网络数据的嗅探与欺骗

什么是网络嗅探

网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。

网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。

工作原理

我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（窃听）。

一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是，计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“协议分析”特性而著名，“协议分析”就是对于计算机的通信进行解码并使它变得有意义。

1.1 使用TcpDump分析网络数据

1、启动TcpDump工具

2、捕获网络中的数据，但不存储数据。

3、捕获网络中的数据，存储数据到一个文件中。

1.2 使用Wireshark进行网络分析

1、启动Wireshark工具的方法

（1）命令提示行：

（2）菜单启动：

2、Wireshark工具的环境配置

（1）主机上有多块网卡，可以指定一块网卡，屏蔽其他网卡的进出流量：

打开菜单Capture(捕获) / Options(选项)，在“Capture Interfaes”窗口中选择需要的网卡

（2）工作面板从上到下分三部分：结果截图并作必要的说明。

3、Wireshark的显示过滤器使用

案例1：只显示icmp协议的数据包。结果截图并作必要的说明。

案例2：只显示arp协议的数据包。结果截图并作必要的说明。

案例3：只显示所有源地址IP为  192.168.111.128             （win7或XP）的数据包。结果截图并作必要的说明。

案例4：只显示所有源端口不为80的数据包。结果截图并作必要的说明。

1.3 使用arpspoof进行网络欺骗

0、安装arpsoof

1、arpspoof使用格式：

2、伪装为网关截获所有数据

结果截图并作必要的说明。

（1）实验所涉及的主机

攻击者IP： 192.168.111.128                         

被欺骗的主机IP： 192.168.111.129                         

默认网关：  192.168.111.2                        

1. 使用arpspoof完成一次网络欺骗

（3）验证：在被欺骗的主机上查看arp表，攻击者和网关的mac地址相同

（4）在攻击者主机上开启转发功能，将截获的数据包再转发出去，不影响被欺骗主机上网

1.4 使用Ettercap进行网络嗅探

实验所涉及的主机：

攻击者IP：  192.168.111.128                        

被欺骗的主机IP： 192.168.111.129                         

默认网关： 192.168.111.2                         

以下操作步骤和结果截图并作必要的说明。

1、启动图形化Ettercap工具的方法

1. 菜单栏启动

1. 命令行启动

2、Ettercap工具的环境配置

（1）选择中间人运行摸式（默认不勾选Bridged sniffing）

（2）选择网卡类型：

本地有线网卡：eth0

无线网卡：vlan0

3、查看网络中可以欺骗的主机

4、在“Hosts list”中选择目标主机

选择IP  192.168.111.2          主机（网关）作为目标1（单击Add to Target 1按钮）

选择IP  192.168.111.129      主机（被欺骗主机）作为目标2（单击Add to Target 2按钮）

5、查看设置好的目标

6、对目标进行ARP欺骗

7、启动攻击

8、查看目标上所有连接