使用Wireshark查看局域网内安全问题.doc

使用Wireshark查看局域网内安全问题 早就听说过局域网的安全性有问题，但是也一直没放在心上，祥子是计算机专业毕业的，平时上网行为很规矩，从不上那些乱七八糟的网站，小方格子里有自己专用 的电脑，里面装着网络版的杀毒软件，定时更新病毒库，系统里装着360安全卫生，系统的漏洞啊、补丁啊什么的都堵上和补上了，这样在局域网还能不安全吗？ 至少，自己认为是安全的，而且相对于同事们经常重装系统的行为，自己的系统重装的次数是少多了，那么真的是这样吗？让我们用几款软件试试吧。 　　 虚拟机：安全检测的有效工具 　　为什么要这样，那些检测局域网安全性的软件不能直接安装在机器上吗，当然不能，第一，这些软件很多会被杀毒软件当作病毒给杀掉，第二，你打算直接拿这些软件来对别人的机器进行测试吗？不安全，太不安全了，无论是对别人还是对自己来说都太不安全了。 　　 　　所以我们要先装一个虚拟机，里面装一个“裸奔”的XP系统就可以了，所有的软件都装在这个虚拟的系统里面，自己对自己进行测试，学习了，再拿到局域网中进行实验，这样无论对别人还是自己都是负责任的，虚拟机本次安装的是VMware6.0.2这个版本。 用Sniffer工具抓取用户名/密码 　　 　　SNIFFER软件有很多，比如大名鼎鼎的 Sniffer Pro 4.7，但是这款软件太大了，不好上手（但是经典就是经典，祥子以后会为大家介绍这款软件的使用的），这次我们选一个轻量级的Wireshark，它的使 用也是非常简单，这没什么说的，双击该程序的图标启动即可。 　　 　　点击“List the available capture interfaces”按钮，按中自己的网卡，再点“Options”，再点“Start”，就可以开始监控本网段内的一切网络活动了。 　　 　　我们在真实的机器上进行一次FTP操作，查看捕获到用户名/密码： 　　这时就可以看到有数据记录了，点“Stop”，再选中“Info”栏中带有“ftp[SYN]”字样的一栏（因为在FTP的同步过程中会传输用户名和密码），点右键，选择“Follow TCP Stream”如图1所示，我们就得到了一次FTP操作的用户名和密码。 　　 图1 利用Cain，做ARP欺骗 　　 　　SNIFFER类的软件功能很强大，但是对于一般的用户来说，在众多的信息中寻找自己需要内容太麻烦了，好在Cain可以帮我们记录多种网络操作的密码，操作步骤如下： 　　 　　让我们启动Cain，点选Sniffer，再点击Start/Stop Sniffer按钮，这时再点击“＋”，会对本局域内的MAC地址列表进行扫描（这里也要说明一下，Cain软件也只能对同一网段的机器进行扫描）。 　　 　 　再点下面的“APR”，继续点击“＋”，在出现的对话框中左边一栏选网关的地址，右边一栏选择需要监控的地址，一切就绪后再点“Start/Stop APR”按钮，下面就等着用户名和密码出现吧，比如我们再做一次登录FTP服务器的操作，就会看到很轻松的就把FTP的用户名和密码得到了，如图2所示。 　　 图2 使用wireshark找回遗忘管理地址问题 作为网络管理员的我们经常要针对路由器，交换机，VPN接入等网络设备进行配置，不知道各位是否遇到过忘记了设备管理地址的情况，也许你记得用户名和密 码，但是要进行配置就必须访问管理界面，这个管理地址的丢失或遗忘却让我们束手无策。最近笔者就遇到了这么一个让人头疼的问题，最终通过sniffer找 到了管理地址信息，下面笔者就为各位呈现忘记管理地址莫慌用sniffer巧解决的全功略。 　　一，什么时候会忘记管理地址： 　　忘记管理地址的情况多出现网络管理员交接工作时，老网管离职新网管接手，但是移交时只过多的关注用户名和密码，而没有将各个设备的管理地址写清楚。另外对于一些设备来说可能会因为说明书丢失，而在RESET后忘记管理地址的情况也经常出现。 　　二，传统获取设备管理地址的方法： 　　就算没有得到设备的管理地址我们依然可以通过传统方法解决，主要的解决办法有三个。 　　(1)RESET恢复法： 　　通过设备自身的RESET键可以顺利的将设备所有配置信息清空，从而恢复到出厂状态。这样相应的设备管理地址也被重置。不过RESET恢复法存 在局限，那就是如果设备自身没有RESET恢复功能，又或者本身就没有说明书不知道恢复后的出厂设置中管理地址信息的话同样无法通过此方法解决管理地址辩 识的问题。 　　(2)DHCP自动获得法： 　　找到一台计算机连接要恢复管理地址的网络设备，如果设备自身提供了DHCP自动分配地址功能的话，我们在计算机上将会获得由网络设备自身提供的 IP，网关等网络信息，这个网关地址就是设备的管理地址。我们可以通过此地址来访问管理界面。不过此方法也同样存在缺点，那就是假如设备自身设置时就没有 开启DHCP服务，又或者出厂设置中默认关闭了DHCP服务的话，我们计算机上将无法获得任何DHCP分配的信息，自然也就无法定位管理地址了。 　　(3)密码恢复控制台恢复法： 　　最后一种方法多出现在路由器和交换机上，传统路由交换设备都可以通过开机特殊方法进入到密码恢复控制台，通过这个控制台我们可以针对设备的基本 信息进行修改，可以强行将密码，管理IP等参数更改为你输入的地址，这样就实现了管理地址的恢复。不过这种方法局限性比较大，很多设备不支持。另外就算支 持的设备要恢复起来也需要通过命令行来完成，难度相对比较大。 三，忘记管理地址莫慌用sniffer巧解决： 　　最近笔者遇到了一个棘手的情况，手里有一台VPN设备默认的管理地址被修改，通过说明书中提示的各个端口默认地址都无法顺利连接到管理界面。而 该设备自身也没有提供RESET功能，默认DHCP服务也被关闭;同时无法通过密码恢复控制台来强置修改管理地址。也就是说通过以上种种传统的恢复管理地 址的方法都不行，于是笔者决定用sniffer工具来解决。 　　第一步：首先找到一台电脑连接要查找到管理地址的网络设备相应端口，然后在本地计算机上启动sniffer工具，笔者选择的是wireshark网络分析专家这个软件，启动软件选择本地网卡。(如图1)           第二步：由于本地计算机无法通过DHCP动态获得IP地址等信息，所以我们要为其设置一个地址，地址设置讲究技巧，可以尝试10.X.X.X或 192.168.x.x，这些都是内网IP，大部分设备的管理地址都会属于这个范畴。