網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)

內(nèi)容介紹3.1網(wǎng)絡(luò)監(jiān)聽概述3.2監(jiān)聽技術(shù)3.3監(jiān)聽的防御3.4小結(jié)3.1網(wǎng)絡(luò)監(jiān)聽概述3.2監(jiān)聽技術(shù)3.3監(jiān)聽的防御3.4小結(jié)現(xiàn)在是1頁\一共有111頁\編輯于星期一4/16/20231網(wǎng)絡(luò)入侵與防范講義3.1網(wǎng)絡(luò)監(jiān)聽概述3.1.1基礎(chǔ)知識與實例3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況現(xiàn)在是2頁\一共有111頁\編輯于星期一4/16/20232網(wǎng)絡(luò)入侵與防范講義現(xiàn)在是3頁\一共有111頁\編輯于星期一4/16/20233網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識與實例1．網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)(NetworkSniffing)，顧名思義，這是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽技術(shù)對于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對網(wǎng)絡(luò)管理員來說，它是了解網(wǎng)絡(luò)運行狀況的有力助手，對黑客而言，它是有效收集信息的手段。網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍目前只限于局域網(wǎng)?，F(xiàn)在是4頁\一共有111頁\編輯于星期一4/16/20234網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識與實例2．相關(guān)網(wǎng)絡(luò)基礎(chǔ)

網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點到點。

廣播式網(wǎng)絡(luò)傳輸技術(shù)：僅有一條通信信道，由網(wǎng)絡(luò)上的所有機器共享。信道上傳輸?shù)姆纸M可以被任何機器發(fā)送并被其他所有的機器接收。點到點網(wǎng)絡(luò)傳輸技術(shù)：點到點網(wǎng)絡(luò)由一對對機器之間的多條連接構(gòu)成，分組的傳輸是通過這些連接直接發(fā)往目標機器，因此不存在發(fā)送分組被多方接收的問題。現(xiàn)在是5頁\一共有111頁\編輯于星期一4/16/20235網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識與實例3．網(wǎng)卡的四種工作模式（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其目的MAC地址是什么?，F(xiàn)在是6頁\一共有111頁\編輯于星期一4/16/20236網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識與實例4實例：用Ethereal嗅探sina郵箱密碼U=hack_tesingPsw=hacktesting現(xiàn)在是7頁\一共有111頁\編輯于星期一4/16/20237網(wǎng)絡(luò)入侵與防范講義3.1.1基礎(chǔ)知識與實例4實例：上屆學生實驗編寫的sniffer，嗅探FTP用戶名和密碼USERtestPASStestFTPServerVersionisServ-UV6.3Loggedinok現(xiàn)在是8頁\一共有111頁\編輯于星期一4/16/20238網(wǎng)絡(luò)入侵與防范講義3.1網(wǎng)絡(luò)監(jiān)聽概述3.1.1基礎(chǔ)知識與實例3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況現(xiàn)在是9頁\一共有111頁\編輯于星期一4/16/20239網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況1．網(wǎng)絡(luò)監(jiān)聽（Sniffer）的發(fā)展歷史

Sniffer這個名稱最早是一種網(wǎng)絡(luò)監(jiān)聽工具的名稱，后來其也就成為網(wǎng)絡(luò)監(jiān)聽的代名詞。在最初的時候，它是作為網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的一種工具。網(wǎng)絡(luò)監(jiān)聽器分軟、硬兩種現(xiàn)在是10頁\一共有111頁\編輯于星期一4/16/202310網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況1．網(wǎng)絡(luò)監(jiān)聽（Sniffer）的發(fā)展歷史軟件嗅探器便宜易于使用，缺點是功能往往有限，可能無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片)，或效率容易受限；硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件嗅探器所欠缺的，處理速度很高，但是價格昂貴。目前主要使用的嗅探器是軟件的?，F(xiàn)在是11頁\一共有111頁\編輯于星期一4/16/202311網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況2．Sniffer軟件的主要工作機制驅(qū)動程序支持：需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊，作為網(wǎng)卡驅(qū)動與上層應(yīng)用的“中間人”，它將網(wǎng)卡設(shè)置成混雜模式，捕獲數(shù)據(jù)包，并從上層接收各種抓包請求。分組捕獲過濾機制：對來自網(wǎng)卡驅(qū)動程序的數(shù)據(jù)幀進行過濾，最終將符合要求的數(shù)據(jù)交給上層。 鏈路層的網(wǎng)卡驅(qū)動程序上傳的數(shù)據(jù)幀就有了兩個去處：一個是正常的協(xié)議棧，另一個就是分組捕獲過濾模塊，對于非本地的數(shù)據(jù)包，前者會丟棄（通過比較目的IP地址），而后者則會根據(jù)上層應(yīng)用的要求來決定上傳還是丟棄?，F(xiàn)在是12頁\一共有111頁\編輯于星期一4/16/202312網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況2．Sniffer軟件的主要工作機制許多操作系統(tǒng)都提供這樣的“中間人”機制，即分組捕獲機制。在UNIX類型的操作系統(tǒng)中，主要有3種：BSD系統(tǒng)中的BPF(BerkeleyPacketFilter)、SVR4中的DLPI(DateLinkInterface)和Linux中的SOCK_PACKET類型套接字。在Windows平臺上主要有NPF過濾機制。目前大部分Sniffer軟件都是基于上述機制建立起來的。如Tcpdump、Wireshark等。現(xiàn)在是13頁\一共有111頁\編輯于星期一4/16/202313網(wǎng)絡(luò)入侵與防范講義3.1.2網(wǎng)絡(luò)監(jiān)聽技術(shù)的發(fā)展情況3．網(wǎng)絡(luò)監(jiān)聽的雙刃性

