1、网络安全攻防技术第四讲第四讲 网络监听及防御技术网络监听及防御技术软件学院网络工程方向软件学院网络工程方向网络安全攻防技术2023-8-202内容介绍内容介绍o 4.1 网络监听概述网络监听概述o 4.2 监听技术监听技术o 4.3 监听的防御监听的防御o 4.4 小结小结网络安全攻防技术2023-8-2034.1 网络监听概述网络监听概述o 4.1.1 基础知识与实例基础知识与实例o 4.1.2 网络监听技术的发展情况网络监听技术的发展情况网络安全攻防技术2023-8-204网络安全攻防技术2023-8-2054.1.1 基础知识与实例基础知识与实例o 1网络监听的概念网络监听的概念n 网络
2、监听技术又叫做网络嗅探技术(Network Sniffing),顾名思义,这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。n 在网络安全领域,网络监听技术对于网络攻击与防范双方都有着重要的意义,是一把双刃剑。对网络管理员来说,它是了解网络运行状况的有力助手,对黑客而言,它是有效收集信息的手段。n 网络监听技术的能力范围目前只限于局域网。网络安全攻防技术2023-8-2064.1.1 基础知识与实例基础知识与实例o 2相关网络基础相关网络基础 网络传输技术:广播式和点到点式。网络传输技术:广播式和点到点式。n 广播式网络传输技术:仅有一条通信信道,由网络上的所有机器共享。信道上传输的
3、分组可以被任何机器发送并被其他所有的机器接收。n 点到点网络传输技术:点到点网络由一对对机器之间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题。网络安全攻防技术2023-8-2074.1.1 基础知识与实例基础知识与实例o 3.网卡的四种工作模式网卡的四种工作模式(1)广播模式:该模式下的网卡能够接收网络中的广播信息。(2)组播模式:该模式下的网卡能够接受组播数据。(3)直接模式:在这种模式下,只有匹配目的MAC地址的网卡才能接收该数据帧。(4)混杂模式:(Promiscuous Mode)在这种模式下,网卡能够接受一切接收到的数据帧,而无论其目的
4、MAC地址是什么。网络安全攻防技术2023-8-2084.1.1 基础知识与实例基础知识与实例o 4 实例:用实例:用Ethereal嗅探嗅探sina邮箱密码邮箱密码U=hack_tesingPsw=hacktesting网络安全攻防技术2023-8-2094.1.1 基础知识与实例基础知识与实例o 4 实例:实例:sniffer嗅探嗅探FTP用用户名和密户名和密码码网络安全攻防技术2023-8-20104.1 网络监听概述网络监听概述o 4.1.1 基础知识与实例基础知识与实例o 4.1.2 网络监听技术的发展情况网络监听技术的发展情况网络安全攻防技术2023-8-20114.1.2 网络监
5、听技术的发展情况网络监听技术的发展情况o 1网络监听(网络监听(Sniffer)的发展历史)的发展历史Sniffer这个名称最早是一种网络监听这个名称最早是一种网络监听工具的名称,后来其也就成为网络监听工具的名称,后来其也就成为网络监听的代名词。在最初的时候,它是作为网的代名词。在最初的时候,它是作为网络管理员检测网络通信的一种工具。络管理员检测网络通信的一种工具。o 网络监听器分网络监听器分软、硬软、硬两种两种网络安全攻防技术2023-8-20124.1.2 网络监听技术的发展情况网络监听技术的发展情况o 1网络监听(网络监听(Sniffer)的发展历史)的发展历史n 软件嗅探器便宜易于使用
6、,缺点是功能往往有限,可能无法抓取网络上所有的传输数据(比如碎片),或效率容易受限;n 硬件嗅探器通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,处理速度很高,但是价格昂贵。n 目前主要使用的嗅探器是软件的。网络安全攻防技术2023-8-20134.1.2 网络监听技术的发展情况网络监听技术的发展情况o 2Sniffer软件的主要工作机制软件的主要工作机制o 驱动程序支持:需要一个直接与网卡驱动程序接驱动程序支持:需要一个直接与网卡驱动程序接口的驱动模块,作为网卡驱动与上层应用的口的驱动模块,作为网卡驱动与上层应用的“中中间人间人”,它将网卡设置成混杂模式,捕获数据包,它将网卡设置成混杂
