第4章網(wǎng)絡(luò)嗅探與協(xié)議分析

第4章網(wǎng)絡(luò)嗅探與協(xié)議分析第一頁，共42頁。網(wǎng)絡(luò)信息對抗第三章：網(wǎng)絡(luò)嗅探與協(xié)議分析第二頁，共42頁。提綱網(wǎng)絡(luò)嗅探技術(shù)課堂實踐：使用SnifferPro網(wǎng)絡(luò)協(xié)議分析技術(shù)課堂實踐：使用Wireshark作業(yè)第三頁，共42頁?！皦τ卸?，伏寇在側(cè)。墻有耳者，微謀外泄之謂也。”－－－春秋·管仲《管子·君臣下》第四頁，共42頁。網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探(Sniff)網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)竊聽類似于傳統(tǒng)的電話線竊聽網(wǎng)絡(luò)嗅探技術(shù)定義利用計算機(jī)網(wǎng)絡(luò)接口截獲目的地為其他計算機(jī)的數(shù)據(jù)報文監(jiān)聽網(wǎng)絡(luò)流中所包含的用戶賬戶密碼或私密信息等網(wǎng)絡(luò)嗅探器(Sniffer)實現(xiàn)嗅探的軟件或硬件設(shè)備嗅探獲得數(shù)據(jù)→二進(jìn)制格式數(shù)據(jù)報文解析和理解二進(jìn)制數(shù)據(jù)，獲取各層協(xié)議字段和應(yīng)用層傳輸數(shù)據(jù)→網(wǎng)絡(luò)協(xié)議分析第五頁，共42頁。網(wǎng)絡(luò)嗅探的危害與作用攻擊者：內(nèi)網(wǎng)滲透技術(shù)竊取機(jī)密信息為發(fā)起進(jìn)一步攻擊收集信息防御者管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況，定位網(wǎng)絡(luò)故障為網(wǎng)絡(luò)入侵檢測系統(tǒng)提供底層數(shù)據(jù)來源基礎(chǔ)其他作用開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況第六頁，共42頁。網(wǎng)絡(luò)嗅探技術(shù)與工具分類鏈路層嗅探分類以太網(wǎng)嗅探WiFi嗅探…目前一些著名嗅探器支持多種鏈路層網(wǎng)絡(luò)嗅探，wireshark,SnifferPro…工具形態(tài)軟件嗅探器硬件嗅探器(協(xié)議分析儀):專用設(shè)備,速度快,額外功能(如流量記錄與重放等),價格昂貴第七頁，共42頁。以太網(wǎng)工作原理載波偵聽/沖突檢測(CSMA/CD:802.3,carriersensemultipleaccesswithcollisiondetection)技術(shù)載波偵聽：是指在網(wǎng)絡(luò)中的每個站點(diǎn)都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數(shù)據(jù)如果信道被占用，就等待信道空閑而沖突檢測則是為了防止發(fā)生兩個站點(diǎn)同時監(jiān)測到網(wǎng)絡(luò)沒有被使用時而產(chǎn)生沖突以太網(wǎng)的CSMA/CD技術(shù)，采用廣播機(jī)制，所有在同一媒介信道上連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)第八頁，共42頁。以太網(wǎng)工作模式網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包MAC地址與自己相匹配的數(shù)據(jù)幀廣播包網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)為了監(jiān)聽網(wǎng)絡(luò)上的流量，必須設(shè)置為混雜模式第九頁，共42頁。局域網(wǎng)類型共享式網(wǎng)絡(luò)通過Hub(集線器)連接總線方式:通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機(jī)能夠嗅探整個Hub上全部網(wǎng)絡(luò)流量交換式網(wǎng)絡(luò)通過Switch(交換機(jī))連接由交換機(jī)構(gòu)造一個“MAC地址-端口”映射表發(fā)送包的時候，只發(fā)到特定端口上只能監(jiān)聽同一端口上流量可通過流量映像口監(jiān)聽(SPAN)第十頁，共42頁。