現(xiàn)在的監(jiān)聽技術(shù)發(fā)展比較成熟，可以協(xié)助網(wǎng)絡(luò)管理員測試網(wǎng)絡(luò)數(shù)據(jù)通信流量、實時監(jiān)控網(wǎng)絡(luò)狀況。 然而事情往往都有兩面性，Sniffer的隱蔽性非常好，它只是“被動”的接收數(shù)據(jù)，所以在傳輸數(shù)據(jù)的過程中，根本無法察覺到有人在監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽給網(wǎng)絡(luò)維護提供便利同時，也給網(wǎng)絡(luò)安全帶來了很大隱患?，F(xiàn)在是14頁\一共有111頁\編輯于星期一4/16/202314網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡介3.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽工具舉例現(xiàn)在是15頁\一共有111頁\編輯于星期一4/16/202315網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介1．集線器

(1)集線器的原理： 集線器（又稱為Hub）是一種重要的網(wǎng)絡(luò)部件，主要在局域網(wǎng)中用于將多個客戶機和服務(wù)器連接到中央?yún)^(qū)的網(wǎng)絡(luò)上。 集線器工作在局域網(wǎng)的物理環(huán)境下，其主要應(yīng)用在OSI參考模型第一層，屬于物理層設(shè)備。它的內(nèi)部采取電器互連的方式，當維護LAN的環(huán)境是邏輯總線或環(huán)型結(jié)構(gòu)時，完全可以用集線器建立一個物理上的星型或樹型網(wǎng)絡(luò)結(jié)構(gòu)?，F(xiàn)在是16頁\一共有111頁\編輯于星期一4/16/202316網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介1．集線器

(2)集線器的工作特點 依據(jù)IEEE802.3協(xié)議，集線器功能是隨機選出某一端口的設(shè)備，并讓它獨占全部帶寬，與集線器的上聯(lián)設(shè)備(交換機、路由器或服務(wù)器等)進行通信。集線器在工作時具有以下兩個特點： 首先是集線器只是一個多端口的信號放大設(shè)備； 其次集線器只與它的上聯(lián)設(shè)備(如上層Hub、交換機或服務(wù)器)進行通信，同層的各端口之間不會直接進行通信，而是通過上聯(lián)設(shè)備再將信息廣播到所有端口上。現(xiàn)在是17頁\一共有111頁\編輯于星期一4/16/202317網(wǎng)絡(luò)入侵與防范講義D-LINKDES-1024D24PORT現(xiàn)在是18頁\一共有111頁\編輯于星期一4/16/202318網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介1．集線器

(3)用集線器組建的局域網(wǎng)示意圖現(xiàn)在是19頁\一共有111頁\編輯于星期一4/16/202319網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介2．交換機

(1)交換機的原理： 交換機是一種網(wǎng)絡(luò)開關(guān)（Switch）,也稱交換器，由于和電話交換機對出入線的選擇有相似的原理，因此被人稱為交換機。 交換機在局域網(wǎng)的環(huán)境下，工作在比集線器更高一層鏈路層上。交換機被定義成一個能接收發(fā)來的信息幀，加以暫時存儲，然后發(fā)到另一端的網(wǎng)絡(luò)部件，其本質(zhì)上就是具有流量控制能力的多端口網(wǎng)橋?，F(xiàn)在是20頁\一共有111頁\編輯于星期一4/16/202320網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介2．交換機

(2)交換機的工作特點 把每個端口所連接的網(wǎng)絡(luò)分割為獨立的LAN，每個LAN成為一個獨立的沖突域。 每個端口都提供專用的帶寬。這是交換機與集線器的本質(zhì)區(qū)別，集線器不管有多少端口，都是共享其全部帶寬。 轉(zhuǎn)發(fā)機制。交換機維護有每個端口對應(yīng)的地址表，其中保存與該端口連接的各個主機的MAC地址?，F(xiàn)在是21頁\一共有111頁\編輯于星期一4/16/202321網(wǎng)絡(luò)入侵與防范講義CISCOWS-C2950-24交換機

現(xiàn)在是22頁\一共有111頁\編輯于星期一4/16/202322網(wǎng)絡(luò)入侵與防范講義3.2.1局域網(wǎng)中的硬件設(shè)備簡介2．交換機

