使用Wireshark查看局域网内安全问题

使用使用 WiresharkWireshark 查看局域网内安全问题查看局域网内安全问题 早就听说过局域网的安全性有问题 但是也一直没放在心上 祥子是计算机专 业毕业的 平时上网行为很规矩 从不上那些乱七八糟的网站 小方格子里有 自己专用 的电脑 里面装着网络版的杀毒软件 定时更新病毒库 系统里装着 360 安全卫生 系统的漏洞啊 补丁啊什么的都堵上和补上了 这样在局域网 还能不安全吗 至少 自己认为是安全的 而且相对于同事们经常重装系统的 行为 自己的系统重装的次数是少多了 那么真的是这样吗 让我们用几款软 件试试吧 虚拟机 安全检测的有效工具 为什么要这样 那些检测局域网安全性的软件不能直接安装在机器上吗 当然不能 第一 这些软件很多会被杀毒软件当作病毒给杀掉 第二 你打算 直接拿这些软件来对别人的机器进行测试吗 不安全 太不安全了 无论是对 别人还是对自己来说都太不安全了 所以我们要先装一个虚拟机 里面装一个 裸奔 的 XP 系统就可以了 所 有的软件都装在这个虚拟的系统里面 自己对自己进行测试 学习了 再拿到 局域网中进行实验 这样无论对别人还是自己都是负责任的 虚拟机本次安装 的是 VMware6 0 2 这个版本 用用 SnifferSniffer 工具抓取用户名工具抓取用户名 密码密码 SNIFFER 软件有很多 比如大名鼎鼎的 Sniffer Pro 4 7 但是这款软件 太大了 不好上手 但是经典就是经典 祥子以后会为大家介绍这款软件的使 用的 这次我们选一个轻量级的 Wireshark 它的使 用也是非常简单 这没 什么说的 双击该程序的图标启动即可 点击 List the available capture interfaces 按钮 按中自己的网卡 再点 Options 再点 Start 就可以开始监控本网段内的一切网络活动 了 我们在真实的机器上进行一次 FTP 操作 查看捕获到用户名 密码 这时就可以看到有数据记录了 点 Stop 再选中 Info 栏中带有 ftp SYN 字样的一栏 因为在 FTP 的同步过程中会传输用户名和密码 点右键 选择 Follow TCP Stream 如图 1 所示 我们就得到了一次 FTP 操作 的用户名和密码 图 1 利用利用 CainCain 做 做 ARPARP 欺骗欺骗 SNIFFER 类的软件功能很强大 但是对于一般的用户来说 在众多的信息 中寻找自己需要内容太麻烦了 好在 Cain 可以帮我们记录多种网络操作的密码 操作步骤如下 让我们启动 Cain 点选 Sniffer 再点击 Start Stop Sniffer 按钮 这时 再点击 会对本局域内的 MAC 地址列表进行扫描 这里也要说明一下 Cain 软件也只能对同一网段的机器进行扫描 再点下面的 APR 继续点击 在出现的对话框中左边一栏选网 关的地址 右边一栏选择需要监控的地址 一切就绪后再点 Start Stop APR 按钮 下面就等着用户名和密码出现吧 比如我们再做一次登录 FTP 服务 器的操作 就会看到很轻松的就把 FTP 的用户名和密码得到了 如图 2 所示 图 2 使用使用 wiresharkwireshark 找回遗忘管理地址问题找回遗忘管理地址问题 作为网络管理员的我们经常要针对路由器 交换机 VPN 接入等网络设备进行 配置 不知道各位是否遇到过忘记了设备管理地址的情况 也许你记得用户名 和密 码 但是要进行配置就必须访问管理界面 这个管理地址的丢失或遗忘却 让我们束手无策 最近笔者就遇到了这么一个让人头疼的问题 最终通过 sniffer 找 到了管理地址信息 下面笔者就为各位呈现忘记管理地址莫慌用 sniffer 巧解决的全功略 一 什么时候会忘记管理地址 一 什么时候会忘记管理地址 忘记管理地址的情况多出现网络管理员交接工作时 老网管离职新网管接 手 但是移交时只过多的关注用户名和密码 而没有将各个设备的管理地址写 清楚 另外对于一些设备来说可能会因为说明书丢失 