第7章 网络嗅探

第7章嗅探——网络中的窃听技术网络攻防技术主要内容嗅探技术概述嗅探的原理与实现嗅探的检测与防范网络攻防技术嗅探窃听是间谍获取情报的一种重要手段嗅探（Sniff）技术是网络中的窃听嗅探程序（Sniffer）截获网络中传输的数据，并从中解析出其中的机密信息网络攻防技术口令嗅探主机A：您的主机FTP服务器主机B：安装了“窃听程序”的主机Username：studentPassword：htjtyd%32如果主机B处于主机A和FTP通信的信道上，就可以“窃听到”合法的用户名及口令。？Username？Passwordstudenthtjtyd%32网络攻防技术攻击者进行嗅探的目的窃取各种用户名和口令窃取机密的信息如电子邮件正文及附件、网络打印的文档等窥探底层的协议信息如DNS的IP地址、本机IP地址、本机MAC地址，远程主机的IP地址、网关的IP地址、一次TCP连接的SequenceNumber中间人攻击时篡改数据的基础网络攻防技术嗅探的正当用途解释网络上传输的数据包的含义为网络诊断提供参考为网络性能分析提供参考，发现网络瓶颈

发现网络入侵迹象，为入侵检测提供参考将网络事件记入日志网络攻防技术讨论范围限定802.3以太网使用广播信道的网络，在以太网中所有通信都是广播的目前的以太网分为共享式以太网和交换式以太网共享式以太网使用同轴电缆或HUB连接交换式以太网使用交换机连接网络攻防技术共享式以太网包转发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB发送到C网络攻防技术数据到达主机时的格式在以太网中传输的数据包，其包格式为：应用层数据TCP包头IP包头MAC帧头应用层传输层网络层数据链路层应用程序操作系统网络接口网络攻防技术数据发送应用层传输层网络层主机网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头网络攻防技术数据接收应用层传输层网络层主机网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头网络攻防技术主机接收数据以太网卡首先从网络中接收数据，并在处理完成数据链路层的任务后向操作系统的传递。网络攻防技术以太网卡的工作原理网卡接收到传输来的数据，网卡内的单片程序检查数据帧的目的MAC地址，根据网卡驱动程序设置的接收模式决定是否接收若不应接收就直接丢弃否则通过中断的方式通知操作系统操作系统根据驱动设置的中断程序地址调用驱动程序接收数据驱动程序将数据放入堆栈让操作系统处理。网络攻防技术以太网卡的侦听模式侦听模式是网络适配器分析传入帧的目标MAC地址，以决定是否进一步处理它们的方式。单播模式：接收单播和广播数据帧组播模式：接收单播、广播和组播数据帧混杂模式：接收所有数据帧网络攻防技术单播模式单播模式下，网卡只让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过，而过滤掉其它的帧。网络攻防技术混杂模式混杂（promiscuous）模式下工作的网卡能够接收到一切通过它的数据，而不进行数据的目的地址检查，即不再进行硬件过滤。网络攻防技术嗅探程序设计从程序设计角度，Sniffer程序至少包括三个模块：网络数据驱动：捕获数据包协议还原：分析数据包缓冲区管理：管理缓冲区网络攻防技术Windows环境下的包捕获使用WinSock编程接口创建原始套接字，并使用WSAIoctl()函数将套接字设置为接收所有数据。使用WinpcapNpf.sys：设备驱动，捕获和发送原始数据包Packet.dll

：使用Npf.sys包捕获和发送能力的应用程序编程接口Wpcap.dll

：与Libpcap相兼容的更高层次抽象http://winpcap.polito.it/网络攻防技术嗅探器WindowsSniffer_proNetxraywiresharkUnixSniffitSnortTcpdump/etherreal网络攻防技术广域环境的嗅探理论上，广域环境下的嗅探并不可行在实践中，可以在远程传输中的端点或是必经中间节点进行嗅探内部网络外部网络主机B主机A服务器网络攻防技术交换式以太网交换式以太网是使用交换机组建的局域网交换机使用端口和MAC地址对应表进行数据转发，根据数据包的目的MAC地址，选定目标端口E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444网络攻防技术共享式以太网包转发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB发送到C网络攻防技术交换式以太网包转发E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX网络攻防技术交换式以太网的嗅探0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX攻击交换机将其从桥（Bridge）模式变为重复（repeat）模式攻击智能交换机将端口配置为镜像端口硬件接入网络攻防技术嗅探的防范广播信道使用网络分段用交换机代替HUB明文传输数据加密网络攻防技术嗅探的检查嗅探器检查比较困难商业嗅探器向外发送的数据包向主机发送可以触发操作系统作出响应，同时又不能通过硬件过滤的数据包，就可以检测主机网络接口的接收模式。实践中，这种数据包的应有特殊的目的MAC地址。检测网络监听工具AntiSniff介绍ARP检测模式向目标主机发送一个ARP请求，该请求包中包含伪造的MAC硬件地址。如果目标主机不处于混杂模式，它将丢弃这些信息包。但如果此目标主机处于混杂模式，ARP请求就会发送到内核进行处理，并响应该应答。通过应答信息，就可以判断其处于混杂模式。DNS测试模式

SNIFFER工具要进行反向DNS查询。利用该特性，ANTISNIFFER工具可以发送大量具有伪造IP地址的数据包，通过监听网络上的反向DNS数据包可以发现该网络是否有主机处于混杂模式。Etherping测试模式向目标主机发送具有正确IP地址和伪造MAC地址的ICMPECHO包，若主机处于混杂模式