(2)用交換機組建的局域網(wǎng)示意圖現(xiàn)在是23頁\一共有111頁\編輯于星期一4/16/202323網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡介3.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽工具舉例現(xiàn)在是24頁\一共有111頁\編輯于星期一4/16/202324網(wǎng)絡(luò)入侵與防范講義什么是共享式局域網(wǎng)共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波檢測多路偵聽（CarriesSenseMultipleAccesswithCollisionDetection，簡稱CSMA/CD）機制來進行傳輸控制。共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因為集線器不能識別幀，所以它就不知道一個端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機都可以收到這些幀?，F(xiàn)在是25頁\一共有111頁\編輯于星期一4/16/202325網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽原理在正常的情況下，網(wǎng)卡應(yīng)該工作在廣播模式、直接模式，一個網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：與自己的MAC地址相匹配的數(shù)據(jù)幀（目的地址為單個主機的MAC地址）。發(fā)向所有機器的廣播數(shù)據(jù)幀（目的地址為0xFFFFFFFFFF）?，F(xiàn)在是26頁\一共有111頁\編輯于星期一4/16/202326網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽的工作原理(2)但如果共享式局域網(wǎng)中的一臺主機的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的話，那么，對于這臺主機的網(wǎng)絡(luò)接口而言，任何在這個局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦牭降?。主機的這種狀態(tài)也就是監(jiān)聽模式。處于監(jiān)聽模式下的主機可以監(jiān)聽到同一個網(wǎng)段下的其他主機發(fā)送信息的數(shù)據(jù)包?，F(xiàn)在是27頁\一共有111頁\編輯于星期一4/16/202327網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法在共享式局域網(wǎng)中，集線器會廣播所有數(shù)據(jù)，這時，如果局域網(wǎng)中一臺主機將網(wǎng)卡設(shè)置成混雜模式，那么它就可以接收到該局域網(wǎng)中的所有數(shù)據(jù)了。網(wǎng)卡在混雜模式工作的情況下，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會被網(wǎng)卡驅(qū)動程序上傳給網(wǎng)絡(luò)層。共享式局域網(wǎng)監(jiān)聽示意圖見下頁?，F(xiàn)在是28頁\一共有111頁\編輯于星期一4/16/202328網(wǎng)絡(luò)入侵與防范講義集線器路由器Internet攻擊者主機受害者主機其它主機現(xiàn)在是29頁\一共有111頁\編輯于星期一4/16/202329網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法(2)正常工作時，應(yīng)用程序只能接收到以本主機為目標主機的數(shù)據(jù)包，其他數(shù)據(jù)包過濾后被丟棄不做處理。該過濾機制可以作用在鏈路層、網(wǎng)絡(luò)層和傳輸層這幾個層次，工作流程如圖所示：現(xiàn)在是30頁\一共有111頁\編輯于星期一4/16/202330網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法(3)鏈路層過濾：判斷數(shù)據(jù)包的目的MAC地址。網(wǎng)絡(luò)層過濾：判斷數(shù)據(jù)包的目的IP地址。傳輸層過濾：判斷對應(yīng)的目的端口是否在本機已經(jīng)打開。因而，如果沒有一個特定的機制，上層應(yīng)用也無法抓到本不屬于自己的“數(shù)據(jù)包”?，F(xiàn)在是31頁\一共有111頁\編輯于星期一4/16/202331網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法(4)需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊，它將網(wǎng)卡設(shè)置成混雜模式，并從監(jiān)聽軟件接收下達的各種抓包請求，對來自網(wǎng)卡驅(qū)動程序的數(shù)據(jù)幀進行過濾，最終將符合監(jiān)聽軟件要求的數(shù)據(jù)返回給監(jiān)聽軟件?，F(xiàn)在是32頁\一共有111頁\編輯于星期一4/16/202332網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法(5)有了驅(qū)動模塊，鏈路層的網(wǎng)卡驅(qū)動程序上傳的數(shù)據(jù)幀就有了兩個去處：一個是正常的協(xié)議棧，另一個就是分組捕獲即過濾模塊。對于非本地的數(shù)據(jù)包，前者會丟棄（通過比較目的IP地址），而后者則會根據(jù)上層應(yīng)用的要求來決定上傳還是丟棄，如圖所示?，F(xiàn)在是33頁\一共有111頁\編輯于星期一4/16/202333網(wǎng)絡(luò)入侵與防范講義共享式局域網(wǎng)的監(jiān)聽實現(xiàn)方法(6)在實際應(yīng)用中，監(jiān)聽時存在不需要的數(shù)據(jù)，嚴重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽模塊過濾機制的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵。信息的過濾包括以下幾種：站過濾，協(xié)議過濾，服務(wù)過濾，通用過濾。同時根據(jù)過濾的時間，可以分為兩種過濾方式：捕獲前過濾、捕獲后過濾?，F(xiàn)在是34頁\一共有111頁\編輯于星期一4/16/202334網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫(1)基于UNIX系統(tǒng)的開發(fā)庫libpcap現(xiàn)在是35頁\一共有111頁\編輯于星期一4/16/202335網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫(1)基于UNIX系統(tǒng)的開發(fā)庫libpcap

