下载文档原格式
网络123班201200824306 张静网络扫描与网络嗅探一实验目的(1)理解网络嗅探和扫描器的工作机制和作用(2)使用抓包与协议分析工具Wireshark(3)掌握利用扫描器进行主动探测,收集目标信息的方法(4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境Windows xp操作系统平台,局域网环境网络抓包与协议分析工具Wireshark扫描器软件:Superscan三实验步骤使用Wireshark 抓包并进行协议分析(1)下载并安装软件,主界面如图(2)单击capture,打开interface接口选项,选择本地连接,如图(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:(4)TCP三次握手过程分析(以第一次握手为例)主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为:第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。
Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。
Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。
Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。
Options选项8字节使用superscan 扫描(1)下载并安装(2)主界面如下所示:(3)使用superscan对远程主机和本地主机进行端口扫描通过ping来检验IP是否在线:ping 172.16.1.64(4)单击port list setup进入如下界面:(5)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马:四实验总结通过本次实验,我理解了网络嗅探的工作机制和作用,它可以用来窃听计算机在网络上所产生的众多的信息,可以窃听计算机程序在网络上发送和接收到的数据,用来接收在网络上传输的信息,并且掌握了常用的网络抓包与协议分析工具Wireshark的使用方法。
实验十 sniffer网络嗅探软件的使用
【实验目的】
1.熟悉网络监听工具Sniffer Pro操作界面;
2.了解Sniffer Pro捕获与监听网络数据方法;
3.强化网络安全意识。
【实验内容】
1.安装Sniffer Pro,执行SnifferPro.exe安装程序,完成注册和安装。
2.运用Sniffer pro的一些基本操作命令
【实验步骤】
(一)安装和运行Sniffer Pro
1.启动软件,先选择一个网卡,点击确定
2.Sniffer Pro主界面如图所示
(二)运用Sniffer Pro的操作命令
1.Ping操作:ping也属于一个通信协议,是TCP/IP协议的一部分。
利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。
应用格式:Ping空格IP地址。
该命令还可以加许多参数使用,具体是键入Ping按回车即可看到详细说明。
2.Dns look up:域名查询解析工具
3.Traceroute:traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。
TTL 值可以反映数据包经过的路由器或网关的数量,通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息,traceroute命令能够遍历到数据包传输路径上的所有路由器。
工欲善其事,必先利其器.首先当然是准备工作啦,请出我们今天的必杀武器--- 网络嗅探器4.7.接下来就是破解步骤了:步骤一.打开大连铁通星海宽带影院,找到你想下载的电影,我们以美剧<英雄>为例.(ps:这部美剧还不错,无情强烈推荐!)步骤二. 打开网络嗅探器,开启嗅探,工作模式选获取url就可以了!步骤三. 选择英雄的第一集开始播放,当正常播放后,我们切回到网络嗅探器,发现多了许多以http://222.33.64.67/webmedia/webmedia.das?的网址.步骤四. 右键点选这些网址,选择查看数据包,找到其中的一个含有offsite=0的网址,记录下其中的prog_id=xxxx和host: xx.xx.xx.xxx 和uuid=xxxxxx 一会儿有用!步骤五.找到网络嗅探器文件夹中的"文件下载.exe",双击打开.然后新建下载任务!get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=xxxx&customer_id=1234567890&l ocal=192.168.1.4&proxy=192.168.1.4&uuid=xxxxxxx&osver=windows%20xp&useragent=6.0.2 800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: xx.xx.xx.xxx user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate说明:该步骤是和服务器通信,进行服务注册的.