第五章TCPIP体系的协议安全网络嗅探.pptVIP

网络嗅探-Network Sniffing Sniffer Pro-商业 WireShark – Etheral-开放 网络协议分析器 获取网络通信量，进行分析 -《Wireshark Ethereal network Protocl Analyzer Toolkit》 Syngress 攻击者如何应用嗅探sniffer 捕获明文用户帐号和口令信息 发现网络中用户的使用模式 泄露私人信息 捕获并重放Vocie over IP(VoIP)电话音频 映射网络拓扑结构 操作系统指纹探测 以太网回顾-IEEE802.3 -共享信道--广播协议 -为了标识以太网上的每台主机，需要给每台主机上的网络适配器（网络接口卡）分配一个唯一的通信地址，即Ethernet地址或称为网卡的物理地址、MAC地址。长度为48比特，共6个字节。 IEEE负责为网络适配器制造厂商分配Ethernet地址块，各厂商为自己生产的每块网络适配器分配一个唯一的Ethernet地址。因为在每块网络适配器出厂时，其Ethernet地址就已被烧录到网络适配器中。所以，有时我们也将此地址称为烧录地址（Burned-In-Address，BIA）。 以太帧格式之一 CSMA/CD IEEE 802.3类型的网络采用带有冲突检测的载波侦听多路访问(CSMA/CD)控制方法访问共享传输介质 CSMA/CD协议的工作原理是：某站点想要发送数据，必须首先侦听介质。如果介质空闲，立即发送数据并进行冲突检测；如果介质忙，继续侦听介质，直到介质变为空闲，才继续发送数据并进行冲突检测。如果站点在发送数据过程中检测到冲突，它将立即停止发送数据并等待一个随机长的时间，重复上述过程. 采用CSMA/CD协议接收数据时，每个节点检测通过它的所有数据帧。如果数据帧包含的目的地址正是该节点，则先检测数据的完整性(信息帧的长度在64到1518字节之间，并通过CRC检验)，再送往网络软件驱动程序 局域网-共享式以太网（集线器-HUB） 在正常的情况下，一个网络接口应该只响应两种数据帧: 与自己硬件地址相匹配的数据帧 发向所有机器的广播数据帧 混杂模式(Promiscuous)：所有数据帧 这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中，任何设置成混杂模式的主机，都可以捕获发送给其它主机的数据帧，从而窃听网络上的所有通信。 局域网-交换式以太网（交换机-SWITCH） SWITCH聪明， 维护CAM表(交换地址表)：每台计算机的MAC地址和与之相连的特定端口的对应关系 发给某个主机的数据包会被SWITCH从特定的端口送出，而不是象HUB那样，广播给网络 交换环境下的网络监控(嗅探) 正义的嗅探-网络监控 Cable Taps-利用该类型设备接入连接计算机、交换机、路由器等设备间的线缆。 Network Tap 应用 Port Mirroring-Port Spanning(Cisco)正义的嗅探-端口镜像 交换机具备该功能 Uplink端口 攻击-交换环境下的嗅探 攻击交换机-Switch Flooding 交换机工作的核心-交换地址表 发送大量假冒MAC地址，MAC地址洪泛(CAM填满) 结果：交换机变成集线器 ARP重定向-ARP欺骗 同一网段中主机在通信之前必须获得对方的MAC地址，用于生成封装上层数据(如IP数据包)的帧。 如何获得呢？ ARP协议 ARP协议Address Resolution Protocol 在以太网中传输的数据包是以太帧，而以太帧的寻址是依据其首部的物理地址（MAC地址）。 仅仅知道某主机的逻辑地址（IP地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。 ARP协议的作用就是在于把逻辑地址变换成物理地址，也既是把32bit的IP地址变换成48bit的MAC地址。 IP地址 ? MAC地址　　　　 每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。 如果本机想与某台主机通信，则首先在ARP高速缓存（动态更新）中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太包； 如果不存在，则向本网络上每一个主机广播一个ARP请求报文， 其意义是“如果你有此IP地址，请告诉我你的MAC地址”，目的主机收到此请求包后，发送一个ARP响应报文，本机收到此响应包后，把相关信息记录在ARP高速缓存中，以下的步骤同上。 ARP报文格式 B()要与A()通信，且B的ARP高速缓存中没有关于A的MAC信息，则B发出ARP请求包。 ARP重定向-ARP欺骗 欺骗主机； 欺骗路由器(网关、Gateway) ICMP Router