安全检测技术.ppt

第7章安全检测技术 入侵检测技术 信息获取技术 陈德伟西南财经大学信息学院E mail chendw t 概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作入侵检测的现状和展望 1概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作入侵检测的现状和展望 Intrusion Intrusion Attemptingtobreakintoormisuseyoursystem Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork Intrusioncanbeaphysical systemorremoteintrusion 传统的信息安全方法采用严格的访问控制和数据加密策略来防护 但在复杂系统中 这些策略是不充分的 它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测 IntrusionDetection 是对入侵行为的发觉 它通过从计算机网络或计算机系统的关键点收集信息并进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 IntrusionDetection 入侵检测的定义 入侵检测就是对系统的运行状态进行监视 发现各种攻击企图 攻击行为或者攻击结果 以保证系统资源的机密性 完整性和可用性 入侵检测系统的定义 进行入侵检测的软件与硬件的组合便是入侵检测系统IDS IntrusionDetectionSystem 入侵检测系统的特点 一个完善的入侵检测系统的特点 经济性时效性安全性可扩展性 网络安全工具的特点 与其他网络安全设备的不同之处在于 IDS是一种积极主动的安全防护技术 入侵检测的起源 1 审计技术 产生 记录并检查按时间顺序排列的系统事件记录的过程审计的目标 确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用 入侵检测的起源 2 计算机安全和审计美国国防部在70年代支持 可信信息系统 的研究 最终审计机制纳入 可信计算机系统评估准则 TCSEC C2级以上系统的要求的一部分 褐皮书 理解可信系统中的审计指南 入侵检测的起源 3 1980年4月 JamesP Anderson ComputerSecurityThreatMonitoringandSurveillance 计算机安全威胁监控与监视 的技术报告 第一次详细阐述了入侵检测的概念他提出对计算机系统风险和威胁的分类方法 并将威胁分为外部渗透 内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 入侵检测的起源 4 从1984年到1986年 乔治敦大学的DorothyDenning和SRI CSL的PeterNeumann研究出了一个实时入侵检测系统模型 取名为IDES 入侵检测专家系统 IDES结构框架 入侵检测的起源 5 1990 加州大学戴维斯分校的L T Heberlein等人开发出了NSM NetworkSecurityMonitor 该系统第一次直接将网络流作为审计数据来源 因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页 两大阵营正式形成 基于网络的IDS和基于主机的IDS 为什么需要IDS 关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得 IDS存在与发展的必然性 一 网络攻击的破坏性 损失的严重性二 日益增长的网络安全威胁三 单纯的防火墙无法防范复杂多变的攻击 IDS基本结构 入侵检测是监测计算机网络和系统 以发现违反安全策略事件的过程简单地说 入侵检测系统包括三个功能部件 1 信息收集 2 信息分析 3 结果处理 信息收集 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息 尽可能扩大检测范围从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 因此要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 系统或网络的日志文件 黑客经常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型 每种类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容显然 对用户活动来讲 不正常的或不期望的行为就是重复登录失败 登录到不期望的位置以及非授权的企图访问重要文件等等 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵产生的指示和信号入侵者经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修改系统日志文件 信息分析 模式匹配统计分析完整性分析 往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为一般来讲 一种进攻模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 