第4讲网络监听及防御技术

网络安全攻防技术第四讲网络监听及防御技术软件学院网络工程方向网络安全攻防技术2019/8/192内容介绍4.1网络监听概述4.2监听技术4.3监听的防御4.4小结网络安全攻防技术2019/8/1934.1网络监听概述4.1.1基础知识与实例4.1.2网络监听技术的发展情况网络安全攻防技术2019/8/194网络安全攻防技术2019/8/1954.1.1基础知识与实例1．网络监听的概念网络监听技术又叫做网络嗅探技术(NetworkSniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。网络监听技术的能力范围目前只限于局域网。网络安全攻防技术2019/8/1964.1.1基础知识与实例2．相关网络基础网络传输技术：广播式和点到点式。广播式网络传输技术：仅有一条通信信道，由网络上的所有机器共享。信道上传输的分组可以被任何机器发送并被其他所有的机器接收。点到点网络传输技术：点到点网络由一对对机器之间的多条连接构成，分组的传输是通过这些连接直接发往目标机器，因此不存在发送分组被多方接收的问题。网络安全攻防技术2019/8/1974.1.1基础知识与实例3.网卡的四种工作模式（1）广播模式：该模式下的网卡能够接收网络中的广播信息。（2）组播模式：该模式下的网卡能够接受组播数据。（3）直接模式：在这种模式下，只有匹配目的MAC地址的网卡才能接收该数据帧。（4）混杂模式：（PromiscuousMode）在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。网络安全攻防技术2019/8/1984.1.1基础知识与实例4实例：用Ethereal嗅探sina邮箱密码U=hack_tesingPsw=hacktesting网络安全攻防技术2019/8/1994.1.1基础知识与实例4实例：sniffer嗅探FTP用户名和密码网络安全攻防技术2019/8/19104.1网络监听概述4.1.1基础知识与实例4.1.2网络监听技术的发展情况网络安全攻防技术2019/8/19114.1.2网络监听技术的发展情况1．网络监听（Sniffer）的发展历史Sniffer这个名称最早是一种网络监听工具的名称，后来其也就成为网络监听的代名词。在最初的时候，它是作为网络管理员检测网络通信的一种工具。网络监听器分软、硬两种网络安全攻防技术2019/8/19124.1.2网络监听技术的发展情况1．网络监听（Sniffer）的发展历史软件嗅探器便宜易于使用，缺点是功能往往有限，可能无法抓取网络上所有的传输数据(比如碎片)，或效率容易受限；硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，处理速度很高，但是价格昂贵。目前主要使用的嗅探器是软件的。网络安全攻防技术2019/8/19134.1.2网络监听技术的发展情况2．Sniffer软件的主要工作机制驱动程序支持：需要一个直接与网卡驱动程序接口的驱动模块，作为网卡驱动与上层应用的“中间人”，它将网卡设置成混杂模式，捕获数据包，并从上层接收各种抓包请求。分组捕获过滤机制：对来自网卡驱动程序的数据帧进行过滤，最终将符合要求的数据交给上层网络层，其它数据帧将被丢弃不作处理。链路层的网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获过滤模块，对于非本地的数据包，前者会丢弃（通过比较目的IP地址），而后者则会根据上层应用的要求来决定上传还是丢弃。网络安全攻防技术2019/8/19144.1.2网络监听技术的发展情况2．Sniffer软件的主要工作机制许多操作系统都提供这样的“中间人”机制，即分组捕获机制。在UNIX类型的操作系统中，主要有3种：BSD系统中的BPF(BerkeleyPacketFilter)、SVR4中的DLPI(DateLinkInterface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。网络安全攻防技术2019/8/19154.1.2网络监听技术的发展情况4.网络监听的双刃性现在的监听技术发展比较成熟，可以协助网络管理员测试网络数据通信流量、实时监控网络状况。然而事情往往都有两面性，Sniffer的隐蔽性非常好，它只是“被动”的接收数据，所以在传输数据的过程中，根本无法察觉到有人在监听。网络监听给网络维护提供便利同时，也给网络安全带来了很大隐患。网络安全攻防技术2019/8/19164.2监听技术4.2.1局域网中的硬件设备简介4.2.2共享式局域网的监听技术4.2.3交换式局域网的监听技术4.2.4网络监听工具举例网络安全攻防技术2019/8/19174.2.1局域网中的硬件设备简介1．集线器(1)集线器的原理：集线器（又称为Hub）是一种重要的网络部件，主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。集线器工作在局域网的物理环境下，其主要应用在OSI参考模型第一层，属于物理层设备。它的内部采取电器互连的方式，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。网络安全攻防技术2019/8/19184.2.1局域网中的硬件设备简介1．集线器(2)集线器的工作特点依据IEEE802.3协议，集线器功能是随机选出某一端口的设备，并让它独占全部带宽，与集线器的上联设备(交换机、路由器或服务器等)进行通信。集线器在工作时具有以下两个特点：首先是集线器只是一个多端口的信号放大设备；其次集线器只与它的上联设备(如上层Hub、交换机或服务器)进行通信，同层的各端口之间不会直接进行通信，而是通过上联设备再将信息广播到所有端口上。