本文介绍了网络监听的基本原理,包括被动监听和主动监听,详细讲解了ARP协议工作原理及其在ARP欺骗中的应用。网络监听可通过混杂模式实现被动监听,而在交换网络环境中,主动监听如ARP欺骗成为主要手段。网络监听工具如Wireshark、dsniff和ettercap被用于数据包捕获和分析。
目录
一、网络监听原理:
网络监听技术可以监视获取网络的状态、数据流动情况以及网络中传输的信息等,使得网络管理人员可以用监听技术来进行网络管理、排除网络故障。但同时,监听技术也为许多入侵活动提供了便利与基础,会导致了密码口令被非法获取、敏感信息泄露被截等安全事件的发生。
网络监听可分为被动监听和主动监听。
二、网络监听分类
(一)被动监听
以太网是目前应用最广泛的局域网,而 IEEE 802.3 的以太局域网采用广播机制,即局域网上的所有主机共享相同的通信链路。而数据的接发实际上是由网卡来完成,每个网卡都有一个唯一的 MAC 地址作为标识。网卡工作于数据链路层,当收到数据包时,会对数据包的目的 MAC 地址进行检查,并根据网卡驱动的设置对数据包进行过滤,判断是接收还是丢弃。以太网卡的工作模式有两种:正常模式和混杂模式。在正常模式下,只接收目的 MAC 地址的自己的数据包,其他将一律丢弃;而在混杂模式下,网卡并不检查目的 MAC 地址,对所有的数据包都来者不拒。
由此可见,网络监听所需的条件为:1. 网络上的数据能够到达监听主机。2. 监听主机的网卡设置为混杂模式。在共享网络环境下,网络数据能够到达同一网段的所有主机,被动监听正是利用这一特点:嗅探者在运行时将网卡设置为混杂模式,这样不用做其他工作,就可以隐蔽的捕获分析数据而不被发现。原理如图 所示:
主机A发送数据包给主机B,由于是共享网络环境,采用广播模式,数据包被广而告(传送)之局域网内所有在线主机,而主机B和主机C因为网卡设置为正常模式,所以经过对目的 MAC 地址的检查,只有主机B接收到数据包,这时,若嗅探者将网卡设置为混杂模式便可接收到A发送给B的数据包(混杂模式下,不对 MAC 地址做检查)。则嗅探成功,此时嗅探者也不会被发现,是完全被动的,隐蔽性高。
{即为:(前提是主机A、B、C和嗅探者都属于共享网络同一网段)
主机A发送数据包,当设置为正常模式时,B、C和嗅探者的网卡都只会根据数据包目的地的mac地址来判断是否收,即每台主机只会接收属于自己的数据包;
若嗅探者设置为混杂模式,则嗅探者的网卡不会对数据包进行过滤,会无条件进行接收数据包,达到被动监听的效果。}
(二)主动监听
随着交换机的广泛应用,更多的以太网属于交换类型。所有主机连接到交换机,对于发给某个特定主机的数据包会被交换机从特定的端口送出,而不是广播给网络中的所有主机。交换机能够只将数据包发送给目标主机,这是因为交换机拥有内容可寻址存储器(Content Addressable Memory, CAM)表,表中存储有局域网内每台计算机的 MAC 地址和 MAC 地址所连接的交换机端口号。则交换机通过查找 CAM 表来进行数据包的转发,这样数据包便会被转发至特定的目标主机,而不是进行广播,使得嗅探难以进行。原理如下图所示:
最低0.47元/天 解锁文章
扫一扫
1941
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
