网络嗅探原理与分析

1、实验一:网络嗅探与检测原理实验实验目的&内容掌握网络嗅探原理,共享式网络与交换式网络嗅探区别了解几种常见的嗅探软件特点。掌握wireshark软件安装、配置以及嗅探操作方法掌握ARP欺骗原理与方法为设计性实验:自主设计检测网络嗅探软件提供重要的理论和实验基础。网络嗅探概念网络嗅探是指:利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术网络嗅探工作在网络的底层,把网络传输的全部数据记录下来.为何要嗅探网络管理员:分析网络情况,监测网络流量攻击者:监听网络数据,嗅探用户敏感信息。网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转

2、换用ipconfig/ifconfig可以查看MAC地址正常情况下,网卡应该只接收这样的包MAC地址与自己相匹配的数据帧(单播包)广播包(Broadcast)和属于自己的组播包(Multicast)2022-6-235以太网卡的工作方式网卡完成收发数据包的工作,两种接收模式混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包2022-6-236以太网卡的工作方式共享式网络通过网络的所有数据包发往每一个主机;最常见的是通过HUB连接起来的子网;交换式网络通过交换机连接网络;由交换机构造一个“MAC地

3、址-端口”映射表;发送包的时候,只发到特定的端口上;交换机的镜像端口功能2022-6-237共享网络和交换网络2022-6-238共享网络和交换网络ABCDtoC镜像端口共享式网络嗅探共享式网络中的嗅探合法的网络接口可以响应两种数据帧交换式网络嗅探ARP欺骗交换机MAC地址表溢出MAC地址伪造交换环境的网络使用交换机交换环境的网络使用交换机(Switch)连接各个连接各个网络节点网络节点。交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口,这样就不是把一个数据报转发到所有端口了,这种做法一方面大大提高了网络的性能,另一方面也提高了安全性。在交换环境下,即使网卡设

4、置为混杂模式,也只能监听本机的数据包,因为交换机不会把其他节点的数据报转发给嗅探主机。交换式网络嗅探ARP欺骗欺骗(ARPSpoofing),通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的,这样发送到被嗅探的主机的数据报完全转发到嗅探主机来,而被嗅探主机收不到任何的数据包,为了使得能够正常的截获数据报,嗅探主机除了充当嗅探的身份之外,还要充当中间人的身份。交换式网络嗅探常见的网络嗅探工具TcpDumpLibcap(winpcap)Wireshark(etherenal)SnifferproTcpDumpLinux中强大的网络数据采

5、集分析工具tcpdump,就是:dumpthetrafficeonanetwork,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息TcpDumpTcpDump主要是通过命令行操作,无GUI界面启动tcpdump:bash-2.02#tcpdump监视指定网络接口的数据包:tcpdum

6、p-ieth1获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包:tcpdumpiphost210.27.48.1and!210.27.48.2什么是什么是Winpcap网络数据包捕获库函数网络数据包捕获库函数直接访问网络,免费、公用直接访问网络,免费、公用工作于驱动层,网络操作高效工作于驱动层,网络操作高效为应用程序提供了一组为应用程序提供了一组APIAPI接口接口,,编程容易,编程容易,源码级源码级移植方便移植方便WinPcap主要功能主要功能捕获原始数据包捕获原始数据包将数据包发送给应用程序之前,按照用户规定的将数据包发送给

7、应用程序之前,按照用户规定的规范过滤数据包规范过滤数据包将捕获到的数据包输出到文件中,并可以对这些将捕获到的数据包输出到文件中,并可以对这些文件进行再分析文件进行再分析向网络发送原始数据包向网络发送原始数据包搜集网络传输统计数据搜集网络传输统计数据哪些应用适合使用哪些应用适合使用WinPcap网络和协议分析networkandprotocolanalyzers网络监控networkmonitors流量记录trafficloggers流量产生trafficgenerators用户级网桥和路由器user-levelbridgesandrouters网络入侵检测net

8、workintrusiondetectionsystems(NIDS)网络扫描networkscanners安全工具securitytoolsWinPcap包括三个部分第一个模块NPF(NetgroupPacketFilter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的W

9、indows平台上,而无需重新编译第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。19WinPcap2022-6-2320WinPcap和NPFNDIS(NetworkDriverInterfaceSpecification)描述了网络驱动与底层网卡之间的接口规范,以及它与上层协议之间的规范WiresharkWireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,并且分析数据。软件前身的名字是Ethereal;最新的版本是0

