网络安全第七课--嗅探技术.pptVIP

Made By Christopher Yang 网络安全 嗅探技术 免责声明 本课程中所涉及到的内容只为研究探索网络安全技术，请勿用于非法用途，学员因非法手段使用而违犯国家相关法律法规造成的一切不良后果由行为人独立承担，本课程讲师不承担任何法律责任。 学习内容 Part1 网络嗅探Sniffer原理 Part2 Sniffer配置及攻击演练 Part3 深入技术学习 Part4 检测Sniffer Part1 网络嗅探Sniffer原理 Chapter1 Sniffer定义 Chapter2 Sniffer工作原理 Chapter1 Sniffer定义 ISS定义 Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 作用是获取网络上传输的数据，同时能对获取的数据进行分析 Chapter2 Sniffer功能及工作原理 捕获数据包（抓包）功能 第一类 抓取本机发送和接收的包 第二类 抓取广播环境下的通信包 第三类 抓取交换环境下的通信包 重组功能 可按照协议组出原始数据，便于分析 抓取广播环境下的通信包 在使用HUB（集线器）组成的局域网环境中，传输是以广播形式发送的 在通常情况下，网卡收到数据后，会通过数据头的目的MAC地址判断是不是发给本机的，若不是则丢弃，但只要修改网卡到混杂模式，则一律收取不再丢弃 抓取交换环境下的通信包 交换机和HUB的最大区别，就是交换机的内部程序能记住自己每个口连接机器的MAC地址，交换机会判断数据给哪个端口，从而只发送数据到指定端口，而不会像共享HUB那样发给所有的端口 Part2 Sniffer配置及攻击演练 Chapter1 Xsniffer Chapter2 Ethereal Chapter3 Iris Chapter4 Sniffer Pro Chapter1 Xsniffer 简易的命令行方式嗅探器，可捕获局域网内FTP/SMTP/POP3/HTTP协议密码 xsniff 选项 -tcp : 输出TCP数据报 -udp : 输出UDP数据报 -icmp : 输出ICMP数据报 -pass : 过滤密码信息 -hide : 后台运行 -log 文件名 : 将输出保存到文件 示例：xsiff.exe -pass -hide -log pass.log Chapter2 Ethereal 一款开放源码的网络分析工具，也是目前最好的开放源码的网络分析器，能在Linux和Windows下使用 目前已经支持达500多种协议 Ethereal可直接从网络上抓取数据分析，也可以对其他嗅探器抓取后保存在硬盘上的数据进行分析 安装Ethereal，需要安装Wincap驱动 Chapter3 Iris eeye公司出品的网络流量分析监测工具 可以帮助系统管理员轻易地捕获和察看用户的使用情况，可以同时检测到进入和发出的信息流 Chapter4 Sniffer Pro NAI公司出品的可能是目前最好的网络协议分析软件之一了，支持各种平台，性能优越，最为全面的网络协议分析软件 Part3 深入技术学习 Chapter1 中间人攻击（MIM） Chapter2 MAC洪水攻击 Chapter3 MAC复制 Chapter4 Arp欺骗 Chapter5 解决方法 Chapter1 中间人攻击（MIM） Man in the Middle 具体形式多种多样，主要是指在数据传输中途进行截获，更改，转发，伪造等行为 具体有路由欺骗、DNS/DHCP服务器欺骗、钓鱼攻击等等 Chapter2 MAC洪水攻击 交换机要维护一个端口与机器MAC地址的对应表，该映射表放置在交换机内存中 由于内存有限，在攻击者向交换机发送大量的虚假MAC地址数据，交换机在应接不暇的情况下，就会降低效能，向所有端口广播数据了 这个称之为“打开失败”模式 Chapter3 MAC复制 实际上是修改本地MAC地址，使其与预嗅探主机的MAC地址相同，这样，交换机会发现有两个端口对应相同的MAC地址，于是到该MAC地址的数据包将同时从这两个交换机端口发出去 对于这两种方法，只要设置交换机是用静态地址映射表，欺骗就失效了 Chapter4 Arp欺骗 ARP 地址解析协议 当一台主机在局域网中发送数据时，是根据MAC地址来确定目的接口的，而且接收段的网卡从不检查IP包中的目的IP地址 所以发送前，发送端必须要知道IP地址对