《网络嗅探原理与分析要点》由会员分享,可在线阅读,更多相关《网络嗅探原理与分析要点(35页珍藏版)》请在金锄头文库上搜索。
1、实验一:网络嗅探与检测原理实验,实验目的 &内容,掌握网络嗅探原理,共享式网络与交换式网络嗅探区别 了解几种常见的嗅探软件特点。 掌握wireshark 软件 安装、配置以及 嗅探操作方法 掌握ARP 欺骗 原理与方法 为设计性实验:自主设计检测网络嗅探软件提供重要的理论和实验基础。,网络嗅探概念,网络嗅探是指:利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术 网络嗅探工作在网络的底层,把网络传输的全部数据记录下来.,为何要嗅探,网络管理员:分析网络情况,监测网络流量 攻击者:监听网络数据,嗅探用户敏感信息。,网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用
2、ipconfig/ifconfig可以查看MAC地址 正常情况下,网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧(单播包) 广播包(Broadcast)和属于自己的组播包(Multicast),2019/5/7,5,以太网卡的工作方式,网卡完成收发数据包的工作,两种接收模式 混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来 非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包,2019/5/7,6,以太网卡的工作方式,共享式网络 通过网络的所有数据包发往每一个主机; 最常见的是通过HUB连接起来的子网; 交换式网络 通过交换机连接网络; 由交换机构造一个
3、“MAC地址-端口”映射表; 发送包的时候,只发到特定的端口上; 交换机的镜像端口功能,2019/5/7,7,共享网络和交换网络,2019/5/7,8,共享网络和交换网络,A,B,C,D,to C,镜像端口,共享式网络嗅探,共享式网络中的嗅探 合法的网络接口可以响应两种数据帧,交换式网络嗅探,ARP欺骗 交换机MAC地址表溢出 MAC地址伪造,交换环境的网络使用交换机(Switch)连接各个网络节点 。 交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到所有端口了, 这种做法一方面大大提高了网络的性能, 另一方面也提高了安全性。 在交换环境下, 即使网卡
4、设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机。,交换式网络嗅探,ARP 欺骗(ARP Spoofing), 通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的, 这样发送到被嗅探的主机的数据报完全转发到嗅探主机来, 而被嗅探主机收不到任何的数据包, 为了使得能够正常的截获数据报, 嗅探主机除了充当嗅探的身份之外, 还要充当中间人的身份 。,交换式网络嗅探,常见的网络嗅探工具,TcpDump Libcap (winpcap) Wireshark (etherenal) Sniffer pro,TcpDump,Linux中强大的网络
5、数据采集分析工具 tcpdump,就是:dump the traffice on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息,TcpDump,TcpDump 主要是通过命令行操作,无GUI界面 启动tcpdump: bash-2.02# tcpdump 监视指定网络接口的数据包: tc
6、pdump -i eth1 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包: tcpdump ip host 210.27.48.1 and ! 210.27.48.2,什么是 Winpcap,网络数据包捕获库函数 直接访问网络,免费、公用 工作于驱动层,网络操作高效 为应用程序提供了一组API接口,编程容易,源码级移植方便,WinPcap主要功能,捕获原始数据包 将数据包发送给应用程序之前,按照用户规定的规范过滤数据包 将捕获到的数据包输出到文件中,并可以对这些文件进行再分析 向网络发送原始数据包 搜集网络传输统计数据,哪些应用适合使用 WinPcap
7、,网络和协议分析network and protocol analyzers 网络监控network monitors 流量记录traffic loggers 流量产生traffic generators 用户级网桥和路由器user-level bridges and routers 网络入侵检测network intrusion detection systems (NIDS) 网络扫描network scanners 安全工具security tools,WinPcap包括三个部分 第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤
8、数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码 第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译 第三个模块 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。,19,WinPcap,2019/5/7,20,WinPcap和NPF,NDIS(Network Driver Interface Specification)描述了网络驱动与
9、底层网卡之间的接口规范,以及它与上层协议之间的规范,Wireshark,Wireshark 是一款非常棒的Unix和Windows上的开源网络协议分析器。 它可以实时检测网络通讯数据,可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,并且分析数据。 软件前身的名字是Ethereal; 最新的版本是0.99.5; 自带Wipcap,Wireshark,Wireshark的使用,实时捕获数据包 使用按钮”Capture Options”开始捕获取 对话框,选择正确的NIC进行捕获;,Sniffer pro,Sniffer Pro是美国Network Associates公司出品的
10、一种网络分析软件,可用于网络故障与性能管理。 主要功能包括: 实时监控网络活动 收集网络流量 统计网络利用率和错误率等有关网络运行状态的数据、捕获接入冲突域中流经的所有数据包,以便进行详细分析 可利用专家分析系统诊断网络中存在的问题等。,Sniffer pro,交换式网络中的嗅探:ARP欺骗,什么是ARP Address Resolution Protocol即地址解析协议。 ARP的作用 IP数据包不能直接在实际网络中传输。 IP地址在物理网络中对目标机器的寻址,必须转换为物理地址,即MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行
11、。,ARP Cache 在安装了以太网网络适配器(既网卡)或TCP/IP协议的计算机中,都有ARP Cache用来保存IP地址以及经解析的MAC地址,如下图所示。,交换式网络中的嗅探:ARP欺骗,ARP简介,ARP工作原理(以A向C发送数据为例) 1.A检查自己的ARP Cache,是否有B的信息; 2.若没找到,发送ARP广播请求,附带自身信息; 3.C将A得信息加入自己的ARP Cache; 4.C回应A一个ARP信息; 5.A将C得信息加入 自己的ARP Cache; 6.A使用ARP Cache 中的信息向C发消息。,返回目录,ARP欺骗,ARP的缺陷 ARP建立在信任局域网内所有结点
12、的基础上。 优点是高效,但不安全。 无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。 只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存。 这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。,ARP欺骗,典型ARP欺骗类型之一 欺骗主机作为“中间人”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。 假设一网络环境中有三台主机分别为A、B、C A- IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA B- IP:192.168.10.2 MAC:BB-B
13、B-BB-BB-BB-BB C- IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CC B给A应答IP是192.168.10.3 MAC是BB-BB-BB-BB-BB-BB B给C应答IP是192.168.10.1 MAC是AA-AA-AA-AA-AA-AA B对A伪装成C,对C伪装成A,A和C都被欺骗了!,ARP欺骗,典型ARP欺骗类型之二 截获网关数据,欺骗路由器的ARP表。 它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。,AR
14、P欺骗,典型ARP欺骗类型之三 伪造网关,欺骗内网计算机,造成断网。 建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。,ARP攻击,ARP攻击主要是指ARP欺骗 ARP攻击也包括ARP扫描(或称请求风暴) 即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。 ARP扫描一般为ARP攻击的前奏。 ARP攻击主要是存在于局域网中 ARP攻击一般通过木马感染计算机,ARP攻击,ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。 受到ARP攻击的计算机一般会出现的现象: 不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 计算机不能正常上网,出现网络中断的症状。,返回目录,嗅探器的检测,ARP广播地址探测 在混杂模式时,网卡检测是不是广播地址只看收到包的目的以太网址的第一个八位组值,是0xff则认为是广播地址 如果某台主机以自己的MAC地址回应,则该主机运行在混杂模式 Ping方法 构造一个ping包给目的主机,其中包含正确的IP地址和错误的MAC地址 如果该主机回应,则运行在混杂模式,
