《网络攻防原理 教学课件 ppt 作者 吴礼发PPT9-12第12讲-网络监听技术》由会员分享,可在线阅读,更多相关《网络攻防原理 教学课件 ppt 作者 吴礼发PPT9-12第12讲-网络监听技术(40页珍藏版)》请在金锄头文库上搜索。
1、第十二讲 网络监听技术,吴礼发,洪征,李华波 ( ),2,知识回顾,如何攻陷控制一台主机? 网络侦察 网络扫描 口令攻击 缓冲区溢出攻击 木马,控制一台主机后如何把战果扩大到该局域网?,3,内容提要,网络监听概述,1,4,网络监听,网络监听( Network Listening):是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing )。 网络监听一般采用嗅探器(Sniffer)工具来实施,可以监视网络的状态、数据流动情况以及网络上传输的信息: 协助网络管理员监测网络传输数据,排除网络故障; 被黑客利用来截获网络上的敏感信息,给网络安全带来极大危害
2、。,5,网络监听案例,网络监听在安全领域引起普遍注意是在1994年。在该年2月,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,对美国骨干互联网和军方网窃取了超过10万个有效的用户名和口令。 该事件是互联网上最早期的大规模网络监听事件,使网络监听从“地下”走向了公开,并迅速地在大众中普及开来。,6,黑客用网络监听能干什么?,嗅探敏感的帐号信息 Telnet会话的用户名和密码; HTTP应用程序的用户名和密码; FTP口令; 电子邮件消息 截获网络上传输的文件 分析协议信息,7,网络监听环境,LAN,Internet,内网,外网,主机A,主机B,主机C,路由器R,黑客,监听点,8,
3、内容提要,9,计算机之间的数据发送,5,4,3,2,1,5,4,3,2,1,物 理 传 输 媒 体,计算机1,计算机2,AP2,AP1,数据,应用进程 AP1 向应用进程 AP2 发送数据,数据 5,应用进程将数据传给应用层,加上应用层的首部后 传给运输层,数据 4,变成运输层的数据,H4,加上运输层的首部后 传给网络层,数据 3,变成网络层的数据,H3,加上网络层的首部后 传给数据链路层,数据 2,变成数据链路层的数据,H2,T2,加上数据链路层的首部和尾部后 传给物理层,101001100010110110,变成物理层的比特流 送到物理传输媒体中传输,10,计算机之间的数据发送,5,4,3
4、,2,1,5,4,3,2,1,物 理 传 输 媒 体,计算机1,计算机2,AP2,AP1,011011010001100101,11,计算机之间的数据发送,5,4,3,2,1,5,4,3,2,1,物 理 传 输 媒 体,计算机1,计算机2,AP2,AP1,101001100010110110,物理层收到的比特流 上交给数据链路层,数据链路层剥去首部和尾部后 将数据部分上交给网络层,数据 2,H2,T2,数据 3,H3,网络层剥去首部后 将数据部分上交给运输层,数据 4,H4,运输层剥去首部后 将数据部分上交给应用层,应用层剥去首部后 将数据部分上交给应用进程,数据 5,H5,数据,12,以太网
5、的广播方式发送,B向 D 发送数据,C,D,A,E,不接受,不接受,不接受,接受,B,只有 D 接受 B 发送的数据,网卡是否工作在混杂模式?,广播特性的总线实现了一对一的通信,13,网卡工作方式,单播(Unicast):网卡在工作时接收目的地址是本机硬件地址的数据帧; 广播(Broadcast):接收所有类型为广播报文的数据帧; 多播(Multicast):接收特定的组播报; 混杂模式(Promiscuous):是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式。,14,共享网络监听的原理,广播特性的总线:主机发送的物理信号能被物理连接在一起的所有主机接收到。 网卡处于混杂模式:接收
6、所有的数据帧。,15,交换机的工作方式,端口管理,端口1,端口2,缓存,交换机,CAM,存储转发实现了无碰撞地传输数据,Content Addressable Memory,内容可寻址存储器,16,(一)交换网络监听:交换机+集线器,交换机,内网,外网,A:10.10.10.1,B:10.10.10.2,C:10.10.10.3,路由器R 10.10.10.8,17,(二)交换网络监听:端口镜像,端口镜像(Port Mirroring):是把交换机一个或多个端口的数据镜像到某个端口的方法。,管理员为了部署网络分析仪等设备,通过配置交换机端口镜像功能来实现对网络的监听。,18,(三)交换网络监听
7、:MAC洪泛,攻击思路: 在局域网中发送带有欺骗性MAC地址源的数据; CAM表中将会填充伪造的MAC地址记录,随着记录增多,与CAM表相关的交换机内存将被耗尽,这时交换机以类似于集线器的模式工作,向其它所有的物理端口转发数据。,19,交换网络监听:MAC洪泛,为什么MAC洪泛攻击会成功?难道交换机不能根据自己的端口数来固定CAM表的长度吗?,20,(三)交换网络监听:MAC洪泛,问题: 网络速度明显降低; 目前许多交换机具有MAC洪泛免疫功能。,21,步骤1:攻击者向主机A和B发送ARP欺骗报文,(四)交换网络监听:ARP欺骗,交换机,内网,外网,A:10.10.10.1,B:10.10.1
8、0.2,C:10.10.10.3,路由器R: 10.10.10.8,10.10.10.1 11:22:33:44:55:AA,10.10.10.1 11:22:33:44:55:CC,10.10.10.2 11:22:33:44:55:BB,10.10.10.2 11:22:33:44:55:CC,22,(四)交换网络监听:ARP欺骗,交换机,内网,外网,A:10.10.10.1,B:10.10.10.2,C:10.10.10.3,路由器R: 10.10.10.8,步骤2:攻击者从网络接口上嗅探受害主机发过来的数据帧,23,(四)交换网络监听:ARP欺骗,交换机,内网,外网,A:10.10.1
9、0.1,B:10.10.10.2,C:10.10.10.3,路由器R: 10.10.10.8,步骤3:攻击者将嗅探到的数据发送回原本应该接收的主机,24,(四)交换网络监听:ARP欺骗,需要监听的通信双方主机不在一个局域网内? 需要监听主机与外界网络之间的通信?,25,(四)交换网络监听:ARP欺骗,交换机,内网,外网,A:10.10.10.1,B:10.10.10.2,C:10.10.10.3,路由器R: 10.10.10.8,路由器或网关是内网与外网之间报文转发的必经节点,26,(五)交换网络监听:端口盗用,交换机,内网,外网,A:10.10.10.1,B:10.10.10.2,C:10.