7、模式,捕获数据包,并从上层接收各种抓包请求。并从上层接收各种抓包请求。o 分组捕获过滤机制:对来自网卡驱动程序的数据分组捕获过滤机制:对来自网卡驱动程序的数据帧进行过滤,最终将符合要求的数据交给上层网帧进行过滤,最终将符合要求的数据交给上层网络层,其它数据帧将被丢弃不作处理。络层,其它数据帧将被丢弃不作处理。链路层的网卡驱动程序上传的数据帧就有了链路层的网卡驱动程序上传的数据帧就有了两个去处:一个是两个去处:一个是正常的协议栈正常的协议栈,另一个就是,另一个就是分分组捕获过滤模块组捕获过滤模块,对于非本地的数据包,前者会,对于非本地的数据包,前者会丢弃(通过比较目的丢弃(通过比较目的IP地址)
8、,而后者则会根据地址),而后者则会根据上层应用的要求来决定上传还是丢弃。上层应用的要求来决定上传还是丢弃。网络安全攻防技术2023-8-20144.1.2 网络监听技术的发展情况网络监听技术的发展情况o 2Sniffer软件的主要工作机制软件的主要工作机制n 许多操作系统都提供这样的“中间人”机制,即分组捕获机制。在UNIX类型的操作系统中,主要有3种:BSD系统中的BPF(Berkeley Packet Filter)、SVR4中的DLPI(Date Link Interface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。n 目前大部分Sn
9、iffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。网络安全攻防技术2023-8-20154.1.2 网络监听技术的发展情况网络监听技术的发展情况o 4.网络监听的双刃性网络监听的双刃性 现在的监听技术发展比较成熟,可以协助现在的监听技术发展比较成熟,可以协助网络管理员测试网络数据通信流量、实时监网络管理员测试网络数据通信流量、实时监控网络状况。控网络状况。然而事情往往都有两面性,然而事情往往都有两面性,Sniffer的隐的隐蔽性非常好,它只是蔽性非常好,它只是“被动被动”的接收数据,的接收数据,所以在传输数据的过程中,根本无法察觉到所以在传输数据的过程中,根本无
10、法察觉到有人在监听。网络监听给网络维护提供便利有人在监听。网络监听给网络维护提供便利同时,也给网络安全带来了很大隐患。同时,也给网络安全带来了很大隐患。网络安全攻防技术2023-8-20164.2 监听技术监听技术o 4.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 4.2.2 共享式局域网的监听技术共享式局域网的监听技术o 4.2.3 交换式局域网的监听技术交换式局域网的监听技术o 4.2.4 网络监听工具举例网络监听工具举例网络安全攻防技术2023-8-20174.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 1集线器集线器(1)集线器的原理集线器的原理:集线器(又称为
11、集线器(又称为Hub)是一种重要的网络部)是一种重要的网络部件,主要在局域网中用于将多个客户机和服务器件,主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。连接到中央区的网络上。集线器工作在局域网的物理环境下,其主要集线器工作在局域网的物理环境下,其主要应用在应用在OSI参考模型第一层,属于物理层设备。参考模型第一层,属于物理层设备。它的内部采取电器互连的方式,当维护它的内部采取电器互连的方式,当维护LAN的的环境是逻辑总线或环型结构时,完全可以用集线环境是逻辑总线或环型结构时,完全可以用集线器建立一个物理上的星型或树型网络结构。器建立一个物理上的星型或树型网络结构。网络安全攻防技术
12、2023-8-20184.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 1集线器集线器(2)集线器的工作特点集线器的工作特点依据依据IEEE 802.3协议,集线器功能是随机协议,集线器功能是随机选出某一端口的设备,并让它独占全部带宽,与选出某一端口的设备,并让它独占全部带宽,与集线器的上联设备集线器的上联设备(交换机、路由器或服务器等交换机、路由器或服务器等)进行通信。集线器在工作时具有以下两个特点:进行通信。集线器在工作时具有以下两个特点:n首先是集线器只是一个多端口的信号放大设备;n其次集线器只与它的上联设备(如上层Hub、交换机或服务器)进行通信,同层的各端口之间不会直接进行
