网络嗅探器及网络中的窃听技术

第二章网络攻击的高级话题主要内容嗅探假消息攻击第一节网络嗅探—网络中的窃听技术本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范嗅探窃听是间谍获取情报的一种重要手段。嗅探（Sniff）技术就是网络世界中的窃听。口令嗅探只要能够接入数据通信的信道就可以嗅探主机A：您的主机FTP服务器主机B：安装了“窃听程序”的主机？Username？PasswordleaderTmd%32Username：leaderPassword：Tmd%234攻击者进行嗅探的目的窃取各种用户名和口令窃取机密的信息窥探底层的协议信息嗅探的其它用途解释网络上传输的数据包的含义为网络诊断提供参考为网络性能分析提供参考，发现网络瓶颈

发现网络入侵迹象，为入侵检测提供参考将网络事件记入日志

本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范Q：嗅探就是截获网络上的数据，那么正常情形下，主机是如何接收数据的？数据到达主机时的格式一个典型的在网络传输的数据包会包括应用层数据、TCP包头、IP包头、MAC帧头几个部分，它们实际和TCP/IP协议栈各个协议层相对应应用层数据TCP包头IP包头MAC帧头主机系统中的TCP/IPTCP/IP模型应用层传输层网络层主机－网络层应用程序操作系统操作系统网络设备数据发送应用层传输层网络层主机－网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头数据接收应用层传输层网络层主机－网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头以太网802.3以太网是一种使用广播信道的网络，在以太网中所有通信都是广播的。主机接收数据的条件主机是否接收网络上的数据事实上通过两个“过滤”来决定：一是硬件过滤；一是软件过滤硬件过滤任何一个网络接口都有一个的硬件地址，也就是网卡的MAC地址正常情况下，NIC让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过，而过滤掉其它的帧网卡的模式广播模式组播模式普通模式混杂模式混杂模式混杂（promiscuous）模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他嗅探器的组成网络数据驱动协议解码缓冲区管理模块网络流量实时分析、包的编辑和传输模块嗅探器的实现使用WinSock编程接口创建原始套接字，并使用WSAIoctl()函数将套接字设置为接收所有数据。使用WinpcapNpf.sys、Packet.dll、Wpcap.dll

http://winpcap.polito.it/本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范Q：广域环境下可以嗅探吗？交换式网络环境下可以嗅探吗？广域环境的嗅探广域环境下的嗅探必须把远程关系转换某种形式的本地关系内部网络外部网络主机B主机A服务器交换式以太网交换式以太网是使用交换机组建的局域网交换机使用端口和MAC地址对应表进行数据转发交换式以太网的嗅探让交换设备的端口从桥（Bridge）模式变为重复（repeat）模式

硬件接入

其它？本节主要内容一、嗅探技术概述二、嗅探的原理与实现三、高级话题四、嗅探的检测与防范嗅探的防范使用网络分段用交换机代替HUB数据加密嗅探的检查嗅探器检查比较困难商业嗅探器向外发送的数据包向主机发送可以通过软件过滤，但不能通过硬件过滤的数据包，比如伪广播地址和多播地址的数据包，就可以检测主机网络接口的接收模式特殊ARP请求物理地址

Windows9X/ME

Win2000/NT4

Linux2.2/2.4

正常混杂正常混杂正常混杂FF-FF-FF-FF-FF-FF

√

√√√√√FF-FF-FF-FF-FF-FE

－

√－√－√FF-FF-00-00-00-00

－√－√－√FF-00-00-00-00-00－√－－－√01-00-00-0