网络嗅探原理

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一,引言

目的:了解黑客惯用的各种网络嗅探技术及其对网络安全的威胁,针对不同嗅探方法采用相应的防范对策。

要求:应具备以下知识:

网络嗅探原理。

了解流行网络协议的数据封装格式。

内容:通过理解黑客惯用的网络嗅探技术以及对于WiresharkPortable等sniff工具的使用,分析黑客的主要攻击手段,并学会配置测试计算机采用IPSec加密,预防网络嗅探,从而达到保护自我的目的.

主要任务:

1、描述模拟黑客嗅探所在网络中的传输流量,捕获帐号、密码等敏感信息,对加密的密码进行破解攻击。

2、使用WiresharkPortable等网络工具进行嗅探。

3、使用网络数据包嗅探专家、dsniff等黑客工具进行密码嗅探和破解。

4、配置测试计算机采用IPSec加密,重复上述嗅探过程,观察结果。

二,仪器设备和材料

1、每组4台PC划做一个VLAN。

2、4台PC,A号PC机用于黑客攻击,B,C,D分别用于Windows文件服务器、Web服务器、FTP服务器等模拟。

三,黑客攻击主要手段分析

黑客除了利用漏洞扫描技术进行踩点外,还可以在条件满足的情况下,对目标主机所在网络进行嗅探,并对嗅探到的信息进行分析,从中获得所需的敏感信息,如密码等。

网络嗅探工具通常用来进行协议分析和网络监控,以便于进行故障诊断、性能分析和安全分析等,黑客则用之进行安全敏感信息的监听和截取。

其实,网络嗅探的原理很简单,他是一种数据链路层的技术,利用的是共享式网络传输介质.共享即意味着网络中的一台机器可以嗅探到传递给本网段中所有机器的报文.网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将他收到的所有报文都传递给操作系统处理.这种特殊的工作模式,就称之为混杂模式.网络嗅探器通过将网卡设置为混杂模式,并利用数据链路访问技术来实现对网络的嗅探.实现了对数据链路层的访问,我们就可以把嗅探能力扩展到任意类型的数据链路帧,而不光是IP数据报.

四,安装、使用WiresharkPortable等网络工具进行嗅探

安装、使用WiresharkPortable嗅探自己登录网络、电子邮箱等通信过程。观察所捕获的数据,从中检查敏感的数据。

操作步骤:在A号PC机上安装Wireshark并运行,然后,让B号PC机以普通用户身份访问任意服务器.此时,A号PC机进入Wireshark之后选择要进行嗅探的网卡连接,点击“Start”开始嗅探.让嗅探进行一段时间,之后,点击“Stop”停止嗅探,可以看到一个完整的DNS查询过程。起内容包括:捕获信息编号(No.),捕获信息时间(Time),源IP地址(Source),目标IP地址(Destation),协议名称(Protecal),信息内容(Info).

点击其中为A号PC机ip地址的信息条目,则会在下方的栏目内显示该条目的具体16进制的信息.试分析器内容

五,安装、使用网络数据包嗅探专家、dsniff 、Cain 等黑客工具进行密码嗅探和破解。

安装、使用网络数据包嗅探专家、dsniff 、Cain 等黑客工具Cain & Abel 是一个可以破解屏保、PWL 密码、共享密码、缓存口令、远程共享口令等诸多密码的黑客工具.

其中,Cain&Abel 是两个程序,Cain 是图形界面主程序,Abel 是后台服务程序,由两个文件组成:Abel.exe 和Abel.dll

程序配置:Cain&Abel 需要配置一些参数,可从主界面中的配置对话框中完成

Sniffer 嗅探表,配置Cain 或APR 选择网卡及启动参数等

APR 欺骗表,Cain 使用多线程每30秒向主机发送ARP 欺骗包,这是必须的.因为远程主机会定期整理ARP 缓存.当间隔设置太短时会产生大量的ARP 网络流量,而设置太长时又起不到欺骗劫持的效果.

Cain 的功能:

网路调查员:用来鉴别域控制器,SQL Server,打印服务,远程访问拨入服务,Novell Servers,Apple 文件服务,中断服务器等,设置能鉴别其操作系统版本.

口令破解:cain 支持多数通用的哈希算法以及基于它们的加密算法.

暴力口令破解:暴力破解就是尝试所有可能的键组合来解密,是否可行一般与口令长度以及计算机的性能有关.Cain 的暴力破解器使用预定义或自定义字符集的所有可能组合来测试加密的口令.所有可能的组合空间可用以下公式来计算:)(......)2()1()(M L m L m L m L KS ∧+++∧++∧+∧=其中:L=字符集字符个数,m=最小口令长度,M=最大口令长度

字典口令破解:字典破解是以字典中的每一个可能的词作为可能的口令尝试,这种方法肯能比暴力破解更有效因为用户一般选择口令范围很小。

密码分析:使用时空交换快速密码分析方法,次破解技术使用名为缤纷表,此表由一组大型的预计算好的加密口令表组成。其可以由程序“rtgen.exe ”或“winrtgen.exe ”产生。

WEP 破解

WEP 破解依赖于某些RC4算法的缺陷,通过捕获足够数量的WEP 包,能快速破解64为~128位密钥

口令解码:其中包括Access 数据库口令解码,Base64口令解码,星号查看,Cisco Type-7Password Decoder ,认证管理器和口令解码,拨号口令解码,企业管理器口令解码等

Cain 的嗅探器功能:

APR 欺骗:这是cain 的最主要特色,能实现交换式网络中的嗅探,并对主机间通信进行注入。APR 实现ARP 欺骗攻击并路由到正确目的地。

DNS 欺骗:ARP-NDS 欺骗只是简单改写DNS 应答包中的IP 地址,Cain 嗅探器提取NDS 请求包中的域名,并从欺骗列表中查找相应的地址,若有匹配的,数据包就被重写为相关欺骗的IP 地址,并用APR 欺骗引擎重路由之,这样客户端就受到了被欺骗的DNS 应答包从而有效的重定向到了预定目标IP 。

相关文档
最新文档