攻擊與防護(hù)技術(shù)應(yīng)用

1、浙江警官職業(yè)學(xué)院信息技術(shù)與管理系第8章 Sniffer技術(shù) 嗅探器是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備。 Sniffer主要是分析網(wǎng)絡(luò)的流量，以便找出關(guān)系的網(wǎng)絡(luò)中潛在的問題。 由于Sniffer可以捕獲網(wǎng)絡(luò)報(bào)文，因此， Sniffer對網(wǎng)絡(luò)也存在極大的危害。 回顧一下HUB的工作原理共享式HUB和交換式HUB 回顧一下網(wǎng)卡的工作原理數(shù)據(jù)包MAC產(chǎn)生中斷,通知CPU 接口配置模式產(chǎn)生中斷,通知CPU不處理,丟棄非混雜模式混雜模式數(shù)據(jù)包廣播地址本地接口硬件地址其他硬件地址3、 Sniffer工作原理 一般來說Sniffer只能捕獲本機(jī)網(wǎng)絡(luò)接口上所能接收到的報(bào)文。因此，一個(gè)能捕獲該網(wǎng)段上所有的保的嗅探器工作的前

2、提前提是： 網(wǎng)絡(luò)中使用的是共享式的HUB 本機(jī)網(wǎng)卡需要設(shè)置為混雜模式 本機(jī)上安裝有處理接收來的數(shù)據(jù)的嗅探軟件 一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議： 標(biāo)準(zhǔn)以太網(wǎng) TCP/IP IPX DECNet4、嗅探器造成的危害 嗅探器能夠捕獲口令 能夠捕獲專用的或者機(jī)密的信息 可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限 獲得進(jìn)一步進(jìn)行攻擊需要的信息6、交換式網(wǎng)絡(luò)上的嗅探器 交換式網(wǎng)絡(luò)為什么在一定程度上能抵御Sniffer的攻擊。 交換式網(wǎng)絡(luò)就不用擔(dān)心Sniffer的攻擊了嗎? 在交換式網(wǎng)絡(luò)中，只要Sinffer的計(jì)算機(jī)能夠收到網(wǎng)絡(luò)上的數(shù)據(jù)包就可以了?？梢酝ㄟ^偽裝網(wǎng)關(guān)的方法來實(shí)現(xiàn)。 ARP欺騙(即中間人攻擊)+ Sniffer7、交換環(huán)境中嗅探攻擊的對策 擒賊先擒王。把ARP設(shè)置為靜態(tài)！ (ARP S IP MAC) 對于小網(wǎng)絡(luò)來說，設(shè)置ARP靜態(tài)十分容易，但是大型網(wǎng)絡(luò)就困難了，一般管理員采用的是ARPwatch這樣的軟件來監(jiān)視網(wǎng)絡(luò)中IP與ARP之間對應(yīng)的變化，如發(fā)現(xiàn)改動(dòng)就通知管理員。8、嗅探器的檢測和預(yù)防 入侵者一般將嗅探器放置于被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣才能捕獲到很多口令，還有一個(gè)比較常見的方法就是放在網(wǎng)關(guān)上。 1）規(guī)劃 2）采用會(huì)話加密(SSL,SSH) 3）使