13、通信,而是通过上联设备再将信息广播到所有端口上。网络安全攻防技术2023-8-2019D-LINK DES-1024D 24PORT网络安全攻防技术2023-8-20204.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 1集线器集线器(3)用集线器组建的局域网示意图用集线器组建的局域网示意图网络安全攻防技术2023-8-20214.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 2交换机交换机(1)交换机的原理交换机的原理:交换机是一种网络开关(交换机是一种网络开关(Switch),也称交换也称交换器,由于和电话交换机对出入线的选择有相似的器,由于和电话交换机对出入线的选择有
14、相似的原理,因此被人称为交换机。原理,因此被人称为交换机。交换机在局域网的环境下,工作在比集线器更交换机在局域网的环境下,工作在比集线器更高一层链路层上。交换机被定义成一个能接收发高一层链路层上。交换机被定义成一个能接收发来的信息帧,加以暂时存储,然后发到另一端的来的信息帧,加以暂时存储,然后发到另一端的网络部件,其本质上就是具有流量控制能力的多网络部件,其本质上就是具有流量控制能力的多端口网桥。端口网桥。网络安全攻防技术2023-8-20224.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 2交换机交换机(2)交换机的工作特点交换机的工作特点n 把每个端口所连接的网络分割为独立的L
15、AN,每个LAN成为一个独立的冲突域。n 每个端口都提供专用的带宽。这是交换机与集线器的本质区别,集线器不管有多少端口,都是共享其全部带宽。n 转发机制。交换机维护有每个端口对应的地址表,其中保存与该端口连接的各个主机的MAC地址。网络安全攻防技术2023-8-2023CISCO WS-C2950-24交换机交换机 网络安全攻防技术2023-8-20244.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 2交换机交换机(2)用交换机组建的局域网示意图用交换机组建的局域网示意图网络安全攻防技术2023-8-20254.2 监听技术监听技术o 4.2.1 局域网中的硬件设备简介局域网中的硬
16、件设备简介o 4.2.2 共享式局域网的监听技术共享式局域网的监听技术o 4.2.3 交换式局域网的监听技术交换式局域网的监听技术o 4.2.4 网络监听工具举例网络监听工具举例网络安全攻防技术2023-8-2026什么是共享式局域网什么是共享式局域网o 共享式局域网就是使用集线器或共用一条总线的局共享式局域网就是使用集线器或共用一条总线的局域网,它采用了载波检测多路侦听(域网,它采用了载波检测多路侦听(Carries Sense Multiple Access with Collision Detection,简称,简称CSMA/CD)机制来进行传输)机制来进行传输控制。控制。o 共享式局域
17、网是基于广播的方式来发送数据的,因共享式局域网是基于广播的方式来发送数据的,因为集线器不能识别帧,所以它就不知道一个端口收为集线器不能识别帧,所以它就不知道一个端口收到的帧应该转发到哪个端口,它只好把帧发送到除到的帧应该转发到哪个端口,它只好把帧发送到除源端口以外的所有端口,这样网络上所有的主机都源端口以外的所有端口,这样网络上所有的主机都可以收到这些帧。可以收到这些帧。网络安全攻防技术2023-8-2027共享式局域网的监听原理共享式局域网的监听原理o 在正常的情况下,网卡应该工作在广播模式、在正常的情况下,网卡应该工作在广播模式、直接模式,一个网络接口(网卡)应该只响直接模式,一个网络接口
18、(网卡)应该只响应这样的两种数据帧:应这样的两种数据帧:n 与自己的MAC地址相匹配的数据帧(目的地址为单个主机的MAC地址)。n 发向所有机器的广播数据帧(目的地址为0 xFFFFFFFFFF)。网络安全攻防技术2023-8-2028共享式局域网的监听的工作原理共享式局域网的监听的工作原理(2)o 但如果共享式局域网中的一台主机的网卡被但如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话,那么,对于这台设置成混杂模式状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。主机的这种传输的信息都是可以被听到的。主机
