第9章网络嗅探技术.ppt

曾湘黔主编：网络安全技术,清华大学出版社出版,网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。网络监控的基础是数据捕获，网络监控系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，我们称这种数据获取方式为网络嗅探。网络嗅探是网络监控系统的实现基础,第9章网络嗅探技术,9.1网络嗅探监听的原理9.1.1网卡工作原理9.1.2网络嗅探监听的原理9.1.3网络嗅探器接入方案9.1.4无线局域网嗅探技术原理9.2网络监听的防范措施9.2.1局域网网络监听的防范措施9.2.2无线局域网网络监听的防范措施9.3典型嗅探监听工具9.3.1Tcpdump/Windump9.3.2Sniffit9.3.3Ettercap9.3.4Snarp,第9章网络嗅探技术,曾湘黔主编：网络安全技术,清华大学出版社出版,网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。,9.1网络嗅探监听的原理9.1.1网卡工作原理,曾湘黔主编：网络安全技术,清华大学出版社出版,对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作混杂模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。当主机工作在混杂模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于混杂模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。,9.1.2网络嗅探监听的原理,曾湘黔主编：网络安全技术,清华大学出版社出版,1共享式以太网环境中应用网络嗅探器在共享式以太网中，同一网段中所有主机都连接到一个集线器（HUB）上。当同一网段中的任何一台主机发送一个数据包后，都会通过集线器以广播的方式发送到网络当中，处在同一网络中的所有其它主机都会看到这些数据包，然后通过查找数据包中的目的地址来确认这个包是否是发给自己的。如果是，就接收这个数据包，如果不是，就会丢弃这个包。这样一来，在共享式以太网中，要嗅探进出某台主机接口卡中的流量和嗅探整个网络中的流量都是非常简单的。我们只要将网络嗅探器通过网线连接到集线器中的任意一个空闲端口，然后通过网络嗅探软件，将嗅探器的网络接口卡的工作模式设为混杂模式，就可以捕捉到在网络上传输的所有网络流量。,9.1.3网络嗅探器接入方案,曾湘黔主编：网络安全技术,清华大学出版社出版,2在交换机或路由器的网络环境中应用网络嗅探器交换机是通过MAC地址表来决定将数据包转发到哪个端口的。原则上来讲，简单通过物理方式将网络嗅探器接入到交换机端口，然后将嗅探器的网络接口卡设为混杂模式，依然只能捕捉到进出网络嗅探器本身的数据包。那么，我们是否有方法可以在交换机网络中，让网络嗅探器捕捉到网络中某台主机的流量，或者整个网段的网络流量呢？答案是肯定的。不过有一定条件限制的。首先，你应当具有物理接触目标网络的权限，另外，你还具有使用网络嗅探器，以及调整网络设置的权限。满足了这些条件，我们就一起来分析如何通过端口镜像（portmirroing）功能达到在交换机网络中嗅探网络流量的目的。现在一些可网管式交换机，一般都有一种叫做端口镜像的功能，有的也叫端口绑定（portspanning）。这种功能允许你将交换机中的一个端口设置为端口镜像模式，然后再指定要被镜像的交换机端口关联到这个指定了镜像功能的端口上。完成设置后，这些被镜像的交换机端口中的流量将会同时复制一份到镜像端口上。这样，只要将网络嗅探器连接到这个端口上，然后将嗅探器的网络接口卡设为混杂模式，就可以嗅探到连接到交换机中这些被镜了的端口上的主机发送的数据包。例如DLink生产的DGS3427系列交换机就可以设置端口镜像功能。而且，有些可网管交换机还可以通过WEB方式直观地设置这种功能。的方式来将网络分析器接入到交换机及网络环境中。,曾湘黔主编：网络安全技术,清华大学出版社出版,在802.1lb无线局域网中一个无线节点并不把数据帧直接发送给另一个节点而是把目的地、接收工作站的地址放在帧的头部，然后把数据帧通过无线电信号发送。所有的无线网络节点平时处在混杂模式接收到一个数据帧后。利用802.11MAC头的第一个地址来判断是不是应该处理这个帧。如果是，该节点就把该数据帧放入存储器，然后传递给协议栈下一层进行处理。如果消息接收准确接收节点通常发送一个ACK进行确认。通过这个过程我们可以发现在进行物理地址的匹配判断之前，所有无线信号覆盖范围内的网络节点都能够从物理上接收到通信的数据帧。如果把这个判断的过程人为地去掉，就可以达到接收所有8021lb数据的目的。这个工作就是把无线网卡设成混杂模式(promiscuousmode)。值得注意的是，和有线网络不同处在混杂模式的无线节点不能发送数据帧，只能够接收数据帧。这样无线嗅探更加不易被探测到。在实现嗅探时，首先设置用于嗅探的计算机，即在嗅探机上装好无线网卡，并把网卡设置为混杂模式。在混杂模式下，网卡能够接收一切通过它的数据包，进而对数据包解析，实现数据窃听。其次实现循环抓取数据包，并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析，依次提取出以太帧头、IP包头、TCP包头等，然后对各个报头部分和数据部分进行相应的分析处理。,9.1.4无线局域网嗅探技术原理,曾湘黔主编：网络安全技术,清华大学出版社出版,1.如何检测到嗅探由于在一个普通的网络环境中，账号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。如何才知道有没有Sniffer在我的网上跑呢？