對開發(fā)者而言，網(wǎng)卡驅(qū)動程序和BPF捕獲機制是透明的，需要掌握的是libpcap庫的使用。libpcap隱藏了用戶程序和操作系統(tǒng)內(nèi)核交互的細節(jié)，完成了如下工作：向用戶程序提供了一套功能強大的抽象接口。根據(jù)用戶要求生成過濾指令。管理用戶緩沖區(qū)。負責用戶程序和內(nèi)核的交互。現(xiàn)在是36頁\一共有111頁\編輯于星期一4/16/202336網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫(2)基于Windows系統(tǒng)的WinPcap WinPcap是基于Windows操作系統(tǒng)環(huán)境的Libpcap，其在監(jiān)聽程序中起的作用和UNIX系統(tǒng)下的libpcap類似。但是比libpcap多一些功能，如WinPcap可以發(fā)送數(shù)據(jù)，但是libpcap則不行?，F(xiàn)在是37頁\一共有111頁\編輯于星期一4/16/202337網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫WinPcap的架構(gòu)包括：內(nèi)核級的數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序NPF：把設(shè)備驅(qū)動增加在Windows，它直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運行在用戶層的應(yīng)用程序上，也允許用戶發(fā)送原始數(shù)據(jù)包。低級動態(tài)連接庫packet.dll：運行在用戶層，

