《網絡安全技術原理與實踐》課件第三章 網絡嗅探與協(xié)議分析技術原理及實踐

3.1網絡嗅探技術原理

網絡嗅探是一種黑客常用的竊聽技術，可以理解為一個安裝在計算機上的竊聽設備，可以截獲在網絡上發(fā)送和接收到的數(shù)據，監(jiān)聽數(shù)據流中的私密信息。3.1.1嗅探的基本原理(1)目的MAC地址為本機硬件地址的數(shù)據幀；(2)向所有設備發(fā)送的廣播數(shù)據幀。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材3.1.2共享式網絡與交換式網絡中的嗅探網卡一般有四種接收數(shù)據幀的狀態(tài)：(1)單一模式(Unicast)：是指網卡在工作時，只接收數(shù)據幀中目的地址是本機MAC地址的數(shù)據幀。(2)廣播模式(Broadcast)：該模式下的網卡能夠接收網絡中的廣播信息。(3)組播模式(Multicast)：設置在該模式下的網卡能夠接收組播數(shù)據。(4)混雜模式(Promiscuous)：在這種模式下的網卡能夠接收一切通過它的數(shù)據，而不管該數(shù)據是否是傳給它的。

在以太網中根據部署方式分為共享式網絡與交換式網絡。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材共享式網絡工作原理交換式網絡工作原理（1）MAC泛洪攻擊如果向交換機發(fā)送大量虛構MAC地址和IP地址的數(shù)據包，有些交換機在應接不暇的情況下，就會進入普通工作模式，就像一臺普通的Hub那樣只是簡單的向所有端口廣播數(shù)據了，嗅探者正好借此機會來達到竊聽的目的。（2）MAC欺騙MAC欺騙就是修改本地的MAC地址，使其與目標主機的MAC地址相同。（3）ARP欺騙ARP欺騙是利用IP地址與MAC地址之間進行轉換時的協(xié)議漏洞，達到欺騙目的。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材3.2網絡嗅探分析軟件在UNIX類系統(tǒng)下，主要有：(1)Libpcap抓包開發(fā)庫(2)snifift(3)Dsniff(4)Tcpdump嗅探器軟件高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材Libpcap抓包開發(fā)庫Libpcap是UNIX操作系統(tǒng)從網絡捕獲網絡數(shù)據包的最常用工具，是與系統(tǒng)獨立的API接口。它廣泛應用于網絡數(shù)據收集、安全監(jiān)控等軟件的開發(fā)。另外，它有一個核心組件BPF(BerkeleyPacketFilter)，是一個過濾器并且效率很高。它是由如下的幾個部分構成的：NetworkTap，它負責從網絡設備驅動程序中接收所有的數(shù)據包并轉發(fā)到監(jiān)聽程序，PacketFilter過濾器來決定是否接收該數(shù)據包以及該復制數(shù)據包的哪些部分，KernelBuffer保存過濾器送過來的數(shù)據包，Userbuffer是用戶態(tài)上的數(shù)據包緩沖區(qū)。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材snifift

一個有名的網絡端口探測器，運行于Solaris和Linux等平臺?？梢赃x擇源目標地址或地址集合，用戶可以配置它在后臺運行以檢測在哪些TCP/IP端口上用戶的輸入、輸出信息。Dsniff

分為Unix平臺下的Dsniff和Windows平臺下的DsniffforWin32，主要用來進行網絡滲透測試，它有一套靈活好用的小工具，可以用來截取用戶口令等敏感資料。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材Tcpdump嗅探器軟件

Tcpdump應用于Unix系統(tǒng)下，提供命令行模式，是一種免費的網絡分析工具。該工具提供了源代碼，公開了接口，具備很強的可擴展性。Tcpdump存在于基本的FreeBSD系統(tǒng)中，由于它需要將網絡接口設置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權限的用戶可以直接執(zhí)行它來獲取網絡上的信息。Windows系統(tǒng)下，主要可以使用WindowsSDK、套接字等，但是這些方法是與操作系統(tǒng)類型和版本密切相關，導致這些方法開發(fā)的軟件通用性不強，每種方式都有其特定的優(yōu)缺點。實際上很多產品都是結合了幾種不同的技術從多個層面上來進行Windows下網絡數(shù)據包的捕獲。主要有以下幾種方式：(1)使用外界提供的驅動捕獲程序。如WinPcap驅動。(2)使用或自行編寫中間層驅動程序。(3)直接調用NDIS驅動庫函數(shù)。(4)使用原始套接字。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材3.3WinPcap分析

