第7章 網(wǎng)絡(luò)嗅探_第1頁
第7章 網(wǎng)絡(luò)嗅探_第2頁
第7章 網(wǎng)絡(luò)嗅探_第3頁
第7章 網(wǎng)絡(luò)嗅探_第4頁
第7章 網(wǎng)絡(luò)嗅探_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第7章嗅探——網(wǎng)絡(luò)中的竊聽技術(shù)網(wǎng)絡(luò)攻防技術(shù)主要內(nèi)容嗅探技術(shù)概述嗅探的原理與實(shí)現(xiàn)嗅探的檢測(cè)與防范網(wǎng)絡(luò)攻防技術(shù)嗅探竊聽是間諜獲取情報(bào)的一種重要手段嗅探(Sniff)技術(shù)是網(wǎng)絡(luò)中的竊聽嗅探程序(Sniffer)截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),并從中解析出其中的機(jī)密信息網(wǎng)絡(luò)攻防技術(shù)口令嗅探主機(jī)A:您的主機(jī)FTP服務(wù)器主機(jī)B:安裝了“竊聽程序”的主機(jī)Username:studentPassword:htjtyd%32如果主機(jī)B處于主機(jī)A和FTP通信的信道上,就可以“竊聽到”合法的用戶名及口令。?Username?Passwordstudenthtjtyd%32網(wǎng)絡(luò)攻防技術(shù)攻擊者進(jìn)行嗅探的目的竊取各種用戶名和口令竊取機(jī)密的信息如電子郵件正文及附件、網(wǎng)絡(luò)打印的文檔等窺探底層的協(xié)議信息如DNS的IP地址、本機(jī)IP地址、本機(jī)MAC地址,遠(yuǎn)程主機(jī)的IP地址、網(wǎng)關(guān)的IP地址、一次TCP連接的SequenceNumber中間人攻擊時(shí)篡改數(shù)據(jù)的基礎(chǔ)網(wǎng)絡(luò)攻防技術(shù)嗅探的正當(dāng)用途解釋網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的含義為網(wǎng)絡(luò)診斷提供參考為網(wǎng)絡(luò)性能分析提供參考,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸

發(fā)現(xiàn)網(wǎng)絡(luò)入侵跡象,為入侵檢測(cè)提供參考將網(wǎng)絡(luò)事件記入日志網(wǎng)絡(luò)攻防技術(shù)討論范圍限定802.3以太網(wǎng)使用廣播信道的網(wǎng)絡(luò),在以太網(wǎng)中所有通信都是廣播的目前的以太網(wǎng)分為共享式以太網(wǎng)和交換式以太網(wǎng)共享式以太網(wǎng)使用同軸電纜或HUB連接交換式以太網(wǎng)使用交換機(jī)連接網(wǎng)絡(luò)攻防技術(shù)共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB發(fā)送到C網(wǎng)絡(luò)攻防技術(shù)數(shù)據(jù)到達(dá)主機(jī)時(shí)的格式在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包,其包格式為:應(yīng)用層數(shù)據(jù)TCP包頭IP包頭MAC幀頭應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層應(yīng)用程序操作系統(tǒng)網(wǎng)絡(luò)接口網(wǎng)絡(luò)攻防技術(shù)數(shù)據(jù)發(fā)送應(yīng)用層傳輸層網(wǎng)絡(luò)層主機(jī)網(wǎng)絡(luò)層應(yīng)用程序操作系統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭應(yīng)用數(shù)據(jù)TCP頭IP頭應(yīng)用數(shù)據(jù)TCP頭IP頭幀頭網(wǎng)絡(luò)攻防技術(shù)數(shù)據(jù)接收應(yīng)用層傳輸層網(wǎng)絡(luò)層主機(jī)網(wǎng)絡(luò)層應(yīng)用程序操作系統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭應(yīng)用數(shù)據(jù)TCP頭IP頭應(yīng)用數(shù)據(jù)TCP頭IP頭幀頭網(wǎng)絡(luò)攻防技術(shù)主機(jī)接收數(shù)據(jù)以太網(wǎng)卡首先從網(wǎng)絡(luò)中接收數(shù)據(jù),并在處理完成數(shù)據(jù)鏈路層的任務(wù)后向操作系統(tǒng)的傳遞。網(wǎng)絡(luò)攻防技術(shù)以太網(wǎng)卡的工作原理網(wǎng)卡接收到傳輸來的數(shù)據(jù),網(wǎng)卡內(nèi)的單片程序檢查數(shù)據(jù)幀的目的MAC地址,根據(jù)網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式?jīng)Q定是否接收若不應(yīng)接收就直接丟棄否則通過中斷的方式通知操作系統(tǒng)操作系統(tǒng)根據(jù)驅(qū)動(dòng)設(shè)置的中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)驅(qū)動(dòng)程序?qū)?shù)據(jù)放入堆棧讓操作系統(tǒng)處理。網(wǎng)絡(luò)攻防技術(shù)以太網(wǎng)卡的偵聽模式偵聽模式是網(wǎng)絡(luò)適配器分析傳入幀的目標(biāo)MAC地址,以決定是否進(jìn)一步處理它們的方式。單播模式:接收單播和廣播數(shù)據(jù)幀組播模式:接收單播、廣播和組播數(shù)據(jù)幀混雜模式:接收所有數(shù)據(jù)幀網(wǎng)絡(luò)攻防技術(shù)單播模式單播模式下,網(wǎng)卡只讓與目標(biāo)MAC地址與自己MAC地址相匹配的數(shù)據(jù)幀或者廣播數(shù)據(jù)幀通過,而過濾掉其它的幀。網(wǎng)絡(luò)攻防技術(shù)混雜模式混雜(promiscuous)模式下工作的網(wǎng)卡能夠接收到一切通過它的數(shù)據(jù),而不進(jìn)行數(shù)據(jù)的目的地址檢查,即不再進(jìn)行硬件過濾。網(wǎng)絡(luò)攻防技術(shù)嗅探程序設(shè)計(jì)從程序設(shè)計(jì)角度,Sniffer程序至少包括三個(gè)模塊:網(wǎng)絡(luò)數(shù)據(jù)驅(qū)動(dòng):捕獲數(shù)據(jù)包協(xié)議還原:分析數(shù)據(jù)包緩沖區(qū)管理:管理緩沖區(qū)網(wǎng)絡(luò)攻防技術(shù)Windows環(huán)境下的包捕獲使用WinSock編程接口創(chuàng)建原始套接字,并使用WSAIoctl()函數(shù)將套接字設(shè)置為接收所有數(shù)據(jù)。使用WinpcapNpf.sys:設(shè)備驅(qū)動(dòng),捕獲和發(fā)送原始數(shù)據(jù)包Packet.dll