把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序隔離開，使得應(yīng)用程序可以不加修改地在不同Windows系統(tǒng)上運行。高級系統(tǒng)無關(guān)庫Wpcap.dll：它和應(yīng)用程序編譯在一起，它使用低級動態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口，不同Windows平臺上的高級系統(tǒng)無關(guān)庫是相同的。現(xiàn)在是38頁\一共有111頁\編輯于星期一4/16/202338網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫WinPcap架構(gòu)圖現(xiàn)在是39頁\一共有111頁\編輯于星期一4/16/202339網(wǎng)絡(luò)入侵與防范講義相關(guān)開發(fā)庫Pcap_open_livePcap_setfilterPcap_next_exMyPacketProcessPcap_dump使用Winpcap的流程打開網(wǎng)卡接口，設(shè)置為混雜模式設(shè)置過濾器(捕獲前過濾)捕獲數(shù)據(jù)對捕獲到的數(shù)據(jù)進行處理將捕獲到的數(shù)據(jù)進行存儲現(xiàn)在是40頁\一共有111頁\編輯于星期一4/16/202340網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡介3.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽工具舉例現(xiàn)在是41頁\一共有111頁\編輯于星期一4/16/202341網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)什么是交換式局域網(wǎng)交換式以太網(wǎng)就是用交換機或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機的哪個端口。因為端口間的幀傳輸彼此屏蔽，因此節(jié)點就不擔心自己發(fā)送的幀會被發(fā)送到非目的節(jié)點中去?，F(xiàn)在是42頁\一共有111頁\編輯于星期一4/16/202342網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)產(chǎn)生交換式局域網(wǎng)的原因：系統(tǒng)管理人員常常通過在本地網(wǎng)絡(luò)中加入交換設(shè)備，來預(yù)防sniffer(嗅探器)的侵入。交換機工作在數(shù)據(jù)鏈路層，工作時維護著一張MAC地址與端口的映射表。在這個表中記錄著交換機每個端口綁定的MAC地址。不同于HUB的報文廣播方式，交換機轉(zhuǎn)發(fā)的報文是一一對應(yīng)的?，F(xiàn)在是43頁\一共有111頁\編輯于星期一4/16/202343網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽的困擾。但是交換機的安全性也面臨著嚴峻的考驗，隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來實現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽：溢出攻擊ARP欺騙（常用技術(shù)）現(xiàn)在是44頁\一共有111頁\編輯于星期一4/16/202344網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)溢出攻擊交換機工作時要維護一張MAC地址與端口的映射表。但是用于維護這張表的內(nèi)存是有限的。如用大量的錯誤MAC地址的數(shù)據(jù)幀對交換機進行攻擊，交換機就可能出現(xiàn)溢出。這時交換機就會退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容易了?，F(xiàn)在是45頁\一共有111頁\編輯于星期一4/16/202345網(wǎng)絡(luò)入侵與防范講義3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)ARP欺騙計算機中維護著一個IP-MAC地址對應(yīng)表，記錄了IP地址和MAC地址之間的對應(yīng)關(guān)系。該表將隨著ARP請求及響應(yīng)包不斷更新。通過ARP欺騙，改變表里的對應(yīng)關(guān)系，攻擊者可以成為被攻擊者與交換機之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。dsniff和parasite等交換式局域網(wǎng)中的嗅探工具就是利用ARP欺騙來實現(xiàn)的。ARP欺騙示意圖見下頁，具體過程會在欺騙攻擊章節(jié)講解。現(xiàn)在是46頁\一共有111頁\編輯于星期一4/16/202346網(wǎng)絡(luò)入侵與防范講義交換機路由器Internet攻擊者主機受害者主機交換機路由器Internet攻擊者主機受害者主機ARP欺騙現(xiàn)在是47頁\一共有111頁\編輯于星期一4/16/202347網(wǎng)絡(luò)入侵與防范講義3.2監(jiān)聽技術(shù)3.2.1局域網(wǎng)中的硬件設(shè)備簡介3.2.2共享式局域網(wǎng)的監(jiān)聽技術(shù)3.2.3交換式局域網(wǎng)的監(jiān)聽技術(shù)3.2.4網(wǎng)絡(luò)監(jiān)聽工具舉例現(xiàn)在是48頁\一共有111頁\編輯于星期一4/16/202348網(wǎng)絡(luò)入侵與防范講義3.2.4網(wǎng)絡(luò)監(jiān)聽工具舉例常用的網(wǎng)絡(luò)監(jiān)聽工具Tcpdump/WindumpNgrepEthereal/WiresharkSnifferProNetXray網(wǎng)絡(luò)監(jiān)聽工具的主要功能大都相似，我們以Wireshark為例?，F(xiàn)在是49頁\一共有111頁\編輯于星期一4/16/202349網(wǎng)絡(luò)入侵與防范講義Wireshark簡介Wireshark是一個免費的開源網(wǎng)絡(luò)數(shù)據(jù)包分析工具，可以在Linux、Solaris、Windows等多種平臺運行。它允許用戶從一個活動的網(wǎng)絡(luò)中捕捉數(shù)據(jù)包并進行分析，詳細探究數(shù)據(jù)包的協(xié)議字段信息和會話過程。幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問題，幫助網(wǎng)絡(luò)安全工程師檢測安全隱患，開發(fā)人員可以用它來測試協(xié)議執(zhí)行情況、學習網(wǎng)絡(luò)協(xié)議。具有很好的可擴展性，用戶能自由地增加插件以實現(xiàn)額外功能?，F(xiàn)在是50頁\一共有111頁\編輯于星期一4/16/202350網(wǎng)絡(luò)入侵與防范講義Wireshark更名的故事2006年6月8號,Ethereal軟件的創(chuàng)始人GeraldCoombs宣布離開NIS公司(Ethereal所屬公司)，正式加入CaceTech。