第三章-网络嗅探课件

1999,Cisco Systems,Inc.9-1第三章第三章第三章第三章网络嗅探网络嗅探网络嗅探网络嗅探黑客攻防技术黑客攻防技术 主要内容主要内容嗅探器简介嗅探器简介嗅探器工作原理嗅探器工作原理交换式网络嗅探交换式网络嗅探 简易嗅探器的实现简易嗅探器的实现常用嗅探工具常用嗅探工具黑客攻防技术黑客攻防技术 嗅探器简介嗅探器简介 嗅探（嗅探（SnifferSniffer）技术）技术p 是是一种很重要的一种很重要的网络安全攻防技术。网络安全攻防技术。p 对黑客来说，通过嗅探技术能以非常隐蔽的对黑客来说，通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息，嗅探行为更难方式攫取网络中的大量敏感信息，嗅探行为更难被察觉，也更容易操作。被察觉，也更容易操作。p 对安全管理人员来说，借助嗅探技术，可以对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并进行发现各种网络对网络活动进行实时监控，并进行发现各种网络攻击行为。攻击行为。黑客攻防技术黑客攻防技术 嗅探器简介嗅探器简介 嗅探器：嗅探器：p最初是作为网络管理员检测网络通信的一种工最初是作为网络管理员检测网络通信的一种工具，它既可以是软件，又可以是一个硬件设备。具，它既可以是软件，又可以是一个硬件设备。p软件软件SnifferSniffer应用方便，针对不同的操作系统应用方便，针对不同的操作系统平台都有多种不同的软件平台都有多种不同的软件SnifferSniffer,而且很多都是而且很多都是免费的；免费的；p硬件硬件SnifferSniffer 通常被称作协议分析器，其价格通常被称作协议分析器，其价格一般都很高昂。一般都很高昂。黑客攻防技术黑客攻防技术 载波侦听载波侦听/冲突检测冲突检测(CSMA/CD,carrier sense(CSMA/CD,carrier sense multiple access with collision detection)multiple access with collision detection)技术技术 以太网采用了以太网采用了CSMA/CDCSMA/CD技术，由于使用了广播机制，技术，由于使用了广播机制，所以，所有与共享式网络连接的工作站都可以看到网所以，所有与共享式网络连接的工作站都可以看到网络上传递的数据。络上传递的数据。嗅探器的工作原理嗅探器的工作原理黑客攻防技术黑客攻防技术 网卡的网卡的MACMAC地址地址(48(48位位)通过通过ARPARP来解析来解析MACMAC与与IPIP地址的转换地址的转换 用用ipconfig/ifconfigipconfig/ifconfig可以查看可以查看MACMAC地址地址 正常情况下，网卡应该只接收这样的包正常情况下，网卡应该只接收这样的包 MACMAC地址与自己相匹配的数据帧地址与自己相匹配的数据帧 广播包广播包 网卡完成收发数据包的工作，两种接收模式网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包数据包(和组播数据包和组播数据包)为了监听网络上的流量，必须设置为混杂模式为了监听网络上的流量，必须设置为混杂模式以太网卡的工作模式以太网卡的工作模式黑客攻防技术黑客攻防技术 共享式网络共享式网络嗅探器的工作原理嗅探器的工作原理 通过广播方式实现一对一通信通过广播方式实现一对一通信黑客攻防技术黑客攻防技术 交换式网络交换式网络 通过通过MACPortMACPort转发表传递数据。转发表传递数据。嗅探器的工作原理嗅探器的工作原理 如何实现嗅探？如何实现嗅探？黑客攻防技术黑客攻防技术 交换式网络交换式网络无法直接进行嗅探，需采用无法直接进行嗅探，需采用一些专门的手段一些专门的手段1 1、ARPARP欺骗欺骗2 2、交换机、交换机MACMAC地址表溢出地址表溢出3 3、MACMAC地址伪造地址伪造4 4、ICMPICMP重定向重定向交换式网络上的嗅探交换式网络上的嗅探黑客攻防技术黑客攻防技术 p A A通过发送通过发送ARPARP请求报文给请求报文给C C，接收方，接收方C C会进行应答，发送会进行应答，发送方方A A会获取会获取C C的的IP-MACIP-MAC映射关系，映射关系，同时同时C C也会存储也会存储A A的的IPIP和和MACMAC的的映射关系。映射关系。p ARP ARP是无状态协议，是无状态协议，A A没有没有发送请求报文，发送请求报文，C C可直接发送可直接发送应答报文给应答报文给A A，A A会存储会存储/更新更新C C的的IP-MACIP-MAC的映射关系。的映射关系。