而在 RESET 后忘记管理 地址的情况也经常出现 二 传统获取设备管理地址的方法 二 传统获取设备管理地址的方法 就算没有得到设备的管理地址我们依然可以通过传统方法解决 主要的解 决办法有三个 1 RESET 恢复法 通过设备自身的 RESET 键可以顺利的将设备所有配置信息清空 从而恢复 到出厂状态 这样相应的设备管理地址也被重置 不过 RESET 恢复法存 在局限 那就是如果设备自身没有 RESET 恢复功能 又或者本身就没有说明书不知道恢 复后的出厂设置中管理地址信息的话同样无法通过此方法解决管理地址辩 识的 问题 2 DHCP 自动获得法 找到一台计算机连接要恢复管理地址的网络设备 如果设备自身提供了 DHCP 自动分配地址功能的话 我们在计算机上将会获得由网络设备自身提供的 IP 网关等网络信息 这个网关地址就是设备的管理地址 我们可以通过此地 址来访问管理界面 不过此方法也同样存在缺点 那就是假如设备自身设置时 就没有 开启 DHCP 服务 又或者出厂设置中默认关闭了 DHCP 服务的话 我们计 算机上将无法获得任何 DHCP 分配的信息 自然也就无法定位管理地址了 3 密码恢复控制台恢复法 最后一种方法多出现在路由器和交换机上 传统路由交换设备都可以通过 开机特殊方法进入到密码恢复控制台 通过这个控制台我们可以针对设备的基 本 信息进行修改 可以强行将密码 管理 IP 等参数更改为你输入的地址 这 样就实现了管理地址的恢复 不过这种方法局限性比较大 很多设备不支持 另外就算支 持的设备要恢复起来也需要通过命令行来完成 难度相对比较大 三 忘记管理地址莫慌用三 忘记管理地址莫慌用 sniffersniffer 巧解决 巧解决 最近笔者遇到了一个棘手的情况 手里有一台 VPN 设备默认的管理地址被 修改 通过说明书中提示的各个端口默认地址都无法顺利连接到管理界面 而 该设备自身也没有提供 RESET 功能 默认 DHCP 服务也被关闭 同时无法通过密 码恢复控制台来强置修改管理地址 也就是说通过以上种种传统的恢复管理地 址的方法都不行 于是笔者决定用 sniffer 工具来解决 第一步 首先找到一台电脑连接要查找到管理地址的网络设备相应端口 然后在本地计算机上启动 sniffer 工具 笔者选择的是 wireshark 网络分析专 家这个软件 启动软件选择本地网卡 如图 1 第二步 由于本地计算机无法通过 DHCP 动态获得 IP 地址等信息 所以 我们要为其设置一个地址 地址设置讲究技巧 可以尝试 10 X X X 或 192 168 x x 这些都是内网 IP 大部分设备的管理地址都会属于这个范畴 而子网掩码的选择就更加讲究了 一定要使用 255 0 0 0 这样 才能保证与管 理地址尽可能的在一个网段内 例如管理地址为 192 168 5 1 那么如果你的 计算机 IP 是 192 168 1 1 那么 255 255 255 0 作为子网掩码的话两者是 PING 不通的 如果 255 0 0 0 作为子网掩码的话由于 MASK 的关系两者在一个 网关是互相能够 PING 通的 这样更提高了我们猜测和扫描出设备管理地址的 概率 第三步 之后把网线从设备接口上拔掉 然后重新插上 一般来说由于该 端口重新有连接产生 端口会向外发送数据包 我们从 wireshark 管理 工具中 也看到了扫描到的数据包中除了本地发出的数据包外 还有一个来自 lannere1 0a 41 87 的数据包 内容是 gratuitous arp for 10 254 250 254 这个是 ARP 更新数据包 如图 2 第四步 通过 gratuitous arp for 10 254 250 254 这个 ARP 更新数据包 我们可以判断设备的管理地址为 10 254 250 254 因此我们就可以重新设置本 机 IP 地址来连接这个管理 IP 如图 3 第五步 设置本地 IP 地址与 10 254 250 254 在一个网段 同时网关指向 10 254 250 254 如图 