网络嗅探与监听
网络监听
Y(Cc-cc-cc- Cc-cc-cc)计算机的缓存 10.9.31.1 10.9.31.2 aa-aa-aa- aa-aa-aa aa-aa-aa- aa-aa-aa
基于ARP欺骗的监听
实验演示
嗅探的防范
交换环境下的网络嗅探主要是利用ARP缓 存的缺陷。 嗅探防范:静态ARP缓存
小结
X的缓存
X
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
交换机的数据库 端口 1 2 MAC aa-aa-aa- aa-aa-aa bb-bb-bb- bb-bb-bb
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
3
Cc-cc-cc- Cc-cc-cc
基于ARP欺骗的监听
实施欺骗后,X,Y的通信如下:
A
A(aa-aa-aa- aa-aa-aa)
X
X(bb-bb-bb- bb-bb-bb) 10.9.31.2
Y
Y(Cc-cc-cc- Cc-cc-cc) 10.9.31.3
10.9.31.1 aa-aa-aa- aa-aa-aa 10.9.31.3 Cc-cc-cc- Cc-cc-cc
P174
基于交换机的监听
基于端口镜像的网络监听 其具体步骤为: 首先在交换机上开设一个RMON的监听端 口(Port 10)(一般现在的交换机都支持RMON方式),然后 可以在交换机上指定被监听的端口,如Port l、2、3、4, 那么这些端口收发的数据都会被监听端口所捕获。基于端 口镜像的网络监听方法通过监听一个指定端口,可以达到 从更高层次上对一个网络监听的目的。在3COM交换机用 户手册中,端口监听被称为“漫游分析端口(Roving Analysis)”,网络流量被监听的端口称做“监听口(Monitor Port)”,连接监听设备的端口称做“分析口(Analyzer Port)”。
网络嗅探与监听
网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。
目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。
一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。
当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。
二、在局域网实现监听的基本原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。
但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。
在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。
当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。
但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。
在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。
当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。
网络监听的简单原理
已经确定了自己以后的职业了,现在就应该努力提高技术了。
偶尔也写写对一些技术原理的个人理解,当做检验自己的学习情况了。
也希望能对光临我空间的人有所帮助。
这是自己写的第一篇,有不足的地方欢迎大家指教。
网络监听,又称为网络嗅探。
网络监听可以说是网络安全领域一个非常敏感的话题了。
作为一种发展比较成熟的技术,网络监听就像一把双刃剑,一方面它为网络管理员提供了一种管理网络的手段,监听在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用;另一方面,网络监听也是黑客获取在局域网上传输的敏感信息的一种重要手段,因为网络监听是一种被动的攻击方式,不易被察觉。
在我们使用的局域网技术中,以太网技术是最经常使用的一种。
在以太网中,又可分为共享型以太网和交换型以太网。
在讨论网络监听时,我们先使用最简单的共享型以太网来进行讨论。
共享型以太网,使用CSMA/CD媒体访问控制方式,通过集线器相连,网络拓扑为总线型。
同一个以太网中的所有节点共享传输介质。
根据CSMA/CD媒体访问控制方法,节点在发送数据帧之前先侦听传输介质上是否有数据帧在传输,如果没有的话即进行数据传输。
这就意味着在同一个以太网上,当有数据帧在传输时,这个以太网中的所有节点都能接受到这个数据帧。
