第3章網(wǎng)絡嗅探

1、第三章 網(wǎng)絡嗅探3.1 嗅探器概述 n嗅探器（Sniffer）是一種在網(wǎng)絡上常用的收集有用信息的軟件，可以用來監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔?。n當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡嗅探的方式來進行攻擊，分析出用戶敏感的數(shù)據(jù)，例如用戶的賬號、密碼，或者是一些商用機密數(shù)據(jù)等。n我們經(jīng)常使用的FTP、Telent、SMTP、POP協(xié)議等都采用明文來傳輸數(shù)據(jù)。 n嗅探器攻擊也是在網(wǎng)絡環(huán)境中非常普遍的攻擊類型之一。 3.1 嗅探器概述n嗅探器的定義nSniffer是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。n一部電話上的竊聽裝置, 可以用來竊聽雙方通話

2、的內(nèi)容，而嗅探器則可以竊聽計算機程序在網(wǎng)絡上發(fā)送和接收到的數(shù)據(jù)。n后者的目的就是為了破環(huán)信息安全中的保密性，即越是不想讓我知道的內(nèi)容我就一定要知道。 計算機直接傳送的數(shù)據(jù)，事實上是大量的二進制數(shù)據(jù)。那么，嗅探器是怎樣能夠聽到在網(wǎng)絡線路上邊傳送的二進制數(shù)據(jù)信號呢？可不可以在一臺普通的PC機上邊就可以很好的運作起來完成嗅探任務呢？ 3.1 嗅探器概述n嗅探器必須也使用特定的網(wǎng)絡協(xié)議來分析嗅探到的數(shù)據(jù)，也就是說嗅探器必須能夠識別出哪個協(xié)議對應于這個數(shù)據(jù)片斷，只有這樣才能夠進行正確的解碼。n其次，嗅探器能夠捕獲的通信數(shù)據(jù)量與網(wǎng)絡以及網(wǎng)絡設備的工作方式是密切相關的。 3.1 嗅探器概述n局域網(wǎng)介質(zhì)訪問控

3、制方法 n共享式局域網(wǎng)n共享式局域網(wǎng)的典型設備是集線器（Hub）n該設備把一個端口接收的信號向所有其它端口分發(fā)出去。 Hub連接形成連接形成LAN 經(jīng)過3個Hub串聯(lián)形成的局域網(wǎng)，當主機A需要與主機E通信時，A所發(fā)送的數(shù)據(jù)報通過Hub的時候就會向所有與之相連的端口轉發(fā)。在一般情況下，不僅主機E可以收到數(shù)據(jù)報，其余的主機也都能夠收到該數(shù)據(jù)包 3.1 嗅探器概述n交換式局域網(wǎng)n典型設備是交換機（Switch）n該設備引入了交換的概念，是對共享式的一個升級，能夠通過檢查數(shù)據(jù)包中的目標物理地址來選擇目標端口，從而將數(shù)據(jù)只轉發(fā)到與該目標端口相連的主機或設備中。n上頁描述的網(wǎng)絡，如轉發(fā)設備都采用Switc

4、h，那么只有主機E會正常收到主機A發(fā)送的數(shù)據(jù)，而其余的主機都不能接收到。 3.1 嗅探器概述n共享式局域網(wǎng)存在的主要問題是每個用戶的實際可用帶寬隨網(wǎng)絡用戶數(shù)的增加而遞減。這是因為所有的用戶都通過一條共同的通道講話，如果兩個用戶同時說話必然會造成相互的干擾，數(shù)據(jù)產(chǎn)生碰撞而出錯。n而在交換式局域網(wǎng)中，交換機供給每個用戶專用的信息通道，除非兩個源端口企圖將信息同時發(fā)往同一目的端口，否則各個源端口與各自的目的端口之間可同時進行通信而不發(fā)生沖突。n對于兩種結構的網(wǎng)絡，前者相對來說易于竊聽，而后者需要用更為復雜的技術才能實現(xiàn)。n嗅探器只能抓取一個物理網(wǎng)段內(nèi)的包，就是說，你和監(jiān)聽的目標中間不能有路由或其他屏