它在发现被更改的 被安装木马的应用程序方面特别有效 概述2入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作入侵检测的现状和展望 按检测方法分类 异常检测模型 AnomalyDetection 首先总结正常操作应该具有的特征 用户轮廓 当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型 MisuseDetection 收集非正常操作的行为特征 建立相关的特征库 当监测的用户或系统行为与库中的记录相匹配时 系统就认为这种行为是入侵 异常检测 前提 入侵是异常活动的子集用户轮廓 Profile 通常定义为各种行为参数及其阀值的集合 用于描述正常行为范围过程监控 量化 比较 判定 修正指标 漏报 错报 异常检测 异常检测 如果系统错误地将异常活动定义为入侵 称为误报 falsepositive 如果系统未能检测出真正的入侵行为则称为漏报 falsenegative 特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义 因此能有效检测未知的入侵 同时系统能针对用户行为的改变进行自我调整和优化 但随着检测模型的逐步精确 异常检测会消耗更多的系统资源 AnomalyDetection 误用检测 前提 所有的入侵行为都有可被检测到的特征攻击特征库 当监测的用户或系统行为与库中的记录相匹配时 系统就认为这种行为是入侵过程监控 特征提取 匹配 判定指标错报低漏报高 误用检测 误用检测模型 如果入侵特征与正常的用户行能匹配 则系统会发生误报 如果没有特征能与某种新的攻击行为匹配 则系统会发生漏报特点 采用特征匹配 误用模式能明显降低错报率 但漏报率随之增加 攻击特征的细微变化 会使得误用检测无能为力 MisuseDetection Can tdetectnewattacks Example if src ip dst ip then landattack 按照数据来源分类 基于主机 系统获取数据的依据是系统运行所在的主机 保护的目标也是系统运行所在的主机基于网络 系统获取的数据是网络传输的数据包 保护的是网络的运行混合型 监视与分析主机的审计记录可以不运行在监控主机上存在问题 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统 基于主机 在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护存在问题 如何适应高速网络环境 非共享网络上如何采集数据 基于网络 两类IDS监测软件 网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少 主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感 入侵检测系统体系结构 常用术语 当一个入侵正在发生或者试图发生时 IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器 alert信息将显示在监视器上 也可能伴随着声音提示如果是远程控制台 那么alert将通过IDS系统内置方法 通常是加密的 SNMP 简单网络管理协议 通常不加密 email SMS 短信息 或者以上几种方法的混合方式传递给管理员 Alert 警报 Anomaly 异常 当有某个事件与一个已知攻击的信号相匹配时 多数IDS都会告警一个基于anomaly 异常 的IDS会构造一个当时活动的主机或网络的大致轮廓 当有一个在这个轮廓以外的事件发生时 IDS就会告警有些IDS厂商将此方法看做启发式功能 但一个启发式的IDS应该在其推理判断方面具有更多的智能 首先 可以通过重新配置路由器和防火墙 拒绝那些来自同一地址的信息流 其次 通过在网络上发送reset包切断连接但是这两种方式都有问题 攻击者可以反过来利用重新配置的设备 其方法是 通过伪装成一个友方的地址来发动攻击 然后IDS就会配置路由器和防火墙来拒绝这些地址 这样实际上就是对 自己人 拒绝服务了发送reset包的方法要求有一个活动的网络接口 这样它将置于攻击之下 一个补救的办法是 使活动网络接口位于防火墙内 或者使用专门的发包程序 从而避开标准IP栈需求 AutomatedResponse 自动响应 IDS的核心是攻击特征 它使IDS在事件发生时触发特征信息过短会经常触发IDS 导致误报或错报 过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准 但是有的产商用一个特征涵盖许多攻击 而有些产商则会将这些特征单独列出 这就会给人一种印象 好像它包含了更多的特征 是更好的IDS Signatures 特征 Promiscuous 混杂模式 默认状态下 IDS网络接口只能看到进出主机的信息 也就是所谓的non promiscuous 非混杂模式 如果网络接口是混杂模式 就可以看到网段中所有的网络通信量 不管其来源或目的地这对于网络IDS是必要的 但同时可能被信息包嗅探器所利用来监控网络通信量 概述入侵检测的分类3入侵检测系统的设计原理 略 入侵检测响应机制入侵检测标准化工作入侵检测的现状和展望 基于主机的入侵检测系统 系统分析主机产生的数据 应用程序及操作系统的事件日志 由于内部人员的威胁正变得更重要基于主机的检测威胁基于主机的结构优点及问题 