 3.1 網(wǎng)絡(luò)監(jiān)聽概述網(wǎng)絡(luò)監(jiān)聽概述 o 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù) o 3.3 監(jiān)聽的防御監(jiān)聽的防御 o 3.4 小結(jié)小結(jié) o 3.1 網(wǎng)絡(luò)監(jiān)聽概述網(wǎng)絡(luò)監(jiān)聽概述 o 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù) o 3.3 監(jiān)聽的防御監(jiān)聽的防御 o 3.4 小結(jié)小結(jié) 2021-7-20網(wǎng)絡(luò)入侵與防范講義3 3.1 網(wǎng)絡(luò)監(jiān)聽概述網(wǎng)絡(luò)監(jiān)聽概述 o 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 3.1.2 網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展

2、情況 2021-7-20網(wǎng)絡(luò)入侵與防范講義4 2021-7-20網(wǎng)絡(luò)入侵與防范講義5 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 1網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽的概念 n 網(wǎng)絡(luò)監(jiān)聽技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)(Network Sniffing)，顧名思義，這是一種在他方未察覺 的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。 n 在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽技術(shù)對(duì)于網(wǎng)絡(luò)攻擊 與防范雙方都有著重要的意義，是一把雙刃劍。 對(duì)網(wǎng)絡(luò)管理員來說，它是了解網(wǎng)絡(luò)運(yùn)行狀況的 有力助手，對(duì)黑客而言，它是有效收集信息的 手段。 n 網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍目前只限于局域網(wǎng)。 2021-7-20網(wǎng)絡(luò)入侵與防范講義6 3.1.1 基礎(chǔ)知識(shí)與

3、實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 2相關(guān)網(wǎng)絡(luò)基礎(chǔ)相關(guān)網(wǎng)絡(luò)基礎(chǔ) 網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點(diǎn)到點(diǎn)。網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點(diǎn)到點(diǎn)。 n 廣播式網(wǎng)絡(luò)傳輸技術(shù)：僅有一條通信信道，由 網(wǎng)絡(luò)上的所有機(jī)器共享。信道上傳輸?shù)姆纸M可 以被任何機(jī)器發(fā)送并被其他所有的機(jī)器接收。 n 點(diǎn)到點(diǎn)網(wǎng)絡(luò)傳輸技術(shù)：點(diǎn)到點(diǎn)網(wǎng)絡(luò)由一對(duì)對(duì)機(jī) 器之間的多條連接構(gòu)成，分組的傳輸是通過這 些連接直接發(fā)往目標(biāo)機(jī)器，因此不存在發(fā)送分 組被多方接收的問題。 2021-7-20網(wǎng)絡(luò)入侵與防范講義7 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 3網(wǎng)卡的四種工作模式網(wǎng)卡的四種工作模式 （1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣 播信息。 （2）組播模式：該

4、模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。 （3）直接模式：在這種模式下，只有匹配目的MAC地 址的網(wǎng)卡才能接收該數(shù)據(jù)幀。 （4）混雜模式：（Promiscuous Mode）在這種模 式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論 其目的MAC地址是什么。 2021-7-20網(wǎng)絡(luò)入侵與防范講義8 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 4 實(shí)例：用實(shí)例：用Ethereal嗅探嗅探sina郵箱密碼郵箱密碼 U=hack_tesing Psw=hacktesting 2021-7-20網(wǎng)絡(luò)入侵與防范講義9 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 4 實(shí)例：上屆實(shí)例：上屆 學(xué)生實(shí)驗(yàn)編寫學(xué)生實(shí)驗(yàn)編寫

5、的的sniffer， 嗅探嗅探FTP用戶用戶 名和密碼名和密碼 USER test PASS test FTP Server Version is Serv-U V6.3 Logged in ok 2021-7-20網(wǎng)絡(luò)入侵與防范講義10 3.1 網(wǎng)絡(luò)監(jiān)聽概述網(wǎng)絡(luò)監(jiān)聽概述 o 3.1.1 基礎(chǔ)知識(shí)與實(shí)例基礎(chǔ)知識(shí)與實(shí)例 o 3.1.2 網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 2021-7-20網(wǎng)絡(luò)入侵與防范講義11 3.1.2 網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 o 1網(wǎng)絡(luò)監(jiān)聽（網(wǎng)絡(luò)監(jiān)聽（Sniffer）的發(fā)展歷史）的發(fā)展歷史 Sniffer這個(gè)名稱最早是一種網(wǎng)絡(luò)監(jiān)聽這個(gè)名稱最早

6、是一種網(wǎng)絡(luò)監(jiān)聽 工具的名稱，后來其也就成為網(wǎng)絡(luò)監(jiān)聽工具的名稱，后來其也就成為網(wǎng)絡(luò)監(jiān)聽 的代名詞。在最初的時(shí)候，它是作為網(wǎng)的代名詞。在最初的時(shí)候，它是作為網(wǎng) 絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具。絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具。 o 網(wǎng)絡(luò)監(jiān)聽器分網(wǎng)絡(luò)監(jiān)聽器分軟、硬軟、硬兩種兩種 2021-7-20網(wǎng)絡(luò)入侵與防范講義12 3.1.2 網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 o 1網(wǎng)絡(luò)監(jiān)聽（網(wǎng)絡(luò)監(jiān)聽（Sniffer）的發(fā)展歷史）的發(fā)展歷史 n 軟件嗅探器便宜易于使用，缺點(diǎn)是功能往 往有限，可能無法抓取網(wǎng)絡(luò)上所有的傳輸 數(shù)據(jù)(比如碎片)，或效率容易受限； n 硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu) 點(diǎn)恰

7、恰是軟件嗅探器所欠缺的，處理速度 很高，但是價(jià)格昂貴。 n 目前主要使用的嗅探器是軟件的。 2021-7-20網(wǎng)絡(luò)入侵與防范講義13 3.1.2 網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 o 2Sniffer軟件的主要工作機(jī)制軟件的主要工作機(jī)制 o 驅(qū)動(dòng)程序支持：需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接驅(qū)動(dòng)程序支持：需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接 口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的“中中 間人間人”，它將網(wǎng)卡設(shè)置成混雜模式，捕獲數(shù)據(jù)包，它將網(wǎng)卡設(shè)置成混雜模式，捕獲數(shù)據(jù)包， 并從上層接收各種抓包請(qǐng)求。并從上層接收各種抓包請(qǐng)求。 o 分組捕獲過濾機(jī)制：對(duì)來自網(wǎng)卡驅(qū)動(dòng)

8、程序的數(shù)據(jù)分組捕獲過濾機(jī)制：對(duì)來自網(wǎng)卡驅(qū)動(dòng)程序的數(shù)據(jù) 幀進(jìn)行過濾，最終將符合要求的數(shù)據(jù)交給上層。幀進(jìn)行過濾，最終將符合要求的數(shù)據(jù)交給上層。 鏈路層的網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)幀就有了鏈路層的網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)幀就有了 兩個(gè)去處：一個(gè)是兩個(gè)去處：一個(gè)是正常的協(xié)議棧正常的協(xié)議棧，另一個(gè)就是，另一個(gè)就是分分 組捕獲過濾模塊組捕獲過濾模塊，對(duì)于非本地的數(shù)據(jù)包，前者會(huì)，對(duì)于非本地的數(shù)據(jù)包，前者會(huì) 丟棄（通過比較目的丟棄（通過比較目的IP地址），而后者則會(huì)根據(jù)地址），而后者則會(huì)根據(jù) 上層應(yīng)用的要求來決定上傳還是丟棄。上層應(yīng)用的要求來決定上傳還是丟棄。 2021-7-20網(wǎng)絡(luò)入侵與防范講義14 3.1.2

