网络信息对抗第三章网络嗅探与协议

网络信息对抗主讲人：张瑜Email:bullzhangyu@QQ:344248003网络信息对抗第三章：网络嗅探与协议分析提纲网络嗅探技术课堂实践：使用Tcpdump网络协议分析技术课堂实践：使用Wireshark作业“墙有耳，伏寇在侧。墙有耳者，微谋外泄之谓也。”－－－春秋·管仲《管子·君臣下》网络嗅探的定义网络嗅探(Sniff)网络监听、网络窃听类似于传统的电话线窃听网络嗅探技术定义利用计算机网络接口截获目的地为其他计算机的数据报文监听网络流中所包含的用户账户密码或私密信息等网络嗅探器(Sniffer)实现嗅探的软件或硬件设备嗅探获得数据→二进制格式数据报文解析和理解二进制数据，获取各层协议字段和应用层传输数据→网络协议分析网络嗅探的危害与作用攻击者：内网渗透技术窃取机密信息为发起进一步攻击收集信息防御者管理员可以用来监听网络的流量情况，定位网络故障为网络入侵检测系统提供底层数据来源基础其他作用开发网络应用的程序员可以监视程序的网络情况网络嗅探分类与工具链路层嗅探分类以太网嗅探WiFi嗅探…目前一些著名嗅探器支持多种链路层网络嗅探，wireshark,SnifferPro…工具形态软件嗅探器硬件嗅探器(协议分析仪):专用设备,速度快,额外功能(如流量记录与重放等),价格昂贵网络嗅探原理载波侦听/冲突检测(CSMA/CD:802.3,carriersensemultipleaccesswithcollisiondetection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网的CSMA/CD技术，采用广播机制，所有在同一媒介信道上连接的工作站都可以看到网络上传递的数据以太网工作模式网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式局域网类型共享式网络通过Hub(集线器)连接总线方式:通过网络的所有数据包发往每一个主机能够嗅探整个Hub上全部网络流量交换式网络通过Switch(交换机)连接由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定端口上只能监听同一端口上流量可通过流量映像口监听(SPAN)交换式网络的嗅探攻击MAC地址洪泛攻击向交换机发送大量虚构MAC地址和IP地址数据包致使交换机“MAC地址-端口映射表”溢出交换机切换入所谓的“打开失效”模式-“共享式”MAC欺骗假冒所要监听的主机网卡，将源MAC地址伪造成目标主机的MAC地址交换机不断地更新它的“MAC地址-端口映射表”交换机就会将本应发送给目标主机的数据包发送给攻击者ARP欺骗利用IP地址与MAC地址之间进行转换时的协议漏洞应用程序抓包技术基础类Unix平台提供了标准的API支持内核态:BPF(BerkeleyPacketFilter)用户态函数库：libpcap用户态嗅探程序：tcpdump等Windows平台通过驱动程序来抓取数据包驱动程序:NPF(NetGroupPacketFilter)用户态函数库：winpcap用户态嗅探程序：Wireshark等BPF(BerkeleyPacketsFilter)BSD数据包捕获BPF是一个核心态的组件，支持数据包“过滤”抓取NetworkTap接收所有的数据包BPF虚拟机机器语言的解释器，比较/算术等操作KernelBuffer，保存过滤器送过来的数据包Userbuffer，用户态上的数据包缓冲区Libpcap(一个抓包工具库)支持BPFLibpcap是用户态的一个抓包工具Libpcap几乎是系统无关的BPF是一种比较理想的抓包方案在核心态，所以效率比较高目前类UNIX系统的标准抓包内核模块BPF与LibpcapLibpcap抓包库用户态下的抓包库系统独立的接口，C语言接口多种其他高级编程语言包装接口:Perl,Python,Ruby,Tcl,Java,…广泛应用于网络统计软件入侵检测系统网络调试支持过滤机制，BPFWi吴nd器ow即s平台划的抓领包技毅术内核趴本身辨没有助提供嫂标准答的接蛛口通过轧增加裤一个哀驱动涝程序碗或者扮网络迅组件改来访贩问内断核网的卡驱屋动提石供的眨数据彩包在Wi译nd掀ow穿s不同知操作迈系统微平台论下有摊所不兽同不同sn对if友fe签r采用口的技仙术不富同Wi慎nP快ca妙p是一送个重无要的排抓包专工具沉，它午是li舒bp蛮ca呢p的Wi愧nd射ow矩s版本Wi庭np沃ca止pWi仅nP叔ca暮p包括晶三个鞭部分第一幸个模侦块NP价F(谦Ne监tg贩ro茧up立P扭ac李ke物t钳Fi蚀lt挥er巴)：是学一个目虚拟惩设备普驱动深程序诸文件脂。它灵的功切能是农过滤搁数据污包，激并把蹦这些煌数据妥包原斧封不减动地捉传给盒用户绢态模通块，纳这个配过程络中包饲括了密一些赏操作肺系统乞特有雨的代唐码第二纠个模兰块pa圾ck根et诉.d寻ll：为wi海n3课2平台令提供波了一南个公私共的老接口驻。不山同版圈本的Wi祝nd丈ow多s系统第都有令自己构的内聪核模早块和情用户堤层模始块。Pa直ck蜓et说.d沾ll用于暑解决柏这些冈不同桐。调裂用Pa踩ck疤et揉.d东ll的程吹序可胃以运欧行在系不同陵版本狗的Wi嚷nd夏ow杨s平台后上，呀而无片需重稳新编沟译第三强个模叨块Wp膏ca狐p.窝dl庙l：是兽不依谅赖于识操作位系统证的。跟它提钥供了叛更加楼高层致、抽然象的丽函数涨。pa以ck累et闷.d磨ll和Wp娘ca稀p.吉dl杀lpa洁ck找et娘.d润ll直接溜映射捕了内日核的欺调用Wp辜ca涨p.相dl课l提供粒了更匙加友西好、耀功能嫩更加建强大萍的函舰数调异用Wi鄙np椅ca致p与NP具FNP与F在Wi丹nd织ow村s网络众结构干中的使位置ND维IS妹(N铲et娇wo岁rk蹈D影ri致ve匠r奋In么te饰rf拉ac广e侵Sp亩ec娃if凝ic烂at么io驶n，网筹络驱装动接沉口规劝范)描述引了网宝络驱渗动与白底层摸网卡冲之间窗的接汇口规匙范，跑以及太它与道上层睡协议侮之间徐的规南范NP樱F作为法一个唱核心盼驱动兼程序稀而提势供的Wi夹np展ca马p优势提供驳了一编套标夕准的裹抓包惧接口与li修bp族ca殃p兼容泛，可宽使得失原来奖许多印类UN笔IX平台益下的春网络亡分析哲工具旨快速各移植棒过来便于皮开发开各种暗网络孟分析响工具除了落与li驶bp条ca激p兼容渗的功局能之躬外，括还有充分净考虑分了各跃种性疏能和惰效率村的优丙化，元包括今对于NP样F内核烤层次拣上的其过滤鹿器支松持支持乐内核狭态的鲁统计盛模式提供盏了发趴送数真据包情的能执力网络舒嗅探借软件类Un久ix平台邪网络猴嗅探卡器软绸件Li悬bp蛋ca贿p*抓包尘开发大函数攀库Tc娘pd衫um痛p*以及wi血re降sh京ar怒k*嗅探颜器软枕件Sn督or步t*、ds址ni量ff、sn盈if瞧fi劲t和li沙nu爪x_肤sn乓if淘fe触r…Wi馆nd往ow惑s平台铲网络覆嗅探宰器软窑件NP流F/尤wi能np伯ca蹦p/保wi份nd鼓um四pSn胁if怜fe躺rP朗ro、Wi户re网Sh怠ar核kBu赵tt圾sn塞if牢fe睬r、Ne喂tM攀on、Ne柳tw却or棋k更As羊so伍ci狐at绳es告S畅ni捆ff烧er网络嗓嗅探界的检掉测技炮术网卡酬和操欠作系琴统对于社是否谢处于誓混杂本模式递会有颠一些骄不同绒的行鹅为，守利用柴这些易特征删可以絮判断鲜一个野机器阿是否笨运行猴在混刚杂模订式下一些穿检测各手段根据榜操作更系统磁的特展征Li枝nu启x内核甲的特昏性：羡正常读情况爪下，剖只处尾理本带机MA肺C地址崭或者讲以太父广播鸽地址会的包凡。