:使用Npf.sys包捕獲和發(fā)送能力的應(yīng)用程序編程接口Wpcap.dll

:與Libpcap相兼容的更高層次抽象http://winpcap.polito.it/網(wǎng)絡(luò)攻防技術(shù)嗅探器WindowsSniffer_proNetxraywiresharkUnixSniffitSnortTcpdump/etherreal網(wǎng)絡(luò)攻防技術(shù)廣域環(huán)境的嗅探理論上,廣域環(huán)境下的嗅探并不可行在實(shí)踐中,可以在遠(yuǎn)程傳輸中的端點(diǎn)或是必經(jīng)中間節(jié)點(diǎn)進(jìn)行嗅探內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)主機(jī)B主機(jī)A服務(wù)器網(wǎng)絡(luò)攻防技術(shù)交換式以太網(wǎng)交換式以太網(wǎng)是使用交換機(jī)組建的局域網(wǎng)交換機(jī)使用端口和MAC地址對(duì)應(yīng)表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),根據(jù)數(shù)據(jù)包的目的MAC地址,選定目標(biāo)端口E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444網(wǎng)絡(luò)攻防技術(shù)共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB發(fā)送到C網(wǎng)絡(luò)攻防技術(shù)交換式以太網(wǎng)包轉(zhuǎn)發(fā)E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX網(wǎng)絡(luò)攻防技術(shù)交換式以太網(wǎng)的嗅探0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX攻擊交換機(jī)將其從橋(Bridge)模式變?yōu)橹貜?fù)(repeat)模式攻擊智能交換機(jī)將端口配置為鏡像端口硬件接入網(wǎng)絡(luò)攻防技術(shù)嗅探的防范廣播信道使用網(wǎng)絡(luò)分段用交換機(jī)代替HUB明文傳輸數(shù)據(jù)加密網(wǎng)絡(luò)攻防技術(shù)嗅探的檢查嗅探器檢查比較困難商業(yè)嗅探器向外發(fā)送的數(shù)據(jù)包向主機(jī)發(fā)送可以觸發(fā)操作系統(tǒng)作出響應(yīng),同時(shí)又不能通過硬件過濾的數(shù)據(jù)包,就可以檢測(cè)主機(jī)網(wǎng)絡(luò)接口的接收模式。實(shí)踐中,這種數(shù)據(jù)包的應(yīng)有特殊的目的MAC地址。檢測(cè)網(wǎng)絡(luò)監(jiān)聽工具AntiSniff介紹ARP檢測(cè)模式向目標(biāo)主機(jī)發(fā)送一個(gè)ARP請(qǐng)求,該請(qǐng)求包中包含偽造的MAC硬件地址。如果目標(biāo)主機(jī)不處于混雜模式,它將丟棄這些信息包。但如果此目標(biāo)主機(jī)處于混雜模式,ARP請(qǐng)求就會(huì)發(fā)送到內(nèi)核進(jìn)行處理,并響應(yīng)該應(yīng)答。通過應(yīng)答信息,就可以判斷其處于混雜模式。DNS測(cè)試模式

SNIFFER工具要進(jìn)行反向DNS查詢。利用該特性,ANTISNIFFER工具可以發(fā)送大量具有偽造IP地址的數(shù)據(jù)包,通過監(jiān)聽網(wǎng)絡(luò)上的反向DNS數(shù)據(jù)包可以發(fā)現(xiàn)該網(wǎng)絡(luò)是否有主機(jī)處于混雜模式。Etherping測(cè)試模式向目標(biāo)主機(jī)發(fā)送具有正確IP地址和偽造MAC地址的ICMPECHO包,若主機(jī)處于混雜模式

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論