网络安全应急响应:网络窃听安全事件检测

于 2025-03-04 15:00:34 发布
阅读量897 收藏 17
点赞数 15
文章标签: web安全 大数据 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88751289/article/details/146016320
版权

1、共享环境下SNIFFER检测规范及案例

(1)描述及原理

当局域网内的主机都通过交换机等方式连接时,一般都称为共享式的连接,这种共享式的连接有一个很明显的特点就是交换机会将接收到的所有数据向盗抢机上的每个端口转发,也就是说当主机根据mac地址进行数据分组发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通信,只是在正常状况下其他主机会忽略这些通信报文而已。如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。

(2)检测方法

对发生在局域网的其他主机上的监听,一直以来都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据分组,几乎不会主动发出任何信息。但目前网上已经有了一些解决这个问题的思路和产品。

① 利用ARP数据分组进行监测

除了使用PING进行监测外,目前比较成熟的有利用ARP方式进行监测的。这种模式是上述PING方式的一种变体,它使用ARP数据分组替代了上述的icmp数据分组。向局域网内的主机发送非广播方式的ARP包,如果局域网内的某个主机响应了这个ARP请求,那么就可以判断它很可能就是处于网络监听模式了,这是目前相对而言比较好的监测模式。这种方式在neped和PromiScan这2个产品中有所体现。

② 观测DNS

许多的网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。

③ 利用PING模式进行监测

当一台主机进入混杂模式时,以太网的网卡会将所有不属于它的数据照单全收。按照这个思路,就可以这样来操作:假设怀疑的主机的硬件地址是 00:30:6E:00:9B:B9,它的 IP 地址是 192.168.1.1,那么现在伪造出这样的一种 icmp 数据分组:硬件地址是不与局域网内任何一台主机相同的00:30:6E:00:9B:9B,目的地址是192.168.1.1不变,可以设想一下这种数据分组在局域网内传输会发生什么现象:任何正常的主机会检查这个数据分组,比较数据分组的硬件地址,和自己的不同,于是不会理会这个数据分组,而处于网络监听模式的主机呢?由于它的网卡现在是在混杂模式的,所以它不会去对比这个数据分组的硬件地址,而是将这个数据分组直接传到上层,上层检查数据分组的IP地址,符合自己的IP,于是会对这个PING的包做出回应。这样,一台处于网络监听模式的主机就被发现了。这种方法在10pht这个黑客组织的antisniff产品中有很好的体现。

2、交换环境下SNIFFER检测规范及案例

(1)描述及原理

通过利用ARP欺骗手段,能够实现交换环境下的网络监听,发起arpspoof的主机向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将目标系统的网关的mac地址修改为发起 arpspoof的主机 mac地址,使数据分组都经由发起 arpspoof的主机,这样即使系统连接在交换机上,也不会影响对数据分组的攫取,由此就轻松地通过交换机实现了网络监听。

(2)检测方法

① 借助检测IP地址和mac地址对应的工具,如arpwatch,安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到,从中可以看出arpwatch检测到网关mac地址发生了改变。

② 借助于一些入侵检测系统,如snort,也可以起到的一定的检测作用。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。

③ 使用antisniff工具,也可以远程检测出交换环境下处于SNIFFER状态的机器。

网络安全学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后
  • 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!