由于Coombs最終沒能與NIS公司達成協(xié)議，Coombs想保留Ethereal商標權(quán)，因此將Ethereal后續(xù)版本更名為Wireshark，屬于CaceTech公司。Ethereal原網(wǎng)站(/)依舊提供下載服務(wù)?，F(xiàn)在是51頁\一共有111頁\編輯于星期一4/16/202351網(wǎng)絡(luò)入侵與防范講義如何獲得軟件Ethereal官網(wǎng)（終結(jié)版本0.99.0）：Wireshark官網(wǎng)（最新穩(wěn)定版本1.2.8）：在安裝Wireshark時，要同時安裝Winpcap，它是提供Windows系統(tǒng)所需要的封包捕獲驅(qū)動程序現(xiàn)在是52頁\一共有111頁\編輯于星期一4/16/202352網(wǎng)絡(luò)入侵與防范講義Wireshark的特點支持多種通訊接口（如Ethernet、Token-ring、X.25等）及數(shù)據(jù)包協(xié)議類型（如ARP、TCP、UDP等），可以組合TCP上的封包且顯示出以ASCII或是EBCDIC型態(tài)的數(shù)據(jù)（TCPStream），所捕獲的封包可以被儲存。支持CaptureFilter（捕獲前過濾）和DisplayFilter（捕獲后過濾）功能幫助用戶篩選想要的數(shù)據(jù)包?，F(xiàn)在是53頁\一共有111頁\編輯于星期一4/16/202353網(wǎng)絡(luò)入侵與防范講義在捕獲數(shù)據(jù)包之前設(shè)定。用于設(shè)定捕獲數(shù)據(jù)包時的過濾條件，屬于捕獲前過濾好處:可以讓你選擇要抓取的數(shù)據(jù)包Examples:tcptcporudptcp||udp（此過濾規(guī)則是上一條的不同寫法）Capturefilter現(xiàn)在是54頁\一共有111頁\編輯于星期一4/16/202354網(wǎng)絡(luò)入侵與防范講義Displayfilter在捕獲數(shù)據(jù)包結(jié)束后設(shè)定。用來設(shè)定顯示數(shù)據(jù)包的條件，屬于捕獲后過濾好處:可以讓你選擇要看的數(shù)據(jù)包Example:同Capturefiltertcp.port==80tcpport80（此過濾規(guī)則是上一條的不同寫法）現(xiàn)在是55頁\一共有111頁\編輯于星期一4/16/202355網(wǎng)絡(luò)入侵與防范講義案例一：觀察FTP數(shù)據(jù)流設(shè)置capturefilter，只對tcp包進行監(jiān)測開始抓取數(shù)據(jù)包，同時局域網(wǎng)內(nèi)有ftp登陸(隔一小段時間后)停止抓取封包觀察數(shù)據(jù)包的格式內(nèi)容設(shè)置displayfilter，只查看21端口與ftp主機相關(guān)的數(shù)據(jù)包使用followtcpstream功能重組數(shù)據(jù)包，查看ftp登陸過程現(xiàn)在是56頁\一共有111頁\編輯于星期一4/16/202356網(wǎng)絡(luò)入侵與防范講義設(shè)置Capturefiltertcp現(xiàn)在是57頁\一共有111頁\編輯于星期一4/16/202357網(wǎng)絡(luò)入侵與防范講義抓包正在進行中，只抓取了TCP包現(xiàn)在是58頁\一共有111頁\編輯于星期一4/16/202358網(wǎng)絡(luò)入侵與防范講義抓包結(jié)束，查看封包內(nèi)容控制列封包總覽封包內(nèi)容十六進制碼現(xiàn)在是59頁\一共有111頁\編輯于星期一4/16/202359網(wǎng)絡(luò)入侵與防范講義設(shè)置DisplayfilterPort21andip.addr現(xiàn)在是60頁\一共有111頁\編輯于星期一4/16/202360網(wǎng)絡(luò)入侵與防范講義封包重組選定某一封包內(nèi)容后，執(zhí)行FollowTCPStream，即可對與被選中封包相關(guān)的所有封包內(nèi)容進行重組，可更清楚的看到封包中的Data。ftp登陸過程現(xiàn)在是61頁\一共有111頁\編輯于星期一4/16/202361網(wǎng)絡(luò)入侵與防范講義案例二：監(jiān)聽TCP通信過程TCP通信過程回顧實驗環(huán)境用Ethereal抓包數(shù)據(jù)包詳細分析現(xiàn)在是62頁\一共有111頁\編輯于星期一4/16/202362網(wǎng)絡(luò)入侵與防范講義TCP通信過程回顧TCP數(shù)據(jù)報格式正常TCP通信過程:建立連接數(shù)據(jù)傳輸斷開連接現(xiàn)在是63頁\一共有111頁\編輯于星期一4/16/202363網(wǎng)絡(luò)入侵與防范講義TCP數(shù)據(jù)報格式現(xiàn)在是64頁\一共有111頁\編輯于星期一4/16/202364網(wǎng)絡(luò)入侵與防范講義TCP連接建立過程現(xiàn)在是65頁\一共有111頁\編輯于星期一4/16/202365網(wǎng)絡(luò)入侵與防范講義TCP數(shù)據(jù)傳輸過程TCPPacketEstablishedEstablishedSEQ=1001,ACK=751,dataLen=256Sending1Waiting1SEQ=751,ACK=1257OK1ACK1SEQ=751,ACK=1513OK2ACK2SEQ=1257,ACK=751,dataLen=256Sending2Waiting2…………現(xiàn)在是66頁\一共有111頁\編輯于星期一4/16/202366網(wǎng)絡(luò)入侵與防范講義TCP連接斷開過程TCPPacketEstablishedEstablishedSEQ=1513,ACK=751,CTL=FIN|ACKFIN-WAIT-1CLOSE-WAITSEQ=751,ACK=1514,CTL=ACKFIN-WAIT-2CLOSE-WAITSEQ=751,ACK=1514,CTL=FIN|ACKTIME-WAITLAST-ACKSEQ=1514,ACK=752,CTL=ACKTIME-WAITCLOSEDCLOSED現(xiàn)在是67頁\一共有111頁\編輯于星期一4/16/202367網(wǎng)絡(luò)入侵與防范講義實驗環(huán)境位于同一局域網(wǎng)內(nèi)的兩臺主機，IP分別為：，自己編寫了一個C/S模式的程序，實現(xiàn)簡單的TCP數(shù)據(jù)發(fā)送與接收Client運行在Server運行在現(xiàn)在是68頁\一共有111頁\編輯于星期一4/16/202368網(wǎng)絡(luò)入侵與防范講義實驗環(huán)境（2）Client發(fā)送兩次數(shù)據(jù)，內(nèi)容分別為123和456，然后發(fā)送0結(jié)束TCP連接。程序截圖如下?？蛻舳税l(fā)送數(shù)據(jù)服務(wù)端接收到數(shù)據(jù)現(xiàn)在是69頁\一共有111頁\編輯于星期一4/16/202369網(wǎng)絡(luò)入侵與防范講義捕獲數(shù)據(jù)包在Client發(fā)送數(shù)據(jù)之前，在主機(Client)上開啟Ethereal。在捕獲前不進行過濾，直接捕獲所有數(shù)據(jù)包。當Client結(jié)束TCP連接之后，停止捕獲數(shù)據(jù)包。采用捕獲后過濾的方法，過濾規(guī)則是