其中"cmd=1"表示下载."prog_id=xxxx"是节目的id值,就是第四步时记录的值,将xxxx修改成目标电影的id值;customer_id就不用解释了."uuid=7b0f8acc-b9c0-4f75-9e3f-5fd2d5e05d75"表示注册服务号,offset=0 表示偏移为0,整个下载."host: xx.xx.xx.xxx "表示服务器ip地址.本例构造如下get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=18557&customer_id=1234567890& local=192.168.1.4&proxy=192.168.1.4&uuid=c5c1b0cc-f496-48af-bf12-f57ad33aaaeb&osver=wi ndows%20xp&useragent=6.0.2800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: 222.33.64.69 user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate修改保存路径和文件名.保存路径和.文件名自定,但保存类型应为txt ,通信服务注册后,服务器要反馈信息如:serverid值,电影真实服务器的ip 值,电影名称,电影文件类型等.下面步骤用得上.步骤六.在第四步骤找到的那个setoff=0的网址上点右键,选择用简易下载软件下载,重命名文件为rmvb,就可以开始下载了下载速度是不是很爽啊,哈哈!补充: 最近一些网站使用了防盗链技术,下载用户要从网站的程序里得对到准入码,方能下载,例如virturalwall 的准入码为"vsid=**********……"并且还设定了极短有效时间,使盗连又增加难度,这样直接下载是不可能的.当然,这也不难,只不过多费点事.我们可以模拟请求,以获得准入码.例如:某网站的请求数据包如下:get /oemui/player.asp?id=xxx http/1.1accept: */*accept-language: zh-cnaccept-encoding: gzip, deflateuser-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1)host: www ***** comconnection: keep-alivecookie: cnzz02=1; rtime=18; ltime=1114651849156; cnzz_eid=5193670-红色显示的须要依据实际情况而定.新建该数据包后文件以txt形式保存, 打开这个txt 文件就可以见到vsid值,再修改如下数据包.get /webmedia/webmedia.tfs?cmd=1&uuid=vsid=*******&prog_id=xxx&server_id=1&customer_id=2&local=192.168.1.2&proxy=&filetype=rmvb&requesttype=0&offs et=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: www.xxxxcnuser-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate新建好,rmvb以存盘.确定后下载.这是传的,原贴地址/blog/oqxiins/article/b0-i3142911.html。
借助嗅探器(Sniffer)诊断Linux网络故障嗅探器(sniffer)在网络安全领域是一把双刃剑,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。
嗅探器是企业必不可少的网络管理工具。
本文以Linux平台下三个常用的网络嗅探器T cpdump、Ethereal和EtherApe为例,介绍如何借助sniffer来诊断网络故障,从而保障网络高效安全地运行。
简介嗅探器(sniffer)又称为包嗅探器,是用来截获计算机网络通信数据的软件或硬件。
与电话电路不同,计算机网络是共享通信通道的,从而意味着每台计算机都可能接收到发送给其它计算机的信息,捕获在网络中传输的数据信息通常被称为监听(sniffing)。
嗅探器常常作为一种收集网络中特定数据的有效方法,是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。
嗅探器工作在网络环境中的底层,可以拦截所有正在网络上传送的数据,从而成为网络安全的一个巨大威胁。