1）NPF（核心部分）:NetgroupPacketFilter，即為協(xié)議的網絡驅動程序，通過調用NDIS為各操作系統(tǒng)提供截獲以及發(fā)送原始包功能。一個虛擬設備驅動程序文件，用于過濾數(shù)據包并將原始數(shù)據包傳遞給用戶。2)Wpcap.dll:是一個包含了公共WinPcapAPI的動態(tài)鏈接庫，它輸出了一組依賴于系統(tǒng)的函數(shù)，用來捕獲和分析網絡流量。3)Packet.dll（底層動態(tài)鏈接部分）。包括訪問BPF的一個應用接口和符合高層函數(shù)庫接口的函數(shù)庫。不同的操作系統(tǒng)的內核和用戶模塊都不盡相同，該部分則針對于這一現(xiàn)象為平臺提供了一個通用的接口，從而節(jié)省了再次進行編譯的時間。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材WinPcap框架結構圖高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材WinPcap常用數(shù)據結構：1）

typedef

struct

_ADAPTER

ADAPTER//描述一個網絡適配器；

2）

typedef

struct

_PACKET

PACKET//描述一組網絡數(shù)據報的結構；

3）

typedef

struct

NetType

NetType//描述網絡類型的數(shù)據結構；

4）

typedef

struct

npf_if_addr

npf_if_addr

//描述一個網絡適配器的ip地址；

5）

struct

bpf_hdr

//數(shù)據報頭部；

6）

struct

bpf_stat

//當前捕獲數(shù)據報的統(tǒng)計信息。WinPcap主要函數(shù)：1）int

pcap_findalldevs(pcap_if_t

**

alldevsp,char

*

errbuf)功能：列出當前所有可用的網絡設備（網卡）2）pcap_t

*pcap_open_live(

char

*device,intsnaplen,int

promisc,intto_ms,

char

*errbuf

);

獲取一個包捕捉句柄，類似文件操作函數(shù)使用的文件句柄。

3）void

pcap_close

(pcap_t*p)

該函數(shù)用于關閉pcap_open_live()獲取的包捕捉句柄，釋放相關資源。

4）int

pcap_lookupnet(char*device,bpf_u_int32*netp,pf_u_int32*maskp,

char

*

errbuf

);

該函數(shù)用于獲取指定網絡接口的IP地址、子網掩碼。

高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材5）int

pcap_compile(

pcap_t

*p,

struct

bpf_program

*

fp,

char

*

str,int

optimize,bpf_u_int32

netmask

);

該函數(shù)用于解析過濾規(guī)則串，填寫bpf_program結構。str指向過濾規(guī)則串。

6）int

pcap_setfilter(

pcap_t

*

p,structbpf_program*fp);

該函數(shù)用于設置pcap_compile()解析完畢的過濾規(guī)則，完全可以自己提供過濾規(guī)則，無須pcap_compile()介入

7)intpcap_dispatch(pcap_t

*p,int

cnt,pcap_handlercallback,u_char*user);

捕捉報文以及分發(fā)報文到預先指定好的處理函數(shù)(回調函數(shù))。8)int

pcap_loop(pcap_t

*p,intcnt,pcap_handlercallback,u_char*user)；大多數(shù)Windows網絡應用程序是通過WinsockAPI(Windowssocket)這樣的高級編程接口來訪問網絡的。3.4網絡嗅探的檢測與防范高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材網絡嗅探的檢測方法主要有：(1)被動定位ARP攻擊源。(2)觀測被檢測主機的響應時間。針對網絡嗅探，我們可以采用以下防御方法:(1)雙向綁定IP-MAC地址。(2)設置靜態(tài)MAC-IP表。(3)加密所需傳輸?shù)拿舾行畔ⅰ?.5wireshark的安裝及使用(1)wireshark的安裝：a)下載安裝WinPcap，下載地址：b)下載安裝wireshark，下載地址：/download.htmlc)使用wireshark高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材(2)Capture選項

要想捕獲到需要的數(shù)據包，首先要從Capture(捕獲)菜單中選擇“CaptureOptions”（捕獲選項）,并用CaptureOptions對話框來指定捕獲的條件。(3)開始抓包在上圖窗口中，點擊按鈕Start，Ethereal就開始抓包，彈出窗口如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材(4)查看數(shù)據包點擊“stop”按鈕，停止捕獲后，會彈出下面的窗體，顯示了剛才捕獲到的包，如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材(5)過濾數(shù)據包

該過濾工具欄可以根據協(xié)議、預設字段、字段值等類型選擇感興趣數(shù)據包展示，比如，我們只看嗅探到的TCP報文，則在框內輸入tcp回車，過濾后的展示如圖所示：高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材實驗任務一：捕獲ping命令打開命令提示符窗口，使用ping命令對百度首頁發(fā)送ICMP包，使用winshark軟件對其進行抓取，示例結果如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材實驗任務二：捕獲明文口令（1）先打開winshark進行對HTTP過濾填寫，開始抓包；（2）打開某大學圖書館，并輸入用戶名、密碼進行登陸；（3）結束抓包，示例結果如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網絡與信息安全工程技術人才培養(yǎng)系列教材實驗任務三：分析HTTP三次握手協(xié)議TCP三次握手的過程第一次握手：建立連接時，客戶端發(fā)送syn包（syn=j）到服務器，并進入SYN_SENT狀態(tài)，等待服務器確認；SYN：同步序列編號（SynchronizeSequenceNumbers）。第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即