交換式網(wǎng)絡(luò)的嗅探攻擊MAC地址洪泛攻擊向交換機(jī)發(fā)送大量虛構(gòu)MAC地址和IP地址數(shù)據(jù)包致使交換機(jī)“MAC地址-端口映射表”溢出交換機(jī)切換入所謂的“打開失效”模式-“共享式”MAC欺騙假冒所要監(jiān)聽的主機(jī)網(wǎng)卡，將源MAC地址偽造成目標(biāo)主機(jī)的MAC地址交換機(jī)不斷地更新它的“MAC地址-端口映射表”交換機(jī)就會將本應(yīng)發(fā)送給目標(biāo)主機(jī)的數(shù)據(jù)包發(fā)送給攻擊者ARP欺騙利用IP地址與MAC地址之間進(jìn)行轉(zhuǎn)換時的協(xié)議漏洞第十一頁，共42頁。應(yīng)用程序抓包技術(shù)類Unix平臺提供了標(biāo)準(zhǔn)的API支持內(nèi)核態(tài):BPF(BerkeleyPacketFilter)用戶態(tài)函數(shù)庫：libpcap用戶態(tài)嗅探程序：tcpdump等Windows平臺通過驅(qū)動程序來抓取數(shù)據(jù)包驅(qū)動程序:NPF(NetGroupPacketFilter)用戶態(tài)函數(shù)庫：winpcap用戶態(tài)嗅探程序：windump等第十二頁，共42頁。BPF(BerkeleyPacketsFilter)BSD數(shù)據(jù)包捕獲BPF是一個核心態(tài)的組件，支持?jǐn)?shù)據(jù)包“過濾”抓取NetworkTap接收所有的數(shù)據(jù)包BPF虛擬機(jī)機(jī)器語言的解釋器，比較/算術(shù)等操作KernelBuffer，保存過濾器送過來的數(shù)據(jù)包Userbuffer，用戶態(tài)上的數(shù)據(jù)包緩沖區(qū)Libpcap(一個抓包工具庫)支持BPFLibpcap是用戶態(tài)的一個抓包工具Libpcap幾乎是系統(tǒng)無關(guān)的BPF是一種比較理想的抓包方案在核心態(tài)，所以效率比較高目前類UNIX系統(tǒng)的標(biāo)準(zhǔn)抓包內(nèi)核模塊第十三頁，共42頁。BPF與Libpcap第十四頁，共42頁。Libpcap抓包庫用戶態(tài)下的抓包庫系統(tǒng)獨(dú)立的接口，C語言接口多種其他高級編程語言包裝接口:Perl,Python,Ruby,Tcl,Java,…廣泛應(yīng)用于網(wǎng)絡(luò)統(tǒng)計軟件入侵檢測系統(tǒng)網(wǎng)絡(luò)調(diào)試支持過濾機(jī)制，BPF第十五頁，共42頁。Windows平臺的抓包技術(shù)內(nèi)核本身沒有提供標(biāo)準(zhǔn)的接口通過增加一個驅(qū)動程序或者網(wǎng)絡(luò)組件來訪問內(nèi)核網(wǎng)卡驅(qū)動提供的數(shù)據(jù)包在Windows不同操作系統(tǒng)平臺下有所不同不同sniffer采用的技術(shù)不同WinPcap是一個重要的抓包工具，它是libpcap的Windows版本第十六頁，共42頁。WinpcapWinPcap包括三個部分第一個模塊NPF(NetgroupPacketFilter)：是一個虛擬設(shè)備驅(qū)動程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼第二個模塊packet.dll：為win32平臺提供了一個公共的接口。不同版本的Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶層模塊。Packet.dll用于解決這些不同。調(diào)用Packet.dll的程序可以運(yùn)行在不同版本的Windows平臺上，而無需重新編譯第三個模塊Wpcap.dll：是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù)。packet.dll和Wpcap.dllpacket.dll直接映射了內(nèi)核的調(diào)用Wpcap.dll提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用第十七頁，共42頁。Winpcap與NPF第十八頁，共42頁。NPF在Windows網(wǎng)絡(luò)結(jié)構(gòu)中的位置NDIS(NetworkDriverInterfaceSpecification，網(wǎng)絡(luò)驅(qū)動接口規(guī)范)描述了網(wǎng)絡(luò)驅(qū)動與底層網(wǎng)卡之間的接口規(guī)范，以及它與上層協(xié)議之間的規(guī)范NPF作為一個核心驅(qū)動程序而提供的第十九頁，共42頁。