10、10.10.3,路由器R: 10.10.10.8,步骤1:发送伪造以太网帧:源MAC为受害者的MAC;目的MAC为攻击者的MAC。,1,2,3,4,11:22:33:44:55:AA 1,11:22:33:44:55:AA 3,27,(五)交换网络监听:端口盗用,交换机,内网,外网,A:10.10.10.1,B:10.10.10.2,C:10.10.10.3,路由器R: 10.10.10.8,步骤2:受害主机将数据帧发送给攻击者,攻击者从网络接口嗅探数据。,1,2,3,4,问题:攻击者怎么把嗅探数据发还给受害主机?,步骤3:攻击者将数据缓存,让网络正常后,再将数据转交。然后再开始新一轮的攻击。
11、,28,交换网络监听小结,网络管理员 交换机+集线器 端口镜像 黑客 MAC洪泛 ARP欺骗 端口盗用,29,还有哪些需要研究的问题?,30,内容提要,31,Sniffer软件,Libpcap/Winpcap:Libpcap是Packet Capture Library(数据包捕获函数库)的缩写与重组。它不是一个Sniffer,但是它提供的C语言函数接口可用于对经过网络接口数据包的捕获,以支持Sniffer产品的开发。Winpcap是Libpcap的Win32版本。 Sniffer Pro:NAI公司开发的一种图形界面嗅探器。它功能强大,能全面监视所有网络信息流量,识别和解决网络问题,是目前唯
12、一能够为七层OSI网络模型提供全面性能管理的工具。,32,Sniffer软件,TamoSoft CommView:CommView系列是Windows下比较优秀的商业Sniffer产品,功能大致上和其他一些Sniffer差不多,另外,结合CommView Remote Agent可以实现远程嗅探。 Ethereal:是全球最流行的网络协议分析器, 功能强大而且支持平台最多的一款Sniffer (支持以下平台:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX等), 属于开源项目. 支持分析的协议有512种之多。,
13、33,Sniffer软件,Cain:Cain是一套Windows平台下强大的密码截获与破解工具,它支持共享环境和交换环境下进行截获,破解屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码、SQL Server 7.0/2000口令解码、Remote Desktop口令解码、Access Database口令解码、Cisco PIX Firewall口令解码、Cisco MD5解码、远程桌面口令解码等综合工具,还可以远程破解,可以挂字典以及暴力破解,其嗅探功能极其强大,几乎可以明文捕获一切帐号口令,包括FTP
14、、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSN、ICQ等。,34,内容提要,35,如何发现Sniffer,通过下面的方法可以分析出网络上是否存在Sniffer: 构造特殊的报文,根据目标主机的反映判断其网卡是否处于混杂模式。 往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(ICMP echo delay等方法)加以判断。,36,如何发现Sniffer,使用Anti-Sniffer、promisc、cmp等工具,发现大型网络上的Sniffer 。 测试网络接口有无被设置成混杂模式,因为虽然在非混杂
15、模式下可以运行Sniffer,但只有在混杂模式下才可以捕获共享网络中的所有会话。对于SunOS、Linux和BSD Unix可以采用命令: ifconfig -a,37,Sniffer的防范,规划网络: 一般将网络分段划分得越细,Sniffer收集到的信息越少。 采用加密通信: 加密后,即使Sniffer捕获了数据,也难于获得数据的原文。目前比较流行的做法是使用SSL协议和SSH(下载地址为http:/)安全产品。,38,Sniffer的防范,要想防止对WLAN的监听攻击,可以启用一些安全策略,考虑采用无线VPN产品增强认证和加密功能。 对于主动监听工具,简单地采用交换机来防止监听已经不够了。要防止ARP缓存改写,必须对敏感网络中所有主机的ARP缓存表进行硬编码,这些主机包括在线网站、DNS和Mail服务器、防火墙和DMZ路由器等。另外还应该用Ipsec、VPN和其它的加密技术来保护敏感信息。,39,小结,40,思考题,12-1 写出使用ARP欺骗的方法监听局域网与外网之间通信的步骤 12-2 对交换机使用MAC洪泛攻击,为什么会使得交换机以类似于集线器的模式工作,向所有端口转发数据? 12-3 你认为使用端口盗用的方法对交换网络实施监听,最需要克服的技术难题是什么?,