在浸混杂矩模式毯下，腿许多斩版本姑的Li客nu愤x内核浩只检阳查数奏据包辣中的IP地址挪以确症定是雪否送乐到IP堆栈趋。因蜓此，蜡可以涛构造薄无效冷以太干地址免而IP地址答有效业的IC京MP始E喷CH袜O请求街，看争机器纷是否鲁返回金应答恋包(混杂踪蝶模式)，或秀忽略(非混踪蝶杂模杂式)。Wi必nd陆ow屿s湾9x撇/N蜓T：在啦混杂疮模式挪下，攻检查惹一个久包是磁否为蕉以太缴广播嘱包时六，只贤看MA嗓C地址逝前八荣位是茂否为0x尺ff。根据汉网络昨和主诸机的湾性能根据顺响应此时间瘦：向树本地他网络羽发送难大量归的伪必造数恶据包宪，然倒后，菜看目炭标主品机的送响应降时间释，首物先要棵测得盲一个削响应符时间伯基准谅和平竟均值LO闸ph君t的An效ti秩Sn蝴if惹f产品网络乱嗅探侍技术泄的防手范措戒施采用旦安全涛的网熊络拓宰扑共享例式网微络→朵交换厨式网名络交换纵机上距设置VL律AN等技薄术手赔段，稻对网誉络进征行合蛇理的毙分段共享马式以桐太网班→交不换式统以太照网拓察扑性能束提升:广播拆冲突稀域→每台精主机甚单独趁冲突不域安全努性提点升:较难项被网殊络监研听交换美式网面络提迅供安题全性屡仍可并能被共挫败:斥AR圆P欺骗静态AR酒P或者MA叨C-端口陡映射幕表代申替动次态机秧制重视袋网络盯数据捧传输伶的集糠中位垒置点渔的安企全防圾范避免尸使用脏明文顺传输垃口令/敏感镜信息处网络努协议,使用猛加密恒协议te语ln钥et→ss居hIP链SE暖C/胖TL吃S提纲网络寄嗅探耐技术课堂钥实践守：使闸用Tc擦pd惯um品p网络至协议捕分析漆技术课堂砖实践姥：使汉用Wi颠re丹sh爪ar圣k作业课堂去实践使用tc碧pd腥um膀p开源色软件雪对在晃本机吊上访坦问ww零w.嘴ti卸an售ya疼.c歉n网站描过程军进行节嗅探趋，回岭答问枝题：辈你在厅访问ww忙w.沸ti股an质ya毕.c匠n网站食首页效时，检浏览梢器将狮访问店多少洒个We捷b服务衣器？厘他们赛的IP地址功都是勇什么被？提纲网络愉嗅探蠢技术课堂祥实践锣：使水用Tc绵pd挑um黄p网络学协议耍分析何技术课堂缺实践得：使绢用Wi者re大sh流ar豪k作业网络零协议治分析网络费协议取分析巩的粒揉度和般层次原始愿数据洞包:最细轻粒度可、最辟低层随次网络叛流(/会话):通过5元组偏进行谷流(/会话)重组5元组:管si秘p,路s肯po掀rt旦,夺di统p,后d馋po栗rt管,中ip葱pr束ot馋o网络凉流高藏层统裙计IP会话贩列表<s抖ip述,足sp跃or艇t>目标活端口搬流统栏计<d价po焰rt诞>网络泥报文肉分析步工具集成蛙工具:全Wi身re掏sh应ar吃k网络夜流重崖组:艺ns乘tr仆ea这ms刻,据sn擦or镜t高层慎统计及和摘风要分蹲析:浴Ne刑tf族lo疏w,卫R政RD译To被ol恩s原始姑数据沾包粒码度网滤络协威议分刻析对网碎络上旺传输劳的二拌进制秃格式革数据瓶包进任行解赴析，幅以恢感复出午各层待网络雹协议佣信息伶以及叉传输凑内容纲的技留术方宴法网络扬协议赞分析弃技术冷实现实现纹参考戒源码Sn亲or闲t中的纺网络默解码侨器模导块de倚co毙de吨.c恢/d等ec纵od响e.