19、的这种状态也就是监听模式。状态也就是监听模式。o 处于监听模式下的主机可以监听到同一个网处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。段下的其他主机发送信息的数据包。网络安全攻防技术2023-8-2029共享式局域网的监听实现方法共享式局域网的监听实现方法o 在共享式局域网中,集线器会广播所有在共享式局域网中,集线器会广播所有数据,这时,如果局域网中一台主机将数据,这时,如果局域网中一台主机将网卡设置成混杂模式,那么它就可以接网卡设置成混杂模式,那么它就可以接收到该局域网中的所有数据了。收到该局域网中的所有数据了。o 网卡在混杂模式工作的情况下,所有流网卡在混杂模式工作
20、的情况下,所有流经网卡的数据帧都会被网卡驱动程序上经网卡的数据帧都会被网卡驱动程序上传给网络层。传给网络层。o 共享式局域网监听示意图见下页。共享式局域网监听示意图见下页。网络安全攻防技术2023-8-2030集线器集线器路由器路由器Internet攻击者主机攻击者主机受害者主机受害者主机192.168.1.2192.168.1.3其它主机其它主机192.168.1.4网络安全攻防技术2023-8-2031共享式局域网的监听实现方法共享式局域网的监听实现方法(2)o 正常工作时,应用程正常工作时,应用程序只能接收到以本主序只能接收到以本主机为目标主机的数据机为目标主机的数据包,其他数据包过滤包
21、,其他数据包过滤后被丢弃不做处理。后被丢弃不做处理。o 该过滤机制可以作用该过滤机制可以作用在链路层、网络层和在链路层、网络层和传输层这几个层次,传输层这几个层次,工作流程如图所示:工作流程如图所示:网络安全攻防技术2023-8-2032共享式局域网的监听实现方法共享式局域网的监听实现方法(3)o 链路层过滤:判断数据包的目的链路层过滤:判断数据包的目的MAC地地址。址。o 网络层过滤:判断数据包的目的网络层过滤:判断数据包的目的IP地址。地址。o 传输层过滤:判断对应的目的端口是否传输层过滤:判断对应的目的端口是否在本机已经打开。在本机已经打开。o 因而,如果没有一个特定的机制,上层因而,如
22、果没有一个特定的机制,上层应用也无法抓到本不属于自己的应用也无法抓到本不属于自己的“数据数据包包”。网络安全攻防技术2023-8-2033共享式局域网的监听实现方法共享式局域网的监听实现方法(4)o 需要一个直接与网卡驱动程序接口的驱动模需要一个直接与网卡驱动程序接口的驱动模块,它将网卡设置成混杂模式,并从监听软块,它将网卡设置成混杂模式,并从监听软件接收下达的各种抓包请求,对来自网卡驱件接收下达的各种抓包请求,对来自网卡驱动程序的数据帧进行过滤,最终将符合监听动程序的数据帧进行过滤,最终将符合监听软件要求的数据返回给监听软件。软件要求的数据返回给监听软件。网络安全攻防技术2023-8-203
23、4共享式局域网的监听实现方法共享式局域网的监听实现方法(5)o 有了驱动模块,链路层的有了驱动模块,链路层的网卡驱动程序上传的数据网卡驱动程序上传的数据帧就有了两个去处:一个帧就有了两个去处:一个是正常的协议栈,另一个是正常的协议栈,另一个就是分组捕获即过滤模块。就是分组捕获即过滤模块。o 对于非本地的数据包,前对于非本地的数据包,前者会丢弃(通过比较目的者会丢弃(通过比较目的IP地址),而后者则会根地址),而后者则会根据上层应用的要求来决定据上层应用的要求来决定上传还是丢弃,如图所示。上传还是丢弃,如图所示。网络安全攻防技术2023-8-2035共享式局域网的监听实现方法共享式局域网的监听实
24、现方法(6)o 在实际应用中,监听时存在不需要的数据,在实际应用中,监听时存在不需要的数据,严重影响了系统工作效率。网络监听模块严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监听的关键。过滤机制的效率是该网络监听的关键。o 信息的过滤包括以下几种:信息的过滤包括以下几种:站过滤,协议站过滤,协议过滤,服务过滤,通用过滤过滤,服务过滤,通用过滤。o 同时根据过滤的时间,可以分为两种过滤同时根据过滤的时间,可以分为两种过滤方式:方式:捕获前过滤、捕获后过滤捕获前过滤、捕获后过滤。网络安全攻防技术2023-8-20364.2 监听技术监听技术o 4.2.1 局域网中的硬件设备简介局域网中
25、的硬件设备简介o 4.2.2 共享式局域网的监听技术共享式局域网的监听技术o 4.2.3 交换式局域网的监听技术交换式局域网的监听技术o 4.2.4 网络监听工具举例网络监听工具举例网络安全攻防技术2023-8-20374.2.3 交换式局域网的监听技术交换式局域网的监听技术o 什么是交换式局域网什么是交换式局域网n 交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。n 这些设备根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。n 因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧会被发送到非目的节点中去。网络安全攻防技术2023-8-20384.2.3 交换式
