嗅探技术---网络安全入门笔记DAY5
相关网络基础
网络传播技术分:广播式和点到点
广播式:网络上所有机器共享一条通信信道(总线型,环形)。信道上传输的分组能被任何机器发送并被其他所有机器接收
点到点:一对对机器间多条连接构成,分组的传输通过连接直接到目标主机
网卡四种模式;
(1)广播模式:网卡接收网络中广播信息
(2)组播模式:网卡接收组播信息
(3)直接模式:只有匹配目的MAC地址的网卡才能接受该数据帧
(4)混杂模式(Promiscuous Mode):无论MAC是什么,网卡能接受一切接收到的数据帧
局域网中硬件设备:
(1)集线器(HUB):
属于物理层设备,主要在局域网中将多个客户机和服务器连到中央区的网络上。内部采用电器互连的方式,维护一个LAN环境为逻辑总线或环型,可用HUB建立物理上的星型或树型
工作特点:
多端口信号放大器
至于其的上联设备通信,通层各端口不通信,通过上联设备将信息广播到所有端口
(2)交换机(Switch)
属于数据链路层,接收发来信息帧,暂存,后发给另一端网络部件,本质是具有流量控制能力的多端口网桥
工作特点:
每个端口所连网为独立LAN,独立冲突域。每个端口提供专用带宽。
维护每个端口对应MAC地址表,进行转发
网络嗅探
网络嗅探技术(网络监听技术 Network Sniffing)
概念:一种在他方未察觉情况下捕获其通信报文或通信内容的技术
对于网络管理员,帮助了解网络运行状况
对黑客,有效收集信息的手段
适用范围:目前只限于局域网
目的:截获通信内容
手段:对协议进行分析
网络监听(Sniffer)技术发展:
最初是网络管理员检测网络通信的一种网络监听工具
网络监听器分:
(1)软件嗅探器(目前主要使用):
优点:便宜,易于使用
缺点:功能有限,无法抓取网络上所有传输数据,eg.碎片,效率易受限
(2)硬件嗅探器(又称协议分析仪):
优点:处理速度高
缺点:昂贵
Sniffer软件主要工作机制:
(1)驱动驱动程序机制:
直接与网卡驱动程序接口的驱动模块,将网卡设为混杂模式,捕获数据包,并从上层接收各种抓包请求
(2)分组捕获过滤机制:
对来自网卡驱动程序的数据帧过滤,符合要求的交给上层
链路层的网卡驱动程序上传的数据帧的两个去处:
①正常协议栈(对于非本地数据包丢弃)
②分组捕获过滤模块(据上层应用要求处理)
PS.
UNIX操作系统3种分组捕获机制:
①BSD系统中的BPF
②SVR4中的DLPI
③Linux中的SOCK_PACKET类套接字
Windows平台主要有NPF过滤机制
- 共享式局域网的监听技术
共享式局域网:使用集线器或共用一条总线的局域网,用CSMA/CD机制进行传输,基于广播发送数据
1.正常情况:
网卡工作在广播,直接模式。一个网卡响应与自己MAC地址匹配的数据帧,或发给所有机器的广播帧。
其他数据包过滤后丢弃,不处理。
过滤机制:
链路层过滤:判断数据包目的MAC
网络层过滤:判断目的IP
传输层过滤:判断对应目的端口是否在本机打开
2.监听模式:
概念:一台主机网卡设为混杂模式,可听到此局域网中所有被传输信息的状态
实现方法:
需要一个直接与网卡驱动程序接口的驱动模块,,将网卡设为混杂,并通过软件接收下达的各种抓包请求,对数据帧过滤,符合软件监听要求的数据返回给监听软件。
eg.