通过对网络进行嗅探,一些恶意用户能够很容易地窃取到绝密文档和敏感数据,因此嗅探器经常被黑客当作网络攻击的一种基本手段。
任何工具都有弊有利,嗅探器既可以作为黑客获得非法数据的手段,但同时对网络管理员来讲又是致关重要的。
通过嗅探器,管理员可以诊断出网络中大量的不可见模糊问题。
这些问题通常会涉及到多台计算机之间的异常通信,而且可能会牵涉到多种通信协议。
借助嗅探器,管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。
这些信息为管理员判断网络问题及优化网络性能,提供了十分宝贵的信息。
作为一种发展比较成熟的技术,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用,倍受网络管理员的青睐。
学会使用电脑的网络嗅探工具随着信息技术的快速发展,电脑与网络已经成为现代人生活中不可或缺的一部分。
在互联网的浩瀚世界中,有着各种各样的网络嗅探工具,这些工具能够帮助我们了解并分析网络数据流量,从而提升网络安全性和性能。
本文将介绍一些常用的网络嗅探工具,以及如何学会使用它们。
一、WiresharkWireshark是最著名和功能最强大的免费开源网络嗅探器,它能够捕获和分析网络数据包。
使用Wireshark,我们可以详细查看网络通信过程中的所有数据,并对其进行过滤、解析和统计。
通过对网络数据的深度分析,我们可以识别网络中的潜在问题,如网络瓶颈、数据包丢失等,进而采取相应的措施进行优化。
二、TcpdumpTcpdump是另一个常用的网络嗅探工具,它允许我们在命令行中捕获网络数据包,并将其保存到文件中以供后续分析。
与Wireshark相比,Tcpdump的功能更为简单,适合于那些对命令行界面更加熟悉的用户。
通过学习Tcpdump的使用,我们可以轻松地进行基本的网络嗅探操作,并对网络数据包进行初步分析。
三、NmapNmap是一款功能强大的网络扫描工具,它可以帮助我们发现网络上潜在的安全漏洞,并了解网络设备的运行状态。
与传统的网络嗅探工具不同,Nmap主要关注于主机和端口的探测,通过发送特定的探测包和分析返回的响应,我们可以获取有关目标主机的各种信息,如操作系统类型、开放的端口和服务等。
掌握Nmap的使用方法,对于网络安全人员和网络管理员来说是非常重要的。
四、EttercapEttercap是一款流行的网络嗅探和中间人攻击工具,它可以截取网络通信中的数据包,并对其进行修改和注入。
虽然Ettercap在某些情况下可以用于进行网络攻击,但在合法的渗透测试和安全评估中,它也能够帮助我们发现潜在的安全风险。
学习如何正确使用Ettercap,有助于我们了解网络嗅探的原理和方法,提升对网络安全的认知和防范能力。
五、使用网络嗅探工具的注意事项在学习和使用网络嗅探工具时,我们需要遵守一些基本的道德规范和法律法规。
简易网络嗅探器网络嗅探器在网路安全方面扮演很重要的角色。
使用网络嗅探器可以把网卡设置为混杂模式,并可实现对网络上传输的数据包的捕获与分析。
次分析结果可供网络安全分析之用,更有可能被用来做一些黑客行为。
本文将详细介绍嗅探器的实现原理,并给出一个简单的实例。
嗅探器设计原理通常的套接字程序只能响应与自己MAC地址相匹配的或是一广播形式发出的数据帧,对于其他形式的数据帧网络接口采取的动作是直接丢弃。
为了使网卡接受所有经过他的封包,要将其设置为混杂模式。
在用户模式下,对网卡混杂模式的设置是通过原始套接字来实现的。
原始套接字创建之后,将它绑定到一个明确的本地地址,然后向套接字发送SIO_RCVALL 控制命令,让他接收所有的IP包,这样网卡便进入了混杂模式。
设置SIO_RCV ALL ioctl之后,在原始套接字上对recv/WSARecvDE 的调用将返回IP数据报,其中包含了完整的IP头,IP头后面可能是UDP头,也可能是TCP头,这要看发送封包用户说使用的协议了。
以前的杂志中已经详细的介绍过IP头、UDP头和TCP头了。
这里我就不再赘述了,详细内容请查看以前的杂志。
详细结构代码如下:IP头typedef struct _IPHeader // 20字节的IP头{UCHAR iphVerLen; // 版本号和头长度(各占4位)UCHAR ipTOS; // 服务类型USHORT ipLength; // 封包总长度,即整个IP报的长度USHORT ipID; // 封包标识,惟一标识发送的每一个数据报USHORT文章出处:飞诺网(/course/3_program/c++/cppxl/2008912/142325.html) ; ipFlags; // 标志UCHAR ipTTL; // 生存时间,就是TTLUCHAR ipProtocol; // 协议,可能是TCP、UDP、ICMP等USHORT ipChecksum; // 校验和ULONG ipSource; // 源IP地址ULONG ipDestination; // 