26、局域网的监听技术交换式局域网的监听技术o 产生交换式局域网的原因:产生交换式局域网的原因:n 系统管理人员常常通过在本地网络中加入交换设备,来预防sniffer(嗅探器)的侵入。n 交换机工作在数据链路层,工作时维护着一张MAC地址与端口的映射表。在这个表中记录着交换机每个端口绑定的MAC地址。不同于HUB的报文广播方式,交换机转发的报文是一一对应的。网络安全攻防技术2023-8-20394.2.3 交换式局域网的监听技术交换式局域网的监听技术o 交换式局域网在很大程度上解决了网络监听交换式局域网在很大程度上解决了网络监听的困扰。的困扰。o 但是交换机的安全性也面临着严峻的考验,但是交换机的安
27、全性也面临着严峻的考验,随着嗅探技术的发展,攻击者发现了有如下随着嗅探技术的发展,攻击者发现了有如下方法来实现在交换式以太网中的网络监听:方法来实现在交换式以太网中的网络监听:n 溢出攻击n ARP欺骗(常用技术)网络安全攻防技术2023-8-20404.2.3 交换式局域网的监听技术交换式局域网的监听技术o溢出攻击溢出攻击n 交换机工作时要维护一张MAC地址与端口的映射表。n 但是用于维护这张表的内存是有限的。如用大量的错误MAC地址的数据帧对交换机进行攻击,交换机就可能出现溢出。n 这时交换机就会退回到HUB的广播方式,向所有的端口发送数据包,一旦如此,监听就很容易了。网络安全攻防技术20
28、23-8-20414.2.3 交换式局域网的监听技术交换式局域网的监听技术o ARP欺骗欺骗n 计算机中维护着一个IP-MAC地址对应表,记录了IP地址和MAC地址之间的对应关系。该表将随着ARP请求及响应包不断更新。n 通过ARP欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的“中间人”,使交换式局域网中的所有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样分析数据包了。n dsniff和parasite等交换式局域网中的嗅探工具就是利用ARP欺骗来实现的。n ARP欺骗示意图见下页,具体过程将在欺骗攻击章节讲解。网络安全攻防技术2023-8-2042交换机交换机路由器
29、路由器Internet攻击者攻击者主机主机受害者受害者主机主机交换机交换机路由器路由器Internet攻击者攻击者主机主机受害者受害者主机主机192.168.1.2192.168.1.3192.168.1.2192.168.1.3ARP欺骗欺骗网络安全攻防技术2023-8-20434.2 监听技术监听技术o 4.2.1 局域网中的硬件设备简介局域网中的硬件设备简介o 4.2.2 共享式局域网的监听技术共享式局域网的监听技术o 4.2.3 交换式局域网的监听技术交换式局域网的监听技术o 4.2.4 网络监听工具举例网络监听工具举例网络安全攻防技术2023-8-20444.2.4 网络监听工具举例
30、网络监听工具举例o 常用的网络监听工具常用的网络监听工具n Tcpdump/Windumpn Ngrepn Ethereal/Wiresharkn Sniffer Pron NetXrayo 网络监听工具的主要功能大都相似,我们以网络监听工具的主要功能大都相似,我们以Wireshark为例。为例。网络安全攻防技术2023-8-2045Wireshark简介简介o Wireshark是是一一个免费的开源网络数据包分析工个免费的开源网络数据包分析工具,可以具,可以在在Linux、Solaris、Windows等多种等多种平台运行。平台运行。o 它允许用户从一个活动的网络中捕捉数据包并进行它允许用户
31、从一个活动的网络中捕捉数据包并进行分析,详细探究数据包的协议字段信息和会话过程。分析,详细探究数据包的协议字段信息和会话过程。o 帮助网络管理员解决网络问题,帮助网络安全工程帮助网络管理员解决网络问题,帮助网络安全工程师检测安全隐患,开发人员可以用它来测试协议执师检测安全隐患,开发人员可以用它来测试协议执行情况、学习网络协议。行情况、学习网络协议。o 具有很好的可扩展性,用户能自由地增加插件具有很好的可扩展性,用户能自由地增加插件以实以实现额外功能现额外功能。网络安全攻防技术2023-8-2046Wireshark更名的故事更名的故事o 2006年年6月月8号号,Ethereal软件的创始人软
