網(wǎng)絡(luò)監(jiān)聽(tīng)實(shí)驗(yàn)(2013-4-3)_第1頁(yè)
網(wǎng)絡(luò)監(jiān)聽(tīng)實(shí)驗(yàn)(2013-4-3)_第2頁(yè)
網(wǎng)絡(luò)監(jiān)聽(tīng)實(shí)驗(yàn)(2013-4-3)_第3頁(yè)
網(wǎng)絡(luò)監(jiān)聽(tīng)實(shí)驗(yàn)(2013-4-3)_第4頁(yè)
網(wǎng)絡(luò)監(jiān)聽(tīng)實(shí)驗(yàn)(2013-4-3)_第5頁(yè)
已閱讀5頁(yè),還剩53頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)監(jiān)聽(tīng)NetworkMonitoring1主要內(nèi)容Sniffer概述共享局域網(wǎng)的嗅探CuteSniffer嗅探實(shí)例交換局域網(wǎng)的嗅探交換局域網(wǎng)嗅探實(shí)例2什么是Sniffer

網(wǎng)絡(luò)監(jiān)聽(tīng)的作用:監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息,分析數(shù)據(jù)包,獲得有價(jià)值的信息。網(wǎng)絡(luò)監(jiān)聽(tīng)工具:Sniffer(嗅探器),有硬件和軟件兩種類(lèi)型。一把雙刃劍管理員的管理工具,主要是進(jìn)行數(shù)據(jù)包分析,通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件,觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包,從而進(jìn)行網(wǎng)絡(luò)故障定位攻擊者們常用的收集信息的工具

3Sniffer的網(wǎng)絡(luò)環(huán)境共享式網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī)最常見(jiàn)的是通過(guò)HUB連接起來(lái)的子網(wǎng)交換式網(wǎng)絡(luò)通過(guò)交換機(jī)連接網(wǎng)絡(luò)由交換機(jī)構(gòu)造一個(gè)“MAC地址-端口”映射表發(fā)送包的時(shí)候,只發(fā)到特定的端口上4被監(jiān)聽(tīng)的網(wǎng)絡(luò)以太網(wǎng)FDDI、Token-ring使用電話線通過(guò)有線電視信道微波和無(wú)線電5截獲的信息

口令金融帳號(hào)偷窺機(jī)密或敏感的信息數(shù)據(jù)(如e-mail內(nèi)容)窺探低級(jí)的協(xié)議信息(如用于IP欺騙)

6網(wǎng)絡(luò)監(jiān)聽(tīng)原理網(wǎng)卡工作在數(shù)據(jù)鏈路層,數(shù)據(jù)以幀為單位進(jìn)行傳輸,在幀頭部分含有數(shù)據(jù)的目的MAC地址和源MAC地址。普通模式下,網(wǎng)卡只接收與自己MAC地址相同的數(shù)據(jù)包,并將其傳遞給操作系統(tǒng)。在“混雜”模式下,網(wǎng)卡將所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給操作系統(tǒng)。7網(wǎng)絡(luò)監(jiān)聽(tīng)原理共享式集線器(HUB)連接將網(wǎng)卡置于混雜模式實(shí)現(xiàn)監(jiān)聽(tīng)8Sniffer軟件WiresharkNetxRaySnifferProCuteSniffer(小巧,功能較全)9CuteSniffer10設(shè)置過(guò)濾器過(guò)濾器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

類(lèi)型(Type)-host,netandport.如,`hostfoo',`net128.3',`port20'.方向(dir)-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.協(xié)議(proto)-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.11設(shè)置過(guò)濾器1.捕捉特定主機(jī)的ftp流:tcpport21andhost2.捕捉特定主機(jī)流出的包:srchost3.捕捉80端口發(fā)出的包:srcport8012設(shè)置過(guò)濾器13設(shè)置規(guī)則從文本文件rules.ini讀規(guī)則header(option1;option2;...)