目标IP地址} IPHeader, *PIPHeader;UDP头typedef struct _UDPHeader{USHORT sourcePort; // 源端口号USHORT destinationPort;// 目的端口号USHORT len; // 封包长度USHORT checksum; // 校验和} UDPHeader, *PUDPHeader;TCP头// 定义TCP/index.php/Main_Page-->文章出处:飞诺网(/course/3_program/c++/cppxl/2008912/142325_2.html) es New Roman'; mso-hansi-font-family: 'Times New Roman'">标志#define TCP_FIN 0x01#define TCP_SYN 0x02#define TCP_RST 0x04#define TCP_PSH 0x08#define TCP_ACK 0x10#define TCP_URG 0x20#define TCP_ACE 0x40#define TCP_CWR 0x80typedef struct _TCPHeader // 20字节的TCP头{USHORT sourcePort; // 16位源端口号USHORT destinationPort; // 16位目的端口号ULONG sequenceNumber; // 32位序列号ULONG acknowledgeNumber; // 32位确认号UCHAR dataoffset; // 高4位表示数据偏移UCHAR flags; // 6位标志位//FIN - 0x01//SYN - 0x02//RST - 0x04//PUSH- 0x08文章出处:飞诺网(/course/3_program/c++/cppxl/2008912/142325_3.html) USHORT windows; // 16位窗口大小USHORT checksum; // 16位校验和USHORT urgentPointer; // 16位紧急数据偏移量} TCPHeader, *PTCPHeader;具体实现跟据前面的设计思路,不难写出网络嗅探器的实现代码,下面给出一个间的的示例,它可以捕获到所有经过本地网卡的数据报,并可以从中分析出协议、IP源地址、IP目标地址、TCP 源端口号和TCP目标端口号等信息。
Iris网络嗅探器使用与技巧(以下内容部分翻译自iris自带的帮助文件1.【Iris简介】一款性能不错的嗅探器。
嗅探器的英文是Sniff,它就是一个装在电脑上的窃听器,监视通过电脑的数据。
2.【Iris的安装位置】作为一个嗅探器,它只能捕捉通过所在机器的数据包,因此如果要使它能捕捉尽可能多的信息,安装前应该对所处网络的结构有所了解。
例如,在环形拓扑结构的网络中,安装在其中任一台机都可以捕捉到其它机器的信息包(当然不是全部),而对于使用交换机连接的交换网络,很有可能就无法捕捉到其它两台机器间通讯的数据,而只能捕捉到与本机有关的信息;又例如,如果想检测一个防火墙的过滤效果,可以在防火墙的内外安装Iris,捕捉信息,进行比较。
3.【配置Iris】Capture(捕获)Run continuously :当存储数据缓冲区不够时,Iris将覆盖原来的数据包。
Stop capture after filling buffer:当存储数据缓冲区满了时,Iris将停止进行数据包截获,并停止纪录。
Load this filter at startup:捕获功能启动时导入过滤文件并应用,这样可以进行命令行方式的调试。
Scroll packets list to ensure last packet visible:一般要选中,就是将新捕获的数据包附在以前捕获结果的后面并向前滚动。
Use Address Book:使用Address Book来保存mac地址,并记住mac地址和网络主机名。
而Ip也会被用netbios名字显示。
Decode(解码)Use DNS:使用域名解析Edit DNS file:使用这个选项可以编辑本地解析文件(host)。
HTTP proxy:使用http使用代理服务器,编辑端口号。
默认为80端口Decode UDP Datagrams:解码UDP协议Scroll sessions list to ensure last session visible:使新截获的数据包显示在捕获窗口的最上。
巧用嗅探器保障网络稳定运行(图)安全中国 更新时间:2009-04-22 01:15:35 责任编辑:ShellExp对于网络、系统管理或安全技术人员来说,在对网络进行管理和维护的过程中,总会遇到这样或那样的问题。
例如,网络传输性能为什么突然降低?为什么网页打不开,但QQ却能上线?为什么某些主机突然掉线?诸如此类的网络问题一个又一个地不断出现,都需要我们快速有效地去解决,以便能够尽量减少由于网络问题对企业正常业务造成的影响。
因此,我们就需要一引起工具来帮助我们快速有效地找出造成上述这些问题的原因。
