网络监听-计算机系统安全课件

网络监听曹天杰tjcao@中国矿业大学计算机科学与技术学院1网络监听1主要内容Sniffer概述共享局域网的嗅探CuteSniffer嗅探实例交换局域网的嗅探交换局域网嗅探实例2主要内容Sniffer概述2网络监听-计算机系统安全课件网络监听-计算机系统安全课件被监听的网络以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电5被监听的网络以太网5截获的信息

口令金融帐号偷窥机密或敏感的信息数据（如e-mail内容）窥探低级的协议信息（如用于IP欺骗）

6截获的信息口令6网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。7网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现监听8网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现Sniffer软件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能较全)9Sniffer软件Wireshark9CuteSniffer10CuteSniffer10设置过滤器过滤器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

类型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.协议（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.11设置过滤器过滤器。Options->Programop设置过滤器1.捕捉特定主机的ftp流:tcpport21andhost2.捕捉特定主机流出的包:srchost3.捕捉80端口发出的包:srcport8012设置过滤器1.捕捉特定主机的ftp流:12设置过滤器13设置过滤器13设置规则从文本文件rules.ini读规则header(option1;option2;...)

规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口规则选项14设置规则从文本文件rules.ini读规则14设置规则15设置规则15设置规则例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)16设置规则例子rules.ini16捕捉矿大邮箱口令17捕捉矿大邮箱口令17捕捉矿大邮箱口令查看源文件，输入的口令名字为Password18捕捉矿大邮箱口令查看源文件，输入的口令名字为Password捕捉矿大邮箱口令设置过滤器为Dsthost7或者Dsthost19捕捉矿大邮箱口令设置过滤器为19捕捉矿大邮箱口令查找捕捉的包20捕捉矿大邮箱口令查找捕捉的包20捕捉矿大邮箱口令帧头21捕捉矿大邮箱口令帧头21捕捉矿大邮箱口令包头22捕捉矿大邮箱口令包头22捕捉矿大邮箱口令TCP头23捕捉矿大邮箱口令TCP头232424捕捉SINA邮箱口令25捕捉SINA邮箱口令25捕捉SINA邮箱口令26捕捉SINA邮箱口令26捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）27捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）捕捉POP3邮箱口令在登录前启动捕捉28捕捉POP3邮箱口令在登录前启动捕捉28捕捉POP3邮箱口令捕捉结果29捕捉POP3邮箱口令捕捉结果29捕捉POP3邮箱口令30捕捉POP3邮箱口令30捕捉POP3邮箱口令31捕捉POP3邮箱口令31捕捉FTP口令这是一个FTP站点32捕捉FTP口令这是一个FTP站点32捕捉FTP口令准备登录33捕捉FTP口令准备登录33捕捉FTP口令启动捕捉，输入用户名与密码34捕捉FTP口令启动捕捉，输入用户名与密码34捕捉FTP口令捕捉的内容35捕捉FTP口令捕捉的内容35捕捉FTP口令36捕捉FTP口令36捕捉FTP口令37捕捉FTP口令37捕捉BBS口令这个是北大BBS站点38捕捉BBS口令这个是北大BBS站点38捕捉BBS口令搜索pw39捕捉BBS口令搜索pw39捕捉Telnet口令可以通过Telnet登录BBS开始－运行－cmd－telnet40捕捉Telnet口令可以通过Telnet登录BBS40捕捉Telnet口令41捕捉Telnet口令41捕捉Telnet口令设置过滤器的两种方式42捕捉Telnet口令设置过滤器的两种方式42捕捉Telnet口令43捕捉Telnet口令43捕捉Telnet口令口令的第一个字母是144捕捉Telnet口令口令的第一个字母是144捕捉Telnet口令口令的第二个字母是245捕捉Telnet口令口令的第二个字母是245捕捉Telnet口令口令的第三个字母是346捕捉Telnet口令口令的第三个字母是346捕捉毕业设计管理系统的口令47捕捉毕业设计管理系统的口令47自动捕捉口令AcePasswordSniffer，能监听LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet密码。48自动捕捉口令AcePasswordSniffer，能监听自动捕捉口令密码监听器。49自动捕捉口令密码监听器。49交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。交换网络嗅探的关键：如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗50交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包51MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的I利用交换机的镜像功能利用交换机的镜像功能52利用交换机的镜像功能利用交换机的镜像功能52利用ARP欺骗首先介绍以太数据包格式

目的MAC地址源MAC地址类型数据66246~1500类型0800：IP数据包

类型0806：ARP数据包53利用ARP欺骗首先介绍以太数据包格式

目的MAC然后介绍ARP数据包格式

目的端MAC地址源MAC地址0806硬件类型协议类型硬件地址长度协议地址长度ARP包类型发送端MAC地址发送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太网首部-------->

