第五章TCPIP体系的协议安全-网络嗅探.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第五章,TCP/IP,协议体系的安全,-ARP,安全,网络嗅探,-Network Sniffing,Sniffer Pro-,商业,WireShark Etheral-,开放,www.wireshark.org,网络协议分析器,获取网络通信量，进行分析,-Wireshark&Ethereal network Protocl Analyzer Toolkit Syngress,攻击者如何应用嗅探,sniffer,捕获明文用户帐号和口令信息,发现网络中用户的使用模式,泄露私人信息,捕获并重放,Vocie over IP(VoIP),电话音频,映

2、射网络拓扑结构,操作系统指纹探测,以太网回顾,-IEEE802.3,-,共享信道,-,广播协议,-,为了标识以太网上的每台主机，需要给每台主机上的网络适配器（网络接口卡）分配一个唯一的通信地址，即,Ethernet,地址或称为网卡的物理地址、,MAC,地址。长度为,48,比特，共,6,个字节。,IEEE,负责为网络适配器制造厂商分配,Ethernet,地址块，各厂商为自己生产的每块网络适配器分配一个唯一的,Ethernet,地址。因为在每块网络适配器出厂时，其,Ethernet,地址就已被烧录到网络适配器中。所以，有时我们也将此地址称为烧录地址（,Burned-In-Address,，,BIA

3、以太帧格式之一,CSMA/CD,IEEE 802.3,类型的网络采用带有冲突检测的载波侦听多路访问,(CSMA/CD),控制方法访问共享传输介质,CSMA/CD,协议的工作原理是：某站点想要发送数据，必须首先侦听介质。如果介质空闲，立即发送数据并进行冲突检测；如果介质忙，继续侦听介质，直到介质变为空闲，才继续发送数据并进行冲突检测。如果站点在发送数据过程中检测到冲突，它将立即停止发送数据并等待一个随机长的时间，重复上述过程,.,采用,CSMA/CD,协议接收数据时，每个节点检测通过它的所有数据帧。如果数据帧包含的目的地址正是该节点，则先检测数据的完整性,(,信息帧的长度在,64,到,1

4、518,字节之间，并通过,CRC,检验,),，再送往网络软件驱动程序,物理拓扑星型；逻辑,(,工作原理,),总线型,以太帧：从一个端口接收，向其他所有端口转发,网卡：,MAC,地址,局域网,-,共享式以太网（集线器,-HUB,）,在正常的情况下，一个网络接口应该只响应两种数据帧,:,与自己硬件地址相匹配的数据帧,发向所有机器的广播数据帧,混杂模式,(Promiscuous),：所有数据帧,这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中，任何设置成混杂模式的主机，都可以捕获发送给其它主机的数据,帧,，从而窃听网络上的所有通信,。,嗅探实现的,2,个条件,网卡能设置

5、成混杂模式,所有,数据,帧,到达网卡,局域网,-,交换式以太网（交换机,-SWITCH,）,SWITCH,聪明,，,维护,CAM,表,(,交换地址表,),：,每台计算机的,MAC,地址和与之相连的特定端口,的对应关系,发给某个主机的数据包会被,SWITCH,从特定的端口送出，而不是象,HUB,那样，广播给网络,端口,MAC,地址,1,AA-02-.,2,BB-34-.,3,CC-78-.,网卡能设置成混杂模式,所有,数据,帧,到达网卡,4,DD-78-.,交换环境下的网络监控,(,嗅探,),正义的嗅探,-,网络监控,Cable Taps-,利用该类型设备接入连接计算机、交换机、路由器等设备间的

6、线缆。,Network Tap,应用,Port Mirroring-Port Spanning(Cisco),正义的嗅探,-,端口镜像,交换机具备该功能,Uplink,端口,攻击,-,交换环境下的嗅探,攻击交换机,-Switch Flooding,交换机工作的核心,-,交换地址表,发送大量假冒,MAC,地址，,MAC,地址洪泛,(CAM,填满,),结果：交换机变成集线器,ARP,重定向,-ARP,欺骗,同一网段中主机在通信之前必须获得对方的,MAC,地址，用于生成封装上层数据,(,如,IP,数据包,),的帧。,如何获得呢？,ARP,协议,ARP,协议,Address Resolution Pr

