网络嗅探原理与分析概要

实验一：网络嗅探与检测原理实验实验目的&内容掌握网络嗅探原理，共享式网络与交换式网络嗅探区别了解几种常见的嗅探软件特点。掌握wireshark软件安装、配置以及嗅探操作方法掌握ARP欺骗原理与方法为设计性实验：自主设计检测网络嗅探软件提供重要的理论和实验基础。网络嗅探概念网络嗅探是指：利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术网络嗅探工作在网络的底层，把网络传输的全部数据记录下来.为何要嗅探网络管理员：分析网络情况，监测网络流量攻击者：监听网络数据，嗅探用户敏感信息。网卡的MAC地址(48位)–通过ARP来解析MAC与IP地址的转换–用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包–MAC地址与自己相匹配的数据帧（单播包）–广播包（Broadcast）和属于自己的组播包（Multicast）2020/1/265以太网卡的工作方式网卡完成收发数据包的工作，两种接收模式–混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来–非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包2020/1/266以太网卡的工作方式•共享式网络–通过网络的所有数据包发往每一个主机；–最常见的是通过HUB连接起来的子网；•交换式网络–通过交换机连接网络；–由交换机构造一个“MAC地址-端口”映射表；–发送包的时候，只发到特定的端口上；–交换机的镜像端口功能2020/1/267共享网络和交换网络2020/1/268共享网络和交换网络ABCDtoC镜像端口共享式网络嗅探共享式网络中的嗅探合法的网络接口可以响应两种数据帧交换式网络嗅探ARP欺骗交换机MAC地址表溢出MAC地址伪造交换环境的网络使用交换机(Switch)连接各个网络节点。交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口,这样就不是把一个数据报转发到所有端口了,这种做法一方面大大提高了网络的性能,另一方面也提高了安全性。在交换环境下,即使网卡设置为混杂模式,也只能监听本机的数据包,因为交换机不会把其他节点的数据报转发给嗅探主机。交换式网络嗅探ARP欺骗(ARPSpoofing),通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的,这样发送到被嗅探的主机的数据报完全转发到嗅探主机来,而被嗅探主机收不到任何的数据包,为了使得能够正常的截获数据报,嗅探主机除了充当嗅探的身份之外,还要充当中间人的身份。交换式网络嗅探常见的网络嗅探工具TcpDumpLibcap（winpcap)Wireshark(etherenal)SnifferproTcpDumpLinux中强大的网络数据采集分析工具tcpdump，就是：dumpthetrafficeonanetwork，根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息TcpDumpTcpDump主要是通过命令行操作，无GUI界面启动tcpdump:bash-2.02#tcpdump监视指定网络接口的数据包:tcpdump-ieth1获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包:tcpdumpiphost210.27.48.1and!210.27.48.2什么是Winpcap网络数据包捕获库函数直接访问网络，免费、公用工作于驱动层，网络操作高效为应用程序提供了一组API接口,编程容易，源码级移植方便WinPcap主要功能捕获原始数据包将数据包发送给应用程序之前，按照用户规定的规范过滤数据包将捕获到的数据包输出到文件中，并可以对这些文件进行再分析向网络发送原始数据包搜集网络传输统计数据哪些应用适合使用WinPcap网络和协议分析networkandprotocolanalyzers网络监控networkmonitors流量记录trafficloggers流量产生trafficgenerators用户级网桥和路由器user-levelbridgesandrouters网络入侵检测networkintrusiondetectionsystems(NIDS)网络扫描networkscanners安全工具securitytools•WinPcap包括三个部分–第一个模块NPF(NetgroupPacketFilter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码–第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译–第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。19WinPcap2020/1/2620WinPcap和NPFNDIS(NetworkDriverInterfaceSpecification)描述了网络驱动与底层网卡之间的接口规范，以及它与上层协议之间的规范WiresharkWireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据，可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，并且分析数据。软件前身的名字是Ethereal;最新的版本是0.99.5;自带WipcapWireshark包序号菜单栏工具栏过滤器捕获时间源地址目的地址上层协议包内容提要包概况显示窗体协议树显示窗体数据显示窗体状态栏包的16进制代码区包的ASCII代码区Wireshark的使用实时捕获数据包–使用按钮”CaptureOptions”开始捕获取对话框，选择正确的NIC进行捕获；选择网卡选定网卡的IP地址，如果不能解析，则显示为unknown设置缓存大小限制捕获包大小设置捕获过滤条件设置捕获包存储文件设置多文件连续存储显示设置名称解析设置Mac对应设备制造商解析IP地址对应的域名解析端口的对应服务名称解析设置停止捕获条件设置网卡是否为混杂捕获模式SnifferproSnifferPro是美国NetworkAssociates公司出品的一种网络分析软件，可用于网络故障与性能管理。主要功能包括：实时监控网络活动收集网络流量统计网络利用率和错误率等有关网络运行状态的数据、捕获接入冲突域中流经的所有数据包，以便进行详细分析可利用专家分析系统诊断网络中存在的问题等。Snifferpro交换式网络中的嗅探：ARP欺骗什么是ARP–AddressResolutionProtocol即地址解析协议。ARP的作用–IP数据包不能直接在实际网络中传输。–IP地址在物理网络中对目标机器的寻址，必须转换为物理地址，即MAC地址。–ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARPCache在安装了以太网网络适配器（既网卡）或TCP/IP协议的计算机中，都有ARPCache用来保存IP地址以及经解析的MAC地址，如下图所示。交换式网络中的嗅探：ARP欺骗ARP简介ARP工作原理（以A向C发送数据为例）1.A检查自己的ARPCache，是否有B的信息；2.若没找到，发送ARP广播请求，附带自身信息；3.C将A得信息加入自己的ARPCache；4.C回应A一个ARP信息；5.A将C得信息加入自己的ARPCache；6.A使用ARPCache中的信息向C发消息。返回目录ARP欺骗ARP的缺陷–ARP建立在信任局域网内所有结点的基础上。–优点是高效，但不安全。–无状态的协议，不检查是否发过请求或是否是合法的应答，不只在发送请求后才接收应答。–只要收到目标MAC是自己的ARP请求包或ARP应答包，就接受并缓存。–这样，便为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。ARP欺骗典型ARP欺骗类型之一–欺骗主机作为“中间人”，被欺骗主机的数据都经它中转，以窃取被欺骗主机间的通讯数据。–假设一网络环境中有三台主机分别为A、B、C•A-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AA•B-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BB•C-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C，对C伪装成A，A和C都被欺骗了！ARP欺骗典型ARP欺骗类型之二–截获网关数据，欺骗路由器的ARP表。–它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常的计算机无法收到信息。ARP欺骗典型ARP欺骗类型之三–伪造网关，欺骗内网计算机，造成断网。–建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描（或称请求风暴）–即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。–ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象：–不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。–计算机不能正常上网，出现网络中断的症状。返回目录嗅探器的检测ARP广播地址探测–在混杂模式时，网卡检测是不是广播地址只看收到包的目的以太网址的第一个八位组值，是0xff则认为是广播地址–如果某台主机以自己的MAC地址回应，则该主机运行在混杂模式Ping方法–构造一个ping包给目的主机，其中包含正确的IP地址和错误的MAC地址–如果该主机回应，则运行在混杂模式