1、实验一:网络嗅探与检测原理实验实验目的&内容掌握网络嗅探原理,共享式网络与交换式网络嗅探区别了解几种常见的嗅探软件特点。掌握wireshark软件安装、配置以及嗅探操作方法掌握ARP欺骗原理与方法为设计性实验:自主设计检测网络嗅探软件提供重要的理论和实验基础。网络嗅探概念网络嗅探是指:利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术网络嗅探工作在网络的底层,把网络传输的全部数据记录下来.为何要嗅探网络管理员:分析网络情况,监测网络流量攻击者:监听网络数据,嗅探用户敏感信息。网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转
2、换用ipconfig/ifconfig可以查看MAC地址正常情况下,网卡应该只接收这样的包MAC地址与自己相匹配的数据帧(单播包)广播包(Broadcast)和属于自己的组播包(Multicast)2022-6-235以太网卡的工作方式网卡完成收发数据包的工作,两种接收模式混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包2022-6-236以太网卡的工作方式共享式网络通过网络的所有数据包发往每一个主机;最常见的是通过HUB连接起来的子网;交换式网络通过交换机连接网络;由交换机构造一个“MAC地
3、址-端口”映射表;发送包的时候,只发到特定的端口上;交换机的镜像端口功能2022-6-237共享网络和交换网络2022-6-238共享网络和交换网络ABCDtoC镜像端口共享式网络嗅探共享式网络中的嗅探合法的网络接口可以响应两种数据帧交换式网络嗅探ARP欺骗交换机MAC地址表溢出MAC地址伪造交换环境的网络使用交换机交换环境的网络使用交换机(Switch)连接各个连接各个网络节点网络节点。交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口,这样就不是把一个数据报转发到所有端口了,这种做法一方面大大提高了网络的性能,另一方面也提高了安全性。在交换环境下,即使网卡设
4、置为混杂模式,也只能监听本机的数据包,因为交换机不会把其他节点的数据报转发给嗅探主机。交换式网络嗅探ARP欺骗欺骗(ARPSpoofing),通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的,这样发送到被嗅探的主机的数据报完全转发到嗅探主机来,而被嗅探主机收不到任何的数据包,为了使得能够正常的截获数据报,嗅探主机除了充当嗅探的身份之外,还要充当中间人的身份。交换式网络嗅探常见的网络嗅探工具TcpDumpLibcap(winpcap)Wireshark(etherenal)SnifferproTcpDumpLinux中强大的网络数据采
5、集分析工具tcpdump,就是:dumpthetrafficeonanetwork,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息TcpDumpTcpDump主要是通过命令行操作,无GUI界面启动tcpdump:bash-2.02#tcpdump监视指定网络接口的数据包:tcpdum
6、p-ieth1获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包:tcpdumpiphost210.27.48.1and!210.27.48.2什么是什么是Winpcap网络数据包捕获库函数网络数据包捕获库函数直接访问网络,免费、公用直接访问网络,免费、公用工作于驱动层,网络操作高效工作于驱动层,网络操作高效为应用程序提供了一组为应用程序提供了一组APIAPI接口接口,,编程容易,编程容易,源码级源码级移植方便移植方便WinPcap主要功能主要功能捕获原始数据包捕获原始数据包将数据包发送给应用程序之前,按照用户规定的将数据包发送给
7、应用程序之前,按照用户规定的规范过滤数据包规范过滤数据包将捕获到的数据包输出到文件中,并可以对这些将捕获到的数据包输出到文件中,并可以对这些文件进行再分析文件进行再分析向网络发送原始数据包向网络发送原始数据包搜集网络传输统计数据搜集网络传输统计数据哪些应用适合使用哪些应用适合使用WinPcap网络和协议分析networkandprotocolanalyzers网络监控networkmonitors流量记录trafficloggers流量产生trafficgenerators用户级网桥和路由器user-levelbridgesandrouters网络入侵检测net
8、workintrusiondetectionsystems(NIDS)网络扫描networkscanners安全工具securitytoolsWinPcap包括三个部分第一个模块NPF(NetgroupPacketFilter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的W
9、indows平台上,而无需重新编译第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。19WinPcap2022-6-2320WinPcap和NPFNDIS(NetworkDriverInterfaceSpecification)描述了网络驱动与底层网卡之间的接口规范,以及它与上层协议之间的规范WiresharkWireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,并且分析数据。软件前身的名字是Ethereal;最新的版本是0
10、.99.5;自带WipcapWiresharkWireshark的使用实时捕获数据包使用按钮”CaptureOptions”开始捕获取开始捕获取对话框,选择正确的NIC进行捕获;SnifferproSnifferPro是美国NetworkAssociates公司出品的一种网络分析软件,可用于网络故障与性能管理。主要功能包括:实时监控网络活动收集网络流量统计网络利用率和错误率等有关网络运行状态的数据、捕获接入冲突域中流经的所有数据包,以便进行详细分析可利用专家分析系统诊断网络中存在的问题等。Snifferpro交换式网络中的嗅探:ARP欺骗什么是ARPAddress
11、ResolutionProtocol即地址解析协议。ARP的作用IP数据包不能直接在实际网络中传输。IP地址在物理网络中对目标机器的寻址,必须转换为物理地址,即MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARPCache在安装了以太网网络适配器(既网卡)或TCP/IP协议的计算机中,都有ARPCache用来保存IP地址以及经解析的MAC地址,如下图所示。交换式网络中的嗅探:ARP欺骗ARP简介ARP工作原理(以A向C发送数据为例)1.A检查自己的ARPCache,是否有B的信息;2.若没找到,发送ARP广播请求,附
12、带自身信息;3.C将A得信息加入自己的ARPCache;4.C回应A一个ARP信息;5.A将C得信息加入自己的ARPCache;6.A使用ARPCache中的信息向C发消息。返回目录ARP欺骗ARP的缺陷ARP建立在信任局域网内所有结点的基础上。优点是高效,但不安全。无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存。这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。ARP欺骗典型ARP欺骗类型之一欺骗主机作为“中间人
13、”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、CA-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AAB-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BBC-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C,对C伪装成A,A和C都被欺骗了!ARP欺骗典型ARP欺骗类型
14、之二截获网关数据,欺骗路由器的ARP表。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。ARP欺骗典型ARP欺骗类型之三伪造网关,欺骗内网计算机,造成断网。建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描(或称请求风暴)即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现