32、件的创始人Gerald Coombs宣布离开宣布离开NIS公司公司(Ethereal所属公司所属公司),正式加入,正式加入CaceTech。o 由于由于Coombs最终没能与最终没能与NIS公司达成协议,公司达成协议,Coombs想保留想保留Ethereal商标权,因此将商标权,因此将Ethereal后续版本更名为后续版本更名为Wireshark,属于,属于CaceTech公司。公司。o Ethereal原网站原网站(http:/ Ethereal官网(终结版本官网(终结版本0.99.0):):http:/www.E Wireshark官网(最新稳定版本官网(最新稳定版本1.2.8):):ht
33、tp:/www.wireshark.org/o 在安装在安装Wireshark时,时,要要同时安装同时安装Winpcap,它是提供,它是提供Windows 系统所系统所需要的封包捕获驱动程序需要的封包捕获驱动程序网络安全攻防技术2023-8-2048Wireshark的特点的特点o 支持多支持多种种通讯接口(如通讯接口(如Ethernet、Token-ring、X.25等)及等)及数据数据包包协议类型协议类型(如(如ARP、TCP、UDP等)等),可以组合可以组合TCP上的封包且上的封包且显示出以显示出以ASCII或是或是EBCDIC型态的数据型态的数据(TCP Stream),所捕获的封包可
34、以被储,所捕获的封包可以被储存。存。o 支持支持Capture Filter(捕获前过滤捕获前过滤)和)和Display Filter(捕获后过滤捕获后过滤)功能帮助用)功能帮助用户筛选户筛选想要的想要的数据数据包。包。网络安全攻防技术2023-8-2049o 在捕获数据包之前设定。用于设定捕获数据在捕获数据包之前设定。用于设定捕获数据包时的过滤条件,属于包时的过滤条件,属于捕获前过滤捕获前过滤o 好处好处:可以让你选择要抓取的数据包可以让你选择要抓取的数据包o Examples:n tcpn tcp or udpn tcp|udp(此过滤规则是上一条的不同写法)n tcp and ip.ad
35、dr=192.168.1.34Capture filter网络安全攻防技术2023-8-2050Display filtero 在捕获数据包结束后设定。用来设定显示数在捕获数据包结束后设定。用来设定显示数据包的条件,属于据包的条件,属于捕获后过滤捕获后过滤o 好处好处:可以让你选择要看的数据包可以让你选择要看的数据包o Example:n 同Capture filtern tcp.port=80n tcp port 80(此过滤规则是上一条的不同写法)网络安全攻防技术2023-8-2051案例一:观察案例一:观察FTP数据流数据流o 设置设置capture filter,只,只对对tcp包包进
36、行监测进行监测o 开始抓取数据包,同时局域网内有开始抓取数据包,同时局域网内有ftp登陆登陆o(隔一小段时间后隔一小段时间后)o 停止抓取封包停止抓取封包o 观察数据包的格式内容观察数据包的格式内容o 设置设置display filter,只查看,只查看21端口与端口与ftp主机相关的数据包主机相关的数据包o 使用使用follow tcp stream功能重组数据包,功能重组数据包,查看查看ftp登陆过程登陆过程网络安全攻防技术2023-8-2052设置设置Capture filtertcp网络安全攻防技术2023-8-2053抓包正在进行中,只抓取了抓包正在进行中,只抓取了TCP包包网络安全
37、攻防技术2023-8-2054抓包结束,查看封包内容抓包结束,查看封包内容控制列控制列封包总封包总览览封包内封包内容容十六进十六进制码制码网络安全攻防技术2023-8-2055设置设置Display filterPort 21 and ip.addr=192.168.1.250网络安全攻防技术2023-8-2056封包重组封包重组选定某一封包内容后,执行选定某一封包内容后,执行Follow TCP Stream,即可对与被选中封包相关的所有,即可对与被选中封包相关的所有封包内容进行重组,可更清楚的看到封包中的封包内容进行重组,可更清楚的看到封包中的Data。ftpftp登陆过程登陆过程网络安全