网络嗅探器就是这样的一种网络工具,通过对局域网所有的网络数据包,或者对进出某台工作站的数据包进行分析,就可以迅速地找到各种网络问题的原因所在,因而也就深受广大网络管理员和安全技术人员的喜爱。
可是,我们也应该知道交换机是通过MAC地址表来决定将数据包转发到哪个端口的。
原则上来讲,简单通过物理方式将网络嗅探器接入到交换机端口,然后将嗅探器的网络接口卡设为混杂模式,依然只能捕捉到进出网络嗅探器本身的数据包。
这也就是说,在交换机构建的网络环境中,网络嗅探器不使用特殊的方式是不能分析其它主机或整个局域网中的数据包的。
但是,现在的企业都是通过交换机来构建局域网,那么,如果我们要想在这样的网络环境中使用网络嗅探器来解决网络问题,就必需考虑如何将网络嗅探器接入到目标位置,才能让网络嗅探器捕捉到网络中某台主机或整个网段的网络流量。
就目前来说,对于在交换机构建的网络环境中使用网络嗅探器,可以通过利用可网管交换机的端口汇聚功能、通过接入集成器或Cable TAP接线盒及选择具有特殊功能的网络嗅探软件这3种方法来进行。
这3种可行的方式分别针对不同的交换机应用环境来使用的,本文下面就针对目前主流的几种交换机网络环境,来详细说明这3种接入方式的具体应用。
一、通过可网管交换机端口汇聚功能来达到目的现在一些可网管式交换机,一般都有一种叫做端口汇聚(port spanning)的功能,并且带有一个可以用来实现这种功能的端口。
使用交换机的端口镜像功能时,就允许我们将交换机中其它端口上的流量镜像到这个特殊的端口当中。
这样,只要将网络嗅探器连接到这个端口上,然后将嗅探器的网络接口卡设为混杂模式,就可以嗅探到所有由交换转发的数据包。
要想使用交换机的端口汇聚功能,在使用前必需对交换机进行相应的设置。
设置的方法得根据交换机可以使用的配置功能来进行,有些交换机可以通过终端方式来进行,也可以通过WEB方式更加直观地设置交换机的端口汇聚功能,还可以通过远程登录的方式进行设置。
为了保障交换机的安全,最好使用本地登录方式的终端管理模式和本地WEB管理模式。
图1.1就是通过端口汇聚功能接入网络嗅探器的拓扑图。
图1.1 通过端口汇聚方式接入网络嗅探器的拓扑图现在,在一些中小型的企业当中,由于网络规模不大,或者为了节省IT成本,只使用了一些非网管的交换机来构建局域网。
对于非网管型的交换机,我们就不可能再使用端口汇聚功能来接入网络嗅探器了。
那么,对于这种交换机构建的网络环境,我们又该使用什么样的方法来达到嗅探网络中的所有网流数量,或者只嗅探进出某台工作站之中的网络流量的目的呢?就目前来说,在这样的交换机网络环境中可以使用下面所示的两种方法来实现:第一种方法就是通过在交换机上再接入一个小型集线器(HUB),然后将嗅探器和被嗅探的所有主机都连接到这个集线器中。
这样,就使被嗅探的网络变成了共享式的以太网,在这个重新构建的共享式局域网中的所有数据包,将会以广播的方式发送到集线器的所有端口。
如此一来,只需要将网络嗅探器的以太网网卡置于混杂模式,就可以嗅探到这个共享式局域网中传输的所有数据包。
但是,使用这种方式有它一定的局限性的。
一方面,将一个关键的网络段连接到集线器上,由于所有的工作站都是共享集线器的带宽的,接入的工作站过多就会影响到它们的网络性能。
另一方面,如果在构建局域网时没有考虑到网络嗅探器的使用,也就不可能在一开始就连入了集线器。
因而在局域网运行过程中再将集线器接入到交换机上时,就不得不中断网络,以及将它从交换机中退出时,也会中断一次网络。
因此,这种接入网络嗅探器的方式只有当出现了某种严重的网络问题,需要用网络嗅探器来分析解决时才能使用。
图2.1就是通过集线器连入网络嗅探器的拓扑图。
图2.1 通过集线器的方式连入网络嗅探器的拓扑图第二种方法就是通过在交换机上接入一个Cable TAP接线盒,然后将网络嗅探器和所有需要被管理的工作站或服务器连接到Cable TAP接线盒上,由于它也是一种共享式网络连接设备,因而也就可以嗅探到使用它构建的整个局域网中传输的所有数据包了。
只不过Cable TAP接线盒的收发方式是独立进行的,因而它的带宽可以与交换机相似,但在使用时应用两根网线来分别连接它的收与发接口到交换机的独立端口中。
Cable TAP可以作为一种固定的设备,永久地连入到网络结构当中而不影响网络的传输性能,因而可以在一开始的时候就可以将它加入到网络结构当中,以便在后续的网络管理过程中可以使用它。
现在,已经有很多网络生产商生产Cable TAP接线盒,主要目的也是为了跟一些网络协议分析设备一起使用,以便网络分析设备可以监控和分析整个交换机网络环境中所有网络流量。
例如福禄克网络公司就生产这样的在线式TAP连接设备。
图2.2就是通过Cable TAP接线盒方式连入网络嗅探器的拓扑图。
图2.2 通过Cable TAP接线盒方式连入网络嗅探器的拓扑图使用Cable TAP接线盒解决了了使用集线器时的网络传输性能的问题,但是,却没有使用集线器这种方式的灵活。