基于主机的检测威胁 特权滥用关键数据的访问及修改安全配置的变化 基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的 代理是运行在目标系统上的可执行程序 与中央控制计算机通信集中式 原始数据在分析之前要先发送到中央位置分布式 原始数据在目标系统上实时分析 只有告警命令被发送给控制台 集中式检测的优缺点 优点 不会降低目标机的性能统计行为信息多主机标志 用于支持起诉的原始数据缺点 不能进行实时检测不能实时响应影响网络通信量 分布式检测的优缺点 优点 实时告警实时响应缺点 降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据 操作模式 操作主机入侵检测系统的方式警告监视毁坏情况评估遵从性 基于主机的技术面临的问题 性能 降低是不可避免的部署 维护损害欺骗 基于网络的入侵检测系统 入侵检测系统分析网络数据包基于网络的检测威胁基于网络的结构优点及问题 基于网络的检测威胁 非授权访问数据 资源的窃取拒绝服务 基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的传感器 Sensor 组成 传感器会向中央控制台报告 传感器通常是独立的检测引擎 能获得网络分组 找寻误用模式 然后告警 传统的基于传感器的结构分布式网络节点结构 传统的基于传感器的结构 传感器 通常设置为混杂模式 用于嗅探网络上的数据分组 并将分组送往检测引擎检测引擎安装在传感器计算机本身网络分接器分布在关键任务网段上 每个网段一个 分布式网络节点结构 为解决高速网络上的丢包问题 1999年6月 出现的一种新的结构 将传感器分布到网络上的每台计算机上每个传感器检查流经他的网络分组 然后传感器相互通信 主控制台将所有的告警聚集 关联起来 基于网络的入侵检测的好处 威慑外部人员检测自动响应及报告 基于网络的技术面临的问题 分组重组高速网络加密 基于异常的入侵检测 思想 任何正常人的行为有一定的规律需要考虑的问题 1 选择哪些数据来表现用户的行为 2 通过以上数据如何有效地表示用户的行为 主要在于学习和检测方法的不同 3 考虑学习过程的时间长短 用户行为的时效性等问题 数据选取的原则 1 数据能充分反映用户行为特征的全貌 2 应使需要的数据量最小 3 数据提取难度不应太大 NIDS抓包 PF PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库 分析数据包 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Unicode XML 一个攻击检测实例 老版本的Sendmail漏洞利用 25WIZshell或者DEBUG 直接获得rootshell 简单的匹配 检查每个packet是否包含 WIZ DEBUG 检查端口号 缩小匹配范围Port25 WIZ DEBUG 深入决策树 只判断客户端发送部分Port25 Client sends WIZ Client sends DEBUG 概述入侵检测的分类入侵检测系统的设计原理4 入侵检测响应机制入侵检测标准化工作入侵检测的现状和展望 响应策略 弹出窗口报警E mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap 概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制5 入侵检测标准化工作入侵检测的现状和展望 IDS标准化工作的组织 IETF的入侵检测工作组IDWG http www ietf org html charters OLD idwg charter html通用入侵检测框架CIDF http gost isi edu cidf 入侵检测工作组IDWG IDWG的主要工作是定义相关的数据格式和共享信息的交换过程 用于入侵检测与响应 IntrusionDetectionandResponse IDR 系统之间或与需要交互的管理系统之间的信息共享 入侵检测工作组IDWG 从进展状况来看 目前IDWG基本形成了4个RFC文档 其中有3个文档实在2007年3月从草案正式被接受为RFC文档的 历时数年之久 相当不容易 通用入侵检测框架CIDF CIDF所做的工作主要包括四部分 IDS的体系结构通信机制描述语言应用编程接口API CIDF将一个入侵检测系统分为四个组件 事件产生器 Eventgenerators 事件分析器 Eventanalyzers 响应单元 Responseunits 事件数据库 Eventdatabases CIDF的体系结构 通用入侵检测框架CIDF 目前CIDF的进展不尽如人意 该项目组的工作基本处于停滞状态 其思想和理念也没有得到很好的贯彻和执行 概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作6 入侵检测的现状和展望 IDS现状 存在问题 误报和漏报的矛盾隐私和安全的矛盾被动分析与主动发现的矛盾海量信息与分析代价的矛盾功能性和可管理性的矛盾单一的产品与复杂的网络应用的矛盾网络规模扩大 网络速度提高 需满足高速大规模网络应用需求 IDS发展方向 分析技术的改进智能化的检测方法改进对高速网络数据流的检测与防火墙联动集成网络分析和管理功能入侵检测产品集成网管功能 扫描器 Scanner 嗅探器 Sniffer 