4 第六步 设置生效后我们在本机就可以顺利的 PING 通 10 254 250 254 这 个管理地址了 如图 5 第七步 同时可以通过 IE 浏览器访问管理界面针对设备其他端口的信息进 行设置 如图 6 小提示 通过 sniffer 查找网络设备管理地址的方法往往需要反复尝试 并不是设 备所有接口都能够通过此方法获得管理地址 因为在实际破解和恢复时需要针 对设备各个接口进行 sniffer 反复测试后往往才能够找到真正的管理地址 四 小结 四 小结 本文介绍了通过 sniffer 类工具 wireshark 成功获取已经遗忘或丢失的网 络设备管理界面 IP 地址 通过此 方法可以解决没有 RESET 功能又默认没有开 启 DHCP 服务而又忘记管理地址的麻烦 除了 sniffer 检测法外各位用户还可以 通过笔者在文中提到的另外 一个方法 修改子网掩码为 255 0 0 0 的技巧来 提高破解概率 通过反复尝试 PING 各个网段第一个地址和最后一个 254 地址来 暴力破解管理地址 协议欺骗攻击技术常见种类简析及防范协议欺骗攻击技术常见种类简析及防范 IPIP 欺骗攻击欺骗攻击 IP 欺骗技术就是通过伪造某台主机的 IP 地址骗取特权从而进行攻击的技术 许多应用程序认为如果数据包能够使其自身沿着路由到达目的地 而且应答包 也可以回到源地 那么源 IP 地址一定是有效的 而这正是使源 IP 地址欺骗攻 击成为可能的前提 假设同一网段内有两台主机 A B 另一网段内有主机 X B 授予 A 某些特权 X 为获得与 A 相同的特权 所做欺骗攻击如下 首先 X 冒充 A 向主机 B 发送 一个带有随机序列号的 SYN 包 主机 B 响应 回送一个应答包给 A 该应答号 等于原序 列号加 1 然而 此时主机 A 已被主机 X 利用拒绝服务攻击 淹没 了 导致主机 A 服务失效 结果 主机 A 将 B 发来的包丢弃 为了完成三次握 手 X 还需要向 B 回送一个应答包 其应答号等于 B 向 A 发送数据 包的序列号 加 1 此时主机 X 并不能检测到主机 B 的数据包 因为不在同一网段 只有 利用 TCP 顺序号估算法来预测应答包的顺序号并将其发送给目标机 B 如果猜 测正确 B 则认为收到的 ACK 是来自内部主机 A 此时 X 即获得了主机 A 在主 机 B 上所享有的特权 并开始对这些服务实施攻击 要防止源 IP 地址欺骗行为 可以采取以下措施来尽可能地保护系统免受这类攻 击 抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以 地址为基础的验证 不允许 r 类远程调用命令的使用 删除 rhosts 文件 清 空 etc hosts equiv 文件 这将迫使所有用户使用其它远程通信手段 如 telnet ssh skey 等等 使用加密方法 在包发送到 网络上之前 我们可以对它进行加密 虽然加 密过程要求适当改变目前的网络环境 但它将保证数据的完整性和真实性 进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同 IP 地 址的连接请求 而且 当包的 IP 地址不在本网内时 路由器不应该把本网主机 的包发送出去 有一点要注意 路由器虽然可以封锁试图到达内部网络的特定类型的包 但它 们也是通过分析测试源地址来实现操作的 因此 它们仅能对声称是来自于内 部网络的外来包进行过滤 若你的网络存在外部可信任主机 那么路由器将无 法防止别人冒充这些主机进行 IP 欺骗 ARPARP 欺骗攻击欺骗攻击 在局域网中 通信前必须通过 ARP 协议来完成 IP 地址转换为第二层物理地址 即 MAC 地址 ARP 协议对网络安全具有重要的意义 但是当初 ARP 方式的 设计没有考虑到过多的安全问题 给 ARP 留下很多的隐患 ARP 欺骗就是其中 一个例子 而 ARP 欺骗攻击就是利用该协议漏洞 通过伪造 IP 地址和 MAC 地 址实现 ARP 欺骗的攻击技术 