木马的信息窃取技术.pptVIP

木马的信息窃取技术 主要内容 木马的重要功能之一是获取被攻击目标主机及其所在网络的敏感信息 木马的信息窃取技术包括三种技术 嗅探技术 信息采集技术 行为采集技术 嗅探技术概述 嗅探技术，是一种常用的收集有用数据信息的网络监听方法，是网络安全攻防技术中很重要的一种 嗅探器（sniffer）作为嗅探技术的一种技术实现，最初是网络管理员检测网络通信的一种工具，是利用计算机的网络接口截获 目的地为其他计算机的 数据报文的一种工作 一个装载了嗅探器的木马，通过对嗅探获得的数据进行分析处理，可以获得整个网络的网络状态、数据流动和个人主机的帐户等敏感信息，为后续的攻击做好充分准备 嗅探技术原理 以太网 计算机与局域网的连接通过主机机箱内的网卡 网卡负责打包数据报为帧（数据传输的最小单位）发送到局域网，同时接收来自局域网的帧并交付网络层处理 以太网网卡一般具有四种接收工作模式： 广播模式（Broadcast）：物理地址（MAC）地址是 0Xffffff 的帧为广播帧，工作在广播模式的网卡接收广播帧，类似于有线电视信号 多播模式（Multicase）：多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收，而组外主机却接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员 直接模式（Directory）：只接收目的地址为本机MAC地址的数据包，如网页浏览 混杂模式（Promiscuous）：接收局域网内的所有数据包，网管用于分析局域网 网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，一个站点的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的 嗅探技术原理 ARP协议 IP地址是主机在网络层中的地址，数据链路层无法识别IP地址，但网卡、交换机等都工作在数据链路层，所以如果想要将网络层中的数据报交给目的主机，必须要在数据链路层封装为有MAC地址的帧后才能发送，但是32bit的IP地址和48bit的MAC地址之间没有可推算的简单映射关系 ARP协议就是将某个IP地址解析为对应的MAC地址的协议。每个主机都设有一个ARP高速缓存，存放局域网中主机的IP地址和MAC地址对儿 当两台主机进行通信时，通过查询ARP缓存表来进行IP地址到MAC地址的转换，缓存表中不存在查找项时，运行ARP广播查找目标主机的MAC地址 ARP缓存表中的每一个映射地址项都有生存时间，进行定时更新 可用ARP –A命令查看本机所维护的缓存表，结合Ping使用，可看到相应机器的MAC地址 嗅探技术原理 共享式网络的嗅探技术 局域网的共享特性决定了嗅探能够成功 由于局域网是基于广播方式传送数据的，所有的数据报都会被送到每一主机节点，当主机节点网卡设为混杂模式时，无论监听到的数据帧目的地址如何，网卡都能予以接收 在局域网中，集线器采用广播的形式传输数据，即向所有端口传送数据 嗅探技术原理 交换式网络的嗅探技术 交换机维护一张地址映射表 地址映射表记录网络节点与MAC地址的对应关系，当需要向目的地址发送数据时，交换机在地址映射表中查找这个MAC地址的节点位置，然后直接向这个位置的节点发送；如果没有找到匹配项，交换机可能会向除接收端口外的所有端口发送该数据报 嗅探技术原理 在交换式网络环境下，要想达到嗅探的目的，可以有三个攻击点： 交换机 目标主机 改变自己 攻击交换机 发送大量虚假MAC地址数据报 交换机虽然可维护一张端口-MAC的地址映射表，但由于交换机内存有限，地址映射表的大小也有限，如果某主机发送大量虚假MAC地址的数据报，就会快速填满地址映射表 交换机在地址映射表被填满后，有些就会像HUB一样以广播方式处理数据报 此方法属于对交换机的DDOS攻击，还可以采用欺骗方法修改交换机的地址映射表：主机C发送源地址为主机B的伪造包，让交换机修改地址映射表，将MACB和端口C对应起来，就可以实现对主机B的通信监听 攻击目标主机 ARP欺骗 ARP欺骗利用修改主机ARP缓存表的方法达到嗅探的目的，是一种中间人攻击 主机C为了达到嗅探的目的，会向主机A和B分别发送ARP应答包，告诉它们IP地址为IPB的主机MAC地址为MACC，IP地址为IPA的主机MAC地址也为MACC 这样，主机A和B的ARP缓存表中就有会IPB-MACC和IPA-MACC的记录。主机A和B的通信数据都流向了C，C只要处理之后再发送到其真正目的地就可以了 因为ARP缓存表是动态更新的，如果没有更新信息，ARP映射项就会自动删除，所以主机C在监听过程中，还要不断的向主机A和B发送伪造的ARP应答包 伪装本机 修改本地MAC地址 也可以通过修改本地MAC地址为目标主机MAC地址来实现嗅探 把主机C的M