【网络接口层协议安全分析(含网络嗅探、ARP欺骗)】

原创 于 2024-12-15 15:33:18 发布 · 1.2k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #网络安全

网络接口层协议安全分析

网络嗅探

共享环境下的网络嗅探

  • 以太网采用星型拓扑结构,使用集线器(hub)或者交换机(switch)连接网络节点。

  • 在这里插入图片描述

  • 集线器本质上是物理层的中继器:
    处理的基本单位是比特
    信号放大,延长网络距离
    收到的比特发送给所有其它连接节点
    多个端口使用相同的传输速率,没有帧缓存
    没有CSMA/CD:由计算机的网卡检测冲突

工作原理

网络嗅探器是通过对网卡的编程来实现的。对网卡的编程是使用原始套接字方式来进行。

嗅探前提:网卡设置为混杂模式,与被嗅探机同处一个广播式局域网.

Windows环境下

  • 创建原始套接字s=socket(AF_INET,SOCK_RAW,IPPROTO_RAW);
  • 设置为对IP头进行编写操作setsockopt(s,IPPROTO_IP,IP_HDRINCL,(char*)&bFlag,sizeof(bFlag));
  • 设置 SOCK_RAW 为SIO_RCVALL,以便接收所有的IP包ioctlsocket(s, SIO_RCVALL, &dwValue),
  • 将网卡设置为混杂模式,来获取网络接口上侦听到的所有的数据包。
    在这里插入图片描述

交换环境下的网络嗅探

交换机采用接口转发方式实现主机间的通信
交换机工作在*链路层
于帧转发, 实现MAC地址过滤
物理上和逻辑上都是星型结构(星型结构以中央节点为中心,并用单独的线路使中央节点与其他各节点相连,相邻节点之间的通信都要通过中心节点。)
交换:A-to-A’和 B-to-B’同时工作,不冲突
在这里插入图片描述
需要通过交换机毒化或ARP欺骗

  • 交换机内部保存一个源地址表又称为交换表
    • 交换表的表项: (MAC地址, 接口, 时间)
    • 交换表中过期的表项将被删除 (TTL 可以是60分钟)
    • 交换机学习哪一个主机可以通过哪一个接口到达。交换机当接收一个数据帧时,交换机“学习”发送者的位置:即数据进入交换机的LAN网段与接口之间的对应关系,在交换表中记录发送者/位置对应关系
      上述机制称之为交换机的“自学习”
交换机工作过程

  • 交换表有记录
    假设A发送数据帧到E
    交换机接收来自A的数据帧
    1. 注意在交换表中A在交换机的接口1上,E在交换机的接口2上
    交换机将转发数据帧到接口
    2. 数据帧被E接收
    在这里插入图片描述

  • 交换表无记录
    假设C发送数据帧到D
    交换机接收来自C的数据帧

    • 记录C所对应的接口号1
    • 因为D不在交换表中,交换机将转发数据帧到接口2和3

    数据帧被D接收
    在这里插入图片描述
    假设D回复数据帧给C
    交换机接收来自D的数据帧

    • 记录D所对应的接口号为2
    • 因为C在交换表中,并且接口为1,则交换机只向接口1转发数据帧

    数据帧被C接收
    在这里插入图片描述

交换机毒化的攻击(嗅探)

  • 交换表的空间是有限的,新的“MAC地址——接口”映射对的到达会替换旧的表项。
  • 如果攻击者发送大量的具有不同伪造源MAC地址的帧,由于交换机的自学习功能,这些新的“MAC地址—接口”映射对会填充整个交换机表,而这些表项都是无效的,结果交换机完全退化为广播模式,攻击者达到窃听数据的目的。

ARP欺骗

ARP协议功能

在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。因此ARP协议位于网络层与数据链路层之间。

在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  • ARP协议:IP地址——>MAC地址
  • RARP协议:MAC地址——>IP地址