ARPARP欺骗欺骗黑客攻防技术黑客攻防技术 p B B直接发送直接发送A A应答报文，但告诉应答报文，但告诉A A的是关于的是关于C C的错的错误的误的IP-MACIP-MAC的映射关系，的映射关系，IPIP是是A A的，的，MACMAC是是C C的。的。p B B直接发送直接发送A A应答报文，但告诉应答报文，但告诉A A的是关于的是关于C C的错的错误的误的IP-MACIP-MAC的映射关系，即的映射关系，即IPIP地址是地址是C C的，但的，但MACMAC地地址是虚构的。址是虚构的。p B B直接发送直接发送A A应答报文，但告诉应答报文，但告诉A A的是关于的是关于C C的错的错误的误的IP-MACIP-MAC的映射关系，即的映射关系，即IPIP地址是地址是C C的，但的，但MACMAC地地址是址是B B的。的。p 有什么后果？有什么后果？ARPARP欺骗欺骗黑客攻防技术黑客攻防技术 A A弹出弹出IPIP冲突警告框。冲突警告框。A A无法和无法和C C通信。通信。B B冒充冒充C C和和A A通信通信ARPARP欺骗的结果欺骗的结果黑客攻防技术黑客攻防技术 B B冒充冒充C C和和A A通信过程通信过程注意注意ARPARP和和MACMAC地址表关系地址表关系ARPARP欺骗嗅探欺骗嗅探黑客攻防技术黑客攻防技术 pMACMAC地址映射表可以存储的映射表地址映射表可以存储的映射表条目有限条目有限。p如果恶意攻击者向交换机发送大量的虚假如果恶意攻击者向交换机发送大量的虚假MACMAC地址地址数据，有些交换机在应接不暇的情况下，就会像一数据，有些交换机在应接不暇的情况下，就会像一台普通的台普通的HubHub 那样只是简单地向所有端口广播数据那样只是简单地向所有端口广播数据。p嗅探者就可以借机达到窃听的目的嗅探者就可以借机达到窃听的目的。MACMAC地址表溢出地址表溢出MAC1 Port1MAC1 Port1MAC2 Port2MAC2 Port2MAC3 Port3MAC3 Port3黑客攻防技术黑客攻防技术 p 欺骗交换机欺骗交换机C C使用使用B B的的MACMAC地址给地址给A A发包，导发包，导致交换机刷新致交换机刷新MACMAC地址表地址表。MACMAC地址伪造地址伪造MacA Port1MacA Port1MacB Port2MacB Port2MacC Port3MacC Port3MacA Port1MacA Port1(无效无效)MacB Port2)MacB Port2MacB Port3MacB Port3黑客攻防技术黑客攻防技术 p重新指定发送数据包的重新指定发送数据包的下一条地址。下一条地址。ICMPICMP重定向重定向黑客攻防技术黑客攻防技术 p 网络硬件设备网络硬件设备p 数据捕获程序数据捕获程序p 实时分析程序实时分析程序嗅探器的实现嗅探器的实现黑客攻防技术黑客攻防技术 p 捕获口令捕获口令 p 捕获专用的或者机密的信息捕获专用的或者机密的信息,比如金融帐号比如金融帐号 p 获取更高级别的访问权限获取更高级别的访问权限 p 窥探底层的协议信息，如窥探底层的协议信息，如TCPTCP连接的序号。连接的序号。嗅探器的危害嗅探器的危害黑客攻防技术黑客攻防技术 p 将嗅探器放置于被攻击机器、网关或网络附将嗅探器放置于被攻击机器、网关或网络附近，可以捕获到很多口令。近，可以捕获到很多口令。p 如果将如果将SnifferSniffer运行在路由器，或有路由器运行在路由器，或有路由器功能的主机上，可以对大量的数据进行监控。功能的主机上，可以对大量的数据进行监控。p SnifferSniffer属第二层次的攻击。通常是攻击者属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用已经进入了目标系统，然后使用SnifferSniffer这种攻这种攻击手段，以便得到更多的信息，并捕获网络和击手段，以便得到更多的信息，并捕获网络和其他网络进行身份鉴别的过程。其他网络进行身份鉴别的过程。嗅探器的放置嗅探器的放置黑客攻防技术黑客攻防技术 p ARPARP广播地址探测广播地址探测p PingPing方法方法p DNSDNS方法方法p 源路径方法源路径方法p 诱骗方法诱骗方法p 网络带宽出现反常网络带宽出现反常p 等待时间方法等待时间方法嗅探器的检测嗅探器的检测黑客攻防技术黑客攻防技术 p ARPARP广播地址探测广播地址探测检测可疑主机网卡是否工作在混在模式，通过检测可疑主机网卡是否工作在混在模式，通过ARPARP请求广播包（地址请求广播包（地址FF-00-00-00-00-00FF-00-00-00-00-00）看是否应）看是否应答。答。p PingPing方法方法PingPing可疑主机，但可疑主机，但PingPing包的包的MACMAC地址不是可疑主机地址不是可疑主机的，判断是否产生回应。的，判断是否产生回应。