网络监听实验(2013-4-3)

网络监听NetworkMonitoring1主要内容Sniffer概述共享局域网的嗅探CuteSniffer嗅探实例交换局域网的嗅探交换局域网嗅探实例2什么是Sniffer

网络监听的作用：监视网络的流量、状态、数据等信息，分析数据包，获得有价值的信息。网络监听工具：Sniffer(嗅探器)，有硬件和软件两种类型。一把双刃剑管理员的管理工具，主要是进行数据包分析，通过网络监听软件，观测分析实时经由的数据包，从而进行网络故障定位攻击者们常用的收集信息的工具

3Sniffer的网络环境共享式网络通过网络的所有数据包发往每一个主机最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上4被监听的网络以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电5截获的信息

口令金融帐号偷窥机密或敏感的信息数据（如e-mail内容）窥探低级的协议信息（如用于IP欺骗）

6网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。7网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现监听8Sniffer软件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能较全)9CuteSniffer10设置过滤器过滤器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

类型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.协议（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.11设置过滤器1.捕捉特定主机的ftp流:tcpport21andhost2.捕捉特定主机流出的包:srchost3.捕捉80端口发出的包:srcport8012设置过滤器13设置规则从文本文件rules.ini读规则header(option1;option2;...)

规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口规则选项14设置规则15设置规则例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)16捕捉矿大邮箱口令17捕捉矿大邮箱口令查看源文件，输入的口令名字为Password18捕捉矿大邮箱口令设置过滤器为Dsthost7或者Dsthost19捕捉矿大邮箱口令查找捕捉的包20捕捉矿大邮箱口令帧头21捕捉矿大邮箱口令包头22捕捉矿大邮箱口令TCP头23捕捉SINA邮箱口令24捕捉SINA邮箱口令25捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）26捕捉POP3邮箱口令在登录前启动捕捉27捕捉POP3邮箱口令捕捉结果28捕捉POP3邮箱口令29捕捉POP3邮箱口令30捕捉FTP口令这是一个FTP站点31捕捉FTP口令准备登录32捕捉FTP口令启动捕捉，输入用户名与密码33捕捉FTP口令捕捉的内容34捕捉FTP口令35捕捉FTP口令36捕捉BBS口令这个是北大BBS站点37捕捉BBS口令搜索pw38捕捉Telnet口令可以通过Telnet登录BBS开始－运行－cmd－telnet39捕捉Telnet口令40捕捉Telnet口令设置过滤器的两种方式41捕捉Telnet口令42捕捉Telnet口令口令的第一个字母是143捕捉Telnet口令口令的第二个字母是244捕捉Telnet口令口令的第三个字母是345捕捉毕业设计管理系统的口令46自动捕捉口令AcePasswordSniffer，能监听LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet密码。47自动捕捉口令密码监听器。48交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。交换网络嗅探的关键：如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗49MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包50利用交换机的镜像功能利用交换机的镜像功能51利用ARP欺骗首先介绍以太数据包格式

目的MAC地址源MAC地址类型数据66246~1500类型0800：IP数据包

类型0806：ARP数据包52然后介绍ARP数据包格式

目的端MAC地址源MAC地址0806硬件类型协议类型硬件地址长度协议地址长度ARP包类型发送端MAC地址发送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太网首部-------->

<------26字节ARP请求/应答-------->53交换局域网嗅探在VICTIM运行ARP–A，有如下输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic54交换局域网嗅探在ATTACKER上构建并发送表一所示的包，其中目的mac为00-00-00-00-00-02，目的IPaddress为，发送者MAC为00-00-00-00-00-01，发送者IP为（假冒IP）。在VICTIM上运行ARP–A，有如下的输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-01dynamic欺骗成功！（通过网关出去的信息发给了攻击者）55交换局域网嗅探网络剪刀手来切断局域网内任何一台主机与网关之间通信。不论是交换环境还是普通环境.得到整个局域网内所有开机主机的IP地址<-->MAC(物理地址)<-->Hostname(主机名)对应列表，并且可以打印出来。或者导入excel文件，数据库。来对局域网内部错误IP配置的主机快速查找。56交换局域网嗅探网络执法官实时记录上线用户并存档备查。自动侦测未登记主机接入并报警限定各主机的IP，防止IP盗用限定各主机的连接时段"网络执法官"是一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机（本文中主机指各种计算机、交换机等配有IP的网络设备）进行监控；采用网卡号