1、
(1)Why要内网渗透:安全机制严,正面突破难;内网间信任,攻击更容易。
(2)内网渗透技术:嗅探、假消息攻击
(3)嗅探Sniff技术是网络中的窃听。嗅探程序Sniffer截获网络中传输的数据,从中解析出其中的机密信息
(4)攻击者利用嗅探:窃取各种用户名和口令、窃取机密信息、窥探底层的协议信息、中间人攻击时篡改数据
正当用途 --> 网管(快速诊断网络)
(5)本课关于嗅探的讨论范围 --> 802.3以太网:使用广播信道的网络,在以太网中所有通信都是广播的。
以太网分为:共享式以太网——使用同轴电缆或HUB链接(集线器);交换式以太网——使用交换机链接
现在共享式以太网已无。路由器也是交换机,含了路由功能,一般交换机没有路由功能。
2、
(1)以太网卡的工作原理
(网卡接收传输来的数据 --> 物理层)
(2)以太网卡的侦听模式
侦听模式是网络适配器分析传入帧的目标MAC地址,决定是否进一步处理他们的方式。
① 单播模式:接收单播或广播数据帧
② 组播模式:接收单播、广播、组播数据帧
③ 混杂模式:接收所有数据帧
嗅探(不过滤) --> 混杂模式。点击wireshark时,后台将网卡的接收模式改为混杂模式。
3、Sniffer程序的三个模块:网络数据驱动(捕获数据包)、协议还原(分析数据包)、缓冲区管理(管理缓冲区)
Windows环境下的包捕获:
① 使用WinSock编程接口:创建原始套接字,使用WSAIoctl函数将套接字设置为接收所有数据。
② 使用Winpcap。
4、交换式以太网
交换式以太网是用交换机组件的局域网,首屏幕和戴姆勒皮饥饿MAC地址对应表(交换表)进行数据转发,根据数据包的目的MAC地址,选定目标端口。
交换机收到包,查表,转发给相应的端口,对嗅探有很大的影响,只能收自己的包了。
在交换式以太网中实现嗅探:①硬件接入 --> ARP假消息攻击 --> 攻击只能交换机将端口配置为镜像端口。
5、无线局域网中的嗅探
无线局域网:不采用传统电缆线的同时,提供传统有线局域网的所有功能。
无线局域网的嗅探:搜索无线网络 --> 嗅探无线数据包
6、协议还原:将离散的网络数据根据协议规范重新还原成可读的协议格式。
主机封包 --> 嗅探器抓包 --> 嗅探器组包
左边为主机封包;右边为嗅探器组包。
7、
(1)嗅探的防范
针对广播信道 --> 减小广播域: 使用网络分段、用交换机代替HUB
针对明文传输 --> 数据加密
(2)嗅探的检查
比较困难,因为嗅探器是被动攻击,是不发包的。
① 交换机中的方法:端口和MAC对应关系的交换表,若要嗅探会改变交换表 --> 会频繁出现两个mac抢一个端口。
② 若是网管,可以看到各个主机,可以通过网卡的接收模式。
③ 发送一些特殊地址的数据包
