第四章 嗅探——Sniffer技术.ppt

第四章 嗅探——Sniffer技术 4.1 简介 4.4 交换网络嗅探器 4.5 嗅探对策 对网络嗅探程序的攻击 本章重点和复习要点 本章重点和复习要点 共享局域网嗅探的一般实现原理是什么？ BPF分组捕获机制是什么？为什么有了它才能实现软件方式的嗅探？ Libpcap（Winpcap）与BPF是什么关系？ 有哪几种方法可以实现交换网络中的嗅探？简单描述其中每一种的实现原理。 利用图形和文字描述相结合，详细说明利用ARP欺骗进行网络嗅探的实现原理。 如何利用针对系统硬件过滤和软件过滤的测试检查局域网中是否有嗅探的存在？ 返回首页 4.1 简介 对黑客来说，通过嗅探技术能非常隐蔽地攫取网络中传输的大量敏感信息（例如用户帐号和口令），与主动扫描相比，嗅探行为更难被察觉，也更容易操作。 对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并及时发现各种网络攻击行为。 返回首页 4.1.1 嗅探原理 正常情况下，一个网络接口（网卡）应该只响应这样的两种数据帧： ? 与自己的MAC地址相匹配的数据帧 ? 发向所有机器的广播数据帧 网卡接收到传来的数据帧，其内嵌的处理程序就会检查数据帧的目的MAC地址，并根据网卡驱动程序设置的接收模式来判断该不该进一步处理。 如果应该处理，就接收该数据帧并产生中断信号通知CPU，否则就简单放弃。 CPU得到中断信号产生中断，操作系统才会根据网卡驱动程序设置的中断处理程序地址来调用驱动程序接收数据，数据接收之后被放入信号堆栈，等待操作系统进一步处理。 网卡一般有4种接收模式： ? 广播模式：该模式下能接收网络中广播信息。 ? 组播模式：该模式下能接收组播数据。 ? 直接模式：只有匹配目的MAC地址的网卡才能接收该数据帧。 ? 混杂模式（Promiscuous Mode）：网卡能接收一切监听到的数据帧。 通常网卡的缺省配置同时支持前3种接收模式。 Sniffer的基本原理：以太网基于广播方式传送数据，所有物理信号都被传送到每一个主机节点，此外网卡可被设置成混杂模式，这种模式下无论监听到的数据帧目的地址如何，网卡都能够接收。 Sniffer隐蔽性非常好，它只是被动地接收数据，而不向外发送数据，所以根本无法觉察到监听。 当然Sniffer有一定的局限性，比如它只能在由Hub连接局域网内进行监听（不能越过路由器）。 4.1.2 嗅探器的软件实现方式 混杂模式下，网卡驱动程序将所有流经网卡的数据帧由链路层上传到网络层后，网络层驱动程序还要对其目的IP地址进行判断： 如果是本地IP，则上传给传输层处理（传输层再根据目的端口号来决定由哪个上层应用处理数据报文），否则丢弃。 如果没有特定的机制，即使网卡设置成了混杂模式，上层应用也无法“抓”到本不属于“自己”的数据包。 如果要让用户级的Sniffer软件可以真正“抓”到这些数据包，就需要一个直接与网卡驱动程序接口的驱动模块，作为网卡驱动程序与上层应用的“中间人”： 它将网卡设置成混杂模式，并从上层应用Sniffer接收下达的各种抓包请求，对来自网卡驱动程序的数据帧进行过滤，最终将符合Sniffer要求的数据返回给Sniffer。 有了“中间人”，网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获及过滤模块。 对于非本地数据包，前者会丢弃（通过比较目的IP地址），而后者会根据上层应用（Sniffer）的要求来决定上传还是丢弃。 许多操作系统都提供这样的“中间人”机制，即分组捕获机制。UNIX类型操作系统中主要有3种： BSD中的BPF(Berkeley Packet Filter)、 SVR4中的DLPI、 Linux中的SOCK_PACKET类型关键字。 （1）基于BSD的系统提供BPF分组过滤器，作为可加载模块，BPF可随时被加载到系统内核中，以实现内核级分组捕获过滤机制（不在用户进程中过滤，减少从内核传送给用户进程的数据量，大大提高效率）。 1）当一个数据帧到达网络接口时，通常情况下，链路层网卡驱动程序会将其提交到系统协议栈。 2）如果BPF正在其接口监听，驱动程序将首先调用BPF将数据包发送给过滤器，对数据包进行过滤，并将数据提交给与过滤器关联的上层应用。 3）然后链路层