5、蔽廣播包的設備。因此，對一般撥號上網(wǎng)的用戶來說，是不可能利用嗅探器來竊聽到其他人的通信內(nèi)容的。 3.1 嗅探器概述n嗅探器分為軟件和硬件兩種n軟件的嗅探器： NetXray、Packetboy、Net monitor等，n優(yōu)點是物美價廉，易于學習使用，同時也易于交流n缺點是無法抓取網(wǎng)絡上所有的傳輸，某些情況下也就無法真正了解網(wǎng)絡的故障和運行情況n硬件的Sniffer通常稱為協(xié)議分析儀n一般都是商業(yè)性的，價格也比較貴n目前主要使用的嗅探器是軟件的。 3.1 嗅探器概述nMAC地址n48bitn固化在網(wǎng)卡EPROM中的，且應該保證在全網(wǎng)是唯一的nIEEE注冊委員會為每一個生產(chǎn)廠商分配物理地址的前三

6、字節(jié)，即公司標識n后面三字節(jié)由廠商自行分配，即一個廠商獲得一個前三字節(jié)的地址可以生產(chǎn)的網(wǎng)卡數(shù)量是16777216塊 3.1 嗅探器概述n正常模式n當網(wǎng)卡處于正常的工作模式時，主機A收到一幀數(shù)據(jù)后，網(wǎng)卡會直接將自己的地址與接收幀目的地址比較，以決定是否接收。n如果匹配成功接收，網(wǎng)卡通過CPU產(chǎn)生一個硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理；如果匹配不成功則拋棄。也就是說，即使是共享式的網(wǎng)絡，雖然所有網(wǎng)絡上的主機都能夠“聽到”全部通過的流量，但如果不是發(fā)給本機的數(shù)據(jù)，我會主動的拋棄，而不會響應。n就是利用這個原理，可以保證在局域網(wǎng)范圍內(nèi)可以有序的接收和發(fā)送數(shù)據(jù)

7、。n通常，一個合法的網(wǎng)絡接口應該可以響應兩種數(shù)據(jù)幀n幀的目標物理地址和本地網(wǎng)卡相同n幀的目標區(qū)域為廣播地址（48bit全部為1，即FF- FF- FF- FF- FF- FF）。 3.1 嗅探器概述n混雜模式nSniffer通過將網(wǎng)卡的工作模式由正常改變?yōu)榛祀s（promiscuous），就可以對所有聽到的數(shù)據(jù)幀都產(chǎn)生一個硬件中斷以提交給主機進行處理。n如前所述，網(wǎng)絡硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地計算機無關的數(shù)據(jù)包。所以，為了繞過標準的TCP/IP堆棧，網(wǎng)卡就必須設置為混雜模式。n一般情況下，要激活這種方式，內(nèi)核必須需要root權限來運行這種程序，所以sniffer需要root身

8、份安裝，如果只是以本地用戶的身份進入了系統(tǒng)，那么不可能嗅探到root的密碼。n目前，絕大多數(shù)的網(wǎng)卡都可以被設置成混雜的工作方式nsniffer是極其安靜的，它是一種被動的安全攻擊。 3.2 交換式網(wǎng)絡上的嗅探 n交換式網(wǎng)絡中，理論上只有目的主機能夠收到該數(shù)據(jù)包，無關的主機是收不到的，無法進行傳統(tǒng)的嗅探n如果采用一些專用的手段，在交換式網(wǎng)絡環(huán)境下實現(xiàn)嗅探也是可能的 nARP欺騙n交換機MAC地址表溢出 nMAC地址偽造nICMP重定向攻擊3.2 交換式網(wǎng)絡上的嗅探nARP欺騙nARP是一種將IP地址轉化成物理MAC地址的協(xié)議，通過查找ARP緩存表來實現(xiàn)轉化 n計算機中維護著一個ARP高速緩存，并

9、且這個ARP高速緩存是隨著計算機不斷的發(fā)出ARP請求和收到ARP響應而不斷的更新 n在每張ARP高速緩存表中，都包含了所在局域網(wǎng)上的各主機和路由器的IP地址到硬件地址的映射，這些都是該主機目前知道的一些地址 n在Windows中要查看或者修改ARP緩存中的信息，可以命令提示符窗口中鍵入“arp -a”命令查看ARP緩存表的內(nèi)容3.2 交換式網(wǎng)絡上的嗅探nARP協(xié)議工作過程nARP(Address Resolution Protocol):是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議n主機A在本局域網(wǎng)上廣播發(fā)送一個ARP請求分組，想知道IP地址是IPX的主機的物理地址；n在本局域網(wǎng)上的所有主