节点根据帧头部所携带的目的MAC地址来判断这个帧是否是发给自己的:当所接收到的帧的目的MAC地址为本机MAC地址是,接收该帧;当所接收到的帧的目的MAC地址不是本机MAC 地址时,则丢弃该帧。
但是,当节点的网卡工作在混杂模式时,该节点将接收所有在以太网上传输的数据帧,包括在网络上传输的口令等敏感信息。
而在交换型以太网中,情况就有所不同了。
交换型以太网通过交换机连接。
交换机工作于数据链路层,通过将接收到的数据帧的目的MAC地址与自身的地址对照表相比较来确定将数据帧转发给哪个端口,只有当交换机接收到广播帧或者是交换机的地址对照表上没有该MAC 地址的对应端口时,才把该帧向所有端口广播。
网络嗅探器3篇
网络嗅探器网络嗅探器是一种网络安全工具,可以监听、捕捉和分析网络数据包,用于发现网络中的漏洞和安全问题。
本文将从网络嗅探器的原理、使用方法和应用场景三个方面来介绍网络嗅探器。
一、网络嗅探器的原理网络嗅探器的原理是通过监听网络通信,捕捉网络数据包,并对其进行分析。
其基本工作原理可以概括为以下几点:1. 网络嗅探器通过网络接口卡(NIC)来读取网络数据包。
2. 当数据包到达网卡时,嗅探器会复制一份数据包,然后将其传输到嗅探器中。
3. 嗅探器将捕获到的数据包分解成协议层次,以便更好的分析。
4. 嗅探器将分析数据包的内容,并记录下其中的关键信息。
5. 最后,嗅探器会将分析结果返回给用户,以帮助他们识别网络漏洞和安全问题。
网络嗅探器的工作原理虽然简单,但其使用需要一定的技能和知识。
因此,用户需要花费一些时间学习并掌握网络嗅探器的使用方法。
二、网络嗅探器的使用方法1. 安装网络嗅探器首先,需要下载并安装网络嗅探器。
常见的网络嗅探器有Wireshark和Tcpdump等,这些工具都可从官方网站上免费下载。
2. 选择需要监听的网卡安装完成后,需要选择要监听的网络接口卡(NIC)。
用户可以在嗅探器界面上选择需要监听的网卡。
一般来说,用户需要选择与其所使用的网络环境相对应的网卡。
3. 分析网络数据包成功选择网卡后,用户可以开始分析网络数据包了。
为了提高分析效率,用户可以根据需要进行过滤,比如只监控某个IP地址或端口等信息。
4. 查找网络漏洞当找到一个网络包时,网络嗅探器会对其进行分析,并提供相关的信息。
用户可以利用这些信息来查找网络漏洞,并采取相应的措施。
5. 提高嗅探器的可用性为了提高嗅探器的可用性,用户可以在嗅探器界面上设置相关的参数,比如数据包缓冲区大小、捕获窗口大小等。
这些参数可以帮助用户找到更多的网络漏洞和安全问题。
三、网络嗅探器的应用场景网络嗅探器在网络安全领域中有着广泛的应用场景。
以下是几个常见的应用场景:1. 监听网络流量网络嗅探器可以帮助管理员监控网络流量,了解网络使用情况,并识别潜在的网络攻击。
信息安全网络嗅探与监听大作业
网络嗅探与监听一、背景与意义随着计算机网络技术的飞速发展,借助网络嗅探器进行网络流量监控和网络问题分析已成为网络管理员不可缺少的工作内容。
网络嗅探器是利用计算机的网络接口截获在网络中传输的数据信息的一种工具,主要用于分析网络的流量,以便找出所关心的网络中潜在的问题--例如:现在正在兴起的网络支付业务,在使用这个业务中我们的账户安全显得尤其重要,我们可以利用网络嗅探器来提高我们自己的账户安全。
网络嗅探器是一种利用网络传输机制工作的网管工具,同时又是一种黑客工具,主要是用来被动监听、捕捉、解析网络上的数据包并作出各种相应的参考数据分析;其既可以是一种软件也可以是一种硬件。
硬件的网络嗅探器也称为协议分析器,是一种监视网络数据运行的设备,协议分析器既能用于合法网络管理也能用于窃取网络信息,但协议分析器价格非常昂贵。
狭义的网络嗅探器是指软件嗅探器,由于简单实用,目前对于软件网络嗅探器的研究Et益成为热点。
将网络接口卡NIC (Network Interface Card)设置为杂收模式,嗅探器程序就有了捕获经过网络传输报文的能力。
二、网络嗅探器的基本原理网络嗅探器通常由4部分组成。
1)网络硬件设备。
2)监听驱动程序。
截获数据流,进行过滤并把数据存人缓冲区。
3)实时分析程序。
实时分析数据帧中所包含的数据,目的是发现网络性能问题和故障,与入侵检测系统不同之处在于它侧重于网络性能和故障方面的问题,而不是侧重发现黑客行为。
4)解码程序。
将接收到的加密数据进行解密,构造自己的加密数据包并将其发送到网络中。
网络嗅探器作为一种网络通讯程序,是通过对网卡的编程实现网络通讯的,对网卡的编程使用通常的套接字(socket)方式进行。
但通常的套接字程序只能响应与自己硬件地址相匹配的,或是以广播形式发出的数据帧,对于其他形式的数据帧,如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址后将不引起响应,即应用程序无法收取到达的数据包。
什么是网络嗅探?如何避免被嗅探?
什么是网络嗅探?如何避免被嗅探?
