sniff原理

最新推荐文章于 2024-09-03 16:29:46 发布
最新推荐文章于 2024-09-03 16:29:46 发布
阅读量817 收藏 1
点赞数
文章标签: 网络 c 工具 interface 服务器 dos

提到网络嗅探大家都知道sniffer了,sneff是嗅探的意思,sniffer自然就是嗅探器的含义了。Sniffer是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种工具。嗅探器最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。

了解了嗅探器的基本用法,那它跟我们的网络安全有什么关系?

任何东西都有它的两面性,在黑客的手中,嗅探器就变成了一个黑客利器,上面我们已经提到了arp欺骗,这里再详细讲解arp欺骗的基本原理,实现方法,防范方式,因为很多攻击方式都要涉及到arp欺骗,如会话劫持和ip欺骗。首先要把网络置于混杂模式,再通过欺骗抓包的方式来获取目标主机的pass包,当然得在同一个交换环境下,也就是要先取得目标服务器的同一网段的一台服务器。

Arp是什么?arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换,当你在传送数据时,IP包里就有源IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地址,那么它就直接访问,反之,它就要广播出去,对方的IP地址和你发出的目标IP地址相同,那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始,侵略者若接听到你发送的IP地址,那么,它就可以仿冒目标主机的IP地址,然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以,容易产生ARP欺骗。例如:我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B->C数据 于是A就可以伪装成CBARP欺骗——B发送伪造的ARP应答包,应答包中IP地址为CIP地址而MAC地址为AMAC地址。 这个应答包会刷新BARP缓存,让B认为A就是C,说详细点,就是让B认为CIP地址映射到的MAC地址为主机AMAC地址。 这样,B想要发送给C数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此数据转发给C 这样就可以保证B,C的通信不被中断。
         以上就是基于ARP欺骗的嗅探基本原理,在这种嗅探方法中,嗅探者A实际上是插入到了B->C中, B数据先发送给了A,然后再由A转发给C,其数据传输关系如下所示:

B----->A----->C 

B<----A<------C 

当然黑洞在进行欺骗的时候还需要进行抓包和对包进行过虑得到他们想要的信息,如用户名、口令等。虽然网络中的数据包是以二进制的方式进行传输的,但嗅探器的抓包和重组还有过滤等都为他们做了这一切。                                                                                                             

网络嗅探有三种方式,一种是mac洪水,即攻击者向交换机发送大量的虚假mac地址数据,交换机在应接不暇的情况下就象一台普通的hub那样只是简单的向所有端口广播数据了,这时嗅探者就可以借机进行窃听,但如果交换机使用静态地址映射表的话,这种方法就不行了。第二种方式是mac地址复制,即修改本地的mac地址,使其与欲嗅探主机的mac地址相同,这样交换机将会发现有两个端口对应相同的mac地址,于是到该mac地址的数据包同时从这两个端口中发出去。

第三种方式就是用得最多的了--------arp欺骗。我们可以看下自己的机器,在刚开机的时候在dos中输入arp –a(查看本机arp缓存表的内容)可以看到arp缓存表是空的。

如:Microsoft Windows [版本 5.2.3790]

(C) 版权所有 1985-2003 Microsoft Corp.

 

D:/>arp -a

No ARP Entries Found

 

D:/>

那么我们ping一下网关再输入arp –a查看一下。

 

D:/>ping 192.168.0.1

 

Pinging 192.168.0.1 with 32 bytes of data:

 

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

 

Ping statistics for 192.168.0.1:

    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

^C

D:/>arp -a

 

Interface: 192.168.0.6 --- 0x10003

  Internet Address      Physical Address      Type

  192.168.0.1          00-0a-e6-48-41-8b     dynamic

 

D:/>

   从上面的ping命令,我们分析包的结果是,首先本机发出一个arp包询问谁是192.168.0.1192.168.0.1回应一个arp包,并返回一个mac地址,接下来本机再发送request请求,目标机回应该一个reply包,最后将mac地址保存在arp缓存中。

我们再来举一个arp欺骗的实例:

   交换局域网中有ABC三台机器,假设ip地址和mac地址如下:

A主机:ip地址为:192.168.0.1,mac地址为:0a:0a:0a:0a:0a:0a

B主机:ip地址为:192.168.0.2,mac地址为:0b:0b:0b:0b:0b:0b

C主机:ip地址为:192.168.0.3,mac地址为:0c:0c:0c:0c:0c:0c

 