给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失

网安墨雨
关注
网络安全安全事件监测
dexun123的博客
02-21 1789
暗链监测是网络安全中一项重要的任务,主要涉及到对网站、应用或系统中潜在的、不易被察觉的恶意链接进行检测和分析。通过持续监测和分析网络活动,我们能够及时发现并应对潜在的安全风险,有效保护组织的资产和用户的隐私。通过对各类网络攻击的及时监测,可以有效捕捉网络攻击行为,并及时采取相应的防御措施,从而减少网络系统被攻击的风险和损失。:安全事件监测不仅可以帮助组织及时发现和处理安全事件,还可以提供有关网络威胁的情报和数据分析,帮助组织了解当前的安全形势和趋势,从而制定更有效的安全防护策略。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
最新发布
时光隧道
02-06 10万+
WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询,您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意,由于WHOIS是公开数据库,因此某些敏感信息(例如个人联系信息)可能会被隐藏或保护,以保护个人隐私。
网络安全监控实战:深入理解事件检测与响应
12-01
企业网络安全的重视,网络安全部分工具的使用以及安全技术说明
网络监控事件
weixin_43727538的博客
08-13 367
1.online 网络连接事件 <script> $(function () { window.addEventListener('online',function () { $('#span').text('网络已连接').fadeIn(500).delay(2000).fadeOut(1000); ...
网络监听
小猪的博客
11-28 842
window.online用户网络连接时被调用     window.offline用户网络断开时被调用     // 监听当前设备在线         window.addEventListener('online', function () {             // alert('online');             $('.tips').text('网络已连接').fadeIn...
网络安全应急响应 (2).pdf
06-26
然而,除了这三个方面,网络安全应急响应还需要关注其他安全事件,如系统扫描、网络抵赖、垃圾邮件、非法内容的传播以及各类网络欺诈行为。 网络安全事件通常可以分为以下几种类型: 1. 破坏保密性的事件,包括...
信息安全应急响应服务方案模板.docx
10-02
信息安全应急响应服务方案是企业应对突发信息安全事件的重要工具,旨在确保在面临各种网络安全威胁时能够迅速、有效地恢复系统的稳定运行,减少损失并防止类似事件的再次发生。本方案由XXXX科技有限公司于2018年5月...
应急响应」信息安全管理助推企业信息化建设 - 安全防御.zip
11-28
1. **应急响应**:应急响应是企业在遭遇安全事件时,能够快速有效地识别、评估、控制并恢复系统正常运行的能力。它包括事前的预案制定、事中的快速应对和事后的经验总结与改进,以减少损失和降低风险。 2. **终端...
第1章计算机网络安全概述完整.pptx
11-14
* 网络管理或网络安全管理人员:关心网络安全管理策略、身份认证、访问控制、入侵检测网络安全审计、网络安全应急响应和计算机病毒防治等安全技术。 * 国家安全保密部门:关心网络信息泄露、窃听和过滤的各种技术...
网络扫描与网络监听案例及视频
09-08
网络安全攻防中关于网络扫描与网络监听较为详细的介绍,有视频教做步骤。
第四章_网络扫描与网络监听(计算机网络安全教程)
07-02
第四章_网络扫描与网络监听(计算机网络安全教程).....
Anti ARP Sniffer v3.5网络嗅探器和局域网扫描MAC的程序
04-30
Anti ARP Sniffer v3.5网络嗅探器和局域网扫描MAC的程序
Anti ARP Sniffer 最新版
01-26
Anti ARP Sniffer 最新版 使用方法:①先在CMD中用config命令查看当前默认网管的IP,再将这个IP地址输入到anti arp sniffer中,点获取MAC地址,再点恢复默认即可,如果有IP地址冲突攻击,点击防止地址冲突即可。
网络扫描与监听--网络与系统安全
10-22
wireshark捕包分析;明文密码捕捉;Nmap扫描;三次握手;四次挥手;
实时安全分析监控加强网络安全
ITmoster的博客
08-14 2631
Log360 安全信息和事件管理(SIEM)解决方案,可帮助企业克服网络安全挑战并加强其网络安全态势。该解决方案可帮助管理员在遵守法规的前提下,减少安全威胁,及时发现攻击企图的行为,并检测可疑用户活动。
网络监听技术概览(转)
albert的专栏
12-14 1949
宫一鸣 作者网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。   网络监听在安全领域引起人们普遍注意是在94年
java游戏服务器开发之八--网络事件监听器
cmqwan的博客
06-22 9443
java游戏服务器开发之八-网络事件监听器   网络事件监听器,将网络变化交由NetworkListener处理 可以看到,我们现在所有的逻辑都是写在TcpMessageStringHandler里面, 我们可以使用创建一个类,用于监听网络的变化,NetworkListener 还有一个类用于处理发送上来的信息(可查看后面博客) 首先,先创建一个接口INetworkEventListener,...
网络窃听原理
IT技术
06-30 1727
网络窃听是利用通信技术缺陷,使得攻击者能获取其它人的网络通信信息。 常见网络窃听技术手段: 网络嗅探 中间人攻击
企业网络安全保障方案:三层防护与设备选型策略
5. 安全管理:建立完善的安全管理制度,包括应急响应机制、培训计划等,确保员工具备必要的网络安全知识。 6. 技术支持与服务:提供全方位的技术支持和服务,如系统升级、故障响应、备件仓库管理、网络安全培训等,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值