网络嗅探是一种通过监听和分析网络通信数据包来获取敏感信
息的技术。
通过嗅探工具,黑客可以截获传输的数据,并从中获取
用户的登录凭据、银行账户信息等敏感数据。
要避免被嗅探,可以采取以下措施:
2. 避免使用公共Wi-Fi:公共Wi-Fi网络通常是黑客进行嗅探
攻击的目标之一。
避免在这些网络上访问敏感信息,尤其是进行金
融交易或输入账户密码等操作。
3. 使用防火墙和安全软件:在个人电脑或移动设备上安装防火
墙和安全软件,以便检测和阻止嗅探工具的操作。
定期更新安全软件,确保其能够识别最新的威胁。
4. 尽量使用加密协议的网站和应用程序:对于重要的在线服务,优先选择使用加密协议的网站和应用程序。
这些网站和应用程序通
常会使用安全措施来保护用户数据的隐私。
总之,网络嗅探是一种威胁网络安全的技术,但通过采取一系列防护措施,我们可以降低被嗅探的风险。
采用加密连接、避免使用公共Wi-Fi、使用防火墙和安全软件,以及小心防范网络钓鱼攻击,都是有效的防御方法。
网络嗅探与监听
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。
然后点击"Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1. Display Filter(显示过滤器),用于过滤2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。
颜色不同,代表3. Packet Details Pane(封包详细信息), 显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏,杂项)使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。
搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。
在Capture -> Capture Filters 中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。
比如"Filter 102",Filter栏上就多了个"Filter 102" 的按钮。
过滤表达式的规则表达式规则1. 协议过滤比如TCP,只显示TCP协议。
2. IP 过滤比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,ip.dst==192.168.1.102, 目标地址为192.168.1.1023. 端口过滤tcp.port ==80, 端口为80的tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
wifi嗅探技术原理
wifi嗅探技术原理让我们了解一下什么是wifi嗅探技术。
简单来说,wifi嗅探技术是通过监听无线网络中的数据包来获取相关信息的一种技术。
这些数据包中包含了发送和接收的信息,包括设备的MAC地址、IP地址、传输的数据内容等。
那么,wifi嗅探技术是如何实现的呢?我们需要了解一下无线网络是如何工作的。
无线网络是通过无线路由器将互联网信号转换成无线信号,并通过无线适配器将信号传输到设备上。
当设备连接到无线网络时,会与无线路由器建立一个连接,然后通过该连接进行数据的传输。
在这个过程中,wifi嗅探技术利用了无线网络中的一些特性。
它通过监听无线信道上的数据包来获取相关信息。
无线信道是指无线网络中用于传输数据的频段,一般有2.4GHz和5GHz两种频段。
接下来,我们来看一下具体的实现步骤。
第一步,嗅探器需要扫描附近的无线网络。
它会监听无线信道上的信号,并获取到信号的强度和频率等信息。
通过这些信息,嗅探器可以判断出附近的无线网络设备。
第二步,嗅探器会监听无线信道上的数据包。
当设备发送或接收数据时,会将数据封装成数据包进行传输。
嗅探器可以通过监听数据包来获取相关信息。
它会解析数据包中的头部信息,包括源MAC地址、目的MAC地址、源IP地址、目的IP地址等。
第三步,嗅探器会将获取到的信息进行分析和处理。
它可以将数据包中的信息保存到日志文件中,以便后续分析和使用。
嗅探器还可以对数据包进行过滤,只保留特定类型的数据包,如DNS请求、HTTP请求等。
第四步,嗅探器可以进行一些高级的操作,如数据包的重组和解密。
有些无线网络使用加密算法进行数据的传输,嗅探器可以对加密的数据包进行解密,以获取其中的信息。
通过以上步骤,wifi嗅探技术可以获取到无线网络中的相关信息。
这些信息可以用于网络管理、安全分析、用户行为分析等方面。
需要注意的是,wifi嗅探技术虽然可以获取到无线网络中的数据包,但并不意味着可以获取到数据包中的全部内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。
目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。
一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。
当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。
二、在局域网实现监听的基本原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。
但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。
在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。
当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。
但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。
在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。
当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。
当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。
对于每一个到达网络接口的数据帧,都要进行这个过程。
然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。
而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。
也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。
因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。
同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。
三、局域网监听的简单实现要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。
在Unix系统中,发送这些命令需要超级用户的权限。
在Windows 系列操作系统中,则没有这个限制。
