网络监听

Y(Cc-cc-cc- Cc-cc-cc)计算机的缓存 10.9.31.1 10.9.31.2 aa-aa-aa- aa-aa-aa aa-aa-aa- aa-aa-aa
基于ARP欺骗的监听
实验演示
嗅探的防范
交换环境下的网络嗅探主要是利用ARP缓 存的缺陷。 嗅探防范：静态ARP缓存
小结
X的缓存
X
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
交换机的数据库 端口 1 2 MAC aa-aa-aa- aa-aa-aa bb-bb-bb- bb-bb-bb
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
3
Cc-cc-cc- Cc-cc-cc
基于ARP欺骗的监听
实施欺骗后,X，Y的通信如下:
A
A(aa-aa-aa- aa-aa-aa)
X
X(bb-bb-bb- bb-bb-bb) 10.9.31.2
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
P174
基于交换机的监听
基于端口镜像的网络监听 其具体步骤为: 首先在交换机上开设一个RMON的监听端 口(Port 10)(一般现在的交换机都支持RMON方式)，然后 可以在交换机上指定被监听的端口，如Port l、2、3、4， 那么这些端口收发的数据都会被监听端口所捕获。基于端 口镜像的网络监听方法通过监听一个指定端口，可以达到 从更高层次上对一个网络监听的目的。在3COM交换机用 户手册中，端口监听被称为“漫游分析端口(Roving Analysis)”，网络流量被监听的端口称做“监听口(Monitor Port)”，连接监听设备的端口称做“分析口(Analyzer Port)”。
ARP欺骗
实施欺骗后,它们的arp缓存如下:
A(aa-aa-aa- aa-aa-aa)计算机的缓存 10.9.31.2 10.9.31.3 bb-bb-bb- bb-bb-bb Cc-cc-cc- Cc-cc-cc
X(bb-bb-bb- bb-bb-bb)计算机的缓存 10.9.31.1 10.9.31.3 aa-aa-aa- aa-aa-aa aa-aa-aa- aa-aa-aa
Y(Cc-cc-cc- Cc-cc-cc)计算机的缓存 10.9.31.1 10.9.31.2 aa-aa-aa- aa-aa-aa bb-bb-bb- bb-bb-bb
ARP欺骗
正常情况下,X,Y之间的通信如下:
交换机
2 3 1 A
A(aa-aa-aa- aa-aa-aa)
X(bb-bb-bb- bb-bb-bb) 10.9.31.2
基于HUB的监听
实验演示
基于交换机的监听
在使用交换机的以太网中，利用arp欺骗技 术，欺骗网络上的工作站先把数据包传到 Sniffer所在的网卡，再传给目标工作站。
基于交换机的监听
交换机是工作在数据链路层的。交换机在 工作时维护着一张ARP的数据库表，在这 个库中记录着交换机每个端口所绑定的 MAC地址，当有数据报发送到交换机时， 交换机会将数据报的目的MAC地址与自己 维护的数据库内的端口对照，然后将数据 报发送到“相应的”端口上，交换机转发 的报文是一一对应的。
P173
基于交换机的监听
MAC flooding: 通过在局域网上发送大量随 机的MAC地址，以造成交换机的内存耗尽， 当内存耗尽时，一些交换机便开始向所有 连在它上面的链路发送数据。
P173
基于交换机的监听
基于端口镜像的网络监听 端口镜像(Port Mirror)可以让用户将指 定端口或指定VLAN或所有的流量复制到一 个指定的镜像端口，这样，将监控主机接 入这个镜像端口就可以监听所有的流量。 该功能可以在不干扰用户的情况下监控各 端口的传输情况，全盘掌握网络的状态。
P184
ARP欺骗
正常情况下,它们的arp 缓存如下:
10.9.31.2 10.9.31.3
A(aa-aa-aa- aa-aa-aa)计算机的缓存
bb-bb-bb- bb-bb-bb Cc-cc-cc- Cc-cc-cc
X(bb-bb-bb- bb-bb-bb)计算机的缓存 10.9.31.1 10.9.31.3 aa-aa-aa- aa-aa-aa Cc-cc-cc- Cc-cc-cc
P184
ARP欺骗
网络中有A,X,Y三台计算它们的IP以及MAC地址 如下: A: 10.9.31.1 aa-aa-aa-aa-aa-aa X: 10.9.31.2 bb-bb-bb- bb-bb-bb y:10.9.31.3 cc-cc-cc-cc-cc-cc
A是攻击者,将对x与y之间的通信进行嗅探 A先对X，Y进行ARP欺骗
ARP欺骗的原理 ARP欺骗的防范
P174Βιβλιοθήκη 基于交换机的监听 ARP欺骗: ARP协议的作用是将IP地址映射到 MAC地址，攻击者通过向目标主机发送伪造的 ARP应答包，骗取目标系统更新ARP表，将目标 系统的网关的MAC地址修改为发起攻击的主机 MAC地址，使数据包都经由攻击者的主机。这样， 即使系统连接在交换机上，也不会影响对数据包 的窃取，因此就可轻松地通过交换机来实现网络 监听。
源站
P173
目的站
截获
网络监听的实现方式
基于HUB的监听 基于交换机的监听
基于HUB的监听
在使用集线器的以太网中，数据的传输是基于 “共享”原理的，所有的同一网段范围内的计算 机共同接收同样的数据包。这意味着计算机之间 的通信都是透明的。网卡工作在正常模式时将屏 蔽掉和自己无关的网络信息。事实上是忽略掉了 与自身MAC地址不符合的信息。 嗅探程序则是利用以太网的特点，将设备网卡设 置为“混杂模式” (Promiscuous Mode) ，从而 能够接受到整个以太网内的网络数据信息了。
网络监听
主要内容
1 3
网络监听的基本概念
2
３ 3 4
基于HUB的网络监听
基于ARP欺骗的网络监听
ARP欺骗的防范
网络监听
网络监听,也叫网络嗅探(网络窃听,网络截 获),指截获网络传输的比特流。 网络监听是网络管理员用于网络管理的常 用方法。是黑客常用的方法之一。 “网络监听”虽然不破坏数据，却造成了 通信内容外泄，甚至危及敏感数据的安全。 黑客通过网络监听，可以监视网络的状态、 数据流动情况以及网络上传输的信息。黑 客们用得最多的是截获用户的口令。
P173
基于交换机的监听
对交换机而言，仅有两种情况会以广播方式发送: 一是数据报的目的MAC地址不在交换机维护的数 据库中，此时报文向所有端口转发; 二是报文本身 就是广播报文。因此，基于交换机以太网建立的 局域网并不是真正的广播媒体，交换机限制了被 动监听工具所能截获的数据。 为了实现监听的目的，可以采用MAC f1ooding和 ARP欺骗，端口镜像等方法。