Winpcap優(yōu)勢提供了一套標(biāo)準(zhǔn)的抓包接口與libpcap兼容，可使得原來許多類UNIX平臺下的網(wǎng)絡(luò)分析工具快速移植過來便于開發(fā)各種網(wǎng)絡(luò)分析工具除了與libpcap兼容的功能之外，還有充分考慮了各種性能和效率的優(yōu)化，包括對于NPF內(nèi)核層次上的過濾器支持支持內(nèi)核態(tài)的統(tǒng)計模式提供了發(fā)送數(shù)據(jù)包的能力第二十頁，共42頁。網(wǎng)絡(luò)嗅探軟件類Unix平臺網(wǎng)絡(luò)嗅探器軟件Libpcap*抓包開發(fā)函數(shù)庫Tcpdump*以及wireshark*嗅探器軟件Snort*、dsniff、sniffit和linux_sniffer…Windows平臺網(wǎng)絡(luò)嗅探器軟件NPF/winpcap/windumpSnifferProButtsniffer、NetMon、NetworkAssociatesSniffer第二十一頁，共42頁。網(wǎng)絡(luò)嗅探的檢測技術(shù)網(wǎng)卡和操作系統(tǒng)對于是否處于混雜模式會有一些不同的行為，利用這些特征可以判斷一個機(jī)器是否運(yùn)行在混雜模式下一些檢測手段根據(jù)操作系統(tǒng)的特征Linux內(nèi)核的特性：正常情況下，只處理本機(jī)MAC地址或者以太廣播地址的包。在混雜模式下，許多版本的Linux內(nèi)核只檢查數(shù)據(jù)包中的IP地址以確定是否送到IP堆棧。因此，可以構(gòu)造無效以太地址而IP地址有效的ICMPECHO請求，看機(jī)器是否返回應(yīng)答包(混雜模式)，或忽略(非混雜模式)。Windows9x/NT：在混雜模式下，檢查一個包是否為以太廣播包時，只看MAC地址前八位是否為0xff。根據(jù)網(wǎng)絡(luò)和主機(jī)的性能根據(jù)響應(yīng)時間：向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，然后，看目標(biāo)主機(jī)的響應(yīng)時間，首先要測得一個響應(yīng)時間基準(zhǔn)和平均值第二十二頁，共42頁。LOpht的AntiSniff產(chǎn)品第二十三頁，共42頁。網(wǎng)絡(luò)嗅探技術(shù)的防范措施采用安全的網(wǎng)絡(luò)拓?fù)涔蚕硎骄W(wǎng)絡(luò)→交換式網(wǎng)絡(luò)交換機(jī)上設(shè)置VLAN等技術(shù)手段，對網(wǎng)絡(luò)進(jìn)行合理的分段共享式以太網(wǎng)→交換式以太網(wǎng)拓?fù)湫阅芴嵘?廣播沖突域每臺主機(jī)單獨(dú)沖突域安全性提升:較難被網(wǎng)絡(luò)監(jiān)聽交換式網(wǎng)絡(luò)提供安全性仍可能被挫敗:ARP欺騙靜態(tài)ARP或者M(jìn)AC-端口映射表代替動態(tài)機(jī)制重視網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)募形恢命c(diǎn)的安全防范避免使用明文傳輸口令/敏感信息網(wǎng)絡(luò)協(xié)議,使用加密協(xié)議telnet→sshIPSEC/TLS第二十四頁，共42頁。提綱網(wǎng)絡(luò)嗅探技術(shù)課堂實踐：使用SnifferPro網(wǎng)絡(luò)協(xié)議分析技術(shù)課堂實踐：使用Wireshark作業(yè)第二十五頁，共42頁。課堂實踐使用SnifferPro開源軟件對在本機(jī)上訪問網(wǎng)站過程進(jìn)行嗅探，回答問題：你在訪問網(wǎng)站首頁時，瀏覽器將訪問多少個Web服務(wù)器？他們的IP地址都是什么？第二十六頁，共42頁。提綱網(wǎng)絡(luò)嗅探技術(shù)課堂實踐：使用SnifferPro網(wǎng)絡(luò)協(xié)議分析技術(shù)課堂實踐：使用Wireshark作業(yè)第二十七頁，共42頁。網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析的粒度和層次原始數(shù)據(jù)包:最細(xì)粒度、最低層次網(wǎng)絡(luò)流(/會話):通過5元組進(jìn)行流(/會話)重組5元組:sip,sport,dip,dport,ipproto網(wǎng)絡(luò)流高層統(tǒng)計IP會話列表<sip,sport>目標(biāo)端口流統(tǒng)計<dport>網(wǎng)絡(luò)報文分析工具集成工具:Wireshark網(wǎng)絡(luò)流重組:nstreams,snort高層統(tǒng)計和摘要分析:Netflow,RRDTools第二十八頁，共42頁。