第3章 网络嗅探
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.1 嗅探器概述
MAC地址
48bit 固化在网卡EPROM中的,且应该保证在全
网是唯一的
IEEE注册委员会为每一个生产厂商分配物理地 址的前三字节,即公司标识
后面三字节由厂商自行分配,即一个厂商获得 一个前三字节的地址可以生产的网卡数量是 16777216块
3.1 嗅探器概述
正常模式
如前所述,网络硬件和TCP/IP堆栈不支持接收或者发送与本 地计算机无关的数据包。所以,为了绕过标准的TCP/IP堆栈, 网卡就必须设置为混杂模式。
一般情况下,要激活这种方式,内核必须需要root权限来运 行这种程序,所以sniffer需要root身份安装,如果只是以本 地用户的身份进入了系统,那么不可能嗅探到root的密码。
该设备把一个端口接收到收的数到据该信报数号,据向其包余所的有主其机也它都端能口够 分发出去。
Hub连接形成LAN
3.1 嗅探器概述
交换式局域网
典型设备是交换机(Switch) 该设备引入了交换的概念,是对共享式的一个
升级,能够通过检查数据包中的目标物理地址 来选择目标端口,从而将数据只转发到与该目 标端口相连的主机或设备中。 上页描述的网络,如转发设备都采用Switch, 那么只有主机E会正常收到主机A发送的数据, 而其余的主机都不能接收到。
3.1 嗅探器概述
共享式局域网存在的主要问题是每个用户的实际可用带宽随网络 用户数的增加而递减。这是因为所有的用户都通过一条共同的通 道讲话,如果两个用户同时说话必然会造成相互的干扰,数据产 生碰撞而出错。
而在交换式局域网中,交换机供给每个用户专用的信息通道,除 非两个源端口企图将信息同时发往同一目的端口,否则各个源端 口与各自的目的端口之间可同时进行通信而不发生冲突。
后者的目的就是为了破环信息安全中的保密性,即 越是不想让我知道的内容我就一定要知道。
计算机直接传送的数据,事实上是大量的二进制数据。那么,嗅探器 是怎样能够听到在网络线路上边传送的二进制数据信号呢?可不可以 在一台普通的PC机上边就可以很好的运作起来完成嗅探任务呢?
3.1 嗅探器概述
嗅探器必须也使用特定的网络协议来分 析嗅探到的数据,也就是说嗅探器必须 能够识别出哪个协议对应于这个数据片 断,只有这样才能够进行正确的解码。
目前,绝大多数的网卡都可以被设置成混杂的工作方式 sniffer是极其安静的,它是一种被动的安全攻击。
3.2 交换式网络上的嗅探
交换式网络中,理论上只有目的主机能够收到 该数据包,无关的主机是收不到的,无法进行 传统的嗅探
如果采用一些专用的手段,在交换式网络环境 下实现嗅探也是可能的
ARP欺骗 交换机MAC地址表溢出 MAC地址伪造 ICMP重定向攻击
第三章 网络嗅探
3.1 嗅探器概述
嗅探器(Sniffer)是一种在网络上常用的收集有用信 息的软件,可以用来监视网络的状态、数据流动情况 以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网 络嗅探的方式来进行攻击,分析出用户敏感的数据, 例如用户的账号、密码,或者是一些商用机密数据等。
我们经常使用的FTP、Telent、SMTP、POP协议等都 采用明文来传输数据。
嗅探器攻击也是在网络环境中非常普遍的攻击类型之 一。
3.1 嗅探器概述
嗅探器的定义
Sniffer是利用计算机的网络接口截获目的地为其他 计算机的数据报文的一种工具。
一部电话上的窃听装置, 可以用来窃听双方通话的 内容,而嗅探器则可以窃听计算机程序在网络上发 送和接收到的数据。
当网卡处于源自文库常的工作模式时,主机A收到一帧数据后,网卡 会直接将自己的地址与接收帧目的地址比较,以决定是否接 收。
如果匹配成功接收,网卡通过CPU产生一个硬件中断,该中断 能引起操作系统注意,然后将帧中所包含的数据传送给系统 进一步处理;如果匹配不成功则抛弃。也就是说,即使是共 享式的网络,虽然所有网络上的主机都能够“听到”全部通 过的流量,但如果不是发给本机的数据,我会主动的抛弃, 而不会响应。
软件的嗅探器: NetXray、Packetboy、Net monitor等,
优点是物美价廉,易于学习使用,同时也易于交 流
缺点是无法抓取网络上所有的传输,某些情况下 也就无法真正了解网络的故障和运行情况
硬件的Sniffer通常称为协议分析仪
一般都是商业性的,价格也比较贵
目前主要使用的嗅探器是软件的。
就是利用这个原理,可以保证在局域网范围内可以有序的接 收和发送数据。
通常,一个合法的网络接口应该可以响应两种数据帧
帧的目标物理地址和本地网卡相同 帧的目标区域为广播地址(48bit全部为1,即FF- FF- FF- FF- FF-
FF)。
3.1 嗅探器概述
混杂模式
Sniffer通过将网卡的工作模式由正常改变为混杂 (promiscuous),就可以对所有听到的数据帧都产生一个 硬件中断以提交给主机进行处理。
3.2 交换式网络上的嗅探
ARP欺骗
ARP是一种将IP地址转化成物理MAC地址的协议, 通过查找ARP缓存表来实现转化
计算机中维护着一个ARP高速缓存,并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到 ARP响应而不断的更新
在每张ARP高速缓存表中,都包含了所在局域网上 的各主机和路由器的IP地址到硬件地址的映射,这 些都是该主机目前知道的一些地址
其次,嗅探器能够捕获的通信数据量与 网络以及网络设备的工作方式是密切相 关的。
3.1 嗅探器概述
局域网介质访问控制经方过法3个Hub串联形成的局域网, 当主机A需要与主机E通信时,A
共享式局域网
所发送的数据报通过Hub的时候
就会向所有与之相连的端口转发。
共享式局域网的典型设在备一般是情集况线下,器不(仅H主u机bE)可以收
对于两种结构的网络,前者相对来说易于窃听,而后者需要用更 为复杂的技术才能实现。
嗅探器只能抓取一个物理网段内的包,就是说,你和监听的目标 中间不能有路由或其他屏蔽广播包的设备。因此,对一般拨号上 网的用户来说,是不可能利用嗅探器来窃听到其他人的通信内容 的。
3.1 嗅探器概述
嗅探器分为软件和硬件两种