网络攻防原理与技术 第3版 教案 第8讲 网络监听技术.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第八讲网络监听技术

目的要求：了解网络监听的工作原理；掌握网络流量劫持的主要方法；掌握数据采集与分析的方法；了解网络监听检测与防范技术。

重点难点：网络流量劫持的主要方法；数据采集与分析的方法。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、网络监听概述

网络监听是指在计算机网络接口处截获网上计算机之间通信的数据，也称网络嗅探。

网络监听可以协助网络管理员监测网络传输数据，排除网络故障；发现网络攻击（入侵检测）。也可能被攻击者利用来截获网络上的敏感信息，给网络安全带来极大危害。

网络监听主要解决两个问题：一是网络流量劫持，使监听目标的网络流量经过攻击者控制的监听点，主要通过各种地址欺骗或流量定向的方法来实现；二是在监听点上采集并分析网络数据，主要涉及网卡数据采集、协议分析技术，如果通信流量加密了，则还需要进行解密处理。

网络监听主要解决两个问题：一是网络流量劫持，使监听目标的网络流量经过攻击者控制的监听点，主要通过各种地址欺骗或流量定向的方法来实现；二是在监听点上采集并分析网络数据，主要涉及网卡数据采集、协议分析技术，如果通信流量加密了，则还需要进行解密处理。

二、网络流量劫持

（一）流量劫持概述

攻击者要想监听目标的通信，首先要能够接收到目标的网络通信数据，而这与网络环境有关。一般来说，网络环境可以划分为共享式网络环境和交换式网络环境两类。

共享意味着同一网段的所有网络接口都能够访问在物理媒体上传输的数据，总线型以太网、Wi-Fi等无线网络是典型的共享网络。

早期的以太网是一种典型的共享网络，多台主机连接在总线上，共享总线的通信资源。总线以广播的方式工作，当一台主机发送数据时所有主机都能够接收到发送的数据。主机之间在数据传输时是竞争关系，采用载波监听多点接入/碰撞检测协议解决发送冲突问题。

集线器(Hub)本质上是一种总线型网络。集线器的主要功能就是广播数据包：把一个接口上收到的数据包群发到所有接口。主机通过局域网发送的数据首先被送到集线器，集线器进而将接收到的数据向各个端口转发，接在集线器上的所有主机都能收到该主机发送的数据。如果接收主机的网卡处于正常工作模式，网卡检查发现数据帧的目的MAC地址不是自己的，将直接丢弃数据帧，但当主机的网卡处于混杂模式时，它们将把数据帧提交给操作系统分析处理，实现网络监听。

与总线型以太网相似，Wi-Fi等无线网络的特点也是在发送信号覆盖范围内，所有网络结点均能接收到网络流量，主机根据地址判断是否进一步处理接收到的网络数据。

交换式环境的网络流量劫持

交换机内部维护了一份地址与交换机端口的映射表。如果是二层交换机，映射表保存的是MAC地址与交换机端口的对应关系，此时映射表也称为MAC地址表；如果是三层交换机，则表中保存的是IP地址与端口的对应关系，映射表也称为IP地址表。采用交换机作为网络连接设备，数据帧发送到交换机时，交换机将解析出数据帧的目的MAC地址或IP地址，并查询自己的MAC或IP地址表，依据查询到的端口信息进行数据帧的转发。

交换机与集线器最大的不同是通信数据不再需要向网络连接设备的所有端口复制，而是精确发往目标主机所在的端口。主机在正常情况下无法接收到发往其他主机的数据，即使网卡处于混杂模式也无法实现网络监听。

网络管理员可以利用交换机所提供的一种称为端口镜像（PortMirroring）的功能实施网络监听。攻击者由于不像网络管理员一样在网络中拥有绝对的权限，需要采用一些攻击技术来达到监听目的，主要包括MAC攻击、端口盗用和ARP欺骗。

1.端口镜像

大部分交换机都具备端口镜像的功能。端口镜像指的是将交换机一个或多个端口接收或发送的数据帧完全相同的复制给指定的一个或多个端口，其中被复制的端口称为镜像源端口，而复制操作的目的端口称为镜像目的端口。

交换机中引入端口镜像功能主要是为网络管理员提供方便，使他们能够便捷的监控数据通信，掌握网络运行情况。

2.MAC攻击

MAC攻击针对交换机的MAC地址表进行。MAC地址表在交换机进行数据转发的过程中起着基础性的作用。

交换机进行数据转发的过程可以描述如下。

（1）交换机从自己的某一端口接收数据帧，它提取出数据帧的源MAC地址并建立MAC地址与交换机相应端口的映射，将映射关系写入MAC地址表。

（2）交换机提取数据帧的目的MAC地址，在MAC地址表中查找相应MAC地址，以决定向哪个端口转发数据帧。

（3）如果MAC地址表中包含了目的MAC地址的信息，则将数据帧发向与目的MAC地址相对应的交换机端口；

（4）如果MAC地址表中没有目的MAC地址的信息，则将数据帧向交换机的所有