网络攻防原理与技术 第4版 课件 第9章 网络监听技术

本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第九章网络监听内容提纲2流量劫持3数据采集4网络监听概述1网络监听工具5网络监听防御知识回顾如何攻陷控制一台主机？网络侦察网络扫描口令攻击缓冲区溢出攻击木马控制一台主机后如何把战果扩大到该局域网？网络监听网络监听（NetworkListening）：是指在计算机网络接口处截获网上计算机之间通信的数据，也称网络嗅探（NetworkSniffing）。协助网络管理员监测网络传输数据，排除网络故障；被黑客利用来截获网络上的敏感信息，给网络安全带来极大危害。网络监听案例网络监听在安全领域引起普遍注意是在1994年。在该年2月，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，对美国骨干互联网和军方网窃取了超过10万个有效的用户名和口令。该事件是互联网上最早期的大规模网络监听事件，使网络监听从“地下”走向了公开，并迅速地在大众中普及开来。黑客用网络监听能干什么？嗅探敏感的帐号信息Telnet会话的用户名和密码；HTTP应用程序的用户名和密码；FTP口令；电子邮件消息……截获网络上传输的文件分析协议信息网络监听环境LANInternet

内网外网主机A主机B主机C路由器R黑客监听点要实施网络监听，主要解决两个问题：一是网络流量劫持，即使监听目标的网络流量经过攻击者控制的监听点（主机），主要通过各种地址欺骗或流量定向的方法来实现二是在监听点上采集并分析网络数据，主要涉及网卡的工作原理、协议分析技术，如果通信流量加密了，则还需要进行解密处理。网络监听要解决的问题内容提纲2流量劫持3数据采集4网络监听概述1网络监听工具5网络监听防御攻击者要想监听目标的通信，首先要能够接收到目标的网络通信数据，如何做到呢？与网络环境有关。一般来说，网络环境可以划分为共享式网络环境和交换式网络环境两类。问题共享式网络监听的原理广播特性的总线：主机发送的物理信号能被物理连接在一起的所有主机接收到。网卡处于混杂模式：接收所有的数据帧。共享式网络监听：总线型以太网B向

D发送数据

C

D

A

E不接受不接受不接受接受B只有D接受B发送的数据广播特性的总线：所有都能收到，但只有地址对了，才处理，从而实现了一对一的通信共享网络监听：Hub一、交换式网络监听交换机的工作方式端口管理

端口1

端口2

缓存

①②交换机

以太网交换机

③12①②MAC

端口

③3CAM存储转发实现了无碰撞地传输数据ContentAddressableMemory，内容可寻址存储器(一)交换网络监听：交换机+集线器交换机

内网外网A:B:C:路由器R

(二)交换网络监听：端口镜像1

2

3

4

5

6

端口镜像（PortMirroring）：是把交换机一个或多个端口的数据镜像到某个端口的方法。管理员为了部署网络分析仪等设备，通过配置交换机端口镜像功能来实现对网络的监听。(三)交换网络监听：MAC洪泛攻击思路：在局域网中发送带有欺骗性MAC地址源的数据；CAM表中将会填充伪造的MAC地址记录，随着记录增多，与CAM表相关的交换机内存将被耗尽，这时交换机以类似于集线器的模式工作，向其它所有的物理端口转发数据。CAM

MAC地址

端口

MAC11

MAC22

MAC33伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3

伪造MAC

3

伪造MAC

3

伪造MAC

3交换网络监听：MAC洪泛为什么MAC洪泛攻击会成功？难道交换机不能根据自己的端口数来固定CAM表的长度吗?CAM

MAC地址

端口

MAC11

MAC22

MAC33伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3伪造MAC

3(三)交换网络监听：MAC洪泛问题：网络速度明显降低；目前许多交换机具有MAC洪泛免疫功能。步骤1：攻击者向主机A和B发送ARP欺骗报文(四)交换网络监听：ARP欺骗交换机内网外网A:B:C:路由器R:

的MAC地址是11:22:33:44:55:CC的MAC地址是11:22:33:44:55:CC11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:AA11:22:33:44:55:CC11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:BB11:22:33:44:55:CC(四)交换网络监听：ARP欺骗交换机内网外网A:B:C:路由器R:

11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:CC11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:CC步骤2：攻击者从网络接口上嗅探受害主机发过来的数据帧(四)交换网络监听：ARP欺骗交换机内网外网A:B:C:路由器R:11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:CC11:22:33:44:55:CC

IP地址MAC地址11:22:33:44:55:RR11:22:33:44:55:CC步骤3：攻击者将嗅探到的数据发送回原本应该接收的主机(四)交换网络监听：ARP欺骗需要监听的通信双方主机不在一个局域网内？需要监听主机与外界网络之间的通信？(四)交换网络监听：ARP欺骗交换机内网外网A:B:C:路由器R:

路由器或网关是内网与外网之间报文转发的必经节点写出使用ARP欺骗的方法监听局域网与外网之间通信的的详细步骤。课后思考题：目标主机的IP为22，它的网关IP地址为，网关MAC地址为00-e8-4c-68-17-8b网关欺骗ARP攻击主机的IP地址为48，MAC地址为00-0c-29-6c-22-04，在运行攻击程序arpspoof.py之前，还需要开启对网关和目标IP地址的流量转发功能，在终端输入“echo1>/proc/sys/net/ipv4/ip_forward”命令，然后运行上述攻击程序（需要root权限）后即可发起对目标主机的ARP欺骗攻击网关欺骗ARP攻击主机发起ARP攻击后，目标主机的网关MAC地址已经被修改成攻击主机的MAC地址，目标主机的流量被攻击主机成功劫持网关欺骗ARP从图中可以看出，目标主机访问了2()网站的web服务网关欺骗ARP攻击停止后，目标主机的网关MAC地址恢复正常网关欺骗ARP(五)交换网络监听：端口盗用交换机内网外网A:B:C:路由器R:

步骤1：发送伪造以太网帧：源MAC为受害者的MAC；目的MAC为攻击者的MAC。123411:22:33:44:55:BB2

MAC地址端口11:22:33:44:55:CC311:22:33:44:55:RR411:22:33:44:55:AA1我的源MAC是A的MAC，目的MAC是C的MAC11:22:33:44:55:AA3

(五)交换网络监听：端口盗用交换机内网外网A:B:C:路由器R:

步骤2：受害主机将数据帧发送给攻击者，攻击者从网络接口嗅探数据。123411:22:33:44:55:BB2

MAC地址端口11:22:33:44:55:CC311:22:33:44:55:AA3

11:22:33:44:55:RR4问题：攻击者怎么把嗅探数据发还给受害主机？步骤3：攻击者将数据缓存，让网络正常后，再将数据转交。然后再开始新一轮的攻击。交换网络监听小结网络管理员交换机+集线器端口镜像黑客MAC洪泛ARP欺骗端口盗用二、DHCP欺骗DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态地获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。DHCP基本原理DHCP基本原理DHCP欺骗三、DNS劫持在因特网中，域名解析系统（DNS）负责将域名（DomainName）解析成IP地址。同ARP协议一样，DNS同样可以被黑客利用来进行网络流量窃取。DNS攻击者还可以通过社会工程学等手段获得域名管理密码和域名管理邮箱，然后将指定域名的DNS纪录指向到黑客可以控制的DNS服务器，进而通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的主机。DNS攻击DNS缓存投毒：控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果；或者通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。DNS攻击DNS劫持CDN入侵四、Wi-Fi流量劫持Wi-Fi热点Wi-Fi热点钓鱼Wi-Fi强制断线内容提纲2流量劫持3数据采集4网络监听概述1网络监听工具5网络监听防御一、网卡的工作原理MAC地址网卡地址网卡工作方式单播（Unicast）：网卡在工作时接收目的地址是本机硬件地址的数据帧；广播（Broadcast）：接收所有类型为广播报文的数据帧；多播（Multicast）：接收特定的组播报混杂模式（Promiscuous）：是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。网卡的处理流程二、数据采集以太网的广播方式发送B向

