1、1网络监听网络监听曹天杰中国矿业大学计算机科学与技术学院2主要内容 nSniffer概述n共享局域网的嗅探nCuteSniffer嗅探实例n交换局域网的嗅探n交换局域网嗅探实例5被监听的网络n以太网nFDDI、Token-ringn使用电话线n通过有线电视信道n微波和无线电6截获的信息 n口令n金融帐号n偷窥机密或敏感的信息数据(如e-mail内容)n窥探低级的协议信息(如用于IP欺骗)7网络监听原理n网卡工作在数据链路层,数据以帧为单位进行传输,在帧头部分含有数据的目的MAC地址和源MAC地址。n普通模式下,网卡只接收与自己MAC地址相同的数据包,并将其传递给操作系统。n在“混杂”模式下,网
2、卡将所有经过的数据包都传递给操作系统。8网络监听原理n共享式集线器(HUB)连接将网卡置于混杂模式实现监听将网卡置于混杂模式实现监听9Sniffer软件nWiresharknNetxRaynSniffer PronCuteSniffer(小巧,功能较全)10CuteSniffer11设置过滤器n过滤器。Options-Program options.nnot primitive and|or not primitive.n类型(类型(Type)-host,net and port.如,host foo,net 128.3,port 20.n方向(方向(dir)-src,dst,src or d
3、st,src and dst.如,src foo,dst net 128.3,src or dst port ftp-data.n协议(协议(proto)-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcp and udp.如,ether src foo,arp net 128.3,tcp port 21.12设置过滤器n1.捕捉特定主机的 ftp 流:ntcp port 21 and host 10.0.0.5 n2.捕捉特定主机流出的包:nsrc host 10.0.0.5 n3.捕捉 80端口发出的包:nsrc port 80 13设置过滤器14设置规则n从
4、文本文件rules.ini 读规则nheader(option1;option2;.)n规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口n规则选项15设置规则16设置规则n例子rules.inintcp any any-any any(flags:S+;msg:SYN packet;symbol:SYN;)ntcp any any-any any(flags:F+;msg:FIN packet;symbol:FIN;)ntcp any any-any 143(content:|90C8 C0FF FFFF|/bin/sh;msg:IMAP buffer overflow!;)n
5、tcp any any-any 80(content:cgi-bin/phf;offset:3;depth:22;msg:CGI-PHF access;)ntcp any any-any 21(msg:FTP Password;content:PASS;nocase;symbol:PASS;)ntcp any any-any 110(msg:E-mail Password;content:PASS;nocase;symbol:PASS;)17捕捉矿大邮箱口令18捕捉矿大邮箱口令n查看源文件,输入的口令名字为Password19捕捉矿大邮箱口令n设置过滤器为nDst host 202.119.1
6、99.17n或者 Dst host 20捕捉矿大邮箱口令n查找捕捉的包21捕捉矿大邮箱口令n帧头22捕捉矿大邮箱口令n包头23捕捉矿大邮箱口令nTCP头2425捕捉SINA邮箱口令26捕捉SINA邮箱口令27捕捉POP3邮箱口令n设置过滤器(矿大POP3邮件服务器地址)28捕捉POP3邮箱口令n在登录前启动捕捉29捕捉POP3邮箱口令n捕捉结果30捕捉POP3邮箱口令31捕捉POP3邮箱口令32捕捉FTP口令n这是一个FTP站点33捕捉FTP口令n准备登录34捕捉FTP口令n启动捕捉,输入用户名与密码35捕捉FTP口令n捕捉的内容36捕捉FTP口令37捕捉FTP口令38捕捉BBS口令n这个是北
7、大BBS站点39捕捉BBS口令n搜索pw40捕捉Telnet口令n可以通过Telnet登录BBSn开始运行cmdtelnet 41捕捉Telnet口令42捕捉Telnet口令n设置过滤器的两种方式43捕捉Telnet口令44捕捉Telnet口令n口令的第一个字母是145捕捉Telnet口令n口令的第二个字母是246捕捉Telnet口令n口令的第三个字母是347捕捉毕业设计管理系统的口令48自动捕捉口令nAce Password Sniffer,能监听 LAN,取得密码。包括:FTP、POP3、HTTP、SMTP、Telnet 密码。49自动捕捉口令n密码监听器。50交换局域网嗅探n交换机在正常
8、模式下按MAC地址表转发数据包,此时只能监听广播数据包。n交换网络嗅探的关键:如何使不应到达的数据包到达本地nMAC洪水包n利用交换机的镜像功能n利用ARP欺骗51MAC洪水包n向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机就进入了所谓的打开失效模式,也就是开始了类似于集线器的工作方式,向网络上所有的机器广播数据包52利用交换机的镜像功能利用交换机的镜像功能53利用ARP欺骗n首先介绍以太数据包格式目的MAC地址源MAC地址类型数据662461500类型0800:IP数据包 类型0806:ARP数据包54n然后介绍ARP数据包格式目的端 MAC
9、地址源 M A C 地址0 8 0 6硬件类型协议类型硬件地址长度协议地址长度A R P 包类型发送端 MAC 地址发送端 I P 地址目的端 M AC 地址目的端 I P 地址6622 2 112646455交换局域网嗅探在VICTIM运行ARP A,有如下输出:Interface:192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00-03 dynamic 56交换局域
10、网嗅探在ATTACKER上构建并发送表一所示的包,其中目的 mac 为00-00-00-00-00-02,目的 IP address为192.168.0.2,发送者MAC为00-00-00-00-00-01,发送者IP为192.168.0.3(假冒IP)。在VICTIM上运行ARP A,有如下的输出:Interface:192.168.0.2 on Interface 0 x3000006 Internet Address Physical Address Type 192.168.0.1 00-00-00-00-00-01 dynamic 192.168.0.3 00-00-00-00-00
11、-01 dynamic欺骗成功!(通过网关出去的信息发给了攻击者)57交换局域网嗅探n网络剪刀手n来切断局域网内任何一台主机与网关之间通信。不论是交换环境还是普通环境.n得到整个局域网内所有开机主机的IP地址 MAC(物理地址)Hostname(主机名)对应列表,并且可以打印出来。或者导入excel 文件,数据库。n来对局域网内部错误IP 配置的主机快速查找。58交换局域网嗅探n网络执法官n实时记录上线用户并存档备查。n自动侦测未登记主机接入并报警n限定各主机的IP,防止IP盗用n限定各主机的连接时段n网络执法官是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(本文中主机指各种计算机、交换机等配有IP的网络设备)进行监控;采用网卡号(MAC)识别用户,可靠性高;59交换局域网嗅探nArpsniffern格式为narpsniffer 192.168.0.1 192.168.0.47 80 D:1.txt 0n192.168.0.1是网关IP 192.168.0.46这是我自己的 ip现在我要监听的ip 为192.168.0.47n80 是http端口 当然这里你可以改成任何其他的端口 比如改为21 这样你监听的就是 ftp端口nD:1.txt是把sniffer的结果保存的地方n0指的是网卡ID,网卡ID非1既060
