嗅探器sniffer:网络嗅探Sniffer原理应用详解

来源:安全中国

提到网络嗅探大家都知道snfer了sneff是嗅探意思snfer自然就是嗅探器含义了Snfer是利用计算机网络接口截获目地为其它计算机数据报文种工具嗅探器最早是为网络管理人员配备工具有了嗅探器网络管理员可以随时掌握网络实际情况查找网络漏洞和检测网络性能当网络性能急剧下降时候可以通过嗅探器分析网络流量找出网络阻塞来源嗅探器也是很多人员在编写网络时抓包测试工具我们知道网络都是以数据包形式在网络中进行传输因此难免有协议头定义不对

了解了嗅探器基本使用方法那它跟我们网络安全有什么关系？

任何东西都有它两面性在黑客手中嗅探器就变成了个黑客利器上面我们已经提到了arp欺骗这里再详细讲解arp欺骗基本原理实现思路方法防范方式很多攻击方式都要涉及到arp欺骗如会话劫持和ip欺骗首先要把网络置于混杂模式再通过欺骗抓包方式来获取目标主机pass包当然得在同个交换环境下也就是要先取得目标服务器同网段台服务器

Arp是什么？arp是种将ip转化成以ip对应网卡物理地址种协议或者说ARP协议是种将ip地址转化成MAC地址种协议它靠维持在内存中保存张表来使ip得以在网络上被目标机器应答ARP就是IP地址和物理的间转换当你在传送数据时IP包里就有源IP地址、源MAC地址、目标IP地址如果在ARP表中有相对应MAC地址那么它就直接访问反的它就要广播出去对方IP地址和你发出目标IP地址相同那么对方就会发个MAC地址给源主机而ARP欺骗就在此处开始侵略者若接听到你发送IP地址那么它就可以仿冒目标主机IP地址然后返回自己主机MAC地址给源主机源主机发送IP包没有包括目标主机MAC地址而ARP表里面又没有目标IP地址和目标MAC地址对应表所以容易产生ARP欺骗例如:我们假设有 3台主机A,B,C位于同个交换式局域网中监听者处于主机A而主机B,C正在通信现在A希望能嗅探到B->C数据 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造ARP应答包应答包中IP地址为CIP地址而MAC地址为AMAC地址 这个应答包会刷新BARP缓存Cache让B认为A就是C说详细点就是让B认为CIP地址映射到MAC地址为主机AMAC地址 这样B想要发送给C数据实际上却发送给了A就达到了嗅探目我们在嗅探到数据后还必须将此数据转发给C 这样就可以保证B,C通信不被中断
         以上就是基于ARP欺骗嗅探基本原理在这种嗅探思路方法中嗅探者A实际上是插入到了B->C中 B数据先发送给了A然后再由A转发给C其数据传输关系如下所示:

B----->A----->C 

B<----A<------C 

当然黑洞在进行欺骗时候还需要进行抓包和对包进行过虑得到他们想要信息如用户名、口令等虽然网络中数据包是以 2进制方式进行传输但嗅探器抓包和重组还有过滤等都为他们做了这切                                                                                                             

网络嗅探有 3种方式种是mac洪水即攻击者向交换机发送大量虚假mac地址数据交换机在应接不暇情况下就象台普通hub那样只是简单向所有端口广播数据了这时嗅探者就可以借机进行窃听但如果交换机使用静态地址映射表话这种思路方法就不行了第 2种方式是mac地址复制即修改本地mac地址使其和欲嗅探主机mac地址相同这样交换机将会发现有两个端口对应相同mac地址于是到该mac地址数据包同时从这两个端口中发出去

第 3种方式就是用得最多了--------arp欺骗我们可以看下自己机器在刚开机时候在dos中输入arp –a(查看本机arp缓存Cache表内容)可以看到arp缓存Cache表是空

如:Microsoft Windows [版本 5.2.3790]

(C) 版权所有 1985-2003 Microsoft Corp.

 

D:\>arp -a

No ARP Entries Found

 

D:\>

那么我们ping下网关再输入arp –a查看下

 

D:\>ping 192.168.0.1

 

Pinging 192.168.0.1 with 32 s of data:

 

Reply from 192.168.0.1: s=32 time<1ms TTL=64

Reply from 192.168.0.1: s=32 time<1ms TTL=64

 

Ping statistics for 192.168.0.1:

    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

^C

D:\>arp -a

 

Interface: 192.168.0.6 --- 0x10003

  Internet Address      Physical Address      Type

  192.168.0.1          00-0a-e6-48-41-8b     dynamic

 

D:\>

   从上面ping命令我们分析包结果是首先本机发出个arp包询问谁是192.168.0.1？192.168.0.1回应个arp包并返回个mac地址接下来本机再发送request请求目标机回应该个reply包最后将mac地址保存在arp缓存Cache中

我们再来举个arp欺骗例子:

   交换局域网中有A、B、C 3台机器假设ip地址和mac地址如下:

A主机:ip地址为:192.168.0.1,mac地址为:0a:0a:0a:0a:0a:0a

B主机:ip地址为:192.168.0.2,mac地址为:0b:0b:0b:0b:0b:0b

C主机:ip地址为:192.168.0.3,mac地址为:0c:0c:0c:0c:0c:0c

上篇文章: Php注入原理

下篇文章: SQL元数据注射和解决方案

延伸阅读

• 2009-9-12-- 嗅探器sniffer:MSN Sniffer 嗅探MSN Messenger聊天信息
• 2009-9-12-- 嗅探器sniffer:SNIFFER(嗅探器)-介绍
• 2009-9-12-- 嗅探器sniffer:高手支招  如何发现和防止Sniffer嗅探器
• 2009-9-2-- hibernate原理:详解Hibernate的工作原理和体系结构