网络嗅探器及网络中的窃听技术.ppt

第二章网络攻击的高级话题,主要内容,嗅探假消息攻击,第一节网络嗅探,网络中的窃听技术,本节主要内容,一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范,嗅探,窃听是间谍获取情报的一种重要手段。嗅探（Sniff）技术就是网络世界中的窃听。,口令嗅探,只要能够接入数据通信的信道就可以嗅探,主机A：您的主机,FTP服务器,主机B：安装了“窃听程序”的主机,Username：leaderPassword：Tmd%234,攻击者进行嗅探的目的,窃取各种用户名和口令窃取机密的信息窥探底层的协议信息,嗅探的其它用途,解释网络上传输的数据包的含义为网络诊断提供参考为网络性能分析提供参考，发现网络瓶颈发现网络入侵迹象，为入侵检测提供参考将网络事件记入日志,本节主要内容,一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范,Q：,嗅探就是截获网络上的数据，那么正常情形下，主机是如何接收数据的？,数据到达主机时的格式,一个典型的在网络传输的数据包会包括应用层数据、TCP包头、IP包头、MAC帧头几个部分，它们实际和TCP/IP协议栈各个协议层相对应,主机系统中的TCP/IP,TCP/IP模型,应用层,传输层,网络层,主机网络层,应用程序,操作系统,操作系统,网络设备,数据发送,应用数据,数据接收,应用数据,以太网,802.3以太网是一种使用广播信道的网络，在以太网中所有通信都是广播的。,主机接收数据的条件,主机是否接收网络上的数据事实上通过两个“过滤”来决定：一是硬件过滤；一是软件过滤,硬件过滤,任何一个网络接口都有一个的硬件地址，也就是网卡的MAC地址正常情况下，NIC让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过，而过滤掉其它的帧,网卡的模式,广播模式组播模式普通模式混杂模式,混杂模式,混杂（promiscuous）模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他,嗅探器的组成,网络数据驱动协议解码缓冲区管理模块网络流量实时分析、包的编辑和传输模块,嗅探器的实现,使用WinSock编程接口创建原始套接字，并使用WSAIoctl()函数将套接字设置为接收所有数据。使用WinpcapNpf.sys、Packet.dll、Wpcap.dllhttp:/winpcap.polito.it/,本节主要内容,一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范,Q：,广域环境下可以嗅探吗？交换式网络环境下可以嗅探吗？,广域环境的嗅探,广域环境下的嗅探必须把远程关系转换某种形式的本地关系,主机B,主机A,服务器,交换式以太网,交换式以太网是使用交换机组建的局域网交换机使用端口和MAC地址对应表进行数据转发,交换式以太网的嗅探,让交换设备的端口从桥（Bridge）模式变为重复（repeat）模式硬件接入其它？,本节主要内容,一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范,嗅探的防范,使用网络分段用交换机代替HUB数据加密,嗅探的检查,嗅探器检查比较困难商业嗅探器向外发送的数据包向主