这也是一个很难说明的问题，比较有说服力地证明你的网络有Sniffer，有如下几条特征：（1）网络通信掉包率异常高（2）网络带宽出现异常（3）Sniffer的记录文件会很快增大并填满文件空间（4）将网络接口置为混杂模式以接收所有数据包,9.2网络监听的防范措施9.2.1局域网网络监听的防范措施,曾湘黔主编：网络安全技术,清华大学出版社出版,2.阻止网络嗅探的方法网络嗅探确实是难于检测的，但它确实是可以预防的，下面就介绍一些网络嗅探的预防方法。（1）主动集线器（2）加密（3）Kerberos（4）一次性口令技术（5）非混杂模式网络接口设备,曾湘黔主编：网络安全技术,清华大学出版社出版,1.加强网络访问控制2.网络设置为封闭系统3.一次性口令技术4.采用新安全标准802.1li,9.2.2无线局域网网络监听的防范措施,曾湘黔主编：网络安全技术,清华大学出版社出版,1.Tcpdump这是最老的也是最通用的窃听程序。在最简单的模式，它将在命令行的方式下堆积单行的解码，一行一个包。这个程序是UNIX下捕获数据包的标准。Tcpdump这个Sniffer很有名，Linux，FREEBSD还把它搭带在系统上，这是一个被很多UNIX高手认为是一个专业的网络管理工具。2.WindumpWindump是Windows环境下一款经典的网络协议分析软件，其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包，供网络管理员/入侵分析员做进一步流量分析和入侵检测。在这种监视状态下，任何两台电脑之间都没有秘密可言。windows下也有一个类似的工作，叫windump，可以方便的根据需要进行抓包。,9.3典型嗅探监听工具9.3.1Tcpdump/Windump,曾湘黔主编：网络安全技术,清华大学出版社出版,Sniffit是由LawrenceBerkeleyLaboratory开发的，可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听当然，数据包必须经过运行sniffit的机器才能进行监听，因此它只能够监听在同一个网段上的机器。而且还能够自由地为其增加某些插件以实现额外功能。,9.3.2Sniffit,曾湘黔主编：网络安全技术,清华大学出版社出版,Ettercap最初是设计为交换网上的网络嗅探工具，随着发展，它获得了越来越多的功能，成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性（如OS指纹等）分析。1.Ettercap有5种Sniffing工作方式：IPBASED：在基于IP地址的Sniffing方式下，Ettercap将根据源IP地址和端口，以及目的IP和端口来捕获数据包。MACBASED：在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数据包，这种方式在捕获通过网关的数据包时很有用。ARPBASED：在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的全双工通信。SMARTARP：在SMARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有已知的其他主机（存在于主机表中的主机）之间的全双工通信。PUBLICARP：在PUBLICARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有其他主机之间的通信（半双工）。此方式以广播方式发送ARP响应，如果Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取SMARTARP方式，且ARP响应会发送给被监听主机之外的所有主机，以避免在Win2K上出现IP地址冲突的消息。,9.3.3Ettercap,曾湘黔主编：网络安全技术,清华大学出版社出版,2.Ettercap中最常用的功能有：（1）在已有连接中注入数据：可以在维持原有连接不变的基础上向服务器或客户端注入数据，以达到模拟命令或响应的目的。（2）SSH支持：可以捕获SSH连接上的User和PASS信息，甚至是其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。（3）HTTPS支持：可以监听httpSSL连接上加密数据，甚至可以监听通过代理的连接。（4）监听通过GRE通道的远程通信：你可以通过监听来自远程Cisco路由器的GRE通道的数据流，并对它进行中间人攻击。（5）Plug-in支持：可以通过Ettercap的API创建自己的Plug-in。（6）口令收集：可以收集以下协议的口令信息，TELNET、FTP、POP、RLOGIN、SSH1.ICQ、SMB、MySQL、HTTP、NNTP、X11.NAPSTER、IRC、RIP、BGP、SOCK5.IMAP4.VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3.MSNYMSG，当然不久还会有新的协议获得支持。（7）数据包过滤和丢弃：可以建立一个查找特定字符串（甚至包括十六进制数）的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包，或丢弃整个数据包。,曾湘黔主编：网络安全技术,清华大学出版社出版,（8）被动的OS指纹提取：可以被动地（不必主动发送数据包）获取局域网上计算机系统的详细信息，包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。（9）OS指纹：可以提取被控主机的OS指纹以及它的网卡信息（利用NMAPFyodor数据库）。（10）杀死一个连接：杀死当前连接表中的连接，甚至所有连接。（11）数据包生产：可以创建和发送伪造的数据包。允许伪造从以太帧头到应用层的所有信息。（12）把捕获的数据流绑定到一个本地端口：可以通过一个客户端软件连接到该端口