<------26字节ARP请求/应答-------->54然后介绍ARP数据包格式

交换局域网嗅探在VICTIM运行ARP–A，有如下输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic55交换局域网嗅探在VICTIM运行ARP–A，有如下输出：5交换局域网嗅探在ATTACKER上构建并发送表一所示的包，其中目的mac为00-00-00-00-00-02，目的IPaddress为，发送者MAC为00-00-00-00-00-01，发送者IP为（假冒IP）。在VICTIM上运行ARP–A，有如下的输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-01dynamic欺骗成功！（通过网关出去的信息发给了攻击者）56交换局域网嗅探在ATTACKER上构建并发送表一所示的包，其交换局域网嗅探网络剪刀手来切断局域网内任何一台主机与网关之间通信。不论是交换环境还是普通环境.得到整个局域网内所有开机主机的IP地址<-->MAC(物理地址)<-->Hostname(主机名)对应列表，并且可以打印出来。或者导入excel文件，数据库。来对局域网内部错误IP配置的主机快速查找。57交换局域网嗅探网络剪刀手57交换局域网嗅探网络执法官实时记录上线用户并存档备查。自动侦测未登记主机接入并报警限定各主机的IP，防止IP盗用限定各主机的连接时段"网络执法官"是一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机（本文中主机指各种计算机、交换机等配有IP的网络设备）进行监控；采用网卡号（MAC）识别用户，可靠性高；58交换局域网嗅探网络执法官58交换局域网嗅探Arpsniffer格式为arpsniffer780D:\1.txt0是网关IP6这是我自己的ip现在我要监听的ip为780是http端口当然这里你可以改成任何其他的端口比如改为21这样你监听的就是ftp端口D:\1.txt是把sniffer的结果保存的地方0指的是网卡ID,网卡ID非1既059交换局域网嗅探Arpsniffer596060网络监听曹天杰tjcao@中国矿业大学计算机科学与技术学院61网络监听1主要内容Sniffer概述共享局域网的嗅探CuteSniffer嗅探实例交换局域网的嗅探交换局域网嗅探实例62主要内容Sniffer概述2网络监听-计算机系统安全课件网络监听-计算机系统安全课件被监听的网络以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电65被监听的网络以太网5截获的信息

口令金融帐号偷窥机密或敏感的信息数据（如e-mail内容）窥探低级的协议信息（如用于IP欺骗）

66截获的信息口令6网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。67网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现监听68网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现Sniffer软件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能较全)69Sniffer软件Wireshark9CuteSniffer70CuteSniffer10设置过滤器过滤器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

类型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.协议（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.71设置过滤器过滤器。Options->Programop设置过滤器1.捕捉特定主机的ftp流:tcpport21andhost2.捕捉特定主机流出的包:srchost3.捕捉80端口发出的包:srcport8072设置过滤器1.捕捉特定主机的ftp流:12设置过滤器73设置过滤器13设置规则从文本文件rules.ini读规则header(option1;option2;...)

规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口规则选项74设置规则从文本文件rules.ini读规则14设置规则75设置规则15设置规则例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)76设置规则例子rules.ini16捕捉矿大邮箱口令77捕捉矿大邮箱口令17捕捉矿大邮箱口令查看源文件，输入的口令名字为Password78捕捉矿大邮箱口令查看源文件，输入的口令名字为Password捕捉矿大邮箱口令设置过滤器为Dsthost7或者Dsthost79捕捉矿大邮箱口令设置过滤器为19捕捉矿大邮箱口令查找捕捉的包80捕捉矿大邮箱口令查找捕捉的包20捕捉矿大邮箱口令帧头81捕捉矿大邮箱口令帧头21捕捉矿大邮箱口令包头82捕捉矿大邮箱口令包头22捕捉矿大邮箱口令TCP头83捕捉矿大邮箱口令TCP头238424捕捉SINA邮箱口令85捕捉SINA邮箱口令25捕捉SINA邮箱口令86捕捉SINA邮箱口令26捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）87捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）捕捉POP3邮箱口令在登录前启动捕捉88捕捉POP3邮箱口令在登录前启动捕捉28捕捉POP3邮箱口令捕捉结果89捕捉POP3邮箱口令捕捉结果29捕捉POP3邮箱口令90捕捉POP3邮箱口令30捕捉POP3邮箱口令91捕捉POP3邮箱口令31捕捉FTP口令这是一个FTP站点92捕捉FTP口令这是一个FTP站点32捕捉FTP口令准备登录93捕捉FTP口令准备登录33捕捉FTP口令启动捕捉，输入用户名与密码94捕捉FTP口令启动捕捉，输入用户名与密码34捕捉FTP口令捕捉的内容95捕捉FTP口令捕捉的内容35捕捉FTP口令96捕捉FTP口令36捕捉FTP口令97捕捉FTP口令37捕捉BBS口令这个是北大BBS站点98捕捉BBS口令这个是北大BBS站点38捕捉BBS口令搜索pw99捕捉BBS口令搜索pw39捕捉Telnet口令可以通过Telnet登录BBS开始－运行－cmd－telnet100捕捉Telnet口令可以通过Telnet登录BBS40捕捉Telnet口令101捕捉Telnet口令41捕捉Telnet口令设置过滤器的两种方式102捕捉Telnet口令设置过滤器的两种方式42捕捉Telnet口令103捕捉Telnet口令43捕捉Telnet口令口令的第一个字母是1104捕捉Telnet口令口令的第一个字母是144捕捉Telnet口令口令的第二个字母是2105捕捉Telnet口令口令的第二个字母是245捕捉Telnet口令口令的第三个字母是3106捕捉Telnet口令口令的第三个字母是346捕捉毕业设计管理系统的口令107捕捉毕业设计管理系统的口令47自动捕捉口令AcePasswordSniffer，能监听LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet密码。108自动捕捉口令AcePasswordSniffer，能监听自动捕捉口令密码监听器。109自动捕捉口令密码监听器。49交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。交换网络嗅探的关键：如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗110交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包111MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的I利用交换机的镜像功能利用交换机的镜像功能112利用交换机的镜像功能利用交换机的镜像功能52利用ARP欺骗首先介绍以太数据包格式

目的MAC地址源MAC地址类型数据66246~1500类型0800：IP数据包

类型0806：ARP数据包113利用ARP欺骗首先介绍以太数据包格式

目的MAC然后介绍ARP数据包格式

目的端MAC地址源MAC地址0806硬件类型协议类型硬件地址长度协议地址长度ARP包类型发送端MAC地址发送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太网首部-------->

<------26字节ARP请求/应答-------->114然后介绍ARP数据包格式

交换局域网嗅探在VICTIM运行ARP–A，有如下输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03