黑客攻防技术与实践 教学课件 作者 李建华 第五章 嗅探.pptVIP

* * * * * * * * 第5章 嗅探 5.1 嗅探器的工作原理 5.2 黑客如何实施被动嗅探入侵 5.3 常用的嗅探器 5.4 嗅探器的应用 5.5 交换环境下的嗅探方法 5.1 嗅探器的工作原理 5.1.1 嗅探器概述 5.1.2 HUB与网卡的原理 5.1.3 Sniffer工作原理 5.1.4 嗅探器造成的危害 5.1.1 嗅探器概述 嗅探器(sniffer)是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。 工作在网络的底层，能够把网络传输的全部数据记录下来。 5.1.2 HUB与网卡的原理－HUB工作原理 共享式HUB 交换式HUB HUB与网卡的原理－网卡工作原理 网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。 HUB与网卡的原理－局域网如何工作 数据在网络上是以很小的称为帧(Frame)的单位传输。帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的地地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。 5.1.3 Sniffer工作原理 嗅探攻击的基本原理是：当网卡被设置为混杂接收模式时，所有流经网卡的数据帧都会被网卡接收，然后把这些数据传给嗅探程序，分析出攻击者想要的敏感信息，如账号、密码等，这样就实现了窃听的目的。 使用sniffer 软件抓包分析 网络协议分析器-Sniffer 5.1.4 嗅探器造成的危害 能够捕获口令。 能够捕获专用的或者机密的信息。 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。 窥探低级的协议信息。 5.2 黑客如何实施被动嗅探入侵 利用嗅探器的被动入侵已在Internet上频繁出现，被动嗅探入侵往往是黑客实施一次实际劫持或入侵的第一步。 sniffer入侵实例 Linux系统的Linsniffer是一个简单实用的嗅探器，它主要的功能是用来捕捉用户名和密码。 捕获ftp的用户名和密码 5.3.1 Windows平台下的sniffer Windump TCPdump的windows版本，/windump/ Iris 是Eeye公司的一款付费软件，完全图形化界面，可以很方便的定制各种截获控制语句，对截获数据包进行分析，还原等。 5.3.2 Unix平台下的sniffer（1） Tcpdump / Ngrep Ngrep是一个功能强大的网络嗅探器，对几乎所有的网络数据流提供了GNU grep的匹配功能。ngrep基于pcap，可以使你通过指定扩展的正则表达式的方法匹配网络上的数据流量。它现在识别位于以太网, PPP, SLIP, FDDI, 和回环设备上的TCP，UDP，ICMP协议。 /download.html Snort 1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。/ Unix平台下的sniffer（2） Dsniff Dsniff是一个高级的口令嗅探器, Dug Song写的Dsniff的工具是第一批扩展了传统的Sniffer概念的监听工具。Dsniff将制造的数据包注入到网络，并将通信数据重新定向到攻击者的机器。在这种方式下，Dsniff允许攻击者在交换环境的网络内窃听数据，甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下，也能使攻击者收集到他想要的数据。它支持telnet 、ftp、smtp、pop、imap、http,以及其他的一些应用协议。/~dugsong/dsniff/ Ettercap 这是一款以太网环境下的网络监视、拦载和记录工具，支持多种主动或被动的协议分析，比如加密相关的SSH、HTTPS等，有数据插入、过滤、保持连接同步等多种功能，也有一个能支持多种嗅探模式的、强大而完整的嗅探套件，支持插件，能够检查网络环境是否是交换局域网，并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况。http://ettercap.klik.atekon.de/ Sniffit 由Lawrence Berkeley L