网络嗅探与身份认证

网络嗅探与身份认证

1、网络嗅探概述

			Sniffer（嗅探器）工作在OSI模型的第二层，利用计算机的网卡截获网络数据报文的一种工具，可用来监听网络中的数据，分析网络的流量，以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量，相互主机的报文传送间隔时间等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。 

在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有“广播地址”。
如果网卡处于混杂（promiscuous）模式，那么它就可以捕获网络上所有的数据帧，处于对网络的“监听”状态，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。
在交换型以太网中，上述条件2是不满足的。所有的主机连接到SWITCH，SWITCH比HUB更聪明，它知道每台计算机的MAC地址信息和与之相连的特定端口，发给某个主机的数据包会被SWITCH从特定的端口送出，而不是象HUB那样，广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高，同时还有一个附加的作用：使传统的嗅探器无法工作。
交换型网络环境嗅探的核心问题是：如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包。

2、ARP欺骗

		本实验中，我们将要详细分析ARP欺骗模式，并通过ARP欺骗达到交换网络嗅探的目的。

每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太帧；如果不存在，则向本网络上每一个主机广播一个ARP请求报文，其意义是"如果你有此IP地址，请告诉我你的MAC地址"，目的主机收到此请求包后，发送一个ARP响应报文，本机收到此响应后，把相关信息记录在ARP高速缓存中，以下的步骤同上。

ARP报文格式
可以看出，ARP协议是有缺点的，第三方主机可以构造一个ARP欺骗报文，而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址，而发送者IP地址填入被假冒者的IP地址，那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存，被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的，从而达到ARP欺骗的目的。特别的，如果攻击者冒充网关，将转发子网内到外网的所有通信量，以达到捕获其他主机的通信量，从而破坏数据传输的保密性。

1-1.wirshark抓取数据包

本次实验再用到win7以及kali
首先打开wirshark 选取指定网卡开启抓包.

咱们win7的IP地址为192.168.131.130，设置过滤器 src host 192.168.131.130选定抓取源地址为192.168.131.130地址的包。(dst host 192.168.131.130为抓取目标地址为此ip的数据包)

我们ping一下win7

可以看到我们抓到了指定源地址为192.168.131.130的包

假设我们用win7登上我们的教务系统，再kali使用wirshark抓取数据包，我们可以清楚的看到我们登上教务系统所使用的账号还有密码

接着我们使用win7在网上找个登录页面进行登陆，然后使用kali进抓包

发现进行了TLS加密，无法窥探信息
首先明确TLS的作用三个作用
（1）身份认证
通过证书认证来确认对方的身份，防止中间人攻击
（2）数据私密性
使用对称性密钥加密传输的数据，由于密钥只有客户端/服务端有，其他人无法窥探。
（3）数据完整性
使用摘要算法对报文进行计算，收到消息后校验该值防止数据被篡改或丢失。

2-1ARP欺骗

实验准备win7 kali
因为进行欺骗了以后受害者会处于断网状态所以在开启欺骗之前先开启路由转发

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

输入语句sudo arpspoof -i [网卡] -t[受害者] [想要伪装成的ip]
假如未使用过arpspoof 先要安装dsniff sudo apt-get install dsniff进行安装

之后在win7中查看输入arp -a 可以看到我们的网关的物理地址被改成了我们kali的物理地址，有两个物理地址是一样的

3-1使用wirshark发现ftp服务器

	通过82帧可知道 ftp服务器的地址为192.168.182.132

选择某一帧追踪tcp流可看到登录用户的账号密码

设置过滤器tcp.stream eq 3
可得到数据传输的帧，接着追踪tcp流，保存为原始数据。将保存的数据用winhex恢复，根据数据头部或者根据wirshark观察到的数据在保存时选择文件的类型。
进行还原后得到一个zip文件。

3-2使用kali对zip文件进行暴力破解

先下载 sudo apt-get install fcrackzip
查看命令

4-1MD5解密

在线md5解密工具解密

总结

1.如何防范arp欺骗

1.避免在公共wifi上网,安装杀毒软件
2.建立静态ARP表
使用命令 arp -s
添加主机并且将 Internet 地址 inet_addr与物理地址 eth_addr 相关联。物理地址是用连字符分隔的 6 个十六进制字节。该项是永久的。

2.密码安全

设置的密码尽量复杂，长度8为以上，应该使用数字、字母、符号等相结合
但也应该基于适合记忆的情况下设置密码

3.字典攻击

使用字典中预先定义好的密码列表，可加快破解的速度，增加破解成功的概率