ARP头部结构

在这里插入图片描述

ARP协议工作原理

  • 每个在局域网上的IP节点 (Host, Router)都有ARP表
  • ARP表:局域网上(部分)节点的IP/MAC地址映射
    <IP address; MAC address; TTL>
    • TTL (Time To Live): 映射地址的失效时间 (典型为20分钟)
  • ARP是即插即用的,无需网络管理员干预,节点就能创建ARP表。
  • A想发送分组给 B,A知道 B的IP地址,假设B的MAC地址不在A的ARP表中
    在这里插入图片描述

ARP欺骗

  • ARP协议的特殊设计(改进效率)
    响应ARP请求的主机将请求者的IP-MAC映射缓存。
    主动的ARP应答会被视为有效信息接受
  • ARP协议的缺陷
    • ARP协议设计之初没有考虑认证问题,所以任何计算机都可以发送虚假的ARP数据包。
    • ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系,如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。
    • ARP缓存需要定时更新,给攻击者以可乘之机。
  • ARP欺骗过程
    在这里插入图片描述
实践三 网络嗅探协议分析
weixin_45930204的博客
03-29 8538
20212806 2021-2022-2 《网络攻防实践》第3周作业1.实验内容(知识总结)2.实验过程3.学习中遇到的问题及解决4.学习总结参考资料 1.实验内容(知识总结) 网络嗅探 (1)定义        网络嗅探是一种黑客常用的窃听技术,利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中所包的用户账户密码或私密信息等。 (2)网络嗅探器       
【计算机网络】拓扑结构探测及VLAN设计
Slimshady的博客
09-22 5157
目录实验内容:实验要求:实验内容:拓扑结构探测:实验用机接入校园网的拓扑结构:测试互联网接入路径: 实验内容: (1)拓扑结构探测:给出实验用机所在机房的局域网以及接入校园网的拓扑结构; (2)测试互联网接入路径:运用tracert命令测试本机到互联网的接入路径; (3)跨交换机和路由器的VLAN划分:运用仿真软件环境,搭建至少有多个交换机和路由器(或三 层交换机)的局域网,划分VLAN,测...
网络安全----网络协议安全
juggte的博客
11-17 4481
—TCP/IP协议栈 互联网设计之初的使用目的是用于军事与科学研究,其基本假设就是节点的诚实 性;由于计算机网络的广泛使用,这种假设在今天已经无法成立,因此可能导致各种各样的攻击。 互联网安全协议概述 存在的问题:原始协议几乎没有安全方面的考虑。存在各种各样的攻击手段,如窃听、篡改、伪造、冒充等。 解决办法:现有TCP/IP协议仍在使用,彻底更换不现实也办不到。只有通过添加新的安全协议的方法进行解决。今后开发的因特网协议,应将安全问题作为重要因素加以考虑。 TCP/IP协议栈中安全机制的相
网络拓扑检测
allway2的博客
11-10 5353
B 类 Profinet 设备具有与 A 类设备相同的功能,此外还支持网络拓扑检测。这允许工具询问设备如何连接,因此可以自动绘制网络地图。例如,请参见下面有关 PRONETA 工具的部分中的插图。 LLDP 链路层发现协议 (LLDP) 用于查找有关以太网网络上最近邻居的信息。每个 IO 设备、IO 控制器和(受管)交换机为它们的每个以太网端口发送包其名称和端口名称的帧。 LLDP 数据包应每 5 秒发送一次,其生存时间值为 20 秒。 受管交换机过滤 LLDP 帧,并发送自己的 LLDP 帧。
嗅探技术---网络安全入门笔记DAY5
zsy_zz的博客
10-02 2357
相关网络基础 网络嗅探 网络嗅探技术(网络监听技术 Network Sniffing) 概念:一种在他方未察觉情况下捕获其通信报文或通信内容的技术 对于网络管理员,帮助了解网络运行状况 对黑客,有效收集信息的手段 适用范围:目前只限于局域网 ...
wireshark网络拓扑发现软件.zip
06-29
wireshark网络拓扑发现软件.zip
网络嗅探教程:使用Sniffer Pro监控网络流量
hlzhs的专栏
11-04 3910
随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而
网络协议抓包嗅探分析软件