嗅探器的检测嗅探器的检测黑客攻防技术黑客攻防技术 p DNS DNS方法方法p 源路径方法源路径方法嗅探器的检测嗅探器的检测黑客攻防技术黑客攻防技术 p 诱骗方法诱骗方法架设客户机架设客户机/服务器环境，有意设置虚拟帐号、服务器环境，有意设置虚拟帐号、口令并使用，探测是否有登录信息。口令并使用，探测是否有登录信息。p 网络带宽出现反常网络带宽出现反常通过带宽控制器，查看是否有机器长期占用了通过带宽控制器，查看是否有机器长期占用了较大的带宽。较大的带宽。p 等待时间方法等待时间方法发送大量数据前后，发送大量数据前后，pingping可疑主机，对比两次可疑主机，对比两次响应时间。响应时间。嗅探器的检测嗅探器的检测黑客攻防技术黑客攻防技术 p 及时打补丁及时打补丁 p 本机监控本机监控 一般使用一般使用ifconfigifconfig查看网卡是否工作在混杂模式。查看网卡是否工作在混杂模式。但是在许多时候，本地监控却并不可靠，可结合其但是在许多时候，本地监控却并不可靠，可结合其他更高级的工具，例如他更高级的工具，例如tripwiretripwire、lsoflsof等。等。p 监控本地局域网的数据帧。监控本地局域网的数据帧。管理员可以运行自己的管理员可以运行自己的SnifferSniffer(嗅探器嗅探器)，例如，例如tcpdumptcpdump，WindumpWindump和和snoopsnoop等等，监控网络中指定主等等，监控网络中指定主机的数据流量。机的数据流量。嗅探器的防范嗅探器的防范黑客攻防技术黑客攻防技术 p 会话加密会话加密 如用如用SSHSSH（Secure ShellSecure Shell）代替）代替TelnetTelnet，使用，使用IPV6IPV6等。等。p 使用安全的拓朴结构使用安全的拓朴结构少用少用HubHub，SnifferSniffer无法穿过交换机、路由器、网桥。无法穿过交换机、路由器、网桥。网络分段越细，则安全程度越大。网络分段越细，则安全程度越大。p 使用静态使用静态ARPARP arparp s s ipip macmac嗅探器的防范嗅探器的防范黑客攻防技术黑客攻防技术 黑客攻防技术黑客攻防技术 黑客攻防技术黑客攻防技术 黑客攻防技术黑客攻防技术 黑客攻防技术黑客攻防技术 主要内容主要内容1 1、概述、概述2 2、操作界面介绍、操作界面介绍3 3、操作演示、操作演示4 4、实验内容、实验内容Sniffer ProSniffer Pro黑客攻防技术黑客攻防技术 SnifferSniffer的产品：的产品：1 1、便携式软件、便携式软件(portable)(portable)Sniffer ProSniffer Pro2 2、分布式硬件、分布式硬件3 3、InfiniStream(InfiniStream(硬件硬件)SnifferSniffer软件是软件是NAINAI公司推出的功能强大的协议分公司推出的功能强大的协议分析软件。析软件。Sniffer ProSniffer Pro概述概述黑客攻防技术黑客攻防技术 Sniffer ProSniffer Pro是什么？是什么？1 1、捕获网络流量进行详细分析、捕获网络流量进行详细分析2 2、利用专家分析系统诊断问题、利用专家分析系统诊断问题3 3、实时监控网络活动、实时监控网络活动4 4、收集网络利用率和错误等、收集网络利用率和错误等Sniffer ProSniffer Pro是网络管理软件、协议分析软件、故是网络管理软件、协议分析软件、故障检测工具、网络攻击软件。障检测工具、网络攻击软件。Sniffer ProSniffer Pro概述概述黑客攻防技术黑客攻防技术 SnifferSniffer的三大功能：的三大功能：1 1、MonitorMonitor；2 2、ExpertExpert；3 3、DecodeDecode；Sniffer ProSniffer Pro概述概述黑客攻防技术黑客攻防技术 1 1、设置网卡、设置网卡 2 2、报文捕获解析、报文捕获解析3 3、报文生成发送、报文生成发送4 4、网络监视功能、网络监视功能5 5、数据报文解码、数据报文解码Sniffer ProSniffer Pro操作界面操作界面黑客攻防技术黑客攻防技术 设置网卡设置网卡启动启动SnifferSniffer或通过或通过File-select settingsFile-select settings Sniffer ProSniffer Pro操作界面操作界面黑客攻防技术黑客攻防技术 捕获面板捕获面板Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 捕获过程报文统计捕获过程报文统计Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 捕获报文查看捕获报文查看Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 