第三章-網絡嗅探課件

第三章

網絡嗅探主要內容嗅探器簡介嗅探器工作原理交換式網絡嗅探簡易嗅探器的實現常用嗅探工具嗅探器簡介嗅探（Sniffer）技術是一種很重要的網絡安全攻防技術。對黑客來說，通過嗅探技術能以非常隱蔽的方式攫取網絡中的大量敏感信息，嗅探行為更難被察覺，也更容易操作。對安全管理人員來說，借助嗅探技術，可以對網絡活動進行實時監(jiān)控，并進行發(fā)現各種網絡攻擊行為。嗅探器簡介嗅探器：最初是作為網絡管理員檢測網絡通信的一種工具，它既可以是軟件，又可以是一個硬件設備。軟件Sniffer應用方便，針對不同的操作系統平臺都有多種不同的軟件Sniffer,而且很多都是免費的；硬件Sniffer

通常被稱作協議分析器，其價格一般都很高昂。?

載波偵聽/沖突檢測(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技術?

以太網采用了CSMA/CD技術，由于使用了廣播機制，所以，所有與共享式網絡連接的工作站都可以看到網絡上傳遞的數據。嗅探器的工作原理?

網卡的MAC地址(48位)

通過ARP來解析MAC與IP地址的轉換用ipconfig/ifconfig可以查看MAC地址?正常情況下，網卡應該只接收這樣的包

MAC地址與自己相匹配的數據幀

廣播包?

網卡完成收發(fā)數據包的工作，兩種接收模式

混雜模式：不管數據幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數據幀，以及廣播數據包(和組播數據包)?為了監(jiān)聽網絡上的流量，必須設置為混雜模式以太網卡的工作模式?

共享式網絡嗅探器的工作原理?

通過廣播方式實現一對一通信?

交換式網絡?

通過MAC—Port轉發(fā)表傳遞數據。嗅探器的工作原理?

如何實現嗅探？?

交換式網絡無法直接進行嗅探，需采用一些專門的手段1、ARP欺騙2、交換機MAC地址表溢出3、MAC地址偽造4、ICMP重定向交換式網絡上的嗅探A通過發(fā)送ARP請求報文給C，接收方C會進行應答，發(fā)送方A會獲取C的IP-MAC映射關系，同時C也會存儲A的IP和MAC的映射關系。ARP是無狀態(tài)協議，A沒有發(fā)送請求報文，C可直接發(fā)送應答報文給A，A會存儲/更新C的IP-MAC的映射關系。ARP欺騙B直接發(fā)送A應答報文，但告訴A的是關于C的錯誤的IP-MAC的映射關系，IP是A的，MAC是C的。B直接發(fā)送A應答報文，但告訴A的是關于C的錯誤的IP-MAC的映射關系，即IP地址是C的，但MAC地址是虛構的。B直接發(fā)送A應答報文，但告訴A的是關于C的錯誤的IP-MAC的映射關系，即IP地址是C的，但MAC地址是B的。有什么后果？ARP欺騙?

A彈出IP沖突警告框。?

A無法和C通信。?

B冒充C和A通信ARP欺騙的結果?

B冒充C和A通信過程注意ARP和MAC地址表關系ARP欺騙嗅探MAC地址映射表可以存儲的映射表條目有限。如果惡意攻擊者向交換機發(fā)送大量的虛假MAC地址數據，有些交換機在應接不暇的情況下，就會像一臺普通的Hub

那樣只是簡單地向所有端口廣播數據。嗅探者就可以借機達到竊聽的目的。MAC地址表溢出MAC1Port1MAC2Port2MAC3Port3欺騙交換機C使用B的MAC地址給A發(fā)包，導致交換機刷新MAC地址表。MAC地址偽造MacAPort1MacBPort2MacCPort3MacAPort1(無效)MacBPort2MacBPort3重新指定發(fā)送數據包的下一條地址。ICMP重定向網絡硬件設備數據捕獲程序實時分析程序嗅探器的實現捕獲口令捕獲專用的或者機密的信息,比如金融帳號

獲取更高級別的訪問權限窺探底層的協議信息，如TCP連接的序號。嗅探器的危害將嗅探器放置于被攻擊機器、網關或網絡附近，可以捕獲到很多口令。如果將Sniffer運行在路由器，或有路由器功能的主機上，可以對大量的數據進行監(jiān)控。

Sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網絡和其他網絡進行身份鑒別的過程。嗅探器的放置

ARP廣播地址探測

Ping方法

DNS方法源路徑方法誘騙方法網絡帶寬出現反常等待時間方法嗅探器的檢測

ARP廣播地址探測

檢測可疑主機網卡是否工作在混在模式，通過ARP請求廣播包（地址FF-00-00-00-00-00）看是否應答。

Ping方法Ping可疑主機，但Ping包的MAC地址不是可疑主機的，判斷是否產生回應。嗅探器的檢測DNS方法源路徑方法嗅探器的檢測誘騙方法架設客戶機/服務器環(huán)境，有意設置虛擬帳號、口令并使用，探測是否有登錄信息。網絡帶寬出現反常通過帶寬控制器，查看是否有機器長期占用了較大的帶寬。等待時間方法發(fā)送大量數據前后，ping可疑主機，對比兩次響應時間。嗅探器的檢測及時打補丁

本機監(jiān)控一般使用ifconfig查看網卡是否工作在混雜模式。但是在許多時候，本地監(jiān)控卻并不可靠，可結合其他更高級的工具，例如tripwire、lsof等。監(jiān)控本地局域網的數據幀。管理員可以運行自己的Sniffer(嗅探器)，例如tcpdump，Windump和snoop等等，監(jiān)控網絡中指定主機的數據流量。嗅探器的防范會話加密如用SSH（SecureShell）代替Telnet，使用IPV6等。使用安全的拓樸結構少用Hub，Sniffer無法穿過交換機、路由器、網橋。網絡分段越細，則安全程度越大。使用靜態(tài)ARP

arp–sip

mac嗅探器的防范?

主要內容1、概述2、操作界面介紹3、操作演示4、實驗內容SnifferPro?

Sniffer的產品：1、便攜式軟件(portable)－SnifferPro2、分布式硬件3、InfiniStream(硬件)?

Sniffer軟件是NAI公司推出的功能強大的協議分析軟件。SnifferPro概述?

SnifferPro是什么？1、捕獲網絡流量進行詳細分析2、利用專家分析系統診斷問題3、實時監(jiān)控網絡活動4、收集網絡利用率和錯誤等SnifferPro是網絡管理軟件、協議分析軟件、故障檢測工具、網絡攻擊軟件。SnifferPro概述?

Sniffer的三大功能：1、Monitor；2、Expert；3、Decode；SnifferPro概述1、設置網卡2、報文捕獲解析3、報文生成發(fā)送4、網絡監(jiān)視功能5、數據報文解碼SnifferPro操作界面?

設置網卡啟動Sniffer或通過File->selectsettings

SnifferPro操作界面?捕獲面板SnifferPro報文捕獲解析?捕獲過程報文統計SnifferPro報文捕獲解析?捕獲報文查看SnifferPro報文捕獲解析?專家分析SnifferPro報文捕獲解析?解碼分析SnifferPro報文捕獲解析?設置捕獲條件-基本捕獲條件設置SnifferPro報文捕獲解析?設置捕獲條件-高級捕獲條件設置SnifferPro報文捕獲解析?設置捕獲條件-任意捕獲條件設置SnifferPro報文捕獲解析?報文生成界面SnifferPro生成發(fā)送報文?報文編輯界面SnifferPro生成發(fā)送報文?捕獲報文編輯并發(fā)送SnifferPro生成發(fā)送報文?界面SnifferPro網絡監(jiān)視?報文分層SnifferPro報文解碼?以太網幀結構SnifferPro報文解碼?802.3幀結構SnifferPro報文解碼?IP協議SnifferPro報文解碼?ARP協議SnifferPro報文解碼SnifferPro操作演示1、建立實驗環(huán)境：（1）兩臺安裝Windows2000／XP的PC機，其中一臺上安裝SnifferPro軟件，另一臺安裝網絡執(zhí)法官，安裝SnifferPro；（2）安裝SnifferPro4.75,需重啟計算機SnifferPro實驗2、熟悉SnifferPro操作：（1）儀表盤；（2）HostTable：主機列表，搜集網絡上的所有節(jié)點；（3）Matrix：矩陣，網絡上所有會話的列表；（4）ART，應用程序響應時間；（5）HistorySample；（6）ProtocolDistribution；（7）Switch，交換機監(jiān)控；（8）捕捉－－解碼；

（9）包產生器SnifferPro實驗3、分析Ping工具協議工作過程；兩人一組進行，一方Ping另一方；4、分析網絡執(zhí)法官工作工程；兩人一組進行；5、捕獲獲取用戶、密碼6、進行IP沖突攻擊；捕獲ARPReplay包，進行編輯，后轉發(fā)7、無法通信的攻擊需同時更改包幀的源MAC和ARP數據部分的源MAC地址，并且應一致8、偽裝網關攻擊；SnifferPro實驗經常不斷地學習,你就什么都知道。你知道得越多,