网络嗅探

1、

（1）Why要内网渗透：安全机制严，正面突破难；内网间信任，攻击更容易。

（2）内网渗透技术：嗅探、假消息攻击

（3）嗅探Sniff技术是网络中的窃听。嗅探程序Sniffer截获网络中传输的数据，从中解析出其中的机密信息

（4）攻击者利用嗅探：窃取各种用户名和口令、窃取机密信息、窥探底层的协议信息、中间人攻击时篡改数据

正当用途 --> 网管（快速诊断网络）

（5）本课关于嗅探的讨论范围 --> 802.3以太网：使用广播信道的网络，在以太网中所有通信都是广播的。

以太网分为：共享式以太网——使用同轴电缆或HUB链接（集线器）；交换式以太网——使用交换机链接

现在共享式以太网已无。路由器也是交换机，含了路由功能，一般交换机没有路由功能。

2、

（1）以太网卡的工作原理

（网卡接收传输来的数据 --> 物理层）

（2）以太网卡的侦听模式

侦听模式是网络适配器分析传入帧的目标MAC地址，决定是否进一步处理他们的方式。

① 单播模式：接收单播或广播数据帧

② 组播模式：接收单播、广播、组播数据帧

③ 混杂模式：接收所有数据帧

嗅探（不过滤） --> 混杂模式。点击wireshark时，后台将网卡的接收模式改为混杂模式。

3、Sniffer程序的三个模块：网络数据驱动（捕获数据包）、协议还原（分析数据包）、缓冲区管理（管理缓冲区）

Windows环境下的包捕获：

①  使用WinSock编程接口：创建原始套接字，使用WSAIoctl函数将套接字设置为接收所有数据。

② 使用Winpcap。

4、交换式以太网

交换式以太网是用交换机组件的局域网，首屏幕和戴姆勒皮饥饿MAC地址对应表（交换表）进行数据转发，根据数据包的目的MAC地址，选定目标端口。

交换机收到包，查表，转发给相应的端口，对嗅探有很大的影响，只能收自己的包了。

在交换式以太网中实现嗅探：①硬件接入 --> ARP假消息攻击 --> 攻击只能交换机将端口配置为镜像端口。

5、无线局域网中的嗅探

无线局域网：不采用传统电缆线的同时，提供传统有线局域网的所有功能。

无线局域网的嗅探：搜索无线网络  -->  嗅探无线数据包

6、协议还原：将离散的网络数据根据协议规范重新还原成可读的协议格式。

主机封包  -->  嗅探器抓包  -->  嗅探器组包

左边为主机封包；右边为嗅探器组包。

7、

（1）嗅探的防范

针对广播信道  --> 减小广播域： 使用网络分段、用交换机代替HUB

针对明文传输  -->  数据加密

（2）嗅探的检查

比较困难，因为嗅探器是被动攻击，是不发包的。

① 交换机中的方法：端口和MAC对应关系的交换表，若要嗅探会改变交换表  --> 会频繁出现两个mac抢一个端口。

② 若是网管，可以看到各个主机，可以通过网卡的接收模式。

③ 发送一些特殊地址的数据包