規(guī)則頭包括協(xié)議、源IP地址、源端口、方向、目的IP地址、目的端口規(guī)則選項(xiàng)14設(shè)置規(guī)則15設(shè)置規(guī)則例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)16捕捉礦大郵箱口令17捕捉礦大郵箱口令查看源文件,輸入的口令名字為Password18捕捉礦大郵箱口令設(shè)置過(guò)濾器為Dsthost7或者Dsthost19捕捉礦大郵箱口令查找捕捉的包20捕捉礦大郵箱口令幀頭21捕捉礦大郵箱口令包頭22捕捉礦大郵箱口令TCP頭23捕捉SINA郵箱口令24捕捉SINA郵箱口令25捕捉POP3郵箱口令設(shè)置過(guò)濾器(礦大POP3郵件服務(wù)器地址)26捕捉POP3郵箱口令在登錄前啟動(dòng)捕捉27捕捉POP3郵箱口令捕捉結(jié)果28捕捉POP3郵箱口令29捕捉POP3郵箱口令30捕捉FTP口令這是一個(gè)FTP站點(diǎn)31捕捉FTP口令準(zhǔn)備登錄32捕捉FTP口令啟動(dòng)捕捉,輸入用戶名與密碼33捕捉FTP口令捕捉的內(nèi)容34捕捉FTP口令35捕捉FTP口令36捕捉BBS口令這個(gè)是北大BBS站點(diǎn)37捕捉BBS口令搜索pw38捕捉Telnet口令可以通過(guò)Telnet登錄BBS開(kāi)始-運(yùn)行-cmd-telnet39捕捉Telnet口令40捕捉Telnet口令設(shè)置過(guò)濾器的兩種方式41捕捉Telnet口令42捕捉Telnet口令口令的第一個(gè)字母是143捕捉Telnet口令口令的第二個(gè)字母是244捕捉Telnet口令口令的第三個(gè)字母是345捕捉畢業(yè)設(shè)計(jì)管理系統(tǒng)的口令46自動(dòng)捕捉口令A(yù)cePasswordSniffer,能監(jiān)聽(tīng)LAN,取得密碼。包括:FTP、POP3、HTTP、SMTP、Telnet密碼。47自動(dòng)捕捉口令密碼監(jiān)聽(tīng)器。48交換局域網(wǎng)嗅探交換機(jī)在正常模式下按MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)包,此時(shí)只能監(jiān)聽(tīng)廣播數(shù)據(jù)包。交換網(wǎng)絡(luò)嗅探的關(guān)鍵:如何使不應(yīng)到達(dá)的數(shù)據(jù)包到達(dá)本地MAC洪水包利用交換機(jī)的鏡像功能利用ARP欺騙49MAC洪水包向交換機(jī)發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包,使交換機(jī)無(wú)法處理如此多的信息,致使交換機(jī)就進(jìn)入了所謂的"打開(kāi)失效"模式,也就是開(kāi)始了類(lèi)似于集線器的工作方式,向網(wǎng)絡(luò)上所有的機(jī)器廣播數(shù)據(jù)包50利用交換機(jī)的鏡像功能利用交換機(jī)的鏡像功能51利用ARP欺騙首先介紹以太數(shù)據(jù)包格式

目的MAC地址源MAC地址類(lèi)型數(shù)據(jù)66246~1500類(lèi)型0800:IP數(shù)據(jù)包

類(lèi)型0806:ARP數(shù)據(jù)包52然后介紹ARP數(shù)據(jù)包格式

目的端MAC地址源MAC地址0806硬件類(lèi)型協(xié)議類(lèi)型硬件地址長(zhǎng)度協(xié)議地址長(zhǎng)度ARP包類(lèi)型發(fā)送端MAC地址發(fā)送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太網(wǎng)首部-------->

<------26字節(jié)ARP請(qǐng)求/應(yīng)答-------->53交換局域網(wǎng)嗅探在VICTIM運(yùn)行ARP–A,有如下輸出:Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic54交換局域網(wǎng)嗅探在ATTACKER上構(gòu)建并發(fā)送表一所示的包,其中目的mac為00-00-00-00-00-02,目的IPaddress為,發(fā)送者M(jìn)AC為00-00-00-00-00-01,發(fā)送者IP為(假冒IP)。在VICTIM上運(yùn)行ARP–A,有如下的輸出:Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-01dynamic欺騙成功?。ㄍㄟ^(guò)網(wǎng)關(guān)出去的信息發(fā)給了攻擊者)55交換局域網(wǎng)嗅探網(wǎng)絡(luò)剪刀手來(lái)切斷局域網(wǎng)內(nèi)任何一臺(tái)主機(jī)與網(wǎng)關(guān)之間通信。不論是交換環(huán)境還是普通環(huán)境.得到整個(gè)局域網(wǎng)內(nèi)所有開(kāi)機(jī)主機(jī)的IP地址<-->MAC(物理地址)<-->Hostname(主機(jī)名)對(duì)應(yīng)列表,并且可以打印出來(lái)?;蛘邔?dǎo)入excel文件,數(shù)據(jù)庫(kù)。來(lái)對(duì)局域網(wǎng)內(nèi)部錯(cuò)誤IP配置的主機(jī)快速查找。56交換局域網(wǎng)嗅探網(wǎng)絡(luò)執(zhí)法官實(shí)時(shí)記錄上線用戶并存檔備查。自動(dòng)偵測(cè)未登記主機(jī)接入并報(bào)警限定各主機(jī)的IP,防止IP盜用限定各主機(jī)的連接時(shí)段"網(wǎng)絡(luò)執(zhí)法官"是一款局域網(wǎng)管理輔助軟件,采用網(wǎng)絡(luò)底層協(xié)議,能穿透各客戶端防火墻對(duì)網(wǎng)絡(luò)中的每一臺(tái)主機(jī)(本文中主機(jī)指各種計(jì)算機(jī)、交換機(jī)等配有IP的網(wǎng)絡(luò)設(shè)備)進(jìn)行監(jiān)控;采用網(wǎng)卡號(hào)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論