10、.99.5;自带WipcapWiresharkWireshark的使用实时捕获数据包使用按钮”CaptureOptions”开始捕获取开始捕获取对话框,选择正确的NIC进行捕获;SnifferproSnifferPro是美国NetworkAssociates公司出品的一种网络分析软件,可用于网络故障与性能管理。主要功能包括:实时监控网络活动收集网络流量统计网络利用率和错误率等有关网络运行状态的数据、捕获接入冲突域中流经的所有数据包,以便进行详细分析可利用专家分析系统诊断网络中存在的问题等。Snifferpro交换式网络中的嗅探:ARP欺骗什么是ARPAddress

11、ResolutionProtocol即地址解析协议。ARP的作用IP数据包不能直接在实际网络中传输。IP地址在物理网络中对目标机器的寻址,必须转换为物理地址,即MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARPCache在安装了以太网网络适配器(既网卡)或TCP/IP协议的计算机中,都有ARPCache用来保存IP地址以及经解析的MAC地址,如下图所示。交换式网络中的嗅探:ARP欺骗ARP简介ARP工作原理(以A向C发送数据为例)1.A检查自己的ARPCache,是否有B的信息;2.若没找到,发送ARP广播请求,附

12、带自身信息;3.C将A得信息加入自己的ARPCache;4.C回应A一个ARP信息;5.A将C得信息加入自己的ARPCache;6.A使用ARPCache中的信息向C发消息。返回目录ARP欺骗ARP的缺陷ARP建立在信任局域网内所有结点的基础上。优点是高效,但不安全。无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存。这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。ARP欺骗典型ARP欺骗类型之一欺骗主机作为“中间人

13、”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、CA-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AAB-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BBC-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C,对C伪装成A,A和C都被欺骗了!ARP欺骗典型ARP欺骗类型

14、之二截获网关数据,欺骗路由器的ARP表。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。ARP欺骗典型ARP欺骗类型之三伪造网关,欺骗内网计算机,造成断网。建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描(或称请求风暴)即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现

