2017最新白帽子教程,持续更新中~~~

白帽教程提升之(二)Wireshark&网络嗅探

提升篇 toy 31℃ 0评论

概览

计算机使用网络通信。这些网络可能在局域网LAN上或暴露于互联网。网络嗅探器是捕获通过网络传输的低级包数据的程序。攻击者可以分析这些信息,以发现诸如用户ID和密码等有价值的信息。

在本文中,我们将向您介绍用于嗅探网络的通用网络嗅探技术和工具。我们还将看看您可以采取的对策,以保护通过网络传输的敏感信息。

在本文中,我们将学习:

1.什么是网络嗅探

计算机在网络上使用ip地址进行唯一识别,计算机与计算机通信采用广播包的形式。一旦有广播包数据在网络上传输,匹配到ip地址的计算机,就会发送自己的mac地址进行回应。

网络嗅探是拦截通过网络发送的数据包的过程,这可以通过专门的软件程序或硬件设备完成。嗅觉可以用来:

  • 捕获敏感数据,如登录凭据
  • 窃听聊天消息
  • 捕获文件已通过网络传输

以下是易于嗅探的协议:

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

如果登录详细信息以纯文本格式发送,上述协议是脆弱的
3种嗅探示意图

2.主动和被动网络嗅探

在我们看待被动和主动嗅探之前,我们来看看用于网络计算机的两个主要设备【集线器和交换机】;
集线器上有很多的端口,端口之间通信都通过集线器,其特性是端口1发送消息给集线器,然后集线器将该消息广播给除端口1以外的所有端口,接收到数据的众多端口中,只有ip地址匹配上的才会应答响应。这意味着当使用集线器时,网络上的所有计算机都可以看到广播消息。它在OSI模型的物理层(第1层)上运行。
下面的图,详解了集线器(hub)是如何工作的
hub

交换机其实是集线器的升级版,现在网络中基本没有集线器了,集线器不光不安全,而且很容易造成网络阻塞,你想啊,一个数据发送给每一个端口,当通信数据大高频时,怎么办,交换机是通过内置的ip/mac映射表直接将数据发送给映射表中的设备的。在交换机的设计中,其实还是有集线器[hub]的存在的,也就是说这个ip/mac表第一次生成时,还是走的集线器的流程,只是完成第一次正常通信后,就会有缓存了,做成了ip/mac映射表。交换机在数据链路层(第2层)和网络层(层3)上运行。
下面的图,详解了交换机(switch)是如何工作的

hub

被动嗅探是通过使用集线器的网络传输的拦截包。被称为被动嗅觉,因为它很难被发现。当集线器向网络上的所有计算机发送广播消息时,也很容易执行。

主动侦听正在拦截通过使用交换机的网络传输的包。用于嗅探交换机链接网络,ARP攻击和MAC flooding是主要的2种方式。

3.示例,网络嗅探

转载请注明:链圈一盏灯 » 白帽教程提升之(二)Wireshark&网络嗅探

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址