9、網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 o 2Sniffer軟件的主要工作機(jī)制軟件的主要工作機(jī)制 n 許多操作系統(tǒng)都提供這樣的“中間人”機(jī)制，即分組 捕獲機(jī)制。在UNIX類型的操作系統(tǒng)中，主要有3種： BSD系統(tǒng)中的BPF(Berkeley Packet Filter)、 SVR4中的DLPI(Date Link Interface)和Linux中的 SOCK_PACKET類型套接字。在Windows平臺(tái)上 主要有NPF過濾機(jī)制。 n 目前大部分Sniffer軟件都是基于上述機(jī)制建立起來的。 如Tcpdump、Wireshark等。 2021-7-20網(wǎng)絡(luò)入侵與防范講義15 3.1.2

10、網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況 o 3網(wǎng)絡(luò)監(jiān)聽的雙刃性網(wǎng)絡(luò)監(jiān)聽的雙刃性 現(xiàn)在的監(jiān)聽技術(shù)發(fā)展比較成熟，可以協(xié)助現(xiàn)在的監(jiān)聽技術(shù)發(fā)展比較成熟，可以協(xié)助 網(wǎng)絡(luò)管理員測(cè)試網(wǎng)絡(luò)數(shù)據(jù)通信流量、實(shí)時(shí)監(jiān)網(wǎng)絡(luò)管理員測(cè)試網(wǎng)絡(luò)數(shù)據(jù)通信流量、實(shí)時(shí)監(jiān) 控網(wǎng)絡(luò)狀況?？鼐W(wǎng)絡(luò)狀況。 然而事情往往都有兩面性，然而事情往往都有兩面性，Sniffer的隱的隱 蔽性非常好，它只是蔽性非常好，它只是“被動(dòng)被動(dòng)”的接收數(shù)據(jù)，的接收數(shù)據(jù)， 所以在傳輸數(shù)據(jù)的過程中，根本無法察覺到所以在傳輸數(shù)據(jù)的過程中，根本無法察覺到 有人在監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽給網(wǎng)絡(luò)維護(hù)提供便利有人在監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽給網(wǎng)絡(luò)維護(hù)提供便利 同時(shí)，也給網(wǎng)絡(luò)安全帶來了很大隱患。

11、同時(shí)，也給網(wǎng)絡(luò)安全帶來了很大隱患。 2021-7-20網(wǎng)絡(luò)入侵與防范講義16 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù) o 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 3.2.2 共享式局域網(wǎng)的監(jiān)聽技術(shù)共享式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.4 網(wǎng)絡(luò)監(jiān)聽工具舉例網(wǎng)絡(luò)監(jiān)聽工具舉例 2021-7-20網(wǎng)絡(luò)入侵與防范講義17 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 1集線器集線器 (1) 集線器的原理集線器的原理： 集線器（又稱為集線器（又稱為Hub）是一種重要的網(wǎng)絡(luò)部）是一種重要的網(wǎng)絡(luò)部 件，主要在局域網(wǎng)中用于將多個(gè)

12、客戶機(jī)和服務(wù)器件，主要在局域網(wǎng)中用于將多個(gè)客戶機(jī)和服務(wù)器 連接到中央?yún)^(qū)的網(wǎng)絡(luò)上。連接到中央?yún)^(qū)的網(wǎng)絡(luò)上。 集線器工作在局域網(wǎng)的物理環(huán)境下，其主要集線器工作在局域網(wǎng)的物理環(huán)境下，其主要 應(yīng)用在應(yīng)用在OSI參考模型第一層，屬于物理層設(shè)備。參考模型第一層，屬于物理層設(shè)備。 它的內(nèi)部采取電器互連的方式，當(dāng)維護(hù)它的內(nèi)部采取電器互連的方式，當(dāng)維護(hù)LAN的的 環(huán)境是邏輯總線或環(huán)型結(jié)構(gòu)時(shí)，完全可以用集線環(huán)境是邏輯總線或環(huán)型結(jié)構(gòu)時(shí)，完全可以用集線 器建立一個(gè)物理上的星型或樹型網(wǎng)絡(luò)結(jié)構(gòu)。器建立一個(gè)物理上的星型或樹型網(wǎng)絡(luò)結(jié)構(gòu)。 2021-7-20網(wǎng)絡(luò)入侵與防范講義18 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件

13、設(shè)備簡(jiǎn)介 o 1集線器集線器 (2) 集線器的工作特點(diǎn)集線器的工作特點(diǎn) 依據(jù)依據(jù)IEEE 802.3協(xié)議，集線器功能是隨機(jī)協(xié)議，集線器功能是隨機(jī) 選出某一端口的設(shè)備，并讓它獨(dú)占全部帶寬，與選出某一端口的設(shè)備，并讓它獨(dú)占全部帶寬，與 集線器的上聯(lián)設(shè)備集線器的上聯(lián)設(shè)備(交換機(jī)、路由器或服務(wù)器等交換機(jī)、路由器或服務(wù)器等) 進(jìn)行通信。集線器在工作時(shí)具有以下兩個(gè)特點(diǎn)：進(jìn)行通信。集線器在工作時(shí)具有以下兩個(gè)特點(diǎn)： n首先是集線器只是一個(gè)多端口的信號(hào)放大設(shè)備； n其次集線器只與它的上聯(lián)設(shè)備(如上層Hub、交換機(jī)或 服務(wù)器)進(jìn)行通信，同層的各端口之間不會(huì)直接進(jìn)行通 信，而是通過上聯(lián)設(shè)備再將信息廣播到所有端口上。

14、 2021-7-20網(wǎng)絡(luò)入侵與防范講義19 D-LINK DES-1024D 24PORT 2021-7-20網(wǎng)絡(luò)入侵與防范講義20 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 1集線器集線器 (3) 用集線器組建的局域網(wǎng)示意圖用集線器組建的局域網(wǎng)示意圖 2021-7-20網(wǎng)絡(luò)入侵與防范講義21 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 2交換機(jī)交換機(jī) (1) 交換機(jī)的原理交換機(jī)的原理： 交換機(jī)是一種網(wǎng)絡(luò)開關(guān)（交換機(jī)是一種網(wǎng)絡(luò)開關(guān)（Switch）,也稱交換也稱交換 器，由于和電話交換機(jī)對(duì)出入線的選擇有相似的器，由于和電話交換機(jī)對(duì)出入線的選擇有相似的 原理，

15、因此被人稱為交換機(jī)。原理，因此被人稱為交換機(jī)。 交換機(jī)在局域網(wǎng)的環(huán)境下，工作在比集線器更交換機(jī)在局域網(wǎng)的環(huán)境下，工作在比集線器更 高一層鏈路層上。交換機(jī)被定義成一個(gè)能接收發(fā)高一層鏈路層上。交換機(jī)被定義成一個(gè)能接收發(fā) 來的信息幀，加以暫時(shí)存儲(chǔ)，然后發(fā)到另一端的來的信息幀，加以暫時(shí)存儲(chǔ)，然后發(fā)到另一端的 網(wǎng)絡(luò)部件，其本質(zhì)上就是具有流量控制能力的多網(wǎng)絡(luò)部件，其本質(zhì)上就是具有流量控制能力的多 端口網(wǎng)橋。端口網(wǎng)橋。 2021-7-20網(wǎng)絡(luò)入侵與防范講義22 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 2交換機(jī)交換機(jī) (2) 交換機(jī)的工作特點(diǎn)交換機(jī)的工作特點(diǎn) n 把每個(gè)端口所連接的網(wǎng)絡(luò)分