攻击者主机设为混杂模式,受害者主机发送数据到达HUB,传给路由器,路由器返回给HUB,HUB广播出去。正常情况攻击者主机应丢弃该数据帧,但混杂模式,此数据帧被网卡驱动程序传给了上层。
实际上,监听时存在不需要的数据严重影响系统工作效率,所以模块过滤机制的效率是关键
信息过滤分类:
(1)站过滤
(2)协议过滤
(3)服务过滤
(4)通用过滤
按时间分:
(1)捕获前过滤
(2)捕获后过滤
- 交换式局域网的监听技术
交换式局域网:
概念:交换机或其他非广播式交换设备组成的局域网,端口间帧传输彼此屏蔽,据收到的MAC地址决定发给的端口
产生原因:不同于HUB,其转发报文是一一对应的,可预防sniffer的侵入
随着嗅探技术发展,出现了交换式以太网得监听方法
(1)溢出攻击
交换机的MAC地址表有限,用大量错误MAC地址的数据帧对交换机进行攻击,MAC地址表溢出,正常数据到来,在MAC地址表中查不到,进行洪泛广播,因此可被监听。
(2)ARP欺骗(常用)
MAC地址表随ARP请求及响应包不断更新,通过ARP欺骗改变表对应关系,攻击者可成为受害者与交换机的“中间人”,使所有数据包流经自己的主机网卡,因此分析数据包实现监听。
网络监听工具
dsniff(ARP欺骗)
parasite(ARP欺骗)
Tcpdump/Windump
Ngrep
Ethereal/Wireshark
Sniffer Pro
NetXray
等
- Wireshark
免费开源,在Linux,Windows,Solaris等多平台使用,允许用户从一个活动的网络捕获数据包分析,可通过增加插件,进行扩展,用于检测网络安全隐患,测试协议执行情况,学习网络协议。
发展:
前身Ethereal在原网站下载,最终版本0.99.0http://www.Ethereal.com
后更名Wireshark:http://www.wireshark.org/
安装Wireshark,要同时安装Winpcap,提供Windows系统所需要的封装捕获驱动程序
特点:
(1)支持多种通讯接口及数据包协议类型,可组合TCP上封包且显示出ASCII或EBCDIC型态数据,所捕获的封包可被储存
(2)支持Captur Filter和Display Filter帮用户筛选数据包
捕获前过滤(Captur Filter):
在捕获数据包之前,设定过滤条件。
优点:可选择要抓的数据包
eg.
tcp
tcp or udp
tcp||udp(上一条的不同写法)
tcp and ip.add=192.168.1.34
捕获后过滤(Display Filter):
在捕获数据包结束后设定显示数据包的条件。
优点:选择要看的数据包
eg.
同捕获前
tcp port==80
tcp port 80(上一条不同写法)
监听防御
通用策略
1.安全的网络拓扑结构
网络分段:分段越细,嗅探器收集到的信息越少。将每个网段的HUB连一个交换机,能保护不在同网段的其余部分。(需要昂贵硬件设备,使用中小型网络)
嗅探器不能跨越交换机,路由器,网桥
划分VLAN:使网络隔离不必要的数据传送,一般20个工作站为一组
2.数据加密技术
数据通道加密:eg.SSH,SSL,VPN
数据内容加密:主要采用目前被证实较可靠的加密机制对互联网上邮件文件加密,eg. IPGP共享式网络下防监听
判断:
检测处于混杂模式的网卡
网络通讯丢包率高
网络带宽反常
检测技术:
(1) 网络和主机响应时间测试:最有效,能发现网络中处于监听模式的机器,不论操作系统
原理:
处于混杂模式的机器缺乏底层过滤,骤然增加目标地址不为本地的网络通讯流量对机器造成明显影响
实现:
利用ICMP ECHO请求及响应计算需检测机器的响应时间基准和平均值。之后立刻向本地网络发送大量伪造数据包,再检测平均响应时间变化值。
监听模式的机器变化量通常有1—4个数量级
(2)ARP检测(如AntiSniff工具):假造一些ARP请求发到网上各节点,有回应的节点网卡处于混杂模式,可能运行嗅探器程序
缺点:若软件过滤器过滤掉,可能无法识别
所以要构造应被硬件过滤器阻塞,但能通过软件过滤器的报文。
- 交换网络下防监听
防范措施:
(1)不要把网络安全信任关系建立在单一IP或MAC基础上,要建立在IP–MAC对应关系基础上
(2)使用静态ARP或IP–MAC对应表代替动态ARP或IP–MAC对应表,禁止自动更新,使用手动更新
(3)定期检查ARP请求,使用ARP监视工具。eg. ARPWatch等监视并探测ARP欺骗
(4)制定良好的安全管理策略,加强用户安全意识
攻击五部曲
隐藏IP
踩点扫描
获得系统或管理员权限
种植后门
网络中隐身。
- 踩点:
通过各种途径对要攻击目标多方面了解,确定攻击时间
常见方法:
在域名及其注册机构查询
了解公司性质
邮件地址搜集
目标IP地址范围查询等
嗅探技术---网络安全入门笔记DAY5相关推荐
- 这份网络安全入门笔记(共327页),助你步入安全门槛,建议收藏
网络安全的范畴很大,相较于二进制安全等方向的高门槛.高要求,Web安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要Web安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展 ...