THE END
1.专业的内外网数据交换方案可解决安全效率便捷3大问题!内外网数据交换是很多企业和行业都会面临的场景,既然隔离了内外网,重中之重就是要确保数据的安全性,其次在数据流转交换过程中,不能太繁琐复杂,需要让用户快速、便捷的进行数据交换。首先我们来看看,在进行内外网数据交换时,对于安全、效率、便捷这些方面的需求和挑战有哪些。 https://ftrans.cn/2024/12/16/professional-3problems/
2.基于机器学习的DDoS高防(边缘云版)攻击识别与防御基于机器学习的DDoS高防系统通常采用边缘云架构,将防御能力部署在网络边缘,以实现对攻击流量的快速识别和防御。系统架构主要包括以下几个部分: 流量采集与预处理:在网络边缘部署流量采集设备,实时捕获网络流量数据。通过预处理模块对流量数据进行清洗、去重、格式化等操作,为后续分析提供高质量的数据基础。 https://www.ctyun.cn/developer/article/622010781270085
3.网络嗅探器(Sniffer)的原理与实现(1)sniff抓包原理2.交换网络 在共享网络中,把网卡设为混杂模式就可以监听所有的网络数据包,但是在交换网络中,情况就发生了变化。 以太网分为共享式以太网和交换式以太网,共享式以太网通常以集线器作为网络设备,交换式以太网通常使用交换机作为网络连接设备。共享式以太网中数据帧以广播方式传送到每个以太网端口,网内每台主机的网卡能https://blog.csdn.net/junbopengpeng/article/details/19501953
4.安全防范策略范文12篇(全文)因为网络信息广域性和开放性的特点, 网络信息可以快速传播到全球网络各个角落, 并且通过关联得以联系, 以致于没有有效的手段检测数据信息传输, 信息安全性和保密性无法得到保障, 现有技术对网络数据安全的保护不到位, 从而在信息传递的时候留下了安全隐患。 https://www.99xueshu.com/w/ikey88ezyp22.html
5.网络安全(黑客)工具篇Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可http://www.wjks.cn/news/6557.html
6.局域网技术基础之局域网分段(精选12篇)黑客就是通过嗅探技术来偷取网络中的大量敏感信息,与主动扫描相比,嗅探难被察觉,也很容易操作。对于信息安全管理,可借助嗅探技术,对网络进行实时监控,并即时发现各种网络攻击行为。在各种局域网嗅探技术手段中,最易实现的就是基于ARP协议的交换网嗅探技术[1]。https://www.360wenmi.com/f/file1nlteb2c.html
7.信息收集阶段主要技术03嗅探技术分析信息收集阶段主要技术03-嗅探技术分析-交换式网络嗅探实验详解.doc,类别 内容 实验课题名称 交换式网络嗅探实验 实验目的与要求 1.?掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。 2.?掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和https://max.book118.com/html/2017/0401/98327359.shtm
8.ZigBee网络安全攻防因此,要在ZigBee网络进行数据包的嗅探将非常简单,因为负责侦听的程序只需要在一个频率上进行侦听即可,而不需要像蓝牙网络中,还需要不停地同步跳变。 (2)ZigBee的介质访问控制层 ZigBee的介质访问控制层也是由IEEE 802.15.4规范进行定义的。这一层包含了构建扩展ZigBee网络的各项功能,包括设备互连的拓扑结构、“设备https://www.zhuanzhi.ai/document/9581509c35b4e2d880e8ddccf348e421
9.ARP病毒网速慢的主因arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。 http://csxy.chaoshan.cn/m/viewcaa8.html?aid=122
10.交换式网络,switchingnetwork,音标,读音,翻译,英文例句,英语词典2. Authors contrasts the sniffing in a shared network and the sniffing in a switched network, discusses the principle and implement of packet sniff by APR spoof in a switched network. 分析了在共享式网络与交换式网络进行网络监听的差别,以及交换式网络下ARP欺骗的原理和使用C语言实现的方法。 3. Thhttp://www.dictall.com/indu/113/11284516988.htm
11.黑客知识之交换网络中的嗅探和ARP欺骗软件科技时代黑客知识之交换网络中的嗅探和ARP欺骗 以太网内的嗅探(sniff)对于网络安全来说并不是什么好事,虽然对于网络管理员能够跟踪数据包并且发现网络问题,但是如果被破坏者利用的话,就对整个网络构成严重的安全威胁。至于嗅探的好处和坏处就不罗嗦了。 ARP缓存表假设这样一个网络:https://tech.sina.com.cn/s/s/2006-11-24/0748169475.shtml
12.2024年3月计算机三级考试《网络技术》真题及答案C.在军事领域中有较多的应用 D.可用WiFi技术实现联网 (11)IEEE802.15标准针对的网络是 A.无线个人区域网 B.无线传感器网 C.无线宽带城域网 D.无线局域网 (12)HTTP使用的著名端口号是 A.21 B.25 C.80 D.110 (13)关于交换式局域网的描述中,正确的是 https://www.oh100.com/kaoshi/ncre3/tiku/206731.html
13.成为“黑客”前,必须掌握的“网络协议端口”软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。 在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。 https://www.51cto.com/article/587977.html
14.上海市育鹰学校“基于“基于教学改革融合信息技术的新型教与学本次拟补充的智慧互动屏需要在新建和已建系统整合的基础上,在智慧互动屏端开发面向师生的信息查询、公共资源预约、资讯检索等服务,实现面向用户的一站式服务提供。 2.2.4.现有网络、设备以及其它信息资源情况 学校现有九个常用云课堂教室(中学部7个、小学部2个),多功能录播教室2间,移动教学终端209台,校园内无线网络http://www.yuying.edu.sh.cn/info/1076/8592.htm
15.网络监听的技术和原理最初主要用来做网络分析工作,分析网络的性能与故障。而后来Sniffer成为入侵者进行网络窃听的主要工具。若要使用Sniffer,则网卡需要工作在混杂模式下,通常管理员权限才能完成。Sniffer对共享网络有效,但对交换型网络无效。 2.交换式局域网下的网络监听 共享式局域网主要的网络设备是是集线器,也就是hub,主要工作在物理层https://cooc.cqmu.edu.cn/Course/KnowledgePoint/15920.aspx
16.基于嗅探技术的内部网络安全研究AET2 实时网络监控 2.1 协议分析 在共享网络环境下,即由集线器组成的局域网环境,只需将网卡设置成混杂模式,即可监听到所有经过该网卡的数据包。而在交换网络环境,设置网卡接收模式就不可行了。因此,在一个交换式的局域网中,在其任一台主机上安装网络嗅探工具,无论其嗅探功能如何强大,也无能为力。这时,它只能嗅探到http://www.chinaaet.com/article/108233