什么是网络嗅探
网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。
网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。
工作原理
我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备,就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同,计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing(窃听)。
一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是,计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“协议分析”特性而著名,“协议分析”就是对于计算机的通信进行解码并使它变得有意义。
1.1 使用TcpDump分析网络数据
1、启动TcpDump工具
2、捕获网络中的数据,但不存储数据。
3、捕获网络中的数据,存储数据到一个文件中。
1.2 使用Wireshark进行网络分析
1、启动Wireshark工具的方法
(1)命令提示行:
(2)菜单启动:
2、Wireshark工具的环境配置
(1)主机上有多块网卡,可以指定一块网卡,屏蔽其他网卡的进出流量:
打开菜单Capture(捕获) / Options(选项),在“Capture Interfaes”窗口中选择需要的网卡
(2)工作面板从上到下分三部分:结果截图并作必要的说明。
3、Wireshark的显示过滤器使用
案例1:只显示icmp协议的数据包。结果截图并作必要的说明。
案例2:只显示arp协议的数据包。结果截图并作必要的说明。
案例3:只显示所有源地址IP为 192.168.111.128 (win7或XP)的数据包。结果截图并作必要的说明。
案例4:只显示所有源端口不为80的数据包。结果截图并作必要的说明。
1.3 使用arpspoof进行网络欺骗
0、安装arpsoof
1、arpspoof使用格式:
2、伪装为网关截获所有数据
结果截图并作必要的说明。
(1)实验所涉及的主机
攻击者IP: 192.168.111.128
被欺骗的主机IP: 192.168.111.129
默认网关: 192.168.111.2
- 使用arpspoof完成一次网络欺骗
(3)验证:在被欺骗的主机上查看arp表,攻击者和网关的mac地址相同
(4)在攻击者主机上开启转发功能,将截获的数据包再转发出去,不影响被欺骗主机上网
1.4 使用Ettercap进行网络嗅探
实验所涉及的主机:
攻击者IP: 192.168.111.128
被欺骗的主机IP: 192.168.111.129
默认网关: 192.168.111.2
以下操作步骤和结果截图并作必要的说明。
1、启动图形化Ettercap工具的方法
- 菜单栏启动
- 命令行启动
2、Ettercap工具的环境配置
(1)选择中间人运行摸式(默认不勾选Bridged sniffing)
(2)选择网卡类型:
本地有线网卡:eth0
无线网卡:vlan0
3、查看网络中可以欺骗的主机
4、在“Hosts list”中选择目标主机
选择IP 192.168.111.2 主机(网关)作为目标1(单击Add to Target 1按钮)
选择IP 192.168.111.129 主机(被欺骗主机)作为目标2(单击Add to Target 2按钮)
5、查看设置好的目标
6、对目标进行ARP欺骗
7、启动攻击
8、查看目标上所有连接