1、网络监听的概念
网络监听技术又叫做网络嗅探技术,顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域,网络监听技术对于网络攻击与防范双方都有着重要的意义,是一把双刃剑。网络监听技术的能力范围目前只限于局域网,它是主机的一种工作模式,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。
网络管理员:分析网络情况,监测网络流量
攻击者:监听网络数据,嗅探用户敏感信息。
2、网卡的工作模式
(1)广播模式:该模式下的网卡能够接收网络中的广播信息。
(2)组播模式:该模式下的网卡能够接受组播数据。
3、共享网络和交换网络
共享式网络-通过网络的所有数据包发往每一个主机;-最常见的是通过HUB连接起来的子网;
4、网络监听防御的通用策略
由于嗅探器是一种被动攻击技术,因此非常难以被发现。
完全主动的解决方案很难找到并且因网络类型而有一些差异,但我们可以先采用一些被动但却是通用的防御措施。这主要包括采用安全的网络拓扑结构和数据加密技术两方面。
5、信息收集步骤
(1)找到初始信息 – Open source – Whois – Nslookup
(3)找到活动的机器 (嗅探) – Ping、wireshark
(4)找到开放端口和入口点 – Nmap – Nessus
(5)弄清操作系统 – Nmap
(6)弄清端口运行的服务
6、交换式网络嗅探
6.1 交换式网络中的嗅探:ARP欺骗
ARP的作用
① IP数据包不能直接在实际网络中传输。
交换环境的网络使用交换机(Switch)连接各个网络节点 。
-交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到所有端口了, 这种做法一方面大大提高了网络的性能, 另一方面也提高了安全性。
-在交换环境下, 即使网卡设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机。
ARP 欺骗(ARP Spoofing)
ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击,目的是为了在全交换环境下实现数据监听。
通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。
ARP的缺陷
-ARP建立在信任局域网内所有结点的基础上。
-优点是高效,但不安全。
-无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。
-只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存。
-这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
典型ARP欺骗类型之一
欺骗主机作为“中间人”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。
假设一网络环境中有三台主机分别为A、B、C
A- IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA
B- IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB
C- IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CC
B给A应答IP是192.168.10.3 MAC是BB-BB-BB-BB-BB-BB
B给C应答IP是192.168.10.1 MAC是AA-AA-AA-AA-AA-AA
B对A伪装成C,对C伪装成A,A和C都被欺骗了!
典型ARP欺骗类型之二
-截获网关数据,欺骗路由器的ARP表。
典型ARP欺骗类型之三
-伪造网关,欺骗内网计算机,造成断网。
-建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。
ARP攻击
ARP攻击主要是指ARP欺骗
ARP攻击也包括ARP扫描(或称请求风暴)
-即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。
-ARP扫描一般为ARP攻击的前奏。
ARP攻击主要是存在于局域网中
ARP攻击一般通过木马感染计算机
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
受到ARP攻击的计算机一般会出现的现象:
-计算机不能正常上网,出现网络中断的症状。
常见的网络嗅探工具: TcpDump、Libcap (winpcap)、Wireshark (etherenal)、Sniffer pro
嗅探器的检测
Ping方法
-如果该主机回应,则运行在混杂模式