在一个允许中断企业正常业务的网络问题解决过程中,可以使用集线器随意在需要分析网络流量的位置进行网络嗅探工作,然后在解决网络问题之后,重新恢复网络的原有结构。
如果在一个非网管的交换机网络环境中,坚决不可以中断企业业务及改变网络原有结构的方式来使用网络嗅探器,或者就算允许使用集线器,但是在使用时手上没有这样的网络设备。
此时,我们又该如何将网络嗅探器接入到目标交换机网络,达到嗅探进出某台工作站或整个局域网中所有网络流量的目的呢?在这种情形之下,我们就可以选择一些具有特殊功能的网络嗅探器来完成任务。
现在,有一些网络嗅探器软件具有在交换机网络环境中嗅探数据包功能,例如DSniff 和Ettercap。
使用这样的网络嗅探器软件就能够在不需要特殊设备的情况下,就可以得到局域网中进出某台主机的所有数据包。
实际上,这些可以在交换机网络环境中使用的网络嗅探软件,都是使用一些网络攻击手段来达到在交换网络环境中得到数据包的目的。
下面就是这些软件可能会使用到的攻击方式:1、交换机地址表溢出(Switch Flooding)交换机通过维护一张MAC地址表来将数据包正确地转发到指定的端口。
当使用大量的假冒MAC地址填满交换机的地址空间时,交换机就会像一台普通的HUB一样,将所有多出来的通信广播到整个局域网当中的所有计算机当中。
这样一来,当我们先通过网络嗅探器使用一些无用的MAC地址将交换机的MAC地址表填满后,就可以让交换机将所有数据包以广播的方式转发到整个局域网。
此时,只需要将网络嗅探器的以太网网卡设为混杂模式,就可以嗅探到整个交换机网络环境中的所有数据包了。
Dsniff软件包中的macof 就是用来实施交换机MAC地址表溢出攻击的。
现在,这个问题在许多大型交换机当中已经不存在了。
这些交换使用了一种方式来限制其MAC地址表会被填满,并且使用了一种方式,当其MAC地址表容量到某种程度后就会关闭广播通信功能,或者关闭某些端口。
2、ARP重定向(ARP Redirects)当一台计算需要另一台计算机的MAC地址时,它就会向对方发送一个ARP地址请求。
每台计算机都会维护一张包含与它会话过的所有计算机的MAC地址的ARP表。
只是,这些ARP表会在某段时间刷新一次,将一些超时的ARP项删除。
ARP协议在交换机环境中也是被广播,这是由于这个ARP协议包中没有具体接收对象的MAC地址。
当局域网中的某台工作站发送出一个ARP请求时,同一网段中的所有计算机都可以接收到,然后每台计算按ARP中提供的IP地址查找自己的ARP地址表,如果找到相对应的,就给那台主机发送一个确认的ARP协议,此数据包中包含它的MAC地址。
因此,网络嗅探器就可以利用交换机的这个特性,使用ARP协议欺骗交换机达到可以嗅探某台工作站或所有网络流量的目的。
例如,网络嗅探器通过发送一个定制的ARP协议包,在其中申请它是事个网段的路由器,当所有计算机收到这个ARP包时,就会更新它们的ARP表,这样,所有的计算机都会将数据包发送到这台嗅探器。
如此一来,为了不影响正常的网络业务,所有的网络流量都会通过网络嗅探器再次转发,这就要求网络嗅探器的网络性能要能保证数据包的正常转发。
有时,我们也可以只针对某台计算机进行ARP地址欺骗,告诉这台计算机网络嗅探器就是路由器,以此让这台计算机将数据包发给网络嗅探器进行转发。
这样也就可以嗅探到交换机环境中任何一台想要嗅探的计算机发送出来的数据包了。
但是,要注意的是ARP欺骗应该在同一个子网中进行,不然会收到错误的信息。
3、ICMP重定向(ICMP Redirect)在一些网络环境中,有时候连接到同一台交换机上的所有计算机虽然在物理上处于同一个网段,但是,它们在逻辑上却是处于不同的网段,也就是我们所说的存在不同的子网。
例如,192.168.0 .0/24这个网段,就可以分为192.168.1.0/24,182.168.2.0/24…等子网。
而且,还可以通过子网掩码来将同一个子网再划分为几个逻辑网段。
这样,就算在同一交换机网络环境中,一个子网中的计算机A要想与另一个子网中的计算机B进行会话,也得通过路由器来进行。
当路由器在收到这样的数据包时,它心里明白这两台计算机接在同一台交换机中,它就会发送一个ICMP重定向数据包给计算机A,让它知道它可以直接将数据包发送到B。
利用这种方式就可以发送一个伪装的ICMP数据给计算机A,让它将数据包发送到网络嗅探器了。
4、ICMP路由公告(ICMP Router Advertisements)ICMP路由公告用来告诉计算机哪台路由器可以使用。
我们就可以先通过这种方式宣告网络嗅探器就是路由器,这样,所有的计算机就会将其数据包发送给网络嗅探器,然后再由它进行重新转发。
5、MAC地址欺骗(MAC Address Spoofing)网络嗅探器软件还可以通过MAC地址欺骗方式来冒充不同的计算机。
网络嗅探器将包含欺骗的MAC地址的数据包发给交换机,这样就可以欺骗交换机认为它就是这个数据包的真正源地址,然后交换机就会将这个MAC地址保存到其地址表中,接着就会将所有发给真实MAC地址计算机的数据包全部转发给网络嗅探器。