7、otocol,在以太网中传输的数据包是以太,帧,，而以太,帧,的寻址是依据其首部的物理地址（,MAC,地址）。,仅仅知道某主机的逻辑地址（,IP,地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。,ARP,协议的作用就是在于把逻辑地址变换成物理地址，也既是把,32,bit,的,IP,地址变换成,48,bit,的,MAC,地址。,IP,地址,MAC,地址,每一个主机都有一个,ARP,高速缓存，此缓存中记录了最近一段时间内其它,IP,地址与其,MAC,地址的对应关系。,如果本机想与某台主机通信，则首先在,ARP,高速缓存,（动态更新）,中查找此台主机的,IP,和,

8、MAC,信息，如果存在，则直接利用此,MAC,地址构造以太包；,如果不存在，则向本网络上每一个主机广播一个,ARP,请求,报文,，,其意义是“如果你有此,IP,地址，请告诉我你的,MAC,地址”，目的主机收到此请求包后，发送一个,ARP,响应,报文,，本机收到此响应包后，把相关信息记录在,ARP,高速缓存中，以下的步骤同上。,命令行下查看,arp,缓存,arp a,Ethernet,主机,A,主机,E,我是,128.1.2.7,，,IP,地址为,128.1.2.15,的主机对应的,MAC,地址是什么,主机,128.1.2.7,，我是,128.1.2.15,，我的,MAC,地址是,8:0:20:

9、e:28:,ef,听见,/,不回答,听见,/,不回答,听见,/,不回答,听见,/,回答,主机,A,的,ARP,表,IP MAC,-,128.1.2.70:a0:24:,ec,:c1:b4,128.1.2.110:20:c5:e2:c6:a2,128.1.2.158;0:20:,e:28:,ef,漏洞：,ARP,协议是有缺点的，第三方主机可以构造一个,ARP,欺骗,报文,，而源主机却无法分辨真假。,会被更新,ARP,报文格式,B(172.16.34.,2,),要与,A(172.16.34.,1,),通信，且,B,的,ARP,高速缓存中没有关于,A,的,MAC,信息，则,B,发出,ARP,请求包

10、172.16.34.2,172.16.34.1,172.16.34.1,172.16.34.2,172.16.34.2,172.16.34.1,C,C,C,ARP,重定向,-ARP,欺骗,欺骗主机；,欺骗路由器,(,网关、,Gateway),ICMP Router Advertisements,这主要是由,ICMP,路由器发现协议,(IRDP),的缺陷引起的，利用,IRDP,宣称自己是路由器。,ICMP Redirect,ICMP,重定向，就是指告诉机器向另一个不同的路由发送他的数据包，完全可以利用,ICMP,重定向使得,A,发送给,B,的数据经过他。,攻击交换机的另外一种方式,远程登录

11、到交换机,SNMP,www.monkey.org/dugsong/dsniff/faq.html,检测网络嗅探,一些工具：,-promiscdetect,www.ntsecurity.nu/toolbox/promiscdetect,检查本机网卡是否工作中混杂模式,-PromiScan,-s 192.168.0.8 00-0D-60-C3-05-34,网络嗅探的防范,-,针对,ARP,欺骗,(,交换机,),针对交换机,ARP,欺骗的防范,主流的交换机（如,Cisco,、,H3C,、,3COM,等）都提供了端口安全功能（,Port Security feature,）。通过使用端口安全功能，可以进行如下的控制：,端口上最大可以通过的,MAC,地址数量,端口上只能使用指定的,MAC,地址,对于不符合以上规定的,MAC,地址，进行相应的违背规则的处理。一般有三种方式（针对交换机类型和型号的不同，具体方式可能会有所不同）：,Shutdown-,即关闭端口。虽然这种方式是最有效的一种保护方式，但会给管理员带来许多不便，因为被关闭的端口一般需要通过手工方式进行重启。,Protect-,直接丢弃非法流量，但不报警。,Restrict-,丢弃非法流量，但产生报警。,