x嗅探(非计算机专业学生用).pptVIP

嗅 探 器 在向内网入侵渗透时，经常会用到嗅探手法，如利用Sniffer（嗅探器）来截获网络上传输的密码。嗅探器是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可能用网络监听的方式来进行攻击，截到信息包。 捕获在网络中传输的数据信息称为Sniffing（窃听） 一、Sniffer基础 （1）Sniffer的定义 利用计算机的网络接口截获其他计算机的数据报文的一种工具。 （2）Sniffer的危害 在内网捕获真实的网络报文，有很强的隐蔽性。 （3）Sniffer的作用 正当用处是分析网络的流量，找出网络中潜在的问题，如某段网络运行不是很好，报文发送比较慢等。 在合理的网络中，系统管理员通过 Sniffer 可以诊断出大量的不可见模糊问题，确定出多少通信量属于哪个网络协议、占主要通信协议的主机是哪台、大多数通信的目的地是哪台主机、报文发送占用多少时间、相互主机的报文传送间隔时间等等。 二、Sniffer的工作原理 共享式HUB基于总线方式，在物理上是广播的。网卡能接收到整个网段的数据包。 交换机Switch、Router，网卡只能递交到发给自己的和广播来的数据包。 网卡工作模式设为混杂模式，就能够递交所有到达的数据，不管是不是传给它的。 Sniffer工作在网络环境中的底层，拦截所有正在网络上传送的数据，并通过相应的软件处理，实时分析这些数据的内容。 三、Sniffer 的实现 在Switch环境下，对 Sniffer 的设置。 （1）ARP Spoof ARP欺骗 ARP协议、RARP协议：负责把IP地址和MAC地址进行相互转换对应。 计算机中维护着一个ARP高速缓存，它随计算机不断发出ARPRequest和收到ARPReply而不断更新。不一定要发了ARPRequest才能接收ARPReply，也不一定要等ARPReques出现才能发ARPReply。 Switch根据MAC地址来转发它所接收的数据包。 ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 A: IP MAC 20-53-52-43-0-01 B: IP MAC 20-53-52-43-0-02 C: IP MAC 20-53-52-43-0-03 现B向A发一个ARPReply，其中的目的IP为，目的MAC为20-53-52-43-0-01；而源IP为 ，源MAC为 20-53-52-43-0-02，则A会更新他的ARP高速缓存，并相信IP地址为的机器的MAC地址是20-53-52-43-0-02。 当机器A上发出一条ftp 命令，数据包被送到Switch，Switch查看数据包中的目的地址，发现MAC地址是20-53-52-43-0-02，于是，它把数据包发到了机器B上。 （2）MAC Flooding Switch中维护一张MAC与端口对应的表。有静态的也有动态的。 如某些Switch维护的是一个动态的表，且大小有上限。 可以通过发送大量错误的地址信息而使Switch维护的地址表“溢出”，从而使他变成广播模式来达到Sniffer机器A与机器C之间的通信的目的。 （3） Fake the MAC address 伪造MAC地址也是一个常用的办法，不过这要基于你网络内的Switch是动态更新其地址表，这实际上和我们上面说到的ARP Spoof有些类似，只不过现在你是想要Switch相信你，而不是要机器A相信你。因为Switch是动态更新其地址表的，你要做的事情就是告诉Switch：HI,我是机器C。换成技术上的问题你只不过需要向Switch发送伪造过的数据包，其中源MAC地址对应的是机器C的MAC地址，现在Switch就把机器C和你的端口对应起来了。不过其中存在一个问题，现在机器C也会说了：HI，Switch老大，我才是机器C呢！，现在你该怎么办？让他说不了话就可以了，DOS还是其他什么，随便你了...... （4）ICMP Router Advertisements