《网络攻击的高级话题》由会员分享,可在线阅读,更多相关《网络攻击的高级话题(27页珍藏版)》请在金锄头文库上搜索。
1、第7章 嗅探,网络中的窃听技术,何路 http:/dc-security.org,主要内容,嗅探技术概述 嗅探的原理与实现 嗅探的检测与防范,嗅探,窃听是间谍获取情报的一种重要手段 嗅探(Sniff)技术是网络中的窃听 嗅探程序(Sniffer)截获网络中传输的数据,并从中解析出其中的机密信息,口令嗅探,主机A:您的主机,FTP服务器,Username:student Password:htjtyd%32,如果主机B处于主机A和FTP通信的信道上,就可以“窃听到”合法的用户名及口令。,攻击者进行嗅探的目的,窃取各种用户名和口令 窃取机密的信息 如电子邮件正文及附件、网络打印的文档等 窥探底层
2、的协议信息 如DNS的IP地址、本机IP地址、本机MAC地址,远程主机的IP地址、网关的IP地址、一次TCP连接的Sequence Numbe 中间人攻击时篡改数据的基础,嗅探的正当用途,解释网络上传输的数据包的含义 为网络诊断提供参考 为网络性能分析提供参考,发现网络瓶颈 发现网络入侵迹象,为入侵检测提供参考 将网络事件记入日志,讨论范围限定,802.3以太网 使用广播信道的网络,在以太网中所有通信都是广播的 目前的以太网分为共享式以太网和交换式以太网 共享式以太网使用同轴电缆或HUB连接 交换式以太网使用交换机连接,共享式以太网包转发,数据到达主机时的格式,在以太网中传输的数据包,其包格式
3、为:,应用层数据,TCP包头,IP包头,MAC帧头,应用层,传输层,网络层,数据链路层,应用程序,操作系统,网络接口,数据发送,应用层,传输层,网络层,主机网络层,应用程序,操作系统,操作系统,网络设备,应用数据,数据接收,应用层,传输层,网络层,主机网络层,应用程序,操作系统,操作系统,网络设备,应用数据,主机接收数据,以太网卡首先从网络中接收数据,并在处理完成数据链路层的任务后向操作系统的传递。,以太网卡的工作原理,网卡接收到传输来的数据,网卡内的单片程序检查数据帧的目的MAC地址,根据网卡驱动程序设置的接收模式决定是否接收 若不应接收就直接丢弃 否则通过中断的方式通知操作系统 操作系统根
4、据驱动设置的中断程序地址调用驱动程序接收数据 驱动程序将数据放入堆栈让操作系统处理。,以太网卡的侦听模式,侦听模式是网络适配器分析传入帧的目标MAC地址,以决定是否进一步处理它们的方式。 单播模式:接收单播和广播数据帧 组播模式:接收单播、广播和组播数据帧 混杂模式:接收所有数据帧,单播模式,单播模式下,网卡只让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过,而过滤掉其它的帧。,混杂模式,混杂(promiscuous)模式下工作的网卡能够接收到一切通过它的数据,而不进行数据的目的地址检查,即不再进行硬件过滤。,嗅探程序设计,从程序设计角度,Sniffer程序至少包括三个模块:
5、 网络数据驱动:捕获数据包 协议还原:分析数据包 缓冲区管理:管理缓冲区,Windows环境下的包捕获,使用WinSock编程接口 创建原始套接字,并使用WSAIoctl()函数将套接字设置为接收所有数据。 使用Winpcap Npf.sys:设备驱动,捕获和发送原始数据包 Packet.dll :使用Npf.sys包捕获和发送能力的应用程序编程接口 Wpcap.dll :与Libpcap相兼容的更高层次抽象 http:/winpcap.polito.it/,嗅探器,Windows Sniffer_pro Netxray Unix Sniffit Snort Tcpdump,广域环境的嗅探,理
6、论上,广域环境下的嗅探并不可行 在实践中,可以在远程传输中的端点或是必经中间节点进行嗅探,主机B,主机A,服务器,交换式以太网,交换式以太网是使用交换机组建的局域网 交换机使用端口和MAC地址对应表进行数据转发,根据数据包的目的MAC地址,选定目标端口,共享式以太网包转发,发送到C,交换式以太网包转发,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,交换式以太网的嗅探,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,X,X,嗅探的防范,广播信道 使用网络分段 用交换机代替HUB 明文传输 数据加密,嗅探的检查,嗅探器检查比较困难 商业嗅探器向外发送的数据包 向主机发送可以触发操作系统作出响应,同时又不能通过硬件过滤的数据包,就可以检测主机网络接口的接收模式。实践中,这种数据包的应有特殊的目的MAC地址。,小结,嗅探器是一种基本的攻击方法。本章对嗅探器的原理和实现做了简单介绍。 在嗅探攻击的基础上,攻击者可以实现中间人攻击、拒绝服务攻击等更高级的攻击方法。,