其中，是Server主機。過濾后，共得到11個數(shù)據(jù)包，見下頁圖?，F(xiàn)在是70頁\一共有111頁\編輯于星期一4/16/202370網(wǎng)絡(luò)入侵與防范講義現(xiàn)在是71頁\一共有111頁\編輯于星期一4/16/202371網(wǎng)絡(luò)入侵與防范講義數(shù)據(jù)包詳細分析這11個數(shù)據(jù)包的含義如下：1~3：三次握手，建立連接4~5：第一次發(fā)送數(shù)據(jù)6~7：第二次發(fā)送數(shù)據(jù)8~11：斷開連接下面將對這11個數(shù)據(jù)包進行詳細分析?，F(xiàn)在是72頁\一共有111頁\編輯于星期一4/16/202372網(wǎng)絡(luò)入侵與防范講義1CSSYNSEQ=X+0與TCP報文格式相對應(yīng)現(xiàn)在是73頁\一共有111頁\編輯于星期一4/16/202373網(wǎng)絡(luò)入侵與防范講義2

SCSYN,ACKSEQ=Y+0ACK=X+1現(xiàn)在是74頁\一共有111頁\編輯于星期一4/16/202374網(wǎng)絡(luò)入侵與防范講義3CSACKSEQ=X+1ACK=Y+1三次握手結(jié)束現(xiàn)在是75頁\一共有111頁\編輯于星期一4/16/202375網(wǎng)絡(luò)入侵與防范講義4CSPSH,ACKSEQ=X+1,datalength=256,nextseq=257ACK=Y+1數(shù)據(jù)內(nèi)容見下頁圖現(xiàn)在是76頁\一共有111頁\編輯于星期一4/16/202376網(wǎng)絡(luò)入侵與防范講義TCPsegmentdata(256bytes)這是第一次發(fā)送的數(shù)據(jù)123現(xiàn)在是77頁\一共有111頁\編輯于星期一4/16/202377網(wǎng)絡(luò)入侵與防范講義5SCACKSEQ=Y+1ACK=X+257第一次傳輸數(shù)據(jù)結(jié)束現(xiàn)在是78頁\一共有111頁\編輯于星期一4/16/202378網(wǎng)絡(luò)入侵與防范講義6CSPSH,ACKSEQ=X+257,datalength=256,nextseq=513ACK=Y+1數(shù)據(jù)內(nèi)容見下頁圖現(xiàn)在是79頁\一共有111頁\編輯于星期一4/16/202379網(wǎng)絡(luò)入侵與防范講義TCPsegmentdata(256bytes)這是第二次發(fā)送的數(shù)據(jù)456現(xiàn)在是80頁\一共有111頁\編輯于星期一4/16/202380網(wǎng)絡(luò)入侵與防范講義7SCACKSEQ=Y+1ACK=X+513第二次傳輸數(shù)據(jù)結(jié)束現(xiàn)在是81頁\一共有111頁\編輯于星期一4/16/202381網(wǎng)絡(luò)入侵與防范講義8CSFIN,ACKSEQ=X+513ACK=Y+1現(xiàn)在是82頁\一共有111頁\編輯于星期一4/16/202382網(wǎng)絡(luò)入侵與防范講義9SCACKSEQ=Y+1ACK=X+514現(xiàn)在是83頁\一共有111頁\編輯于星期一4/16/202383網(wǎng)絡(luò)入侵與防范講義10SCFIN,ACKSEQ=Y+1ACK=X+514現(xiàn)在是84頁\一共有111頁\編輯于星期一4/16/202384網(wǎng)絡(luò)入侵與防范講義11CSACKSEQ=X+514ACK=Y+2TCP連接已經(jīng)斷開現(xiàn)在是85頁\一共有111頁\編輯于星期一4/16/202385網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過程設(shè)置網(wǎng)卡如果有多個網(wǎng)絡(luò)接口（網(wǎng)卡），首先在CaptureOptions中設(shè)置在哪個網(wǎng)絡(luò)接口上抓包。勾選Capturepacketsinpromiscuousmode選項，將網(wǎng)卡設(shè)置成混雜模式?，F(xiàn)在是86頁\一共有111頁\編輯于星期一4/16/202386網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過程設(shè)置過濾條件：捕獲前過濾現(xiàn)在是87頁\一共有111頁\編輯于星期一4/16/202387網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過程設(shè)置過濾條件：捕獲后過濾如果Filter框背景顯示為綠色，說明所設(shè)定的過濾規(guī)則合乎Wireshark支持的語法規(guī)則。如果Filter框背景顯示為紅色，說明所設(shè)定的過濾規(guī)則不符合語法規(guī)則?，F(xiàn)在是88頁\一共有111頁\編輯于星期一4/16/202388網(wǎng)絡(luò)入侵與防范講義案例三：觀察登錄BBS過程登錄BBS的用戶名和密碼主機向服務(wù)器發(fā)送的POST請求現(xiàn)在是89頁\一共有111頁\編輯于星期一4/16/202389網(wǎng)絡(luò)入侵與防范講義3.3監(jiān)聽的防御3.3.1通用策略