声h解析潮以太庸网数弟据帧De眨co锣de保Et袜hP腿kt预处挡理：琴拆包睛前进扶行一谢些前哲期处收理拆包首：将剂当前辜得到印的包水内存剥位置铲赋给Pa岸ck荒et数据越结构抛中相乳应的滚指针eh浓(E云th权er顶Hd菌r)型的酷指针川即可解析幕上层翅协议租：sw掩it机ch语句让，根触据et汗he压r_豆ty巩pe分别起调用贺相应戒的上闪层协桶议解肉析例彻程Wi帜re结Sh诸ar成k（Et阴he吓re未al）Wi放re逃sh只ar蓬k安(E殊th己er畜ea午l)19笛98蔑-2皂00倍6:廊E自th裹er根ea菜lGe胀ra丢ld败C境om晌bs芽,夺Un即iv脖er援si骗ty曲o特f音Mi瓜ss祥ou踪蝶ri为-K非an炼sa风s绵Ci宵ty20躬06香-n秤ow涉:将wi惑re谋sh疾ar阶kRe京na免me闪d岩fr喉om陷E粥th嗽er漏ea笨l便du失e满to痛t帜ra漫de拉ma盒rk丑i贯ss匹ue拨seW付EE浅KL扒ab护s咬na催me村d肆Wi位re舞sh译ar拣k雨on甩e祝of背"颤Th裕e奸Mo银st太I网mp篮or铃ta降nt附O记pe锅n-悬So满ur纵ce动A缠pp银s慎of撞A初ll吃T秧im否e“Wi柳re昆sh瓦ar烫k特性图形港化界仗面/命令筒行(t薯sh恶ar知k)在线/离线蒸抓包(支持诉标准pc释ap二进仪制日较志文遵件)支持BP泳F过滤帖器支持缩慧分析牺几百村种常弦见网逆络协钱议跨平道台：宁类UN委IX、Wi喘n3拾2(依赖li逃bp绿ca潮p/姿Wi帐nP拳ca础p)Wi幼re潜Sh挡ar钞k界面Wi卖re请Sh值ar航k基本孩功能抓包(C痛ap郑tu间re结)Ca行pt揪ur摄e幸Fi裹lt妥er接:冰BP东F过滤瓦器分析(A而na毙ly乳ze焦)自动强协议街解码:支持萍数百财种协度议,显示雨各层双包头景和内部容字弟段灵活春选择倡协议岔对网馒络流代进行本解码De减co雹de草A挤s…统计(S拉ta渐ti陪st延ic求s)协议园分类(P姑ro仍to专co词l言Hi骑er期ar吊ch线y)会话棵列表(C个on芹ve印rs肿at状io析ns填)2层(以太度网)/辛3层(I拍P)你/4层(T忧CP烈,U吸DP秩)会话宴终端(E体nd落Po消in生ts释)I/断O超Gr坦ap至h:随时搂间统混计的畅流量谊曲线会话鞭重组(F唐ol点lo庙w梢TC蕉P/千UD强P研St赞re冈am罗)和会敢话图(F车lo系w影Gr将ap按h)Wi怨re侨Sh蒸ar恐k的两最类过直滤规爱则嗅探艘过滤斑规则支持BP秒F规则用于闹嗅探拦抓包虽时的圣过滤显示诸过滤闻规则用于宿在界美面中暖选择谣显示妈哪些朋数据谷包与BP们F规则到有所鄙不同流重茶组/会话绕重组流重关组/会话去重组TC窄P/烟UD村P会话触发送迎字节威数可勾能很丘大IP包最诸大长等度(6各4K傻-2窃0≈很64疑K)以太老网帧榜最大佳长度(1粒50意0-患20拿=1勿48斩0)协议匪栈发和送大伐量TC钥P/撑UD烦P报文航时，提必然栏分组萝传送流重桐组:将同窗属于个一个TC刃P/势UD亡P会话缘瑞的IP包负读载按创序重爱新组计装，堪还原捷应用船层数椅据的伪过程流重肿组工姿具Wi惕re亲sh男ar炭k:真F贝ol干lo鸽w核TC积P/验UD絮P膨St绪re软amns侨tr恢ea窝ms遗:ns兵tr贷ea友ms眠-是f额pc缓ap蚀_f企il储e散>示ns体tr铲ea紧ms蛋.t题xtSn境or泛t:Lo品g规则(s柜no授rt垃.c个on刮f)执:序lo岗g倚tc汇p宁an票y刺an喘y掌<>面a丙ny语a只ny间(贡si虾d:经10晶00传00谎1;伏s桑es宴si齿on件:助pr久in筒ta刷bl认e;闪)sn信or止t增-r辛p设ca楚p_素fi黑le–l岩./宾lo那g身-c雁sn读or怜t.挤co们nf网络拘流记佩录和辅高层叹统计协分析Ne嫌tf候lo怜w定义白了网可络会周话流帆记录楼的业啄界标连准-C惯is从coRF算C歇33办34忘/3娇95狼4/损39采55IP票F贴lo雀w听In曾fo砍rm钩at应io渴n觉Ex市po辜rt茧(孔ne搭tf积lo吉wv央10核)-法IE嚼TF网络启流记刮录商业糠路由衣器、滩交换梨机支观持Ne他tf健lo侨w日志