38、攻防技术2023-8-2057案例二:观察登录案例二:观察登录BBS过程过程o 设置网卡设置网卡n如果有多个网络接口(网卡),首先在Capture Options中设置在哪个网络接口上抓包。勾选Capture packets in promiscuous mode选项,将网卡设置成混杂模式。网络安全攻防技术2023-8-2058案例二:观察登录案例二:观察登录BBS过程过程o 设置过滤条件:捕获前过滤设置过滤条件:捕获前过滤网络安全攻防技术2023-8-2059案例二:观察登录案例二:观察登录BBS过程过程o 设置过滤条件:捕获后过滤设置过滤条件:捕获后过滤o 如果如果Filter框背景显示为
39、绿色,说明所设定框背景显示为绿色,说明所设定的过滤规则合乎的过滤规则合乎Wireshark支持的语法规支持的语法规则。则。o 如果如果Filter框背景显示为红色,说明所设定框背景显示为红色,说明所设定的过滤规则不符合语法规则。的过滤规则不符合语法规则。网络安全攻防技术2023-8-2060案例二:观察登录案例二:观察登录BBS过程过程登录BBS的用户名和密码主机向服务器发送的POST请求网络安全攻防技术2023-8-20614.3 监听的防御监听的防御o 4.3.1 通用策略通用策略 o 4.3.2 共享网络下的防监听共享网络下的防监听o 4.3.3 交换网络下的防监听交换网络下的防监听 网
40、络安全攻防技术2023-8-20624.3.1 通用策略通用策略o 由于嗅探器是一种被动攻击技术,因此由于嗅探器是一种被动攻击技术,因此非常难以被发现。非常难以被发现。o 完全主动的解决方案很难找到并且因网完全主动的解决方案很难找到并且因网络类型而有一些差异,但我们可以先采络类型而有一些差异,但我们可以先采用一些被动但却是通用的防御措施。用一些被动但却是通用的防御措施。o 这主要包括采用这主要包括采用安全的网络拓扑结构安全的网络拓扑结构和和数据加密技术数据加密技术两方面。此外要注意重点两方面。此外要注意重点区域的安全防范。区域的安全防范。网络安全攻防技术2023-8-2063安全的拓扑结构安全
41、的拓扑结构o 网络分段越细,嗅探器能够收集的信息就越少。网络分段越细,嗅探器能够收集的信息就越少。o 网络分段:网络分段:将网络分成一些小的网络,每一个网段的集将网络分成一些小的网络,每一个网段的集线器被连接到一个交换器线器被连接到一个交换器(Switch)上,所以数据包上,所以数据包只能在该网段的内部被网络监听器截获,这样网络的剩只能在该网段的内部被网络监听器截获,这样网络的剩余部分(不在同一网段)便被保护了。网络有三种网络余部分(不在同一网段)便被保护了。网络有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些
42、设备来进行网络分段。我们可以通过灵活的运用这些设备来进行网络分段。o 划分划分VLAN:使得网络隔离不必要的数据传送,一般使得网络隔离不必要的数据传送,一般可以采用可以采用20个工作站为一组,这是一个比较合理的数个工作站为一组,这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。的硬件设备。网络安全攻防技术2023-8-2064数据加密数据加密o 数据通道加密:数据通道加密:正常的数据都是通过事先建立正常的数据都是通过事先建立的通道进行传输的,以往许多应用协议中明文的通道进行传输的,以往许多应用协议中明文传输的账号、口
43、令的敏感信息将受到严密保护。传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有目前的数据加密通道方式主要有SSH、SSL(Secure Socket Layer,安全套接字,安全套接字应用层应用层)和和VPN。o 数据内容加密:数据内容加密:主要采用的是将目前被证实的主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如和文件进行加密。如PGP等。等。网络安全攻防技术2023-8-20654.3 监听的防御监听的防御o 4.3.1 通用策略通用策略 o 4.3.2 共享网络下的防监听共享网络下的防监听o
44、4.3.3 交换网络下的防监听交换网络下的防监听 网络安全攻防技术2023-8-20664.3.2 共享网络下的防监听共享网络下的防监听o 虽然共享式局域网中的嗅探很隐蔽,但也有虽然共享式局域网中的嗅探很隐蔽,但也有一些方法来帮助判断:一些方法来帮助判断:n 检测处于混杂模式的网卡n 网络通讯丢包率非常高n 网络带宽出现反常o 检测技术检测技术n 网络和主机响应时间测试n ARP检测(如AntiSniff 工具)网络安全攻防技术2023-8-20674.3.2 共享网络下的防监听共享网络下的防监听o 1.网络和主机响应时间测试网络和主机响应时间测试n 这种检测已被证明是最有效的,它能够发现网络
