本文介绍了Wireshark的基础知识,包括安全的三个方面:保密性、完整性和可用性。讨论了入侵检测系统(IDS)与入侵防护系统(IPS),以及Wireshark在特征签名匹配中的应用。此外,解释了欺骗与污染的区别,详细阐述了混杂模式与监控模式在网络嗅探中的应用,特别是如何在不同网络环境中进行嗅探。最后,分析了中间人攻击、拒绝服务攻击和APT高级持续性威胁,并提供了Wireshark在攻击确认中的作用。
一:安全三要素
保密性(confidentiality)、完整性(integrity)、可用性(availability)是信息安全的3个基本方面
简称 CIA 或CAI
数据的保密性最主要靠加密技术。只要网络流量是加密的,从有线或无线网络上直接读取到的数据就是不可识别的
二:入侵检测和防护系统
入侵检测系统(Intrusion Detection System,IDS)在有问题时只报警,而入侵防护系统(Intrusion Prevention System,IPS)在报警之外,还会针对问题做出相应的处理。
IDS/IPS针对问题检测,一般是采用以下两种主要的识别方式:
- 基于特征签名:检测到的是已经知道的问题。IDS有一个特征数据库,里面放着各种用于匹配的特征签名或模式。如果监控到符合模式或特征签名的流量,就警告。
- 基于异常行为:把看起来可疑的流量和正常基准流量做对比,有偏离就触发报警
其实上述两种方法都不完全可靠,比如上线了一套新的服务或系统,无论是正规的,还是非法的,都会带来新的基准流量,完全可能触发IDS的“异常行为”报警
Wireshark可以用作基于特征签名的IDS,Wireshark根据你的需求检测分组包里的内容。Wireshark也可以持续监控来自特定IP地址、网段或服务的流量。实际上,只要能用过滤器表达出来,Wireshark就可以匹配出网络里符合条件的流量。
三:欺骗和污染
欺骗(Spoofing) 污染(Poisoning)
区别:两者除了语义上的差异,还有事件顺序上的差异。
欺骗是用一个恶意的响应回应一个正常的请求
污染是提前发出一个有问题的信息。污染是在涉及缓存重定向场景里,抢先一步污染缓存的内容,不需要去拦截请求了
四:混杂模式与监控模式
正常来说,系统会只注意和关注与自身相关的分组数据包。当网卡或者驱动收到不是发送给它的数据包时,就会丢弃该数据包。
无关的分组数据包在尽可能低的网络层,也就是第二层就被丢弃掉了。一旦确认了该分组数据的MAC地址和本主机无关,这个分组包就被扔掉了。
如果我们需要获得所有发往网卡的数据包,网卡驱动本身是支持这种做法的,只需要设置为
最低0.47元/天 解锁文章
扫一扫
543
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