16、割為獨(dú)立的LAN， 每個(gè)LAN成為一個(gè)獨(dú)立的沖突域。 n 每個(gè)端口都提供專用的帶寬。這是交換機(jī)與 集線器的本質(zhì)區(qū)別，集線器不管有多少端口， 都是共享其全部帶寬。 n 轉(zhuǎn)發(fā)機(jī)制。交換機(jī)維護(hù)有每個(gè)端口對(duì)應(yīng)的地 址表，其中保存與該端口連接的各個(gè)主機(jī)的 MAC地址。 2021-7-20網(wǎng)絡(luò)入侵與防范講義23 CISCO WS-C2950-24交換機(jī)交換機(jī) 2021-7-20網(wǎng)絡(luò)入侵與防范講義24 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 2交換機(jī)交換機(jī) (2) 用交換機(jī)組建的局域網(wǎng)示意圖用交換機(jī)組建的局域網(wǎng)示意圖 2021-7-20網(wǎng)絡(luò)入侵與防范講義25 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù)

17、o 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 3.2.2 共享式局域網(wǎng)的監(jiān)聽技術(shù)共享式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.4 網(wǎng)絡(luò)監(jiān)聽工具舉例網(wǎng)絡(luò)監(jiān)聽工具舉例 2021-7-20網(wǎng)絡(luò)入侵與防范講義26 什么是共享式局域網(wǎng)什么是共享式局域網(wǎng) o 共享式局域網(wǎng)就是使用集線器或共用一條總線的局共享式局域網(wǎng)就是使用集線器或共用一條總線的局 域網(wǎng)，它采用了載波檢測(cè)多路偵聽（域網(wǎng)，它采用了載波檢測(cè)多路偵聽（Carries Sense Multiple Access with Collision Detection，簡(jiǎn)稱，簡(jiǎn)稱CSM

18、A/CD）機(jī)制來進(jìn)行傳輸）機(jī)制來進(jìn)行傳輸 控制。控制。 o 共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因 為集線器不能識(shí)別幀，所以它就不知道一個(gè)端口收為集線器不能識(shí)別幀，所以它就不知道一個(gè)端口收 到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)端口，它只好把幀發(fā)送到除到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)端口，它只好把幀發(fā)送到除 源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都 可以收到這些幀。可以收到這些幀。 2021-7-20網(wǎng)絡(luò)入侵與防范講義27 共享式局域網(wǎng)的監(jiān)聽原理共享式局域網(wǎng)的監(jiān)聽原理 o 在正常的情況下，網(wǎng)卡應(yīng)該工作在廣播模式、在正常的情況下

19、，網(wǎng)卡應(yīng)該工作在廣播模式、 直接模式，一個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響直接模式，一個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響 應(yīng)這樣的兩種數(shù)據(jù)幀：應(yīng)這樣的兩種數(shù)據(jù)幀： n 與自己的MAC地址相匹配的數(shù)據(jù)幀（目的地址 為單個(gè)主機(jī)的MAC地址）。 n 發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀（目的地址為 0 xFFFFFFFFFF）。 2021-7-20網(wǎng)絡(luò)入侵與防范講義28 共享式局域網(wǎng)的監(jiān)聽的工作原理共享式局域網(wǎng)的監(jiān)聽的工作原理(2) o 但如果共享式局域網(wǎng)中的一臺(tái)主機(jī)的網(wǎng)卡被但如果共享式局域網(wǎng)中的一臺(tái)主機(jī)的網(wǎng)卡被 設(shè)置成混雜模式狀態(tài)的話，那么，對(duì)于這臺(tái)設(shè)置成混雜模式狀態(tài)的話，那么，對(duì)于這臺(tái) 主機(jī)的網(wǎng)絡(luò)接口而言，任何在這個(gè)局域網(wǎng)

20、內(nèi)主機(jī)的網(wǎng)絡(luò)接口而言，任何在這個(gè)局域網(wǎng)內(nèi) 傳輸?shù)男畔⒍际强梢员宦牭降?。主機(jī)的這種傳輸?shù)男畔⒍际强梢员宦牭降?。主機(jī)的這種 狀態(tài)也就是監(jiān)聽模式。狀態(tài)也就是監(jiān)聽模式。 o 處于監(jiān)聽模式下的主機(jī)可以監(jiān)聽到同一個(gè)網(wǎng)處于監(jiān)聽模式下的主機(jī)可以監(jiān)聽到同一個(gè)網(wǎng) 段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包。段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包。 2021-7-20網(wǎng)絡(luò)入侵與防范講義29 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法 o 在共享式局域網(wǎng)中，集線器會(huì)廣播所有在共享式局域網(wǎng)中，集線器會(huì)廣播所有 數(shù)據(jù)，這時(shí)，如果局域網(wǎng)中一臺(tái)主機(jī)將數(shù)據(jù)，這時(shí)，如果局域網(wǎng)中一臺(tái)主機(jī)將 網(wǎng)卡設(shè)置成混雜模式，那么它就可以接網(wǎng)卡設(shè)置成混雜模

21、式，那么它就可以接 收到該局域網(wǎng)中的所有數(shù)據(jù)了。收到該局域網(wǎng)中的所有數(shù)據(jù)了。 o 網(wǎng)卡在混雜模式工作的情況下，所有流網(wǎng)卡在混雜模式工作的情況下，所有流 經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會(huì)被網(wǎng)卡驅(qū)動(dòng)程序上經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會(huì)被網(wǎng)卡驅(qū)動(dòng)程序上 傳給網(wǎng)絡(luò)層。傳給網(wǎng)絡(luò)層。 o 共享式局域網(wǎng)監(jiān)聽示意圖見下頁。共享式局域網(wǎng)監(jiān)聽示意圖見下頁。 2021-7-20網(wǎng)絡(luò)入侵與防范講義30 集線器集線器 路由器路由器 Internet 攻擊者主機(jī)攻擊者主機(jī)受害者主機(jī)受害者主機(jī) 其它主機(jī)其它主機(jī) 2021-7-20網(wǎng)絡(luò)入侵與防范講義31 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法

22、共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法(2) o 正常工作時(shí)，應(yīng)用程正常工作時(shí)，應(yīng)用程 序只能接收到以本主序只能接收到以本主 機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)機(jī)為目標(biāo)主機(jī)的數(shù)據(jù) 包，其他數(shù)據(jù)包過濾包，其他數(shù)據(jù)包過濾 后被丟棄不做處理。后被丟棄不做處理。 o 該過濾機(jī)制可以作用該過濾機(jī)制可以作用 在鏈路層、網(wǎng)絡(luò)層和在鏈路層、網(wǎng)絡(luò)層和 傳輸層這幾個(gè)層次，傳輸層這幾個(gè)層次， 工作流程如圖所示：工作流程如圖所示： 2021-7-20網(wǎng)絡(luò)入侵與防范講義32 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法(3) o 鏈路層過濾：判斷數(shù)據(jù)包的目的鏈路層過濾：判斷數(shù)據(jù)包的目的MAC地地 址。址。 o 網(wǎng)絡(luò)層過濾：判斷數(shù)據(jù)包的目的