等功能是以后发展的方向 IDS与Firewall联动 通过在防火墙中驻留的一个IDSAgent对象 以接收来自IDS的控制消息 然后再增加防火墙的过滤规则 最终实现联动 CiscoCIDF CISL ISSCheckpoint 产品 免费Snorthttp www snort orgSHADOWhttp www nswc navy mil ISSEC CID 产品 商业CyberCopMonitor NAIDragonSensor EnterasyseTrustID CANetProwler SymantecNetRanger CiscoNID 100 200 NFRSecurityRealSecure ISSSecureNetPro I 资源 IDSFAQ 引语 在这一实验中 将在Windows平台上建立入侵检测系统 snort Snort是一个轻便的网络入侵检测系统 在运行的时只占用极少的网络资源 对原有网络性能影响很小 它可以完成实时流量分析和对网络上的IP包登录进行测试等功能 能完成协议分析 内容查找 匹配 是用来探测多种攻击的侵入探测器 如缓冲区溢出 秘密端口扫描 CGI攻击 SMB嗅探 指纹采集尝试等 Snort可以运行在 nix Win32平台上 目的 本实验在Win2000Server环境安装与配置入侵检测系统 snort 完成这一实验之后 将能够 安装 snort 服务 使用 snort 服务 实验入侵检测系统snort配置 实验所需软件 具备服务器运行Windows2000Server snort软件 要完整的安装入侵检测系统必须先从网上下载以下软件 Snort Win32MySQLBinary www snort org SnortRules2 1 www snort org WinPcap3 1 winpcap polito it MySQLShareware3 23 58 PHP4 3 5 ADODB3 5 0 MySQLDatabaselPHP 实验入侵检测系统snort配置 任务1 安装Snort任务2 安装MySQLDatabase任务3 生成Win32MySQLdatabase任务4 在MySQL中生成Acid的库表任务5 测试Snort任务6 将Snort设置成为windows2000 XP的一项服务任务7 安装PHP任务8 配置PHP运行在2000 XP的IIS4 5环境下任务9 安装ADODB 一个高性能的数据库 实验入侵检测系统snort配置 第7章安全检测技术 网络信息获取技术 陈德伟Chendw t 西南财经大学信息工程学院 目录 网络信息收集网络扫描技术网络流量侦听技术 网络信息收集 信息攻击者和管理者都需要各种网络信息 如 域名 IP地址 主机运行的TCP和UDP服务 系统信息 用户名 版本等 认证机制 网络信息收集 社会信息 指通过非网络技术手段获得的信息社会工程 获取员工的信任 搜索引擎 google 百度新闻论坛网站 网络信息收集 WHOIS WHOIS 是用来查询域名的IP以及所有者等信息的传输协议UNIX系统自带Whois客户端程序 windows可以直接通过Web查询中国域名信息查询 W 网易的域名信息 网络信息收集 DNS查询 DNS是一个全球分布式数据库 对每一个DNS结点 都包含该结点的机器 邮件服务器 主机CPU和操作系统信息 Nslookup 客户程序 可以把DNS数据库中的信息挖掘出来 Nslookup查询的新浪 注 本机所访问到的新浪网页是镜像网站 目录 网络信息收集网络扫描技术网络流量侦听技术 扫描技术 扫描技术是网络安全领域的重要技术之一 是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术 是为使系统管理员能够及时了解系统中存在的安全漏洞 并采取相应防范措施 从而降低系统的安全风险而发展起来的一种安全技术 扫描步骤 一次完整的扫描分为3个阶段 1 第1阶段 发现目标主机或网络 2 第2阶段 发现目标后进一步搜集目标信息 包括操作系统类型 运行的服务以及服务软件的版本等 如果目标是一个网络 还可以进一步发现该网络的拓扑结构 路由设备以及各主机的信息 3 第3阶段 根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞 扫描技术的分类 扫描技术主要包括主机扫描端口扫描 主机扫描技术 主机扫描的目的是确定在目标网络上的主机是否可达 这是信息收集的初级阶段 其效果直接影响到后续的扫描 常用的传统扫描手段有 ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non EchoICMP扫描 ICMPecho扫描 实现原理 Ping的实现机制 在判断在一个网络上主机是否开机时非常有用 向目标主机发送ICMPEchoRequest type8 数据包 等待回复的ICMPEchoReply包 type0 如果能收到 则表明目标系统可达 否则表明目标系统已经不可达或发送的包被对方的设备过滤掉 优点 简单 系统支持缺点 很容易被防火墙限制可以通过并行发送 同时探测多个目标主机 以提高探测效率 ICMPSweep扫描 BroadcastICMP扫描 实现原理 将ICMPECHOrequest包的目标地址设为广播地址或网络地址 则可以探测广播域或整个网络范围内的主机 缺点 只适合于UNIX Linux系统 Windows会忽略这种请求包 这种扫描方式容易引起广播风暴 