10、機都會收到此ARP請求分組；n主機X在ARP請求分組中看到了自己的IP地址，就向主機A發(fā)送ARP響應分組，并寫入自己的物理地址；n主機A從收到的主機X的ARP響應分組中，就在其ARP高速緩存中寫入主機X的硬件地址。3.2 交換式網(wǎng)絡上的嗅探n假設網(wǎng)絡中存在A、B、C、D四臺主機，利用交換機連接。nA主機的IP地址和MAC地址分別為IPA和MACAnB主機的IP地址和MAC地址分別為IPB和MACBnC主機的IP地址和MAC地址分別為IPC和MACCn在沒有進行ARP欺騙前，A和B正在通信，則主機A的ARP緩存表如表所示。3.2 交換式網(wǎng)絡上的嗅探n惡意主機C試圖獲得A與B之間的通信，采用ARP

11、欺騙攻擊。n首先，C向A發(fā)送一個ARP響應分組，含義是IPB對應的主機的MAC地址是MACC（即修改了源IP地址，未修改MAC地址，所以A 收到的數(shù)據(jù)包其來源為C 的MAC 地址），A不會驗證此包的正確性，于是A 更新其ARP 緩存表所示。 3.2 交換式網(wǎng)絡上的嗅探n這時， A向B發(fā)送的消息全部發(fā)給了C。n如果C 同時用同樣的方法欺騙B，使其ARP表項關于A 對應的MAC 地址更新為MACC，并且在C上做好數(shù)據(jù)包的轉發(fā)，使得A和B借助C仍然能互相通信，不過速度會變慢。n這樣，在C上監(jiān)聽A和B之間的通信將輕而易舉，而主機A和B根本不知道主機C竊聽了他們之間的通信。n如果欺騙的是整個網(wǎng)絡，只需要

12、發(fā)送ARP-Echo的廣播包，偽造包的目的MAC地址改為FF:FF:FF:FF:FF:FF（廣播地址）；目的IP地址改為FF:FF:FFLFF（廣播地址）；源IP地址改為網(wǎng)關的IP，源MAC地址仍為本機地址。n類似地，同時欺騙網(wǎng)關，并做好數(shù)據(jù)包的轉發(fā)，就能實現(xiàn)對整個網(wǎng)絡的監(jiān)聽。 3.2 交換式網(wǎng)絡上的嗅探n交換機MAC地址表溢出 n交換機之所以能夠由數(shù)據(jù)包中目的MAC地址判斷出他應該把數(shù)據(jù)包發(fā)送到那一個端口上，是根據(jù)他本身維護的一張地址表轉發(fā)表。n交換機有個致命的弱點，地址表的大小是有上限的，可以通過發(fā)送大量錯誤的地址信息而使SWITCH維護的地址表“溢出”。n當交換機被錯誤的轉發(fā)表填滿后，不

13、能進行正常的數(shù)據(jù)包的端到端轉發(fā)，交換機為了不漏掉數(shù)據(jù)包，會采取廣播的方式將所有的數(shù)據(jù)包轉發(fā)出去。n此時相當于集線器的功能，網(wǎng)絡也變成了共享式，在任一臺計算機上都可以監(jiān)聽到整個網(wǎng)絡的數(shù)據(jù)包。 3.2 交換式網(wǎng)絡上的嗅探nMAC地址偽造 n基于網(wǎng)絡內(nèi)的Switch是動態(tài)更新其轉發(fā)表，和ARP欺騙有些類似，只不過現(xiàn)在想要Switch相信你，而不是要機器A相信你。nSwitch是動態(tài)更新其轉發(fā)表的，要做的事情就是告訴Switch你是機器C。n例如有三臺主機A、B、C，其中MACA對應端口P1，其中MACB對應端口P2，其中MACC應端口P3。n現(xiàn)在惡意主機C向A發(fā)送數(shù)據(jù)幀，并更改源地址為MACB 。這

14、樣，Switch收到數(shù)據(jù)幀后，就會發(fā)現(xiàn)從來自MACB的數(shù)據(jù)是從端口P3轉發(fā)的，與原先對應的P2矛盾。nSwitch更新轉發(fā)表采用牛奶策略，即新來的包比原先的包重要，因而將MACB與端口P3對應起來。這樣，所有發(fā)往MACB的數(shù)據(jù)是就都會從端口P3轉發(fā)至主機C了。n此時如果主機B向外發(fā)送數(shù)據(jù)就會使 Switch更新轉發(fā)表。要達到一直欺騙的效果，主機C 要不停地向Switch發(fā)送偽造數(shù)據(jù)包來阻止其更新表項，這將造成主機B不能向外通信。3.2 交換式網(wǎng)絡上的嗅探nICMP是（Internet Control Message Protocol）Internet控制報文協(xié)議。它是TCP/IP協(xié)議族的一個子