我们假设有三台主机 A B C 位于同一个交换式局域网中 监听者处于主机 A 而主机 B C 正在通信 现在 A 希望能嗅探到 B C 的数据 于是 A 就可以伪 装成 C 对 B 做 ARP 欺骗 向 B 发送伪造的 ARP 应答包 应答包中 IP 地址为 C 的 IP 地址而 MAC 地址为 A 的 MAC 地址 这个应答包会刷新 B 的 ARP 缓存 让 B 认为 A 就是 C 说详细点 就是让 B 认为 C 的 IP 地址映射到的 MAC 地址为主 机 A 的 MAC 地址 这样 B 想要发送给 C 的数据实际上却发送给了 A 就达到 了嗅探的目的 我们在嗅探到数据后 还必须将此数据转发给 C 这样就可以 保证 B C 的通信不被中断 以上就是基于 ARP 欺骗的嗅探基本原理 在这种嗅探方法中 嗅探者 A 实际上 是插入到了 B C 中 B 的数据先发送给了 A 然后再由 A 转发给 C 其数据传 输关系如下所示 B A C B A C 于是 A 就成功于截获到了它 B 发给 C 的数据 上面这就是一个简单的 ARP 欺 骗的例子 ARP 欺骗攻击有两种可能 一种是对路由器 ARP 表的欺骗 另一种是对内网 电脑 ARP 表的欺骗 当然也可能两种攻击同时进行 但不管怎么样 欺骗发送 后 电脑和路由器之间发送的数据可能就被送到错误的 MAC 地址上 防范 ARP 欺骗攻击可以采取如下措施 在客户端使用 arp 命令绑定网关的真实 MAC 地址命令 在交换机上做端口与 MAC 地址的静态绑定 在路由器上做 IP 地址与 MAC 地址的静态绑定 使用 ARP SERVER 按一定的时间间隔广播网段内所有主机的正确 IP MAC 映 射表 DNSDNS 欺骗攻击欺骗攻击 DNS 欺骗即域名信息欺骗是最常见的 DNS 安全问题 当一个 DNS 服务器掉入陷 阱 使用了来自一个恶意 DNS 服务器的错误信息 那么该 DNS 服务器 就被欺骗 了 DNS 欺骗会使那些易受攻击的 DNS 服务器产生许多安全问题 例如 将用 户引导到错误的互联网站点 或者发送一个电子邮件到一个未经授权的邮 件服 务器 网络攻击者通常通过以下几种方法进行 DNS 欺骗 1 缓存感染 黑客会熟练的使用 DNS 请求 将数据放入一个没有设防的 DNS 服务器的缓存当 中 这些缓存信息会在客户进行 DNS 访问时返回给客户 从而将客户引导到入 侵者所设置的运行木马的 Web 服务器或邮件服务器上 然后黑客从这些服务器 上获取用户信息 2 DNS 信息劫持 入侵者通过监听客户端和 DNS 服务器的对话 通过猜测服务器响应给客户端的 DNS 查询 ID 每个 DNS 报文包括一个相关联的 16 位 ID 号 DNS 服务器根据这 个 ID 号获取请求源位置 黑客在 DNS 服务器之前将虚假的响应交给用户 从而 欺骗客户端去访问恶意的网站 3 DNS 重定向 攻击者能够将 DNS 名称查询重定向到恶意 DNS 服务器 这样攻击者可以获得 DNS 服务器的写权限 防范 DNS 欺骗攻击可采取如下措施 直接用 IP 访问重要的服务 这样至少可以避开 DNS 欺骗攻击 但这需要你记 住要访问的 IP 地址 加密所有对外的数据流 对服务器来说就是尽量使用 SSH 之类的有加密支持 的协议 对一般用户应该用 PGP 之类的软件加密所有发到网络上的数据 这也 并不是怎么容易的事情 源路由欺骗攻击源路由欺骗攻击 通过指定路由 以假冒身份与其他主机进行合法通信或发送假报文 使受攻击 主机出现错误动作 这就是源路由攻击 在通常情况下 信息包从起点到终点 走 过的路径是由位于此两点间的路由器决定的 数据包本身只知道去往何处 但不知道该如何去 源路由可使信息包的发送者将此数据包要经过的路径写在 数据包里 使数据包循着一个对方不可预料的路径到达目的主机 下面仍以上 述源 IP 欺骗中的例子给出这种攻击的形式 主机 A 享有主机 B 的某些特权 主机 X 想冒充主机 A 从主机 B 假设 IP 为 aaa bbb ccc ddd 