3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽3.3.3交換網(wǎng)絡(luò)下的防監(jiān)聽現(xiàn)在是90頁\一共有111頁\編輯于星期一4/16/202390網(wǎng)絡(luò)入侵與防范講義3.3.1通用策略由于嗅探器是一種被動攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。完全主動的解決方案很難找到并且因網(wǎng)絡(luò)類型而有一些差異，但我們可以先采用一些被動但卻是通用的防御措施。這主要包括采用安全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和數(shù)據(jù)加密技術(shù)兩方面。此外要注意重點區(qū)域的安全防范?，F(xiàn)在是91頁\一共有111頁\編輯于星期一4/16/202391網(wǎng)絡(luò)入侵與防范講義安全的拓撲結(jié)構(gòu)網(wǎng)絡(luò)分段越細，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個網(wǎng)段的集線器被連接到一個交換器(Switch)上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩余部分（不在同一網(wǎng)段）便被保護了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過的：交換機、路由器、網(wǎng)橋。我們可以通過靈活的運用這些設(shè)備來進行網(wǎng)絡(luò)分段。劃分VLAN：使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般可以采用20個工作站為一組，這是一個比較合理的數(shù)字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備?，F(xiàn)在是92頁\一共有111頁\編輯于星期一4/16/202392網(wǎng)絡(luò)入侵與防范講義數(shù)據(jù)加密數(shù)據(jù)通道加密：正常的數(shù)據(jù)都是通過事先建立的通道進行傳輸?shù)?，以往許多應(yīng)用協(xié)議中明文傳輸?shù)馁~號、口令的敏感信息將受到嚴密保護。目前的數(shù)據(jù)加密通道方式主要有SSH、SSL(SecureSocketLayer，安全套接字應(yīng)用層)和VPN。數(shù)據(jù)內(nèi)容加密：主要采用的是將目前被證實的較為可靠的加密機制對對互聯(lián)網(wǎng)上傳輸?shù)泥]件和文件進行加密。如PGP等?，F(xiàn)在是93頁\一共有111頁\編輯于星期一4/16/202393網(wǎng)絡(luò)入侵與防范講義3.3監(jiān)聽的防御3.3.1通用策略3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽3.3.3交換網(wǎng)絡(luò)下的防監(jiān)聽現(xiàn)在是94頁\一共有111頁\編輯于星期一4/16/202394網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽雖然共享式局域網(wǎng)中的嗅探很隱蔽，但也有一些方法來幫助判斷：檢測處于混雜模式的網(wǎng)卡網(wǎng)絡(luò)通訊丟包率非常高網(wǎng)絡(luò)帶寬出現(xiàn)反常檢測技術(shù)網(wǎng)絡(luò)和主機響應(yīng)時間測試ARP檢測（如AntiSniff工具）現(xiàn)在是95頁\一共有111頁\編輯于星期一4/16/202395網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽1.網(wǎng)絡(luò)和主機響應(yīng)時間測試這種檢測已被證明是最有效的，它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機器，而不管其操作系統(tǒng)是什么?，F(xiàn)在是96頁\一共有111頁\編輯于星期一4/16/202396網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽1.網(wǎng)絡(luò)和主機響應(yīng)時間測試測試原理是處于非監(jiān)聽模式的網(wǎng)卡提供了一定的硬件底層過濾機制，即目標地址為非本地(廣播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。這種情況下驟然增加目標地址不是本地的網(wǎng)絡(luò)通訊流量對操作系統(tǒng)的影響很小。而處于混雜模式下的機器則缺乏底層的過濾，驟然增加目標地址不是本地的網(wǎng)絡(luò)通訊流量會對該機器造成較明顯的影響(不同的操作系統(tǒng)/內(nèi)核/用戶方式會有不同)?，F(xiàn)在是97頁\一共有111頁\編輯于星期一4/16/202397網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽1.網(wǎng)絡(luò)和主機響應(yīng)時間測試實現(xiàn)方法是利用ICMPECHO請求及響應(yīng)計算出需要檢測機器的響應(yīng)時間基準和平均值。在得到這個數(shù)據(jù)后，立刻向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，與此同時再次發(fā)送測試數(shù)據(jù)包以確定平均響應(yīng)時間的變化值。非監(jiān)聽模式的機器的響應(yīng)時間變化量會很小，而監(jiān)聽模式的機器的響應(yīng)時間變化量則通常會有1～4個數(shù)量級?，F(xiàn)在是98頁\一共有111頁\編輯于星期一4/16/202398網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽2.ARP檢測地址解析協(xié)議(AddressResolutionProtocol,ARP)請求報文用來查詢硬件地址到IP地址的解析。適用于所有基于以太網(wǎng)的IPV4協(xié)議。我們可以使用這類分組來校驗網(wǎng)卡是否被設(shè)置為混雜模式?，F(xiàn)在是99頁\一共有111頁\編輯于星期一4/16/202399網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽2.ARP檢測 在混雜模式下，網(wǎng)卡不會阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會返回包含錯誤信息的報文。 基于這種機制，我們可以假造一些ARP請求報文發(fā)送到網(wǎng)絡(luò)上的各個節(jié)點，沒有處于混雜模式的網(wǎng)卡會阻塞這些報文，但是如果某些節(jié)點有回應(yīng)，就表示這些節(jié)點的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點就可能運行嗅探器程序。現(xiàn)在是100頁\一共有111頁\編輯于星期一4/16/2023100網(wǎng)絡(luò)入侵與防范講義3.3.2共享網(wǎng)絡(luò)下的防監(jiān)聽ARP檢測原理例如：網(wǎng)絡(luò)上一臺IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺PC(X)需要向網(wǎng)絡(luò)上另外一臺IP地址為的PC(Y)發(fā)送消息?，F(xiàn)在是101頁\一共有111頁\編輯于星期一4/16/2023101網(wǎng)絡(luò)入侵與防范講義集線器PC（X）PC（Y）IP：MAC：00-00-00-00-00-01IP：現(xiàn)在是102頁\一共有111頁\編輯于星期一4/16/2023102網(wǎng)絡(luò)入侵與防范講義ARP檢測原理(2)在發(fā)送之前，X首先發(fā)出一個ARP請求包查詢對應(yīng)的以太網(wǎng)地址。查詢包的目的地址被設(shè)置