23、網(wǎng)絡(luò)層過濾：判斷數(shù)據(jù)包的目的IP地址。地址。 o 傳輸層過濾：判斷對(duì)應(yīng)的目的端口是否傳輸層過濾：判斷對(duì)應(yīng)的目的端口是否 在本機(jī)已經(jīng)打開。在本機(jī)已經(jīng)打開。 o 因而，如果沒有一個(gè)特定的機(jī)制，上層因而，如果沒有一個(gè)特定的機(jī)制，上層 應(yīng)用也無法抓到本不屬于自己的應(yīng)用也無法抓到本不屬于自己的“數(shù)據(jù)數(shù)據(jù) 包包”。 2021-7-20網(wǎng)絡(luò)入侵與防范講義33 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法(4) o 需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模 塊，它將網(wǎng)卡設(shè)置成混雜模式，并從監(jiān)聽軟塊，它將網(wǎng)卡設(shè)置成混雜模式，并從監(jiān)聽軟 件接收下達(dá)的各種抓包請(qǐng)求，對(duì)來自

24、網(wǎng)卡驅(qū)件接收下達(dá)的各種抓包請(qǐng)求，對(duì)來自網(wǎng)卡驅(qū) 動(dòng)程序的數(shù)據(jù)幀進(jìn)行過濾，最終將符合監(jiān)聽動(dòng)程序的數(shù)據(jù)幀進(jìn)行過濾，最終將符合監(jiān)聽 軟件要求的數(shù)據(jù)返回給監(jiān)聽軟件。軟件要求的數(shù)據(jù)返回給監(jiān)聽軟件。 2021-7-20網(wǎng)絡(luò)入侵與防范講義34 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法(5) o 有了驅(qū)動(dòng)模塊，鏈路層的有了驅(qū)動(dòng)模塊，鏈路層的 網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù) 幀就有了兩個(gè)去處：一個(gè)幀就有了兩個(gè)去處：一個(gè) 是正常的協(xié)議棧，另一個(gè)是正常的協(xié)議棧，另一個(gè) 就是分組捕獲即過濾模塊。就是分組捕獲即過濾模塊。 o 對(duì)于非本地的數(shù)據(jù)包，前對(duì)于非本地的數(shù)據(jù)包，前 者會(huì)丟棄（通過比較目的者

25、會(huì)丟棄（通過比較目的 IP地址），而后者則會(huì)根地址），而后者則會(huì)根 據(jù)上層應(yīng)用的要求來決定據(jù)上層應(yīng)用的要求來決定 上傳還是丟棄，如圖所示。上傳還是丟棄，如圖所示。 2021-7-20網(wǎng)絡(luò)入侵與防范講義35 共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法(6) o 在實(shí)際應(yīng)用中，監(jiān)聽時(shí)存在不需要的數(shù)據(jù)，在實(shí)際應(yīng)用中，監(jiān)聽時(shí)存在不需要的數(shù)據(jù)， 嚴(yán)重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽模塊嚴(yán)重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽模塊 過濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵。過濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵。 o 信息的過濾包括以下幾種：信息的過濾包括以下幾種：站過濾，協(xié)議站過濾，協(xié)議 過濾，服務(wù)過濾，通用過濾過濾，

26、服務(wù)過濾，通用過濾。 o 同時(shí)根據(jù)過濾的時(shí)間，可以分為兩種過濾同時(shí)根據(jù)過濾的時(shí)間，可以分為兩種過濾 方式：方式：捕獲前過濾、捕獲后過濾捕獲前過濾、捕獲后過濾。 2021-7-20網(wǎng)絡(luò)入侵與防范講義36 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 (1) 基于基于UNIX系統(tǒng)的開發(fā)庫系統(tǒng)的開發(fā)庫libpcap 2021-7-20網(wǎng)絡(luò)入侵與防范講義37 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 (1) 基于基于UNIX系統(tǒng)的開發(fā)庫系統(tǒng)的開發(fā)庫libpcap 對(duì)開發(fā)者而言，網(wǎng)卡驅(qū)動(dòng)程序和對(duì)開發(fā)者而言，網(wǎng)卡驅(qū)動(dòng)程序和BPF捕獲機(jī)制捕獲機(jī)制 是透明的，需要掌握的是是透明的，需要掌握的是libpcap庫的使用。庫的使用。 libpcap隱藏了用戶

27、程序和操作系統(tǒng)內(nèi)核交互隱藏了用戶程序和操作系統(tǒng)內(nèi)核交互 的細(xì)節(jié)，完成了如下工作：的細(xì)節(jié)，完成了如下工作： n向用戶程序提供了一套功能強(qiáng)大的抽象接口。 n根據(jù)用戶要求生成過濾指令。 n管理用戶緩沖區(qū)。 n負(fù)責(zé)用戶程序和內(nèi)核的交互。 2021-7-20網(wǎng)絡(luò)入侵與防范講義38 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 (2)基于基于Windows系統(tǒng)的系統(tǒng)的WinPcap WinPcap是基于是基于Windows 操作系統(tǒng)環(huán)操作系統(tǒng)環(huán) 境的境的Libpcap ，其在監(jiān)聽程序中起的作，其在監(jiān)聽程序中起的作 用和用和UNIX 系統(tǒng)下的系統(tǒng)下的libpcap類似。但是類似。但是 比比libpcap多一些功能，如多一些功能，如

28、WinPcap可可 以發(fā)送數(shù)據(jù)，但是以發(fā)送數(shù)據(jù)，但是libpcap則不行。則不行。 2021-7-20網(wǎng)絡(luò)入侵與防范講義39 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 p WinPcap的架構(gòu)包括：的架構(gòu)包括： n 內(nèi)核級(jí)的數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序NPF：把設(shè)備驅(qū)動(dòng) 增加在Windows，它直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包 不加修改地傳遞給運(yùn)行在用戶層的應(yīng)用程序上，也允許用 戶發(fā)送原始數(shù)據(jù)包。 n 低級(jí)動(dòng)態(tài)連接庫packet.dll：運(yùn)行在用戶層， 把應(yīng)用 程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序隔離開，使得應(yīng)用程序可 以不加修改地在不同Windows系統(tǒng)上運(yùn)行。 n 高級(jí)系統(tǒng)無關(guān)庫Wpcap.dll：它和應(yīng)用程序編譯在一起，

29、它使用低級(jí)動(dòng)態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善 的監(jiān)聽接口，不同Windows平臺(tái)上的高級(jí)系統(tǒng)無關(guān)庫是 相同的。 2021-7-20網(wǎng)絡(luò)入侵與防范講義40 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 p WinPcap架構(gòu)圖架構(gòu)圖 2021-7-20網(wǎng)絡(luò)入侵與防范講義41 相關(guān)開發(fā)庫相關(guān)開發(fā)庫 Pcap_open_live Pcap_setfilter Pcap_next_ex MyPacketProcessPcap_dump o 使用使用Winpcap的流程的流程 打開網(wǎng)卡接口，設(shè)置為混雜模式打開網(wǎng)卡接口，設(shè)置為混雜模式 設(shè)置過濾器設(shè)置過濾器(捕獲前過濾捕獲前過濾) 捕獲數(shù)據(jù)捕獲數(shù)據(jù) 對(duì)捕獲到的數(shù)據(jù)進(jìn)行處理對(duì)