获得某些服务 首先 攻击者修改距离 X 最近 的路由器 使得到达此路由器且包含目的地址 aaa bbb ccc ddd 的数据包以主机 X 所在的 网络为目的地 然后 攻击者 X 利用 IP 欺骗向主机 B 发送 源路由 指定最近的 路由器 数据包 当 B 回送数据包时 就传送到被更改过的路由器 这就使一个 入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些 被保护数据 为了防范源路由欺骗攻击 一般采用下面两种措施 对付这种攻击最好的办法是配置好路由器 使它抛弃那些由外部网进来的却 声称是内部主机的报文 在路由器上关闭源路由 用命令 no ip source route 局域网局域网 IPIP 地址非法使用解决问题地址非法使用解决问题 在大多数局域网的运行管理工作中 网络管理员负责管理用户 IP 地址的分配 用户通过正确地注册后才被认为是合法用户 在局域网上任何用户使用未经授 权的 IP 地址都应视为 IP 非法使用 但在 Windows 操作系统中 终端用户可以 自由修改 IP 地址的设置 从而产生了 IP 地址非法使用的问题 改动后的 IP 地址在局域网中运行时可能出现的情况如下 a 非法的 IP 地址即 IP 地址不在规划的局域网范围内 b 重复的 IP 地址与已经分配且正在局域网运行的合法的 IP 地址发生资源冲突 使合法用户无法上网 c 冒用合法用户的 IP 地址当合法用户不在线时 冒用其 IP 地址联网 使合法 用户的权益受到侵害 1 1 IPIP 地址非法使用的动机地址非法使用的动机 IP 地址的非法使用问题 不是普通的技术问题 而是一个管理问题 只有找到 其存在的理由 根除其存在的基础 才可能从根本上杜绝其发生 分析非法使 用者的动机有以下几种情况 a 干扰 破坏网络服务器和网络设备的正常运行 b 企图拥有被非法使用的 IP 地址所拥有的特权 最典型的 就是因特网访问 权限 c 因机器重新安装 临时部署等原因 无意中造成的非法使用 2 2 非法使用方法非法使用方法 2 1 静态修改 IP 地址配置 用户在配置 TCP IP 选项时 使用的不是管理员分配 的 IP 地址 就形成了 IP 地址的非法使用 2 2 同时修改 MAC 地址和 IP 地址 非法用户还有可能将一台计算机的 IP 地址和 MAC 地址都改为另一台合法主机的 IP 地址和 MAC 地址 他们可以使用允许自定义 MAC 地址的网卡或使用软件修改 MAC 地址 2 3 IP 电子欺骗 IP 电子欺骗是伪造某台主机 IP 地址的技术 它通常需要编程来实现 通过使 用 SOCKET 编程 发送带有假冒的源 IP 地址的 IP 数据包 3 3 管理员的技术手段管理员的技术手段 3 1 静态 ARP 表的绑定 对于静态修改 IP 地址的问题 可以采用静态路由技术加以解决 即 IP MAC 地 址绑定 因为在一个网段内的网络寻址不是依靠 IP 地址而是物理地址 IP 地 址只是在网际之间寻址使用的 因此作为网关的路由器上有 IP MAC 的动态对应 表 这是由 ARP 协议生成并维护的 配置路由器时 可以指定静态的 ARP 表 路由器会根据静态的 ARP 表检查数据包 如果不能对应 则不进行数据转发 该方法可以阻止非法用户在不修改 MAC 地址的情况下 冒用 IP 地址进行跨网段 的访问 3 2 交换机端口绑定 借助交换机的端口 MAC 地址绑定功能可以解决非法用户修改 MAC 地址以适应 静态 ARP 表的问题 可管理的交换机中都有端口 MAC 地址绑定功能 使用交 换机提供的端口地址过滤模式 即交换机的每一个端口只具有允许合法 MAC 地 址的主机通过该端口访问网络 任何来自其它 MAC 地址的主机的访问将被拒 绝 3 3 VLAN 划分 严格来说 VLAN 划分不属于技术手段 而是管理与技术结合的手段 将具有相 近权限的 IP 地址划分到同一个 VLAN 设置路由策略 可以有效阻止非法用户 冒用其他网段的 IP 地址的企图 3 4 与应