【网络信息搜集】05 网络嗅探

最新推荐文章于 2024-07-18 14:42:15 发布
最新推荐文章于 2024-07-18 14:42:15 发布
阅读量968 收藏 21
点赞数 18
分类专栏: 网络与系统攻击技术 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57432233/article/details/135829856
版权
本文详细介绍了网络嗅探的定义、原理、技术分类,包括以太网、交换式网络和Wi-Fi环境下的嗅探攻击,以及如何通过安全策略来防范网络嗅探。
摘要由CSDN通过智能技术生成

文章目录

网络嗅探概述

一、定义

  • 网络嗅探(Sniff)

    • 网络监听、网络窃听
    • 类似于传统的电话线窃听

  • 网络嗅探技术定义

    • 利用计算机网络接口截获目的地为其他计算机的数据报文
    • 以监听网络流中所包含的用户账户密码或私密信息等

  • 网络嗅探器(Sniffer)

    • 实现嗅探的软件或硬件设备
    • 嗅探获得的数据:二进制格式数据报文
    • 解析和理解二进制数据,获取各层协议字段和应用层传输数据:通过网络协议分析

二、网络嗅探的危害与作用

网络嗅探是一把双刃剑

  • 攻击者:作为攻击者常用的内网渗透技术
    • 窃取机密信息
    • 为发起进一步攻击收集信息
  • 防御者
    • 管理员可以用来监听网络的流量情况,定位网络故障
    • 为网络入侵检测系统提供底层数据来源基础
  • 其他作用
    • 开发网络应用的程序员可以监视程序的网络行为,排除程序错误

三、网络嗅探技术与工具分类

  • 网络嗅探技术可以按照所监听的链路层网络进行分类
    • 以太网嗅探
    • WiFi嗅探
    • 目前一些著名嗅探器支持多种链路层网络嗅探,wireshark*, Sniffer Pro…
  • 工具形态
    • 软件嗅探器
    • 硬件嗅探器(协议分析仪): 专用设备, 速度快, 额外功能(如流量记录与重放等), 价格昂贵

网络嗅探的原理与实现

一、以太网工作原理

1. 载波侦听/冲突检测技术

CSMA/CD: 802.3, carrier sense multiple access with collision detection

  • 载波侦听:是指在网络中的每个站点都具有同等的权利,在传输自己的数据时,首先监听信道是否空闲
    • 如果空闲,就传输自己的数据
    • 如果信道被占用,就等待信道空闲
  • 冲突检测:是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突

以太网采用了CSMA/CD技术,由于使用了广播机制,所以,所有在同一媒介信道上连接的工作站都可以看到网络上传递的数据

2. 以太网卡的工作模式
  • 网卡的MAC地址(48位)
    • 通过ARP来解析IP地址到MAC地址的映射
    • 用ipconfig/ifconfig可以查看MAC地址
  • 正常情况下,网卡应该只接收这样的包
    • MAC地址与自己相匹配的数据帧
    • 广播包
  • 网卡完成收发数据包的工作,两种接收模式
    • 混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来
    • 非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包(和组播数据包)
  • 为了监听网络上的流量,必须设置为混杂模式

二、交换式网络中的嗅探攻击

1. 共享式网络和交换式网络

  • 共享式网络

    • 通过Hub(集线器)连接
    • 总线方式: 通过网络的所有数据包发往每一个主机
    • 能够嗅探整个Hub上全部网络流量

    在这里插入图片描述

  • 交换式网络

    • 通过Switch(交换机)连接
    • 由交换机构造一个MAC地址-端口映射表
    • 发送包的时候,只发到特定端口上
    • 只能监听同一端口上流量
    • 可通过流量映像口监听(SPAN)

    在这里插入图片描述

2. 交换式网络中的嗅探攻击
(1)MAC地址洪泛攻击

  • 向交换机发送大量虚构MAC地址和IP地址数据包

  • 致使交换机“MAC地址-端口映射表”溢出

  • 交换机切换入所谓的“打开失效”模式,变成 “共享式”