30、捕獲到的數(shù)據(jù)進(jìn)行處理 將捕獲到的數(shù)據(jù)進(jìn)行存儲(chǔ)將捕獲到的數(shù)據(jù)進(jìn)行存儲(chǔ) 2021-7-20網(wǎng)絡(luò)入侵與防范講義42 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù) o 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 3.2.2 共享式局域網(wǎng)的監(jiān)聽技術(shù)共享式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.4 網(wǎng)絡(luò)監(jiān)聽工具舉例網(wǎng)絡(luò)監(jiān)聽工具舉例 2021-7-20網(wǎng)絡(luò)入侵與防范講義43 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 什么是交換式局域網(wǎng)什么是交換式局域網(wǎng) n 交換式以太網(wǎng)就是用交換機(jī)或其它非廣播式交 換設(shè)備組建成的局域網(wǎng)。 n 這些設(shè)備根據(jù)

31、收到的數(shù)據(jù)幀中的MAC地址決定 數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口。 n 因?yàn)槎丝陂g的幀傳輸彼此屏蔽，因此節(jié)點(diǎn)就不 擔(dān)心自己發(fā)送的幀會(huì)被發(fā)送到非目的節(jié)點(diǎn)中去。 2021-7-20網(wǎng)絡(luò)入侵與防范講義44 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 產(chǎn)生交換式局域網(wǎng)的原因：產(chǎn)生交換式局域網(wǎng)的原因： n 系統(tǒng)管理人員常常通過在本地網(wǎng)絡(luò)中加入交換 設(shè)備，來預(yù)防sniffer(嗅探器)的侵入。 n 交換機(jī)工作在數(shù)據(jù)鏈路層，工作時(shí)維護(hù)著一張 MAC地址與端口的映射表。在這個(gè)表中記錄著 交換機(jī)每個(gè)端口綁定的MAC地址。不同于HUB 的報(bào)文廣播方式，交換機(jī)轉(zhuǎn)發(fā)的報(bào)文是一一對(duì) 應(yīng)的。 2021-7-

32、20網(wǎng)絡(luò)入侵與防范講義45 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽 的困擾。的困擾。 o 但是交換機(jī)的安全性也面臨著嚴(yán)峻的考驗(yàn)，但是交換機(jī)的安全性也面臨著嚴(yán)峻的考驗(yàn)， 隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下 方法來實(shí)現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽：方法來實(shí)現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽： n 溢出攻擊 n ARP欺騙（常用技術(shù)） 2021-7-20網(wǎng)絡(luò)入侵與防范講義46 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o溢出攻擊溢出攻擊 n 交換機(jī)工作

33、時(shí)要維護(hù)一張MAC地址與端口的映 射表。 n 但是用于維護(hù)這張表的內(nèi)存是有限的。如用大 量的錯(cuò)誤MAC地址的數(shù)據(jù)幀對(duì)交換機(jī)進(jìn)行攻擊， 交換機(jī)就可能出現(xiàn)溢出。 n 這時(shí)交換機(jī)就會(huì)退回到HUB的廣播方式，向所 有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容 易了。 2021-7-20網(wǎng)絡(luò)入侵與防范講義47 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o ARP欺騙欺騙 n 計(jì)算機(jī)中維護(hù)著一個(gè)IP-MAC地址對(duì)應(yīng)表，記錄了 IP地址和MAC地址之間的對(duì)應(yīng)關(guān)系。該表將隨著 ARP請(qǐng)求及響應(yīng)包不斷更新。 n 通過ARP欺騙，改變表里的對(duì)應(yīng)關(guān)系，攻擊者可以 成為被攻擊者與交換機(jī)之間的“中間人”，使

34、交換 式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機(jī)的網(wǎng)卡， 這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。 n dsniff和parasite等交換式局域網(wǎng)中的嗅探工具就 是利用ARP欺騙來實(shí)現(xiàn)的。 n ARP欺騙示意圖見下頁，具體過程會(huì)在欺騙攻擊章 節(jié)講解。 2021-7-20網(wǎng)絡(luò)入侵與防范講義48 交換機(jī)交換機(jī) 路由器路由器 Internet 攻擊者攻擊者 主機(jī)主機(jī) 受害者受害者 主機(jī)主機(jī) 交換機(jī)交換機(jī) 路由器路由器 Internet 攻擊者攻擊者 主機(jī)主機(jī) 受害者受害者 主機(jī)主機(jī) ARP欺騙欺騙 2021-7-

35、20網(wǎng)絡(luò)入侵與防范講義49 3.2 監(jiān)聽技術(shù)監(jiān)聽技術(shù) o 3.2.1 局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介局域網(wǎng)中的硬件設(shè)備簡(jiǎn)介 o 3.2.2 共享式局域網(wǎng)的監(jiān)聽技術(shù)共享式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.3 交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)的監(jiān)聽技術(shù) o 3.2.4 網(wǎng)絡(luò)監(jiān)聽工具舉例網(wǎng)絡(luò)監(jiān)聽工具舉例 2021-7-20網(wǎng)絡(luò)入侵與防范講義50 3.2.4 網(wǎng)絡(luò)監(jiān)聽工具舉例網(wǎng)絡(luò)監(jiān)聽工具舉例 o 常用的網(wǎng)絡(luò)監(jiān)聽工具常用的網(wǎng)絡(luò)監(jiān)聽工具 n Tcpdump/Windump n Ngrep n Ethereal/Wireshark n Sniffer Pro n NetXray o 網(wǎng)絡(luò)監(jiān)聽工具的主要功能大都相似，我

36、們以網(wǎng)絡(luò)監(jiān)聽工具的主要功能大都相似，我們以 Wireshark為例。為例。 2021-7-20網(wǎng)絡(luò)入侵與防范講義51 Wireshark簡(jiǎn)介簡(jiǎn)介 o Wireshark是一個(gè)免費(fèi)的開源網(wǎng)絡(luò)數(shù)據(jù)包分析工是一個(gè)免費(fèi)的開源網(wǎng)絡(luò)數(shù)據(jù)包分析工 具，可以在具，可以在Linux、Solaris、Windows等多種等多種 平臺(tái)運(yùn)行。平臺(tái)運(yùn)行。 o 它允許用戶從一個(gè)活動(dòng)的網(wǎng)絡(luò)中捕捉數(shù)據(jù)包并進(jìn)行它允許用戶從一個(gè)活動(dòng)的網(wǎng)絡(luò)中捕捉數(shù)據(jù)包并進(jìn)行 分析，詳細(xì)探究數(shù)據(jù)包的協(xié)議字段信息和會(huì)話過程。分析，詳細(xì)探究數(shù)據(jù)包的協(xié)議字段信息和會(huì)話過程。 o 幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問題，幫助網(wǎng)絡(luò)安全工程幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問題，幫助

37、網(wǎng)絡(luò)安全工程 師檢測(cè)安全隱患，開發(fā)人員可以用它來測(cè)試協(xié)議執(zhí)師檢測(cè)安全隱患，開發(fā)人員可以用它來測(cè)試協(xié)議執(zhí) 行情況、學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。行情況、學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。 o 具有很好的可擴(kuò)展性，用戶能自由地增加插件以實(shí)具有很好的可擴(kuò)展性，用戶能自由地增加插件以實(shí) 現(xiàn)額外功能。現(xiàn)額外功能。 2021-7-20網(wǎng)絡(luò)入侵與防范講義52 Wireshark更名的故事更名的故事 o 2006年年6月月8號(hào)號(hào), Ethereal軟件的創(chuàng)始人軟件的創(chuàng)始人 Gerald Coombs宣布離開宣布離開NIS公司公司(Ethereal 所屬公司所屬公司)，正式加入，正式加入CaceTech。 o 由于由于Coombs最終沒能與最終沒