最新发布
02-20
网络协议抓包嗅探分析软件是一种用于捕获和分析网络数据包的工具,它能够监听网络上的数据流动,记录下每一个经过网络接口的数据包信息,并以可视化的方式展示出来。这些信息包括数据包的源地址、目的地址、端口号、...
精选资源
网络嗅探器和分析器程序
10-23
4. **ARP欺骗**:ARP(地址解析协议欺骗是一种网络攻击技术,攻击者通过发送伪造的ARP响应来篡改网络设备的MAC地址映射,从而控制网络流量。这种欺骗可以使攻击者拦截、修改或阻止网络中的通信,对于网络安全构成...
网络扫描与数据包嗅探工具:DNS分析和ARP欺骗
综合来看,该程序集成了多个关键的网络攻防技术模块:网络扫描用于资产发现,ARP欺骗实现流量重定向,数据包嗅探完成信息截获,DNS分析提供高层语义理解。这些功能共同构成了一个完整的局域网监听解决方案。值得注意...
课程4-网络嗅探协议分析1
08-03
常见的嗅探工具有Wireshark和Sniffer Pro,它们支持多种链路层网络嗅探。在软件嗅探器和硬件嗅探器(如协议分析仪)之间,前者成本较低,后者则具备更高的性能和附加功能,但价格较高。 以太网工作基于CSMA/CD...
渗透测试实验二 网络嗅探与身份认证
m0_62659165的博客
11-22 361
渗透测试实验二 网络嗅探与身份认证
网络嗅探,大神都在用这10个抓包工具
wananxuexihu的博客
08-14 2693
Wireshark是一款可深入分析网络数据包的开源嗅探分析工具,这个产品项目历史悠久,可追溯至1998年。Wireshark目前可以支持数百种网络协议,兼容各种类型的文件格式,比如Catapult DCT2000、Microsoft Network Monitor和Cisco Secure IDS iplog等。它可以在Linux、Solaris、Windows、macOS或FreeBSD等几乎所有平台上运行。它可以设置有不同的检测规则,以实现更快速的可视化流量扫描,还有动态gzip解压功能。
网络安全网络嗅探
2301_76161259的博客
04-21 3617
网络监听技术又叫做,顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域,网络监听技术对于都有着重要的意义,是一把双刃剑。网络监听技术的能力范围目前,它是主机的一种工作模式,主机可以接收到本网段在同一条物理通道上传输的所有信息,而。网络管理员:分析网络情况,监测网络流量攻击者:监听网络数据,嗅探用户敏感信息。(1)广播模式:该模式下的网卡能够接收网络中的广播信息。(2)组播模式:该模式下的网卡能够接受组播数据。
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng、cain
热门推荐
freeking101的博客
06-11 3万+
嗅探 --- wireshark、tcpdump、dsniff、Ettercap、netsniff-ng
网络拓扑自动发现-sugarnms智能网管软件的基础
u012824712的专栏
01-08 3万+
网络拓扑自动发现 -sugarnms智能网管软件的基础   网络拓扑作为一种表示网络设备逻辑连接与物理连接之间关系的方法,通过它网络管理员可以很直观地掌握当前网络设备的运行状况,准确定位网络中的故障点,并对准确分析网络中存在的问题提供基础数据,从而有针对性地优化网络,提高网络的性能。可以说,网络拓扑的自动发现是实现智能网络管理系统的技术关键,是构成智和网管软件的基础. 拓扑发现原理
网络拓扑自动发现工具(The Dude 6.44.3)安装配置与使用简介
Do
05-21 2万+
目录 简介: 下载: 安装: 配置: 使用: 参考: 简介: The Dude 网络监控是MikroTik新开发的应用程序,可以显著提高管理网络环境的方式。它可以自动扫描指定子网络的所有设备,绘制并布局网络拓扑图,监控设备的服务并在服务出现问题时发出警报提醒。(官方简介链接) 下载: 下载页面:https://mikrotik.com/download 1.下载 The Du...
网络监听--Sniffer
xjlstudy的专栏
09-09 2090
Sniffer(嗅探)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。 Sniffer技术简介数据在网络上是以很小的称为“帧”(又称:包)的单位传输的,帧由多个部分组成,不
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值