    也就是会向所有端口广播数据包,那么网络嗅探就更容易

(2)MAC欺骗

  • 假冒所要监听的主机网卡,将源MAC地址伪造成目标主机的MAC地址

    把自己MAC地址改为目标主机的MAC地址

  • 交换机不断地更新它的“MAC地址-端口映射表”

  • 交换机就会将本应发送给目标主机的数据包发送给攻击者

(3)ARP欺骗
  • 利用IP地址与MAC地址之间进行转换时的协议漏洞
  • 攻击机通过ARP欺骗声称为嗅探目标主机甚至网关

三、802.11 (WiFi) 网络中的嗅探

四、网络嗅探技术的具体实现机理

  • 网络嗅探的理论基础
    • 以太网、WiFi网络所使用的共享传输介质
  • 标准网络协议栈实现
    • 控制网卡驱动只获取发往本机地址的数据包
  • 网络嗅探技术实现
    • 类Unix平台:BPF/libpcap
    • Windows平台:NPF/Winpcap
  • 网络嗅探软件工具

网络嗅探技术的防范措施

  • 采用安全的网络拓扑
    • 共享式网络——>交换式网络
    • 交换机上设置VLAN等技术手段,对网络进行合理的分段
  • 共享式以太网——>交换式以太网拓扑
    • 性能提升: 广播冲突域——>每台主机单独冲突域
    • 安全性提升: 较难被网络监听
    • 交换式网络提供安全性仍可能被挫败: ARP欺骗
  • 静态ARP或者MAC-端口映射表代替动态机制
  • 重视网络数据传输的集中位置点的安全防范
  • 避免使用明文传输口令/敏感信息网络协议, 使用加密协议
    • telnet——> ssh
    • IPSEC/TLS