网络安全攻防技术2019/8/1919D-LINKDES-1024D24PORT网络安全攻防技术2019/8/19204.2.1局域网中的硬件设备简介1．集线器(3)用集线器组建的局域网示意图网络安全攻防技术2019/8/19214.2.1局域网中的硬件设备简介2．交换机(1)交换机的原理：交换机是一种网络开关（Switch）,也称交换器，由于和电话交换机对出入线的选择有相似的原理，因此被人称为交换机。交换机在局域网的环境下，工作在比集线器更高一层链路层上。交换机被定义成一个能接收发来的信息帧，加以暂时存储，然后发到另一端的网络部件，其本质上就是具有流量控制能力的多端口网桥。网络安全攻防技术2019/8/19224.2.1局域网中的硬件设备简介2．交换机(2)交换机的工作特点把每个端口所连接的网络分割为独立的LAN，每个LAN成为一个独立的冲突域。每个端口都提供专用的带宽。这是交换机与集线器的本质区别，集线器不管有多少端口，都是共享其全部带宽。转发机制。交换机维护有每个端口对应的地址表，其中保存与该端口连接的各个主机的MAC地址。网络安全攻防技术2019/8/1923CISCOWS-C2950-24交换机网络安全攻防技术2019/8/19244.2.1局域网中的硬件设备简介2．交换机(2)用交换机组建的局域网示意图网络安全攻防技术2019/8/19254.2监听技术4.2.1局域网中的硬件设备简介4.2.2共享式局域网的监听技术4.2.3交换式局域网的监听技术4.2.4网络监听工具举例网络安全攻防技术2019/8/1926什么是共享式局域网共享式局域网就是使用集线器或共用一条总线的局域网，它采用了载波检测多路侦听（CarriesSenseMultipleAccesswithCollisionDetection，简称CSMA/CD）机制来进行传输控制。共享式局域网是基于广播的方式来发送数据的，因为集线器不能识别帧，所以它就不知道一个端口收到的帧应该转发到哪个端口，它只好把帧发送到除源端口以外的所有端口，这样网络上所有的主机都可以收到这些帧。网络安全攻防技术2019/8/1927共享式局域网的监听原理在正常的情况下，网卡应该工作在广播模式、直接模式，一个网络接口（网卡）应该只响应这样的两种数据帧：与自己的MAC地址相匹配的数据帧（目的地址为单个主机的MAC地址）。发向所有机器的广播数据帧（目的地址为0xFFFFFFFFFF）。网络安全攻防技术2019/8/1928共享式局域网的监听的工作原理(2)但如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式。处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。网络安全攻防技术2019/8/1929共享式局域网的监听实现方法在共享式局域网中，集线器会广播所有数据，这时，如果局域网中一台主机将网卡设置成混杂模式，那么它就可以接收到该局域网中的所有数据了。网卡在混杂模式工作的情况下，所有流经网卡的数据帧都会被网卡驱动程序上传给网络层。共享式局域网监听示意图见下页。网络安全攻防技术2019/8/1930集线器路由器攻击者主机受害者主机192.168.1.2192.168.1.3其它主机192.168.1.4网络安全攻防技术2019/8/1931共享式局域网的监听实现方法(2)正常工作时，应用程序只能接收到以本主机为目标主机的数据包，其他数据包过滤后被丢弃不做处理。该过滤机制可以作用在链路层、网络层和传输层这几个层次，工作流程如图所示：网络安全攻防技术2019/8/1932共享式局域网的监听实现方法(3)链路层过滤：判断数据包的目的MAC地址。网络层过滤：判断数据包的目的IP地址。传输层过滤：判断对应的目的端口是否在本机已经打开。因而，如果没有一个特定的机制，上层应用也无法抓到本不属于自己的“数据包”。网络安全攻防技术2019/8/1933共享式局域网的监听实现方法(4)需要一个直接与网卡驱动程序接口的驱动模块，它将网卡设置成混杂模式，并从监听软件接收下达的各种抓包请求，对来自网卡驱动程序的数据帧进行过滤，最终将符合监听软件要求的数据返回给监听软件。网络安全攻防技术2019/8/1934共享式局域网的监听实现方法(5)有了驱动模块，链路层的网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获即过滤模块。对于非本地的数据包，前者会丢弃（通过比较目的IP地址），而后者则会根据上层应用的要求来决定上传还是丢弃，如图所示。用户级应用用户级应用分组捕获过滤TCP/IP协议栈网卡设备驱动物理传输介质网络安全攻防技术2019/8/1935共享式局域网的监听实现方法(6)在实际应用中，监听时存在不需要的数据，严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监听的关键。信息的过滤包括以下几种：站过滤，协议过滤，服务过滤，通用过滤。同时根据过滤的时间，可以分为两种过滤方式：捕获前过滤、捕获后过滤。网络安全攻防技术2019/8/19364.2监听技术4.2.1局域网中的硬件设备简介4.2.2共享式局域网的监听技术4.2.3交换式局域网的监听技术4.2.4网络监听工具举例网络安全攻防技术2019/8/19374.2.3交换式局域网的监听技术什么是交换式局域网交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。这些设备根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。因为端口间的帧传输彼此屏蔽，因此节点就不担心自己发送的帧会被发送到非目的节点中去。网络安全攻防技术2019/8/19384.2.3交换式局域网的监听技术产生交换式局域网的原因：系统管理人员常常通过在本地网络中加入