- 这份网络安全入门笔记(共327页),助你步入安全门槛
前言 随着Web技术发展越来越成熟,而非Web服务越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全. 为了自身不"裸奔"在大数据里,渐渐开始学习Web安全,在学习Web ...
- 网络安全渗透技术(入门视频课程)-李云鹏-专题视频课程
网络安全渗透技术(入门视频课程)-67人已学习 课程介绍 本课程是网络安全技术入门课程,针对以下类型学员: 1)想要学习网络安全: 2)具备一定对技术的好奇心: 3)需要对Web编程. ...
- 庄懂的技术美术入门课系列——学习笔记
关AO的知识之前涉及到就# 庄懂的技术美术入门课系列--学习笔记 本系列旨记录看视频学习时的一些看个人的理解和思考 1.三色混合的环境光 基本思路: 物体的环境光可以想象成是在物体四周全方位向物体射出 ...
- 个人学习笔记——庄懂的技术美术入门课(美术向)19
个人学习笔记--庄懂的技术美术入门课(美术向)19 1 顶点平移 2 顶点缩放 3 顶点旋转 4 综合应用 1 顶点平移 2 顶点缩放 方法类似 避免产生负值 3 顶点旋转 方法类似 以下是涉及到的一 ...
- 个人学习笔记——庄懂的技术美术入门课(美术向)01
个人学习笔记--庄懂的技术美术入门课(美术向)01 0 前言 1 工程搭建示范 2 理论 2.1 结构(struct) 2.2 渲染管线 3 操作 3.1-2 向量/标量/点积等若干线代基础 3.3 ...
- 个人学习笔记——庄懂的技术美术入门课(美术向)07
个人学习笔记--庄懂的技术美术入门课(美术向)07 1 单色环境光 2 三色环境光 3 投影 4 光照模型组合 有关AO的知识之前涉及到就是 SSAO的实现了,可以回顾下 1 单色环境光 环境光加上环 ...
- 尚硅谷大数据技术Zookeeper教程-笔记01【Zookeeper(入门、本地安装、集群操作)】
视频地址:[尚硅谷]大数据技术之Zookeeper 3.5.7版本教程_哔哩哔哩_bilibili 尚硅谷大数据技术Zookeeper教程-笔记01[Zookeeper(入门.本地安装.集群操作)] ...
- [网络安全学习篇10]:扫描技术、暴力破解工具(千峰网络安全视频笔记 10 day)
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
- 尚硅谷大数据技术Spark教程-笔记09【SparkStreaming(概念、入门、DStream入门、案例实操、总结)】
尚硅谷大数据技术-教程-学习路线-笔记汇总表[课程资料下载] 视频地址:尚硅谷大数据Spark教程从入门到精通_哔哩哔哩_bilibili 尚硅谷大数据技术Spark教程-笔记01[SparkCore ...
最新文章
- Java Web学习总结(13)——JSP入门
- Go语言入门——dep入门
- ubuntu安装python3.6_Ubuntu上安装python3.6以及多版本python管理 | SQN
- TCP 从客户端键入信息 循环接收发送 示例
- 放纵的感觉其实没有想象的那么好!
- linux常用命令(ubuntu)
- 目标检测(一)--Objectness算法总体理解,整理及总结
- 力扣-33 搜索旋转排序数组
- HTML DOM nodeName nodeValue
- 单片机TM4C123学习(二):中断与按键控制
- 苹果Macbook电脑无法进入系统
- hbase数据库scan操作_HBase最佳实践之Scan
- Scala 上下文界定
- 在阿里,新人如何快速上手项目管理?
- 成都远石:“无人机倾斜摄影+地面激光扫描”数据解决方案
- python数据分析做什么作业好_知识星球 | 说说我为什么要做『python数据分析』社群...
- 分析google adsence
- 浙江生物计算机技术,New Page 1
- 最常用的三角函数值和三角变形公式
- 基于Go语言星座查询~