较难被网络监听

  • 交换式网络提供安全性仍可能被挫败: ARP欺骗
  • 静态ARP或者MAC-端口映射表代替动态机制
  • 重视网络数据传输的集中位置点的安全防范
  • 避免使用明文传输口令/敏感信息网络协议, 使用加密协议
    • telnet——> ssh
    • IPSEC/TLS
h_sing
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOS代码笔记之网络嗅探功能
09-02
5. **安全考虑**:在生产环境中,网络嗅探通常是出于调试目的,因此需要谨慎使用,避免敏感信息泄露。 6. **用户同意**:在收集用户网络数据时,应遵循隐私政策并获取用户同意。 总的来说,iOS中的网络嗅探功能...
信息安全实验----嗅探攻击实验
ilkj的博客
02-05 4287
信息安全实验----嗅探攻击实验 1、实验内容 嗅探A和B发给路由器的MAC帧,可以通过路由器器和交换机之间插入一个集线器,并在集线器上连接C。C可以嗅探所有的A和B与路由器之间传输的MAC帧。 网络拓扑图: 2、实验目的 验证利用集线器实施嗅探攻击的过程。 验证嗅探攻击不会影响正常的MAC帧的传输过程。 验证嗅探攻击对于源和目的终端是透明的。 3、实验原理 集线器是广播设备,从某个端口接收到MAC帧后除了接受该MAC帧的端口之外的所有其他端口输出该MAC帧。当集线器从连接交换机的端口接收到MAC帧后
网络安全网络嗅探
2301_76161259的博客
04-21 2979
网络监听技术又叫做,顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域,网络监听技术对于都有着重要的意义,是一把双刃剑。网络监听技术的能力范围目前,它是主机的一种工作模式,主机可以接收到本网段在同一条物理通道上传输的所有信息,而。网络管理员:分析网络情况,监测网络流量攻击者:监听网络数据,嗅探用户敏感信息。(1)广播模式:该模式下的网卡能够接收网络中的广播信息。(2)组播模式:该模式下的网卡能够接受组播数据。
嗅探原理与反嗅探技术详解
anonfan的专栏
11-30 1117
一.嗅探器的基础知识 1.1 什么是嗅探器? 嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来
嗅探的介绍极其原理、作用
NahNahNah!!
12-05 4983
以下内容为学习之中遇到不懂的问题的摘录,本文摘录自:http://baike.baidu.com/view/282229.htm?fr=aladdin 嗅探 一般指嗅探器。嗅探器 可以窃听网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的, 局域网内所有的计算机都接收相同的数据包, 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉
sock_网络嗅探_邮件发送编程_
09-29
在IT行业中,网络嗅探和邮件发送是两个重要的技术领域,尤其在网络安全和自动化通信方面。下面我们将深入探讨这两个主题,并结合Python编程语言来理解如何实现它们。 首先,我们来看"网络嗅探"。网络嗅探是一种监测...
嗅探器(网络抓包)
08-03
嗅探器,也被称为网络抓包工具,是网络分析中的重要组成部分,主要用于在网络环境中收集和分析数据包。这种工具能够捕获在局域网(LAN)或其他网络中传输的信息,帮助用户了解网络流量的详细情况,排查问题,优化...
简单网络嗅探
11-19
网络嗅探器中,SNMP用于获取网络设备的信息,构建网络拓扑图。具体来说: 1. **网络设备发现**:通过SNMP查询,嗅探器可以发现网络上支持SNMP的设备,并获取它们的IP地址、MAC地址、设备类型信息。 2. **拓扑...
一个简易网络嗅探器的实现VC源代码
03-15
描述中提到的关键字"网络嗅探器"是指这个程序能够监听网络接口,收集传输中的数据包。在网络通信中,这些数据包包含了诸如源IP地址、目标IP地址、端口号、协议类型信息。嗅探器可以显示这些信息,帮助我们分析网络...
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 581
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 871
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 753
计算机网络技术期末复习
CWPIN21的博客
07-17 799
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
Java 网络编程(TCP编程 和 UDP编程)
最新发布
weixin_61635597的博客
07-18 510
我们开发的网络应用程序位于应用层,TCP和UDP属于传输层协议,在应用层如何使用传输层的服务呢?在应用层和传输层之间,则是使用套接Socket来进行分离。套接字就像是传输层为应用层开的一个小口,应用程序通过这个小口向远程发送数据,或者接收远程发来的数据。而这个小口以内,也就是数据进入这个口之后,或者数据从这个口出来之前,是不知道也不需要知道的,也不会关心它如何传输,这属于网络其它层次工作。Socket实际是传输层供给应用层的编程接口。Socket就是应用层与传输层之间的桥梁。
【windows|014】TCP协议详解
小鹏linux的博客
07-15 1185
TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。它工作在OSI模型的第四层,即传输层,为用户提供可靠的、有序的和无差错的数据传输服务。TCP协议与UDP协议是传输层的两大主要协议,但两者在设计上有明显的不同:TCP提供的是可靠的数据传输服务,而UDP则更注重传输的速度和效率
Linux系统
Baizeh的博客
07-16 1136
把windows开发好的程序部署到linux操作系统上,因为windows操作系统漏洞太多容易被攻击。
网络编程】select函数
记录知识点的博客
07-14 291
网络编程】select函数
堆叠和集群
2301_79810514的博客
07-18 234
堆叠 ID:设备的槽位号,在堆叠系统中管理和唯一标识一台成员交换机,不能冲突交换机的。1. 主交换机退出:备交换机升为主交换机,原备交换机重新计算拓扑并同步给成员交换机,2. 备交换机:作为主的备份,主交换机故障后备交换机接替业务,每个堆叠系统只有一台。3. 从交换机:堆叠系统中剩下的就是从交换机,可以多太,负责流量转发,备交换机故障。堆叠系统:多台设备堆叠后组成一台逻辑交换机称作堆叠系统,堆叠系统中的单台交换机教。成员退出:某台交换机离开堆叠系统,根据离开交换机的角色不同,对堆叠系统影响不同。
OSPF--不规则区域
2302_78023827的博客
07-15 374
—必须在建立v-link链路的设备所在的区域中配置,注意:v-link peer指定的是对端。[r4]ospf 2 router-id 4.4.4.4--启动一个新的协议进程。--- 如果想要A协议引入获取到协议B协议的路由信息,进入A协议的进程中。通过让没有连接到骨干区域的路由器,和区域0中 的。,并且隧道宣告在区域0中使得在区域0中使得,---同时属于多个区域,并且没有接口宣告在。---同时属于多个区域,并且有接口宣告在。---需要通过封装占用额外的资源。---域外路由的优先级默认是。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值