嗅探技术---网络安全入门笔记DAY5

网络嗅探

网络嗅探技术（网络监听技术 Network Sniffing）
概念：一种在他方未察觉情况下捕获其通信报文或通信内容的技术
对于网络管理员，帮助了解网络运行状况
对黑客，有效收集信息的手段
适用范围：目前只限于局域网
目的：截获通信内容
手段：对协议进行分析

网络监听（Sniffer）技术发展：
最初是网络管理员检测网络通信的一种网络监听工具
网络监听器分：
（1）软件嗅探器（目前主要使用）：
优点：便宜，易于使用
缺点：功能有限，无法抓取网络上所有传输数据，eg.碎片，效率易受限
（2）硬件嗅探器（又称协议分析仪）：
优点：处理速度高
缺点：昂贵

Sniffer软件主要工作机制：
（1）驱动驱动程序机制：
直接与网卡驱动程序接口的驱动模块，将网卡设为混杂模式，捕获数据包，并从上层接收各种抓包请求
（2）分组捕获过滤机制：
对来自网卡驱动程序的数据帧过滤，符合要求的交给上层

链路层的网卡驱动程序上传的数据帧的两个去处：
①正常协议栈（对于非本地数据包丢弃）
②分组捕获过滤模块（据上层应用要求处理）

PS.
UNIX操作系统3种分组捕获机制：
①BSD系统中的BPF
②SVR4中的DLPI
③Linux中的SOCK＿PACKET类套接字
Windows平台主要有NPF过滤机制

共享式局域网的监听技术
共享式局域网：使用集线器或共用一条总线的局域网，用CSMA/CD机制进行传输，基于广播发送数据
1.正常情况：
网卡工作在广播，直接模式。一个网卡响应与自己MAC地址匹配的数据帧，或发给所有机器的广播帧。
其他数据包过滤后丢弃，不处理。
过滤机制：
链路层过滤：判断数据包目的MAC
网络层过滤：判断目的IP
传输层过滤：判断对应目的端口是否在本机打开
2.监听模式：
概念：一台主机网卡设为混杂模式，可听到此局域网中所有被传输信息的状态
实现方法：
需要一个直接与网卡驱动程序接口的驱动模块，，将网卡设为混杂，并通过软件接收下达的各种抓包请求，对数据帧过滤，符合软件监听要求的数据返回给监听软件。
eg.

攻击者主机设为混杂模式，受害者主机发送数据到达HUB，传给路由器，路由器返回给HUB，HUB广播出去。正常情况攻击者主机应丢弃该数据帧，但混杂模式，此数据帧被网卡驱动程序传给了上层。

实际上，监听时存在不需要的数据严重影响系统工作效率，所以模块过滤机制的效率是关键

信息过滤分类：
（1）站过滤
（2）协议过滤
（3）服务过滤
（4）通用过滤
按时间分：
（1）捕获前过滤
（2）捕获后过滤

交换式局域网的监听技术
交换式局域网：
概念：交换机或其他非广播式交换设备组成的局域网，端口间帧传输彼此屏蔽，据收到的MAC地址决定发给的端口
产生原因：不同于HUB，其转发报文是一一对应的，可预防sniffer的侵入

随着嗅探技术发展，出现了交换式以太网得监听方法
（1）溢出攻击
交换机的MAC地址表有限，用大量错误MAC地址的数据帧对交换机进行攻击，MAC地址表溢出，正常数据到来，在MAC地址表中查不到，进行洪泛广播，因此可被监听。
（2）ARP欺骗（常用）
MAC地址表随ARP请求及响应包不断更新，通过ARP欺骗改变表对应关系，攻击者可成为受害者与交换机的“中间人”，使所有数据包流经自己的主机网卡，因此分析数据包实现监听。

网络监听工具

dsniff（ARP欺骗）
parasite（ARP欺骗）
Tcpdump/Windump
Ngrep
Ethereal/Wireshark
Sniffer Pro
NetXray
等

Wireshark
免费开源，在Linux，Windows，Solaris等多平台使用，允许用户从一个活动的网络捕获数据包分析，可通过增加插件，进行扩展，用于检测网络安全隐患，测试协议执行情况，学习网络协议。
发展：
前身Ethereal在原网站下载，最终版本0.99.0http://www.Ethereal.com
后更名Wireshark：http://www.wireshark.org/
安装Wireshark,要同时安装Winpcap，提供Windows系统所需要的封装捕获驱动程序
特点：
（1）支持多种通讯接口及数据包协议类型，可组合TCP上封包且显示出ASCII或EBCDIC型态数据，所捕获的封包可被储存
（2）支持Captur Filter和Display Filter帮用户筛选数据包
捕获前过滤（Captur Filter）：
在捕获数据包之前，设定过滤条件。
优点：可选择要抓的数据包
eg.
tcp
tcp or udp
tcp||udp（上一条的不同写法）
tcp and ip.add=192.168.1.34

捕获后过滤（Display Filter）：
在捕获数据包结束后设定显示数据包的条件。
优点：选择要看的数据包
eg.
同捕获前
tcp port==80
tcp port 80（上一条不同写法）

监听防御

通用策略
1.安全的网络拓扑结构
网络分段：分段越细，嗅探器收集到的信息越少。将每个网段的HUB连一个交换机，能保护不在同网段的其余部分。（需要昂贵硬件设备，使用中小型网络）
嗅探器不能跨越交换机，路由器，网桥
划分VLAN：使网络隔离不必要的数据传送，一般20个工作站为一组
2.数据加密技术
数据通道加密：eg.SSH，SSL，VPN
数据内容加密：主要采用目前被证实较可靠的加密机制对互联网上邮件文件加密，eg. IPGP
共享式网络下防监听

判断：
检测处于混杂模式的网卡
网络通讯丢包率高
网络带宽反常

检测技术：
（1）网络和主机响应时间测试：最有效，能发现网络中处于监听模式的机器，不论操作系统
原理：
处于混杂模式的机器缺乏底层过滤，骤然增加目标地址不为本地的网络通讯流量对机器造成明显影响
实现：
利用ICMP ECHO请求及响应计算需检测机器的响应时间基准和平均值。之后立刻向本地网络发送大量伪造数据包，再检测平均响应时间变化值。
监听模式的机器变化量通常有1—4个数量级

（2）ARP检测（如AntiSniff工具）：假造一些ARP请求发到网上各节点，有回应的节点网卡处于混杂模式，可能运行嗅探器程序
缺点：若软件过滤器过滤掉，可能无法识别
所以要构造应被硬件过滤器阻塞，但能通过软件过滤器的报文。

交换网络下防监听
防范措施：
（1）不要把网络安全信任关系建立在单一IP或MAC基础上，要建立在IP–MAC对应关系基础上
（2）使用静态ARP或IP–MAC对应表代替动态ARP或IP–MAC对应表，禁止自动更新，使用手动更新
（3）定期检查ARP请求，使用ARP监视工具。eg. ARPWatch等监视并探测ARP欺骗
（4）制定良好的安全管理策略，加强用户安全意识

攻击五部曲

隐藏IP
踩点扫描
获得系统或管理员权限
种植后门
网络中隐身。

踩点：
通过各种途径对要攻击目标多方面了解，确定攻击时间
常见方法：
在域名及其注册机构查询
了解公司性质
邮件地址搜集
目标IP地址范围查询等