网络嗅探器及网络中的窃听技术

本节主要内容
一、嗅探技术概述 二、嗅探的原理与实现 三、高级话题 四、嗅探的检测与防范
Q：
广域环境下可以嗅探吗？ 交换式网络环境下可以嗅探吗？
广域环境的嗅探
主机B
内部网络
外部网络
主机A
服务器
广域环境下的嗅探必须把远程关系转换 某种形式的本地关系
交换式以太网
交换式以太网是使用交换机组建的局域 网
本节主要内容
一、嗅探技术概述 二、嗅探的原理与实现 三、高级话题 四、嗅探的检测与防范
Q：
嗅探就是截获网络上的数据，那么正常 情形下，主机是如何接收数据的？
数据到达主机时的格式
MAC帧头 IP包头 TCP包头
应用层数据
一个典型的在网络传输的数据包会包括 应用层数据、TCP包头、IP包头、MAC帧 头几个部分，它们实际和TCP/IP协议栈 各个协议层相对应
应用层 传输层 网络层
应用程序 操作系统 操作系统
主机－网络层
网络设备
以太网
802.3以太网是一种使用广播信道的网络， 在以太网中所有通信都是广播的。
主机接收数据的条件
主机是否接收网络上的数据事实上通过 两个“过滤”来决定：一是硬件过滤；一是 软件过滤
硬件过滤
任何一个网络接口都有一个的硬件地址 ，也就是网卡的MAC地址
正常情况下，NIC让与目标MAC地址与自 己MAC地址相匹配的数据帧或者广播数 据帧通过，而过滤掉其它的帧
网卡的模式
广播模式 组播模式 普通模式 混杂模式
混杂模式
混杂（promiscuous）模式下工作的网卡
能够接收到一切通过它的数据，而不管 实际上数据的目的地址是不是他
嗅探器的组成
？lTemaUPddaes%sresr3wn2aomrde
主机B：安装了 “窃听程序” 的主机
Username：leader Password：Tmd%234
只要能够接入数据通信的信道就可以嗅探
攻击者进行嗅探的目的
窃取各种用户名和口令 窃取机密的信息 窥探底层的协议信息
嗅探的其它用途
解释网络上传输的数据包的含义 为网络诊断提供参考 为网络性能分析提供参考，发现网络瓶颈 发现网络入侵迹象，为入侵检测提供参考 将网络事件记入日志
√ FF-FF-FF-FF-FF-FF
√
√
√
√
√
－ FF-FF-FF-FF-FF-FE
√
－
√
－
√
FF-FF-00-00-00-00
－
√
－
√
－
√
FF-00-00-00-00-00
－
√
－
－
－
√
01-00-00-00-00-00
－
－
－
－
－
√
01-00-5E-00-00-00
－
－
－
－
－
√
01-00-5E-00-00-00
交换机使用端口和MAC地址对应表进行 数据转发
交换式以太网的嗅探
让交换设备的端口从桥（Bridge）模式变 为重复（repeat）模式
硬件接入
其它？
本节主要内容
一、嗅探技术概述 二、嗅探的原理与实现 三、高级话题 四、嗅探的检测与防范
嗅探的防范
使用网络分段 用交换机代替HUB 数据加密
－
√
√
√
√
√
演讲完毕，谢谢观看！
网络数据驱动 协议解码 缓冲区管理模块 网络流量实时分析、包的编辑和传输模
块
嗅探器的实现
使用WinSock编程接口
创建原始套接字，并使用WSAIoctl()函数将
套接字设置为接收所有数据。
使用Winpcap
Npf.sys 来自百度文库Packet.dll 、Wpcap.dll http://winpcap.polito.it/
嗅探的检查
嗅探器检查比较困难
商业嗅探器向外发送的数据包
向主机发送可以通过软件过滤，但不能
通过硬件过滤的数据包，比如伪广播地 址和多播地址的数据包，就可以检测主
机网络接口的接收模式
特殊ARP请求
物理地址
Windows9X/ME Win2000/NT4 Linux2.2/2.4
正常 混杂 正常 混杂 正常 混杂
主机系统中的TCP/IP
TCP/IP 模型
应用层 传输层 网络层
主机－网络层
应用程序 操作系统 操作系统
网络设备
数据发送
应用程序 操作系统 操作系统
应用层 传输层 网络层
主机－网络层
网络设备
应用数据 TCP头 应用数据 IP头 TCP头 应用数据
帧头 IP头 TCP头 应用数据
数据接收
应用数据 TCP头 应用数据 IP头 TCP头 应用数据 帧头 IP头 TCP头 应用数据
第二章 网络攻击的高级话题
主要内容
嗅探 假消息攻击
第一节 网络嗅探
—网络中的窃听技术
本节主要内容
一、嗅探技术概述 二、嗅探的原理与实现 三、高级话题 四、嗅探的检测与防范
嗅探
窃听是间谍获取情报的一种重要手段。
嗅探（Sniff）技术就是网络世界中的窃 听。
口令嗅探
主机A： 您的主机
FTP服务器