原始數(shù)據(jù)包粒度網(wǎng)絡(luò)協(xié)議分析對網(wǎng)絡(luò)上傳輸?shù)亩M(jìn)制格式數(shù)據(jù)包進(jìn)行解析，以恢復(fù)出各層網(wǎng)絡(luò)協(xié)議信息以及傳輸內(nèi)容的技術(shù)方法第二十九頁，共42頁。網(wǎng)絡(luò)協(xié)議分析技術(shù)實現(xiàn)實現(xiàn)參考源碼Snort中的網(wǎng)絡(luò)解碼器模塊decode.c/decode.h解析以太網(wǎng)數(shù)據(jù)幀DecodeEthPkt預(yù)處理：拆包前進(jìn)行一些前期處理拆包：將當(dāng)前得到的包內(nèi)存位置賦給Packet數(shù)據(jù)結(jié)構(gòu)中相應(yīng)的指針eh(EtherHdr)型的指針即可解析上層協(xié)議：switch語句，根據(jù)ether_type分別調(diào)用相應(yīng)的上層協(xié)議解析例程第三十頁，共42頁。WireShark（Ethereal）Wireshark(Ethereal)1998-2006:EtherealGeraldCombs,UniversityofMissouri-KansasCity2006-now:wiresharkRenamedfromEtherealduetotrademarkissueseWEEKLabsnamedWiresharkoneof"TheMostImportantOpen-SourceAppsofAllTime“Wireshark特性圖形化界面/命令行(tshark)在線/離線抓包(支持標(biāo)準(zhǔn)pcap二進(jìn)制日志文件)支持BPF過濾器支持分析幾百種常見網(wǎng)絡(luò)協(xié)議跨平臺：類UNIX、Win32(依賴libpcap/WinPcap)第三十一頁，共42頁。WireShark界面第三十二頁，共42頁。WireShark基本功能抓包(Capture)CaptureFilter:BPF過濾器分析(Analyze)自動協(xié)議解碼:支持?jǐn)?shù)百種協(xié)議,顯示各層包頭和內(nèi)容字段靈活選擇協(xié)議對網(wǎng)絡(luò)流進(jìn)行解碼DecodeAs…統(tǒng)計(Statistics)協(xié)議分類(ProtocolHierarchy)會話列表(Conversations)2層(以太網(wǎng))/3層(IP)/4層(TCP,UDP)會話終端(EndPoints)I/OGraph:隨時間統(tǒng)計的流量曲線會話重組(FollowTCP/UDPStream)和會話圖(FlowGraph)第三十三頁，共42頁。WireShark的兩類過濾規(guī)則嗅探過濾規(guī)則支持BPF規(guī)則用于嗅探抓包時的過濾顯示過濾規(guī)則用于在界面中選擇顯示哪些數(shù)據(jù)包與BPF規(guī)則有所不同第三十四頁，共42頁。流重組/會話重組流重組/會話重組TCP/UDP會話發(fā)送字節(jié)數(shù)可能很大IP包最大長度(64K-20≈64K)以太網(wǎng)幀最大長度(1500-20=1480)協(xié)議棧發(fā)送大量TCP/UDP報文時，必然分組傳送流重組:將同屬于一個TCP/UDP會話的IP包負(fù)載按序重新組裝，還原應(yīng)用層數(shù)據(jù)的過程流重組工具Wireshark:FollowTCP/UDPStreamnstreams:nstreams-fpcap_file>nstreams.txtSnort:Log規(guī)則(snort.conf):logtcpanyany<>anyany(sid:1000001;session:printable;)snort-rpcap_file–l./log-csnort.conf第三十五頁，共42頁。網(wǎng)絡(luò)流記錄和高層統(tǒng)計分析Netflow定義了網(wǎng)絡(luò)會話流記錄的業(yè)界標(biāo)準(zhǔn)-CiscoRFC3334/3954/3955IPFlowInformationExport(netflowv10)-IETF網(wǎng)絡(luò)流記錄商業(yè)路由器、交換機(jī)支持Netflow日志輸出開源軟件:nf