45、中处于监听模式的机器,而不管其操作系统是什么。网络安全攻防技术2023-8-20684.3.2 共享网络下的防监听共享网络下的防监听o 1.网络和主机响应时间测试网络和主机响应时间测试n 测试原理测试原理是处于非监听模式的网卡提供了一定的硬件底层过滤机制,即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。n 这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。n 而处于混杂模式下的机器则缺乏底层的过滤,骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。网络安全攻防技术2023-8-20694.3.2 共享网络下
46、的防监听共享网络下的防监听o 1.网络和主机响应时间测试网络和主机响应时间测试n 实现方法实现方法是利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。n 在得到这个数据后,立刻向本地网络发送大量的伪造数据包,与此同时再次发送测试数据包以确定平均响应时间的变化值。n 非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会有14个数量级。网络安全攻防技术2023-8-20704.3.2 共享网络下的防监听共享网络下的防监听o 2.ARP检测检测n 地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址
47、到IP地址的解析。适用于所有基于以太网的IPV4协议。n 我们可以使用这类分组来校验网卡是否被设置为混杂模式。网络安全攻防技术2023-8-20714.3.2 共享网络下的防监听共享网络下的防监听o 2.ARP检测检测在混杂模式下,网卡不会阻塞目的地址不是自在混杂模式下,网卡不会阻塞目的地址不是自己的分组,而是照单全收,并将其传送给系统内核。己的分组,而是照单全收,并将其传送给系统内核。然后,系统内核会返回包含错误信息的报文。然后,系统内核会返回包含错误信息的报文。基于这种机制,我们可以假造一些基于这种机制,我们可以假造一些ARP请求报请求报文发送到网络上的各个节点,没有处于混杂模式的文发送到
48、网络上的各个节点,没有处于混杂模式的网卡会阻塞这些报文,但是如果某些节点有回应,网卡会阻塞这些报文,但是如果某些节点有回应,就表示这些节点的网卡处于混杂模式下。这些处于就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。混杂模式的节点就可能运行嗅探器程序。网络安全攻防技术2023-8-20724.3.2 共享网络下的防监听共享网络下的防监听o ARP检测原理检测原理n 例如:网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00-01,这台PC(X)需要向网络上另外一台IP地址为192.168.1.10的PC(Y)发送消息。网
49、络安全攻防技术2023-8-2073集线器集线器PC(X)PC(Y)IP:192.168.1.1MAC:00-00-00-00-00-01IP:192.168.1.10网络安全攻防技术2023-8-2074ARP检测原理检测原理(2)o 在发送之前,在发送之前,X首先发出一个首先发出一个ARP请求包查询请求包查询192.168.1.10对应的以太网地址。查询包的目对应的以太网地址。查询包的目的地址被设置为的地址被设置为FF-FF-FF-FF-FF-FF(广播广播),从而本地网络上的所有节点都可以收到这个包。从而本地网络上的所有节点都可以收到这个包。o 收到之后,每个节点会检查这个收到之后,每个
50、节点会检查这个ARP包查询的包查询的IP地址和本机的地址和本机的IP地址是否匹配。如果不同,就忽地址是否匹配。如果不同,就忽略这个略这个ARP包;如果匹配包;如果匹配(Y)就向就向X发出应答。发出应答。o X收到应答之后就缓存收到应答之后就缓存Y的的IP/硬件地址。然后,硬件地址。然后,X就可以向就可以向Y发送实际的数据。发送实际的数据。网络安全攻防技术2023-8-2075ARP检测原理检测原理(3)o 进一步设想,如果我们把这个查询包的目的地进一步设想,如果我们把这个查询包的目的地址址(以太网地址以太网地址)设置为另外的地址设置为另外的地址,而不是原而不是原来的广播地址又将如何?来的广播地