38、能與NIS公司達(dá)成協(xié)議，公司達(dá)成協(xié)議， Coombs想保留想保留Ethereal商標(biāo)權(quán)，因此將商標(biāo)權(quán)，因此將 Ethereal后續(xù)版本更名為后續(xù)版本更名為Wireshark，屬于，屬于 CaceTech公司。公司。 o Ethereal原網(wǎng)站原網(wǎng)站(http:/ 舊提供下載服務(wù)。舊提供下載服務(wù)。 2021-7-20網(wǎng)絡(luò)入侵與防范講義53 如何獲得軟件如何獲得軟件 o Ethereal官網(wǎng)（終結(jié)版本官網(wǎng)（終結(jié)版本0.99.0）：）： http:/www.E o Wireshark官網(wǎng)（最新穩(wěn)定版本官網(wǎng)（最新穩(wěn)定版本1.2.8）：）： / o 在安裝在

39、安裝Wireshark時(shí)，時(shí)，要要同時(shí)安裝同時(shí)安裝 Winpcap，它是提供，它是提供Windows 系統(tǒng)所系統(tǒng)所 需要的封包捕獲驅(qū)動(dòng)程序需要的封包捕獲驅(qū)動(dòng)程序 2021-7-20網(wǎng)絡(luò)入侵與防范講義54 Wireshark的特點(diǎn)的特點(diǎn) o 支持多支持多種種通訊接口（如通訊接口（如Ethernet、Token- ring、X.25等）及等）及數(shù)據(jù)數(shù)據(jù)包包協(xié)議類型協(xié)議類型（如（如ARP、 TCP、UDP等）等），可以組合可以組合TCP上的封包且上的封包且 顯示出以顯示出以ASCII或是或是EBCDIC型態(tài)的數(shù)據(jù)型態(tài)的數(shù)據(jù) （TCP Stream），所捕獲的封包可以被儲(chǔ)，所捕獲的封包可以被儲(chǔ) 存。存

40、。 o 支持支持Capture Filter（捕獲前過濾捕獲前過濾）和）和 Display Filter（捕獲后過濾捕獲后過濾）功能幫助用）功能幫助用 戶篩選戶篩選想要的想要的數(shù)據(jù)數(shù)據(jù)包。包。 2021-7-20網(wǎng)絡(luò)入侵與防范講義55 o 在捕獲數(shù)據(jù)包之前設(shè)定。用于設(shè)定捕獲數(shù)據(jù)在捕獲數(shù)據(jù)包之前設(shè)定。用于設(shè)定捕獲數(shù)據(jù) 包時(shí)的過濾條件，屬于包時(shí)的過濾條件，屬于捕獲前過濾捕獲前過濾 o 好處好處:可以讓你選擇要抓取的數(shù)據(jù)包可以讓你選擇要抓取的數(shù)據(jù)包 o Examples: n tcp n tcp or udp n tcp | udp（此過濾規(guī)則是上一條的不同寫法） n tcp and ip.addr

41、=4 Capture filter 2021-7-20網(wǎng)絡(luò)入侵與防范講義56 Display filter o 在捕獲數(shù)據(jù)包結(jié)束后設(shè)定。用來設(shè)定顯示數(shù)在捕獲數(shù)據(jù)包結(jié)束后設(shè)定。用來設(shè)定顯示數(shù) 據(jù)包的條件，屬于據(jù)包的條件，屬于捕獲后過濾捕獲后過濾 o 好處好處:可以讓你選擇要看的數(shù)據(jù)包可以讓你選擇要看的數(shù)據(jù)包 o Example: n 同Capture filter n tcp.port = 80 n tcp port 80 （此過濾規(guī)則是上一條的不同寫法） 2021-7-20網(wǎng)絡(luò)入侵與防范講義57 案例一：觀察案例一：觀察FTP數(shù)據(jù)流數(shù)據(jù)流 o 設(shè)置設(shè)置capture fi

42、lter，只，只對(duì)對(duì)tcp包包進(jìn)行監(jiān)測(cè)進(jìn)行監(jiān)測(cè) o 開始抓取數(shù)據(jù)包，同時(shí)局域網(wǎng)內(nèi)有開始抓取數(shù)據(jù)包，同時(shí)局域網(wǎng)內(nèi)有ftp登陸登陸 o (隔一小段時(shí)間后隔一小段時(shí)間后) o 停止抓取封包停止抓取封包 o 觀察數(shù)據(jù)包的格式內(nèi)容觀察數(shù)據(jù)包的格式內(nèi)容 o 設(shè)置設(shè)置display filter，只查看，只查看21端口與端口與ftp 主機(jī)相關(guān)的數(shù)據(jù)包主機(jī)相關(guān)的數(shù)據(jù)包 o 使用使用follow tcp stream功能重組數(shù)據(jù)包，功能重組數(shù)據(jù)包， 查看查看ftp登陸過程登陸過程 2021-7-20網(wǎng)絡(luò)入侵與防范講義58 設(shè)置設(shè)置Capture filter tcp 2021-7-20網(wǎng)絡(luò)入侵與防范講義59 抓

43、包正在進(jìn)行中，只抓取了抓包正在進(jìn)行中，只抓取了TCP包包 2021-7-20網(wǎng)絡(luò)入侵與防范講義60 抓包結(jié)束，查看封包內(nèi)容抓包結(jié)束，查看封包內(nèi)容 控制列控制列封包總封包總 覽覽 封包內(nèi)封包內(nèi) 容容 十六進(jìn)十六進(jìn) 制碼制碼 2021-7-20網(wǎng)絡(luò)入侵與防范講義61 設(shè)置設(shè)置Display filter Port 21 and ip.addr=50 2021-7-20網(wǎng)絡(luò)入侵與防范講義62 封包重組封包重組 選定某一封包內(nèi)容后，執(zhí)行選定某一封包內(nèi)容后，執(zhí)行Follow TCP Stream ，即可對(duì)與被選中封包相關(guān)的所有，即可對(duì)與被選中封包相關(guān)的所有 封包內(nèi)容進(jìn)行重組，可更清

44、楚的看到封包中的封包內(nèi)容進(jìn)行重組，可更清楚的看到封包中的 Data。 ftpftp登陸過程登陸過程 2021-7-20網(wǎng)絡(luò)入侵與防范講義63 案例二：監(jiān)聽案例二：監(jiān)聽TCP通信過程通信過程 o TCP通信過程回顧通信過程回顧 o 實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)環(huán)境 o 用用Ethereal抓包抓包 o 數(shù)據(jù)包詳細(xì)分析數(shù)據(jù)包詳細(xì)分析 2021-7-20網(wǎng)絡(luò)入侵與防范講義64 TCP通信過程回顧通信過程回顧 oTCP數(shù)據(jù)報(bào)格式數(shù)據(jù)報(bào)格式 o正常正常TCP通信過程通信過程: n 建立連接 n 數(shù)據(jù)傳輸 n 斷開連接 2021-7-20網(wǎng)絡(luò)入侵與防范講義65 TCP數(shù)據(jù)報(bào)格式數(shù)據(jù)報(bào)格式 2021-7-20網(wǎng)絡(luò)入侵與防范

