5.网络嗅探与协议分析.pptxVIP

15.网络嗅探与协议分析

央视每周质量报告演示-

刷上360测速器的排行榜刷出50MB/s（400M）的网络“光速”刷上360测速器的排行榜2

360测速器设计缺陷HTTP下载方式从服务端得到固定的URL下载链接，没有对下载源进行加密传输和验证，容易受到DNAT、DNS劫持和下载缓存等干扰。P2P下载方式P2SP模块会选择宽带内部网络节点进行测试因此可能造成测速虚高的问题360的快速响应当天发布回应，第二天发布新版本3

如何分析360测速器的测速过程网络嗅探与协议分析技术开源网络嗅探与协议分析器-wireshark4

网络嗅探网络嗅探(Sniff)网络监听、网络窃听类似于传统的电话线窃听网络嗅探技术定义利用计算机网络接口截获目的地为其他计算机的数据报文监听网络流中所包含的用户账户密码或私密信息等网络嗅探器(Sniffer)实现嗅探的软件或硬件设备嗅探获得数据?二进制格式数据报文解析和理解二进制数据，获取各层协议字段和应用层传输数据?网络协议分析5

6网络嗅探的危害与作用攻击者：内网渗透技术窃取机密信息为发起进一步攻击收集信息防御者管理员可以用来监听网络的流量情况，定位网络故障为网络入侵检测系统提供底层数据来源基础其他作用开发网络应用的程序员可以监视程序的网络行为，排除程序错误

网络嗅探技术与工具分类链路层网络进行分类以太网嗅探WiFi嗅探…目前一些著名嗅探器支持多种链路层网络嗅探，wireshark*,SnifferPro…工具形态软件嗅探器硬件嗅探器(协议分析仪):专用设备,速度快,额外功能(如流量记录与重放等),价格昂贵7

8以太网的工作机制载波侦听/冲突检测(CSMA/CD:802.3,carriersensemultipleaccesswithcollisiondetection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有在同一媒介信道上连接的工作站都可以看到网络上传递的数据

9以太网卡的工作模式网卡的MAC地址(48位)通过ARP来解析IP地址到MAC地址的映射用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式

10共享式网络和交换式网络共享式网络通过Hub(集线器)连接总线方式:通过网络的所有数据包发往每一个主机能够嗅探整个Hub上全部网络流量交换式网络通过Switch(交换机)连接由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定端口上只能监听同一端口上流量可通过流量映像口监听(SPAN)

交换式网络中的嗅探攻击MAC地址洪泛攻击向交换机发送大量虚构MAC地址和IP地址数据包致使交换机“MAC地址-端口映射表”溢出交换机切换入所谓的“打开失效”模式-“共享式”MAC欺骗假冒所要监听的主机网卡，将源MAC地址伪造成目标主机的MAC地址交换机不断地更新它的“MAC地址-端口映射表”交换机就会将本应发送给目标主机的数据包发送给攻击者ARP欺骗利用IP地址与MAC地址之间进行转换时的协议漏洞攻击机通过ARP欺骗声称为嗅探目标主机甚至网关11

802.11(WiFi)网络中的嗅探WiFi:空中永不消逝的电波802.11定义了无线通讯标准的物理层和Mac层802.11b(DSSS),802.11a(OFDM),802.11g(OFDM),80211n(MIMO)MAC：带冲突避免的载波侦听多路访问CSMA/CA802.11网络安全机制完全开放式:无加密，可直接嗅探监听WEP:存在缺陷的加密协议，可以很快破解并监听内容WPA/WPA2:目前还算安全，但如果设置弱密码，也能被彩虹表破解课程8：详细介绍WiFi网络攻击12

星巴克肯德基上免费WiFi的风险13

网络嗅探技术的具体实现机理网络嗅探的理论基础以太网、WiFi网络所使用的共享传输介质标准网络协议栈实现控制网卡驱动只获取发往本机地址的数据包网络嗅探技术实现类Unix平台：BPF/libpcapWindows平台：NPF/Winpcap网络嗅探软件工具14

15BPF(BerkeleyPacketFilter)BSD数据包捕获BPF是一个核心态的组件，支持数据包“过滤”抓取Net