D发送数据

C

D

A

E不接受不接受不接受接受B只有D接受B发送的数据物理层

数据链路层网络层

传输层

应用层

网卡网卡物理层

数据链路层网络层

传输层

应用层

网卡是否工作在混杂模式？广播特性的总线实现了一对一的通信Libpcap（LibarayforPacketCapture），即分组捕获函数库，是由劳伦斯·伯克利国家实验室开发的一个在用户级进行实时分组捕获的接口，其特点是独立于操作系统。Libpcap的Windows版本，称为Winpcap目前的Libpcap已成为开发跨平台的分组捕获和网络监视软件的首选工具。LibpcapLibpcap三、协议分析协议分析内容提纲2流量劫持3数据采集4网络监听概述1网络监听工具5网络监听防御采集与协议分析：Wireshark采集与协议分析：Wireshark采集与协议分析：WiresharkMNM（MicrosoftNetworkMonitor）（下载地址：/en-us/download/details.aspx?id=4865），功能与Wireshark类似。但在无线局域网（如Wi-Fi）抓包方面，相比Wireshark，MNM更强，很多时候Wireshark不能抓取的无线网络协议包，而MNM可以。为什么有时抓不到无线网络协议包？采集与协议分析：MNMFiddler软件是一款得到广泛应用的专门针对HTTP、HTTPS协议的网络流量采集与分析工具（/download/fiddler），运行平台为Windows。工作原理？采集与协议分析：Fiddler早期主要用Cain来做流量劫持流量劫持工具：CainEttercap是一款功能强大的开源网络中间人攻击工具（官网：），可以实现基于ARP欺骗、ICMP路由重定向、DHCP欺骗等技术的中间人攻击，监听网内主机间的通信，并提供强大的协议解析能力。流量劫持工具：Ettercap内容提纲2流量劫持3数据采集4网络监听概述1网络监听工具5网络监听防御如何发现Sniffer通过下面的方法可以分析出网络上是否存在Sniffer：构造特殊的报文，根据目标主机的反映判断其网卡是否处于混杂模式。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（ICMPechodelay等方法）加以判断。如何发现Sniffer使用Anti-Sniffer、promisc、cmp等工具，发现大型网络上的Sniffer。测试网络接口有无被设置成混杂模式，因为虽然在非混杂模式下可以运行Sniffer，但只有在混杂模式下才可以捕获共享网络中的所有会话。对于SunOS、Linux和BSDUnix可以采用命令：ifconfig-aSniffer的防范规划网络:一般将网络分段划分得越细，Sniffer收集到的信息越少。采用加密通信:加密后，即使Sniffer捕获了数据，也难于获得数据的原文。目前比较流行的做法是使用SSL协议和SSH安全产品。Sniffer的防范要想防止对WLAN的监听攻击，可以启用一些安全策略，考虑采用无线VPN产品增强认证和加密功能。对于主动监听工具，简单地采用交换机来防止监听已经不够了。要防止ARP缓存改写，必须对敏感网络中所有主机的ARP缓存表进行硬编码，这些主机包括在线网站、DNS和Mail服务器、防火墙和DMZ路由器等。另外还应该用Ipsec、VPN和其它的加密技术来保护敏感信息本章小结作业一、如何监听HTTPS通信参考资料如果监听HTTPS通信？HTTPS劫持的核心原理：不安全的CA可以给任何网站进行签名，TLS服务器解密需要服务器私钥和公钥证书，然而这个不安全的CA可以提供用户暂时信任的服务器私钥和公钥证书透明劫持（TransparentHTTPS）与代理劫持（ProxyHTTPS）扩展代理劫持启动代理服务器，浏览器配置代理服务器上网，在代理服务器上劫持、监听代理劫持启动代理服务器，浏览器配置代理服务器上网，在代理服务器上劫持、监听以Fiddl