45、講義66 TCP連接建立過程連接建立過程 2021-7-20網(wǎng)絡(luò)入侵與防范講義67 TCP數(shù)據(jù)傳輸過程數(shù)據(jù)傳輸過程 TCP Packet EstablishedEstablished SEQ=1001,ACK=751,dataLen=256Sending1Waiting1 SEQ=751,ACK=1257OK1ACK1 SEQ=751,ACK=1513OK2ACK2 SEQ=1257,ACK=751,dataLen=256Sending2Waiting2 2021-7-20網(wǎng)絡(luò)入侵與防范講義68 TCP連接斷開過程連接斷開過程 TCP Packet EstablishedEstablished

46、 SEQ=1513,ACK=751,CTL=FIN|ACKFIN-WAIT-1CLOSE-WAIT SEQ=751,ACK=1514,CTL=ACKFIN-WAIT-2CLOSE-WAIT SEQ=751,ACK=1514,CTL=FIN|ACKTIME-WAITLAST-ACK SEQ=1514,ACK=752,CTL=ACKTIME-WAITCLOSED CLOSED 2021-7-20網(wǎng)絡(luò)入侵與防范講義69 實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)環(huán)境 o 位于同一局域網(wǎng)內(nèi)的兩臺(tái)主機(jī)，位于同一局域網(wǎng)內(nèi)的兩臺(tái)主機(jī)，IP分別為：分別為： 4，19 o 自己編寫了一個(gè)自己編寫了

47、一個(gè)C/S模式的程序，實(shí)現(xiàn)簡(jiǎn)單模式的程序，實(shí)現(xiàn)簡(jiǎn)單 的的TCP數(shù)據(jù)發(fā)送與接收數(shù)據(jù)發(fā)送與接收 o Client運(yùn)行在運(yùn)行在4 o Server運(yùn)行在運(yùn)行在19 2021-7-20網(wǎng)絡(luò)入侵與防范講義70 實(shí)驗(yàn)環(huán)境（實(shí)驗(yàn)環(huán)境（2） o Client發(fā)送兩次數(shù)據(jù)，內(nèi)容分別為發(fā)送兩次數(shù)據(jù)，內(nèi)容分別為123和和 456，然后發(fā)送，然后發(fā)送0結(jié)束結(jié)束TCP連接。連接。 o 程序截圖如下。程序截圖如下。 客戶端發(fā)送數(shù)據(jù)客戶端發(fā)送數(shù)據(jù)服務(wù)端接收到數(shù)據(jù)服務(wù)端接收到數(shù)據(jù) 2021-7-20網(wǎng)絡(luò)入侵與防范講義71 捕獲數(shù)據(jù)包捕獲數(shù)據(jù)包 o 在在Client發(fā)送數(shù)據(jù)之前，在發(fā)

48、送數(shù)據(jù)之前，在4 主機(jī)主機(jī)(Client)上開啟上開啟Ethereal。 o 在捕獲前不進(jìn)行過濾，直接捕獲所有數(shù)據(jù)包。在捕獲前不進(jìn)行過濾，直接捕獲所有數(shù)據(jù)包。 o 當(dāng)當(dāng)Client結(jié)束結(jié)束TCP連接之后，停止捕獲數(shù)據(jù)包。連接之后，停止捕獲數(shù)據(jù)包。 o 采用采用捕獲后過濾捕獲后過濾的方法，過濾規(guī)則是的方法，過濾規(guī)則是 tcp AND ip.addr=19 其中，其中，19是是Server主機(jī)。主機(jī)。 o 過濾后，共得到過濾后，共得到11個(gè)數(shù)據(jù)包，見下頁圖。個(gè)數(shù)據(jù)包，見下頁圖。 2021-7-20網(wǎng)絡(luò)入侵與防范講義72 2021-7

49、-20網(wǎng)絡(luò)入侵與防范講義73 數(shù)據(jù)包詳細(xì)分析數(shù)據(jù)包詳細(xì)分析 o 這這11個(gè)數(shù)據(jù)包的含義如下：個(gè)數(shù)據(jù)包的含義如下： n 13：三次握手，建立連接 n 45：第一次發(fā)送數(shù)據(jù) n 67：第二次發(fā)送數(shù)據(jù) n 811：斷開連接 o 下面將對(duì)這下面將對(duì)這11個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析。個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析。 2021-7-20網(wǎng)絡(luò)入侵與防范講義74 1 CS SYN SEQ=X+0 與與 T C P 報(bào)報(bào) 文文 格格 式式 相相 對(duì)對(duì) 應(yīng)應(yīng) 2021-7-20網(wǎng)絡(luò)入侵與防范講義75 2 SC SYN,ACK SEQ=Y+0 ACK=X+1 2021-7-20網(wǎng)絡(luò)入侵與防范講義76 3 CS ACK SEQ=X+

50、1 ACK=Y+1 三次握手結(jié)束三次握手結(jié)束 2021-7-20網(wǎng)絡(luò)入侵與防范講義77 4 CS PSH,ACK SEQ=X+1, data length=256, next seq=257 ACK=Y+1 數(shù)據(jù)內(nèi)容見下頁圖數(shù)據(jù)內(nèi)容見下頁圖 2021-7-20網(wǎng)絡(luò)入侵與防范講義78 TCP segment data(256 bytes) 這是第一次這是第一次 發(fā)送的數(shù)據(jù)發(fā)送的數(shù)據(jù) 123 2021-7-20網(wǎng)絡(luò)入侵與防范講義79 5 SC ACK SEQ=Y+1 ACK=X+257 第一次傳輸數(shù)據(jù)結(jié)束第一次傳輸數(shù)據(jù)結(jié)束 2021-7-20網(wǎng)絡(luò)入侵與防范講義80 6 CS PSH,ACK SEQ

51、=X+257, data length=256, next seq=513 ACK=Y+1 數(shù)據(jù)內(nèi)容見下頁圖數(shù)據(jù)內(nèi)容見下頁圖 2021-7-20網(wǎng)絡(luò)入侵與防范講義81 TCP segment data(256 bytes) 這是第二次這是第二次 發(fā)送的數(shù)據(jù)發(fā)送的數(shù)據(jù) 456 2021-7-20網(wǎng)絡(luò)入侵與防范講義82 7 SC ACK SEQ=Y+1 ACK=X+513 第二次傳輸數(shù)據(jù)結(jié)束第二次傳輸數(shù)據(jù)結(jié)束 2021-7-20網(wǎng)絡(luò)入侵與防范講義83 8 CS FIN,ACK SEQ=X+513 ACK=Y+1 2021-7-20網(wǎng)絡(luò)入侵與防范講義84 9 SC ACK SEQ=Y+1 ACK=X

52、+514 2021-7-20網(wǎng)絡(luò)入侵與防范講義85 10 SC FIN,ACK SEQ=Y+1 ACK=X+514 2021-7-20網(wǎng)絡(luò)入侵與防范講義86 11 CS ACK SEQ=X+514 ACK=Y+2 TCP連接已經(jīng)斷開連接已經(jīng)斷開 2021-7-20網(wǎng)絡(luò)入侵與防范講義87 案例三：觀察登錄案例三：觀察登錄BBS過程過程 o 設(shè)置網(wǎng)卡設(shè)置網(wǎng)卡 n如果有多個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡），首先在Capture Options中設(shè) 置在哪個(gè)網(wǎng)絡(luò)接口上抓包。勾選Capture packets in promiscuous mode選項(xiàng)，將網(wǎng)卡設(shè)置成混雜模式。 2021-7-20網(wǎng)絡(luò)入侵與防范講義88