15、協(xié)議，用于在IP主機、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡通不通、主機是否可達、路由是否可用等網(wǎng)絡本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用3.2 交換式網(wǎng)絡上的嗅探nICMP重定向攻擊 n告訴機器向另一個不同的路由發(fā)送他的數(shù)據(jù)包n假設A與B兩臺機器分別位于同一個物理網(wǎng)段內(nèi)的兩個邏輯子網(wǎng)內(nèi)，而A和B都不知道這一點，只有路由器知道。n當A發(fā)送給B的數(shù)據(jù)到達路由器的時候，路由器會向A送一個ICMP重定向包，告訴A直接送到B那里就可以了。除了路由器，主機必須服從ICMP重定向。n設想一下，一個攻擊者完全可以利用這一點，向網(wǎng)絡中的另一臺機器發(fā)送了一個ICMP

16、重定向消息，這就可能引起其他機器具有一張無效的路由表。n如果一臺機器偽裝成路由器截獲所有到某些目標網(wǎng)絡或全部目標網(wǎng)絡的IP數(shù)據(jù)包，就可以形成了竊聽。n目前基于ICMP重定向的技術都是停留在理論上的論述，沒有相關的具體攻擊實例和源程序。 3.3 簡易網(wǎng)絡嗅探器的實現(xiàn) 3.4 嗅探器的檢測與防范 nARP廣播地址探測 n正常情況下，就是說不在混亂模式，網(wǎng)卡檢測是不是廣播地址要比較收到的目的以太網(wǎng)址是否等于FF-FF-FF-FF-FF-FF，是則認為是廣播地址。n在混亂模式時，網(wǎng)卡檢測是不是廣播地址只看收到包的目的以太網(wǎng)址的第一個八位組值，是0 xFF則認為是廣播地址。n只要發(fā)一個目的地址是FF-0

17、0-00-00-00-00的ARP包，如果某臺主機以自己的MAC地址回應這個包 ,那么它運行在混雜模式下。3.4 嗅探器的檢測與防范nPING方法 n假設可疑主機的 IP 地址為 0.,MAC地址是AA-BB-CC-DD-EE-EE,檢測者和可疑主機位于同一網(wǎng)段。n稍微改動可疑主機的 MAC 地址 ,假設改成AA-BB-CC-DD-EE-EF。n向可疑主機發(fā)送一個 PING包 ,包含它的 IP和改動后的MAC地址。n沒有運行嗅探器的主機將忽略該幀 ,不產(chǎn)生回應。如果看到回應 ,那么說明可疑主機確實在運行嗅探器程序。3.4 嗅探器的檢測與防范nDNS方法 n檢測者需要監(jiān)聽

18、DNS服務器接收到的反向域名查詢數(shù)據(jù)。n只要 PING網(wǎng)內(nèi)所有并不存在的主機 ,那么對這些地址進行反向查詢的機器就是在查詢包中所包含的 IP 地址 ,也就是說在運行嗅探器程序 n源路徑方法 n設A為可疑主機，B 為檢測主機，C 為同一網(wǎng)段的另一臺主機，C不具有轉發(fā)功能。nB發(fā)送數(shù)據(jù)給A，設置為必須經(jīng)過C。n如果能接收到數(shù)據(jù)的響應信息，那么查看TTL值域，如果不變，說明A運行嗅探器程序。分析B發(fā)給A的數(shù)據(jù)事實上發(fā)給C，由于 C不具有轉發(fā)功能，所以數(shù)據(jù)不能到達 A。但是由于A運行了嗅探器程序，所以才能接收到數(shù)據(jù)。3.4 嗅探器的檢測與防范n誘騙方法n在網(wǎng)絡上建立一個客戶端和一個服務端。n客戶端運行一個腳本程序，使用 Telnet，POP，IMAP或其他協(xié)議登錄到服務器。n服務器配置一些沒有實際權限的帳戶，或者就是完全虛擬的。n一旦黑客竊取口令，他將試圖用這些信息登錄。那么標準的入侵檢測系統(tǒng)或?qū)徲嫵绦驅(qū)⒂涗涍@些信息，從而發(fā)出警告。n網(wǎng)絡帶寬出現(xiàn)反常n通過某些帶寬控制器，可以實時看到目前網(wǎng)絡帶寬的分布情況，如果某臺機器長時間的占用