ICMP报文类型 0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded 12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply 端口扫描技术 当确定了目标主机可达后 就可以使用端口扫描技术 发现目标主机的开放端口 包括网络协议和各种应用监听的端口 端口扫描技术主要包括以下三类 开放扫描 TCPConnect扫描 会产生大量审计数据 易被对方发现 但其可靠性高隐蔽扫描 TCPFIN扫描 分段扫描 能有效的避免对方入侵检测系统和防火墙的检测 但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息 半开放扫描 TCPSYN扫描 隐蔽性和可靠性介于前两者之间 开放扫描TCPConnect扫描 实现原理 通过调用socket函数connect 连接到目标计算机上 完成一次完整的三次握手过程 如果端口处于侦听状态 那么connect 就能成功返回 否则 这个端口不可用 即没有提供服务 优点 稳定可靠 不需要特殊的权限缺点 扫描方式不隐蔽 服务器日志会记录下大量密集的连接和错误记录 并容易被防火墙发现和屏蔽 半开放扫描TCPSYN扫描 实现原理 扫描器向目标主机端口发送SYN包 如果应答是RST包 那么说明端口是关闭的 如果应答中包含SYN和ACK包 说明目标端口处于监听状态 再传送一个RST包给目标机从而停止建立连接 在SYN扫描时 全连接尚未建立 所以这种技术通常被称为半连接扫描优点 隐蔽性较全连接扫描好 一般系统对这种半扫描很少记录缺点 通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用 隐蔽扫描技术 TCPFIN扫描 实现原理 扫描器向目标主机端口发送FIN包 当一个FIN数据包到达一个关闭的端口 数据包会被丢掉 并且返回一个RST数据包 否则 若是打开的端口 数据包只是简单的丢掉 不返回RST 优点 由于这种技术不包含标准的TCP三次握手协议的任何部分 所以无法被记录下来 从而必SYN扫描隐蔽得多 FIN数据包能够通过只监测SYN包的包过滤器 缺点 跟SYN扫描类似 需要自己构造数据包 要求由超级用户或者授权用户访问专门的系统调用 通常适用于UNIX目标主机 但在Windows环境下 该方法无效 因为不论目标端口是否打开 操作系统都返回RST包 利用综合扫描工具收集信息 目录 网络信息收集网络扫描技术网络流量侦听技术 网络监听原理 网卡工作在数据链路层 数据以帧为单位进行传输 在帧头部分含有数据的目的MAC地址和源MAC地址 普通模式下 网卡只接收与自己MAC地址相同的数据包 并将其传递给操作系统 在 混杂 模式下 网卡将所有经过的数据包都传递给操作系统 被监听的网络类型 以太网FDDI Token ring使用电话线通过有线电视信道微波和无线电 网络监听原理 举例 共享式集线器 HUB 连接 将网卡置于混杂模式实现监听 Sniffer软件 WiresharkNetxRaySnifferProCuteSniffer 小巧 功能较全 IrisAcePasswordSniffer 自动捕获口令 CuteSniffer 自动捕捉口令 AcePasswordSniffer 能监听LAN 取得密码 包括 FTP POP3 HTTP SMTP Telnet密码 交换局域网嗅探 交换机在正常模式下按MAC地址表转发数据包 此时只能监听广播数据包 交换网络嗅探的关键 如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗 MAC洪水包 向交换机发送大量含有虚构MAC地址和IP地址的IP包 使交换机无法处理如此多的信息 致使交换机就进入了所谓的 打开失效 模式 也就是开始了类似于集线器的工作方式 向网络上所有的机器广播数据包 利用交换机的镜像功能 利用交换机的镜像功能 利用ARP欺骗 首先介绍以太数据包格式 类型0800 IP数据包类型0806 ARP数据包 ARP数据包格式 交换局域网嗅探 在VICTIM运行ARP A 有如下输出 Interface 192 168 0 2onInterface0 x3000006InternetAddressPhysicalAddressType192 168 0 100 00 00 00 00 01dynamic192 168 0 300 00 00 00 00 03dynamic 交换局域网嗅探 在ATTACKER上构建并发送表一所示的包 其中目的mac为00 00 00 00 00 02 目的IPaddress为192 168 0 2 发送者MAC为00 00 00 00 00 01 发送者IP为192 168 0 3 假冒IP 在VICTIM上运行ARP A 有如下的输出 Interface 192 168 0 2onInterface0 x3000006InternetAddressPhysicalAddressType192 168 0 100 00 00 00 00 01dynamic192 168 0 300 00 00 00 00 01dynamic欺骗成功 通过网关出去的信息发给了攻击者 实验扫描与入侵 入侵工具 xscan DameW 实验扫描与入侵 Xscan是一款优秀的综合扫描器 对指定IP地址段或单机进行安全漏洞检测 扫描内容包括 远程服