53、案例三：觀察登錄案例三：觀察登錄BBS過程過程 o 設(shè)置過濾條件：捕獲前過濾設(shè)置過濾條件：捕獲前過濾 2021-7-20網(wǎng)絡(luò)入侵與防范講義89 案例三：觀察登錄案例三：觀察登錄BBS過程過程 o 設(shè)置過濾條件：捕獲后過濾設(shè)置過濾條件：捕獲后過濾 o 如果如果Filter框背景顯示為綠色，說明所設(shè)定框背景顯示為綠色，說明所設(shè)定 的過濾規(guī)則合乎的過濾規(guī)則合乎Wireshark支持的語法規(guī)支持的語法規(guī) 則。則。 o 如果如果Filter框背景顯示為紅色，說明所設(shè)定框背景顯示為紅色，說明所設(shè)定 的過濾規(guī)則不符合語法規(guī)則。的過濾規(guī)則不符合語法規(guī)則。 2021-7-20網(wǎng)絡(luò)入侵與防范講義90 案例三：觀察

54、登錄案例三：觀察登錄BBS過程過程 登錄BBS的用戶名和密碼 主機(jī)向服 務(wù)器發(fā)送 的POST 請(qǐng)求 2021-7-20網(wǎng)絡(luò)入侵與防范講義91 3.3 監(jiān)聽的防御監(jiān)聽的防御 o 3.3.1 通用策略通用策略 o 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 3.3.3 交換網(wǎng)絡(luò)下的防監(jiān)聽交換網(wǎng)絡(luò)下的防監(jiān)聽 2021-7-20網(wǎng)絡(luò)入侵與防范講義92 3.3.1 通用策略通用策略 o 由于嗅探器是一種被動(dòng)攻擊技術(shù)，因此由于嗅探器是一種被動(dòng)攻擊技術(shù)，因此 非常難以被發(fā)現(xiàn)。非常難以被發(fā)現(xiàn)。 o 完全主動(dòng)的解決方案很難找到并且因網(wǎng)完全主動(dòng)的解決方案很難找到并且因網(wǎng) 絡(luò)類型而有一些差異，但我們可以先

55、采絡(luò)類型而有一些差異，但我們可以先采 用一些被動(dòng)但卻是通用的防御措施。用一些被動(dòng)但卻是通用的防御措施。 o 這主要包括采用這主要包括采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和和 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)兩方面。此外要注意重點(diǎn)兩方面。此外要注意重點(diǎn) 區(qū)域的安全防范。區(qū)域的安全防范。 2021-7-20網(wǎng)絡(luò)入侵與防范講義93 安全的拓?fù)浣Y(jié)構(gòu)安全的拓?fù)浣Y(jié)構(gòu) o 網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少。 o 網(wǎng)絡(luò)分段：網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個(gè)網(wǎng)段的集將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個(gè)網(wǎng)段的集 線器被連接到一個(gè)交換器線器被連接到一個(gè)交換器 (Swi

56、tch) 上，所以數(shù)據(jù)包上，所以數(shù)據(jù)包 只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩 余部分（不在同一網(wǎng)段）便被保護(hù)了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò)余部分（不在同一網(wǎng)段）便被保護(hù)了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò) 設(shè)備是嗅探器不可能跨過的：交換機(jī)、路由器、網(wǎng)橋。設(shè)備是嗅探器不可能跨過的：交換機(jī)、路由器、網(wǎng)橋。 我們可以通過靈活的運(yùn)用這些設(shè)備來進(jìn)行網(wǎng)絡(luò)分段。我們可以通過靈活的運(yùn)用這些設(shè)備來進(jìn)行網(wǎng)絡(luò)分段。 o 劃分劃分VLAN：使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般 可以采用可以采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)個(gè)工作站為一組，這是一個(gè)

57、比較合理的數(shù) 字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴 的硬件設(shè)備。的硬件設(shè)備。 2021-7-20網(wǎng)絡(luò)入侵與防范講義94 數(shù)據(jù)加密數(shù)據(jù)加密 o 數(shù)據(jù)通道加密：數(shù)據(jù)通道加密：正常的數(shù)據(jù)都是通過事先建立正常的數(shù)據(jù)都是通過事先建立 的通道進(jìn)行傳輸?shù)?，以往許多應(yīng)用協(xié)議中明文的通道進(jìn)行傳輸?shù)模酝S多應(yīng)用協(xié)議中明文 傳輸?shù)馁~號(hào)、口令的敏感信息將受到嚴(yán)密保護(hù)。傳輸?shù)馁~號(hào)、口令的敏感信息將受到嚴(yán)密保護(hù)。 目前的數(shù)據(jù)加密通道方式主要有目前的數(shù)據(jù)加密通道方式主要有SSH 、 SSL(Secure Socket Layer，安全套接字，安全套接字 應(yīng)用層應(yīng)

58、用層)和和VPN。 o 數(shù)據(jù)內(nèi)容加密：數(shù)據(jù)內(nèi)容加密：主要采用的是將目前被證實(shí)的主要采用的是將目前被證實(shí)的 較為可靠的加密機(jī)制對(duì)對(duì)互聯(lián)網(wǎng)上傳輸?shù)泥]件較為可靠的加密機(jī)制對(duì)對(duì)互聯(lián)網(wǎng)上傳輸?shù)泥]件 和文件進(jìn)行加密。如和文件進(jìn)行加密。如PGP等。等。 2021-7-20網(wǎng)絡(luò)入侵與防范講義95 3.3 監(jiān)聽的防御監(jiān)聽的防御 o 3.3.1 通用策略通用策略 o 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 3.3.3 交換網(wǎng)絡(luò)下的防監(jiān)聽交換網(wǎng)絡(luò)下的防監(jiān)聽 2021-7-20網(wǎng)絡(luò)入侵與防范講義96 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 雖然共享式局域網(wǎng)中的嗅探很隱蔽，但也有雖然共享式局

59、域網(wǎng)中的嗅探很隱蔽，但也有 一些方法來幫助判斷：一些方法來幫助判斷： n 檢測(cè)處于混雜模式的網(wǎng)卡 n 網(wǎng)絡(luò)通訊丟包率非常高 n 網(wǎng)絡(luò)帶寬出現(xiàn)反常 o 檢測(cè)技術(shù)檢測(cè)技術(shù) n 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試 n ARP檢測(cè)（如AntiSniff 工具） 2021-7-20網(wǎng)絡(luò)入侵與防范講義97 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 1. 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試 n 這種檢測(cè)已被證明是最有效的，它能夠發(fā)現(xiàn)網(wǎng) 絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng) 是什么。 2021-7-20網(wǎng)絡(luò)入侵與防范講義98 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 1. 網(wǎng)絡(luò)和主機(jī)

60、響應(yīng)時(shí)間測(cè)試網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試 n 測(cè)試原理測(cè)試原理是處于非監(jiān)聽模式的網(wǎng)卡提供了一定 的硬件底層過濾機(jī)制，即目標(biāo)地址為非本地(廣 播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。 n 這種情況下驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò) 通訊流量對(duì)操作系統(tǒng)的影響很小。 n 而處于混雜模式下的機(jī)器則缺乏底層的過濾， 驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量會(huì) 對(duì)該機(jī)器造成較明顯的影響(不同的操作系統(tǒng)/內(nèi) 核/用戶方式會(huì)有不同)。 2021-7-20網(wǎng)絡(luò)入侵與防范講義99 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽 o 1. 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試 n 實(shí)現(xiàn)方法實(shí)現(xiàn)方法是利用ICMP ECH