专家分析专家分析Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 解码分析解码分析Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 设置捕获条件设置捕获条件-基本捕获条件设置基本捕获条件设置Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 设置捕获条件设置捕获条件-高级捕获条件设置高级捕获条件设置Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 设置捕获条件设置捕获条件-任意捕获条件设置任意捕获条件设置Sniffer ProSniffer Pro报文捕获解析报文捕获解析黑客攻防技术黑客攻防技术 报文生成界面报文生成界面Sniffer ProSniffer Pro生成发送报文生成发送报文黑客攻防技术黑客攻防技术 报文编辑界面报文编辑界面Sniffer ProSniffer Pro生成发送报文生成发送报文黑客攻防技术黑客攻防技术 捕获报文编辑并发送捕获报文编辑并发送Sniffer ProSniffer Pro生成发送报文生成发送报文黑客攻防技术黑客攻防技术 界面界面Sniffer ProSniffer Pro网络监视网络监视黑客攻防技术黑客攻防技术 报文分层报文分层Sniffer ProSniffer Pro报文解码报文解码黑客攻防技术黑客攻防技术 以太网帧结构以太网帧结构Sniffer ProSniffer Pro报文解码报文解码黑客攻防技术黑客攻防技术 802.3802.3帧结构帧结构Sniffer ProSniffer Pro报文解码报文解码黑客攻防技术黑客攻防技术 IPIP协议协议Sniffer ProSniffer Pro报文解码报文解码黑客攻防技术黑客攻防技术 ARPARP协议协议Sniffer ProSniffer Pro报文解码报文解码黑客攻防技术黑客攻防技术 Sniffer ProSniffer Pro操作演示操作演示黑客攻防技术黑客攻防技术 1 1、建立实验环境：、建立实验环境：（1 1）两台安装）两台安装Windows2000Windows2000XPXP的的PCPC机，其中一机，其中一台上安装台上安装Sniffer ProSniffer Pro软件，另一台安装网络执法软件，另一台安装网络执法官，安装官，安装Sniffer ProSniffer Pro；（2 2）安装）安装Sniffer Pro 4.75,Sniffer Pro 4.75,需重启计算机需重启计算机Sniffer ProSniffer Pro实验实验黑客攻防技术黑客攻防技术 2 2、熟悉、熟悉Sniffer ProSniffer Pro操作：操作：（1 1）仪表盘；）仪表盘；（2 2）Host TableHost Table：主机列表，搜集网络上的所有节点；：主机列表，搜集网络上的所有节点；（3 3）MatrixMatrix：矩阵，网络上所有会话的列表；：矩阵，网络上所有会话的列表；（4 4）ARTART，应用程序响应时间；，应用程序响应时间；（5 5）History SampleHistory Sample；（6 6）Protocol DistributionProtocol Distribution；（7 7）SwitchSwitch，交换机监控；，交换机监控；（8 8）捕捉解码；）捕捉解码；（9 9）包产生器）包产生器Sniffer ProSniffer Pro实验实验黑客攻防技术黑客攻防技术 3 3、分析、分析PingPing工具协议工作过程；工具协议工作过程；两人一组进行，一方两人一组进行，一方PingPing另一方；另一方；4 4、分析网络执法官工作工程；、分析网络执法官工作工程；两人一组进行；两人一组进行；5 5、捕获获取用户、密码、捕获获取用户、密码6 6、进行、进行IPIP冲突攻击；冲突攻击；捕获捕获ARP ReplayARP Replay包，进行编辑，后转发包，进行编辑，后转发7 7、无法通信的攻击、无法通信的攻击 需同时更改包帧的源需同时更改包帧的源MACMAC和和ARPARP数据部分的源数据部分的源MACMAC地址，并且应一致地址，并且应一致8 8、伪装网关攻击；、伪装网关攻击；Sniffer ProSniffer Pro实验实验p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后谢谢你的到来学习并没有结束，希望大家继续努力Learning Is Not Over.I Hope You Will Continue To Work Hard演讲人：XXXXXX 时 间：XX年XX月XX日