gdzhcc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sniff网络嗅探器原理
Hisense的专栏
04-20 7694
 该文章部分内容参考自:http://topic.csdn.net/t/20011113/19/369064.html 和 MSDN。 [简介]SNIFF,就是嗅探器,窃听器,它工作在网络的底层,在网络上监听数据包来获取敏感信息。从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的
嗅探的基本原理
Nest of Nonsenser
01-02 3039
[本问来自何处实在无法取证,请作者原谅,如有问题,请与本人联系]一 前言  SNIFF真是一个古老的话题,关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事,也不乏很多成功的案例,那么,SNIFF究竟是什么呢? SNIFF就是嗅探器,就是窃听器,SNIFF静悄悄的工作在网络的底层,把你的秘密全部记录下来。看过威尔史密斯演的《全民公敌》吗?SNIFF就象里面精巧的窃听器一样,让你防不胜防。 
sniffer原理
zhangxinrun的专栏
08-26 3044
袁哥 大家经常讨论SNIFFER,觉得还是很多人没有真正理解SNIFFER,所以把我的一点理解写出来大家共享。 先讲讲HUB的工作原理吧。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给别的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数
SNIFF嗅探器原理
peijian1998的专栏
11-10 1420
SNIFF,嗅探器,它工作在网络的底层,在
SNIFF原理解析
zdrl的专栏
09-23 4730
首先各位应该清楚的是,作为目前市场上主流的商用防火墙,无论是NETSCREEN还是Checkpoint,就基本的防火墙功能而言两者没有太大的差异也不可能有太大的差异(如果你听相关的厂家鼓吹自己产品的某种基本功能与竞争对手有多么明显的差异,那他必定在糊弄你)所以我们这篇文章不打算浪费时间讨论任何与防火墙的基本功能有关的内容。 1. Checkpoint 在本文的第一部分我们提到过,目前利用操
SNIFF原理解析.pdf
10-04
SNIFF原理解析.pdf
Sniff网络基础原理和软件实现技巧详解
03-04
SNIFF真是一个古老的话题,关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事,也不乏很多成功的案例,那么,SNIFF究竟是什么呢?SNIFF就是嗅探器,就是窃听器,SNIFF静悄悄的工作在网络的底层,把你的秘密...
sniff原理及其源码
12-13
**嗅探(Sniffing)原理** 嗅探技术是一种网络数据包分析方法,它通过捕获网络中的数据包并解析其内容来了解网络通信情况。嗅探器(Sniffer)通常用于网络安全检测、网络故障诊断和性能分析。在本文中,我们将深入...
Programming with pcap
plowboy的专栏
12-02 2905
小弟由于近来涉及包嗅探的相关应用,故查阅了一些资料,下面这篇可谓入门级的经典之作,将它翻译如下,本人水平所限,错误在所难免,仅供参考.Programming with pcapTim Carstenstimcarst at yahoo dot comThe latest version of this document can be found at http://broker.dhs
SNIFF编程程序设计
03-07
我们假设一下机器A上的管理员为了维护机器C,使用了一个FTP命令向机器C进行远程登陆,那么在这个用HUB连接的网络里数据走向过程是这样的。首先机器A上的管理员输入的登陆机器C的FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层的包裹,最后送到了物理层,我们的网线上。接下来数据帧送到了HUB上,现在由HUB向每一个接点广播由机器A发出的数据帧,机器B接收到由HUB广播发出的数据帧,并检查在数据帧中的地址是否和自己的地址相匹配,发现不是发向自己的后把这数据帧丢弃,不予理睬。而机器C也接收到了数据帧,并在比较之后发现是发现自己的,接下来他就对这数据帧进行分析处理。
sniff 编程原理(附代码)
11-03
Visual C++ 网络通信编程 sniff 编程原理
VC++开发的一个Sniff嗅探器
01-25
使用VC++开发的一个Sniff网络嗅探器,可查看网口通信数据,不过Win7系统运行会有权限问题,编译程序后,需要组件然后右键以管理员身份运行。
针对抓取sniffer的一些原理——软MAC与硬MAC
程序改变生活
05-10 933
一、tcpdump tcpdump是利用libcap库从ptype_all中抓包,而该ptype_all是内核网络协议栈通用代码;它是否能拿到80211的控制和管理帧,由驱动及固件决定 wifi驱动实现有两种架构:softmac+内核mac80211适配层,博通多为这种;固件会把所有的80211协议包发送驱动进而给到80211通用适配层,80211通用适配层处理管理帧和控制帧后将数据帧送往处理...
网络嗅探器(Sniffer)的原理与实现(1)
热门推荐
bobopeng
02-19 1万+
一.背景 为了使不同体系结构的计算机网络都能进行互联,国际标准化组织ISO于1997年成立了专门的结构研究这个问题。不久他们就提出了一个试图使各种计算机在世界范围内都能互联的成网的标准框架,即著名的OSI/RM(Open Systems Interconnection Reference Model , 开放系统互联基本参考模型),简称为OSI。它的主要目标是:只要遵循OSI标准,一个系统就可以
网络嗅探与欺骗----函数sniff()、ARP的原理、ARP欺骗、AARP欺骗的中间人攻击
dyx0910的博客
05-01 2985
网络嗅探与欺骗----函数sniff()、ARP的原理、ARP欺骗、AARP欺骗的中间人攻击
SmartSniff 模拟器抓包分享
韩小熙(Java)
06-12 8797
SmartSniff 抓取手机模拟器包
经典蓝牙Sniff Mode
G程师专栏
03-02 3861
Sniff mode为两个已连接的经典蓝牙设备提供了有效的降低功耗的方法。Sniff mode通过增加POLL packet - NULL packet exchange的间隔时间(即Sniff Interval)来减少两个设备之间的通信次数,让两个设备可以在间隔时间内进入低功耗状态。该HCI command并没有直接指定Sniff Interval,即T-sniff,而是设定了Sniff Interval的范围Sniff_Min_Interval ~ Sniff_Max_Interval。
计算机网络-VRRP工作原理
最新发布
Linux基础知识、计算机网络基础学习分享。
09-03 435
初始化状态就是在设备上配置完成时的状态,Master状态为主设备的状态,Nackup状态为备份设备的状态,备份设备会监听主设备发送的Advertisement报文,当定时器超时都没有收到主设备的报文时则备份设备切换为Master状态。R1与R2交换VRRP报文,优先级一样,通过比较接口IP地址选举Master路由器,由于R2的接口IP地址大于R1的接口IP地址,因此R2被选举为Master路由器。进行比较,先比较优先级,优先级大的优先,优先级相等则比较接口IP地址,IP地址大的优先,
SNIFF嗅探器技术解密:网络基础原理与软件实现
Sniff网络基础原理和软件实现技巧详解 Sniff网络基础原理和软件实现技巧详解是指Sniff技术在网络基础知识上的应用和软件实现方式。Sniff技术是一个古老的话题,它可以获取在网络上传输的各种信息,包括敏感信息。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值