要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。
1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子(1)IP数据报首部概述(1).版本占4位,指IP协议的版本。
通信双方使用的IP协议版本必须一致。
目前广泛使用的IP协议版本号为4(即IPv4)。
关于IPv6,目前还处于草案阶段。
(2).首部长度占4位,可表示的最大十进制数值是15。
请注意,这个字段所表示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就达到60字节。
当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充。
因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为方便。
首部长度限制为60字节的缺点是有时可能不够用。
但这样做是希望用户尽量减少开销。
最常用的首部长度就是20字节(即首部长度为0101),这时不使用任何选项。
(3).区分服务占8位,用来获得更好的服务。
这个字段在旧标准中叫做服务类型,但实际上一直没有被使用过。
1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。
只有在使用区分服务时,这个字段才起作用。
(4).总长度总长度指首部和数据之和的长度,单位为字节。
总长度字段为16位,因此数据报的最大长度为216-1=65535字节。
在IP层下面的每一种数据链路层都有自己的帧格式,其中包括帧格式中的数据字段的最大长度,这称为最大传送单元MTU(Maximum Transfer Unit)。
当一个数据报封装成链路层的帧时,此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的MTU值。
(5).标识(identification) 占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
(6).标志(flag) 占3位,但目前只有2位有意义。
●标志字段中的最低位记为MF(More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
●标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
(7).片偏移占13位。
片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。
也就是说,相对用户数据字段的起点,该片从何处开始。
片偏移以8个字节为偏移单位。
这就是说,每个分片的长度一定是8字节(64位)的整数倍。
(8).生存时间占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。
由发出数据报的源点设置这个字段。
其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。
最初的设计是以秒作为TTL的单位。
每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。
若数据报在路由器消耗的时间小于1秒,就把TTL值减1。
当TTL值为0时,就丢弃这个数据报。
(9).协议占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。
(10).首部检验和占16位。
这个字段只检验数据报的首部,但不包括数据部分。
这是因为数据报每经过一个路由器,路由器都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。
不检验数据部分可减少计算的工作量。
(11).源地址占32位。
(12).目的地址占32位。
(2)实例解析是用sniffer pro进行监听时捕获的IPv4协议报头。
第一部分显示的是关于IP的版本信息,它的当前版本号为4;然后是头部的长度,其单位是32-bit的字,本例中值为20bytes。
第二部分是有关服务类型的信息。
第三部分为头部长度字段,本例中IP报头长为56字节。
第四部分是关于分段的内容。
第五部分是生存时间字段,一般为64或128,本例为128seconds/hops。
第六部分是协议部分,说明了上层使用的服务类型,本例中为UDP。
第七部分以下各字段分别为校验和、源地址、目的地址等。
2. 一个使用sniffer pro进行监听获取邮箱密码的例子通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息。
例如,对一些明码传输的邮箱用户名和口令可以直接显示出来。
weizhong为邮箱用户名,123456为邮箱密码,都以明码显示,由此也可以看到局域网监听技术如果用于不正当的目的会有多大的危害。
在以上各部分中还有更详细的信息,在此不作更多的分析。
通过这个例子想说明的是通过网络监听可以获得网络上实时传输的数据中的一些非常重要的信息,而这些信息对于网络入侵或入侵检测与追踪都会是很关键的。
四、网络嗅探造成的危害sniffing是作用在网络基础结构的底层。
通常情况下,用户并不直接和该层打交道,有些甚至不知道有这一层存在。
所以,应该说Sniffer的危害是相当之大的,通常,使用Sniffer是在网络中进行欺骗的开始。
它可能造成的危害:嗅探器能够捕获口令。
这大概是绝大多数非法使用Sniffer的理由,Sniffer可以记录到明文传送的用户名和口令。
能够捕获专用的或者机密的信息。
比如金融帐号,许多用户很放心在网上使用自己的信用卡或现金帐号,然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。
比如偷窥机密或敏感的信息数据,通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限窥探低级的协议信息。
这是很可怕的事,通过对底层的信息协议记录,比如记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。
这些信息由非法入侵的人掌握后将对网络安全构成极大的危害,通常有人用Sniffer收集这些信息只有一个原因:他正要进行一次欺骗(通常的ip地址欺骗就要求你准确插入TCP连接的字节顺序号),如果某人很关心这个问题,那么Sniffer对他来说只是前奏,今后的问题要大得多。
事实上,如果在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。
一般Sniffer只嗅探每个报文的前200到300个字节。
用户名和口令都包含在这一部分中,这是我们关心的真正部分。
简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。
将嗅探器放置于被攻击机器或网络附近,这样将捕获到很多口令,还有一个比较好的方法就是放在网关上。
Sniffer通常运行在路由器,或有路由器功能的主机上。
这样就能对大量的数据进行监控。
Sniffer属第二层次的攻击。
通常是攻击者已经进入了目标系统,然后使用Sniffer这种攻击手段,以便得到更多的信息。