而子网掩码的选择就更加讲究了，一定要使用255.0.0.0，这样 才能保证与管理地址尽可能的在一个网段内。例如管理地址为192.168.5.1，那么如果你的计算机IP是192.168.1.1，那么 255.255.255.0作为子网掩码的话两者是PING不通的，如果255.0.0.0作为子网掩码的话由于MASK的关系两者在一个网关是互相能够 PING通的，这样更提高了我们猜测和扫描出设备管理地址的概率。 　　第三步：之后把网线从设备接口上拔掉，然后重新插上，一般来说由于该端口重新有连接产生，端口会向外发送数据包，我们从wireshark管理 工具中也看到了扫描到的数据包中除了本地发出的数据包外，还有一个来自lannere1_0a:41:87的数据包，内容是gratuitous arp for 10.254.250.254，这个是ARP更新数据包。(如图2)       第四步：通过gratuitous arp for 10.254.250.254这个ARP更新数据包我们可以判断设备的管理地址为10.254.250.254。因此我们就可以重新设置本机IP地址来连接这个管理IP。(如图3)    第五步：设置本地IP地址与10.254.250.254在一个网段，同时网关指向10.254.250.254。(如图4)             第六步：设置生效后我们在本机就可以顺利的PING通10.254.250.254这个管理地址了。(如图5)        第七步：同时可以通过IE浏览器访问管理界面针对设备其他端口的信息进行设置。(如图6)          小提示： 　　通过sniffer查找网络设备管理地址的方法往往需要反复尝试，并不是设备所有接口都能够通过此方法获得管理地址，因为在实际破解和恢复时需要针对设备各个接口进行sniffer，反复测试后往往才能够找到真正的管理地址。 　　四，小结： 　　本文介绍了通过sniffer类工具wireshark成功获取已经遗忘或丢失的网络设备管理界面IP地址，通过此 方法可以解决没有RESET功能又默认没有开启DHCP服务而又忘记管理地址的麻烦。除了sniffer检测法外各位用户还可以通过笔者在文中提到的另外 一个方法——修改子网掩码为255.0.0.0的技巧来提高破解概率，通过反复尝试PING各个网段第一个地址和最后一个254地址来暴力破解管理地址。 协议欺骗攻击技术常见种类简析及防范 IP欺骗攻击 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。 假设同一网段内有两台主机A、B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序 列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据 包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的 ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。 要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击： ·抛弃基于地址的信任策略： 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。 ·使用加密方法： 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性和真实性。 ·进行包过滤：可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。 有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。 ARP欺骗攻击 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是当初ARP 方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造IP地址和 MAC地址实现ARP欺骗的攻击技术。 　我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。 以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其数据传输关系如下所示： B----->A----->C B<----A<------C 　于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的ARP欺骗的例子。 　ARP欺骗攻击有两种可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。但不管怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上。 　防范ARP欺骗攻击可以采取如下措施： ·在客户端使用arp命令绑定网关的真实MAC地址命令 ·在交换机上做端口与MAC地址的静态绑定。 ·在路由器上做IP地址与MAC地址的静态绑定 ·使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。 DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器 就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮 件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。 （1）缓存感染 黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 （2）DNS信息劫持 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 （3）DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 防范DNS欺骗攻击可采取如下措施： ·直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。 ·加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是怎么容易的事情。 源路由欺骗攻击 通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作，这就是源路由攻击。在通常情况下，信息包从起点到终点走 过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里， 使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式： 主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近 的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送 源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些 被保护数据。 为了防范源路由欺骗攻击，一般采用下面两种措施： ·对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。 ·在路由器上关闭源路由。用命令no ip source-route。 局域网IP地址非法使用解决问题 在大多数局域网的运行管理工作中，网络管理员负责管理用户IP地址的分配，用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授 权的IP地址都应视为IP非法使用。但在Windows操作系统中，终端用户可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题。改动后的 IP地址在局域网中运行时可能出现的情况如下。 a. 非法的IP地址即IP地址不在规划的局域网范围内。 b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。 c.冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。 1 IP地址非法使用的动机? IP地址的非法使用问题，不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况： a. 干扰、破坏网络服务器和网络设备的正常运行。 b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的，就是因特网访问权限。 c. 因机器重新安装、临时部署等原因，无意中造成的非法使用。 2 非法使用方法 2.1 静态修改IP地址配置 用户在配置TCP/IP选项时，使用的不是管理员分配的IP地址，就形成了IP地址的非法使用。 2.2 同时修改MAC地址和IP地址 非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。 2.3 IP电子欺骗 IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程，发送带有假冒的源IP地址的IP数据包 3 管理员的技术手段 3.1 静态ARP表的绑定 对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。 IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的 ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。 3.2 交换机端口绑定 借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。 使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒 绝。 3.3 VLAN划分 严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。 3.4 与应用层的身份认证相结合 避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低IP地址非法使用所带来的危害。 4 管理建议 a.普通用户明白非法使用IP地址所产生的危害和处罚措施，制定并实施严格的IP地址管理制度，包括：IP地址申请和发放流程，IP地址变更流程，临时IP地址分配流程，机器MAC地址登记管理，IP地址非法使用的处罚制度。 b.非法使用IP的行为，总是内部网络少数人的行为。因此，对于已经建成的网络，管理员要根据当前存在的问题，有针对性的运用技术措施，重点阻止个别用户的非法行为。 c. 划分VLAN时，兼顾可管理性和易用性。在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将权限相近的用户划分到同一个VLAN内，弱化非法使用同网段IP地址所带来的利益。 d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能，可以及时有 效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源。同时，网络管理员还可以借助网管系统，很 方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。 e. 与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似，用户名和口令也属于容易盗用的资源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度。 5 结束语 内部人员非法使用IP地址，并不是为了进行侵入和破坏，而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段，还拥有各种内部管理 手段。如果单纯使用技术手段来防范IP地址的非法使用，必然产生高昂的系统投资成本和人员开支。因此，只有综合运用管理手段和技术手段，来处理IP地址非 法使用问题，才能实现高可靠性的系统运行与低成本的管理维护的统一。