网络攻防技术与实践笔记-网络嗅探

本文主要介绍网络嗅探

网络嗅探技术定义：网络嗅探利用计算机的网络接口截获目的地址为其他计算机的数据报文，以监听数据流中包含的用户账户密码或是私密信息。

网络嗅探工具：以太网：tcpdump；无线网：Kismet

共享式网络（集线器）：此网络节点通过广播形式来发送数据包，局域网内主机都能收到目的地址为其他主机的数据包

交换式网络（交换机）：此网络节点通过维护MAC地址-端口映射列表来特定目的地址的数据报文的转发，而非广播想形式。

一、网络嗅探的实现原理：

目前局域网中大部分网络节点都为交换式网络，这就为我们嗅探目的地址非本机地址的数据包带来了一定困难。在交换式网络中，我们通过如下技术的手段使得本不应到达的数据包到达本地，实现嗅探。

（1）MAC地址洪泛攻击：

MAC地址洪泛攻击是指向交换机发送大量虚构的MAC地址和IP地址的数据包，致使交换机的MAC地址-端口映射表溢出无法处理，使得交换机进入所谓的“打开失效”模式，也就是开启了类似集线器的工作模式，向所有端口广播数据包，这使得网络嗅探就会变得和在共享网络环境下一样容易。

（2）MAC欺骗

MAC地址欺骗是本地主机假冒所要监听的主机网卡，攻击者将本地的MAC地址伪装成目标地址的MAC地址，并且将这样的数据包通过交换机发送出去，使得交换机不断的更新他的“MAC地址-端口映射表”，从而让交换机相信攻击者的主机地址就是目标主机的MAC地址，这样交换机就会将本应发送给目标主机的数据包发送给攻击者，从而达到数据嗅探的结果。

（3）ARP欺骗（交换式网络常用的嗅探手段）

ARP欺骗是利用IP地址与MAC地址之间进行转换是的协议漏洞，达到MAC地址欺骗的目的。攻击者通过对网关和目标主机进行ARP欺骗实现截获两者之间的通信数据包。

二、网络嗅探的技术实现

UNIX：内核态的BPF（Berkeley Packet Filter）；用户态的libcap抓包工具库。

Windows：内核态：NPF（NetGroup Packet Filter）；用户态：WinPcap。

三、网络嗅探工具

类UNIX：tcpdump、wireshark；

Windows：windump、wireshark、SnifferPro

四、网络嗅探检测与防护

（1）用静态ARP或者MAC-端口映射，该措施是为了防止利用MAC地址欺骗、ARP欺骗等手段进行嗅探的手法

（2）重视网络节点的防火措施，如网关、路由和交换机等。