网络攻防原理与技术（第3版）课件：网络监听技术.pptx

;内容提纲;知识回顾;网络监听;网络监听案例;黑客用网络监听能干什么？;;要实施网络监听，主要解决两个问题：

一是网络流量劫持，即使监听目标的网络流量经过攻击者控制的监听点（主机），主要通过各种地址欺骗或流量定向的方法来实现

二是在监听点上采集并分析网络数据，主要涉及网卡的工作原理、协议分析技术，如果通信流量加密了，则还需要进行解密处理。

;内容提纲;攻击者要想监听目标的通信，首先要能够接收到目标的网络通信数据，如何做到呢？

与网络环境有关。一般来说，网络环境可以划分为共享式网络环境和交换式网络环境两类。;共享式网络监听的原理;共享式网络监听：总线型以太网;;一、交换式网络监听;;(一)交换网络监听：交换机+集线器;(二)交换网络监听：端口镜像;(三)交换网络监听：MAC洪泛;交换网络监听：MAC洪泛;(三)交换网络监听：MAC洪泛;步骤1：攻击者向主机A和B发送ARP欺骗报文;(四)交换网络监听：ARP欺骗;(四)交换网络监听：ARP欺骗;(四)交换网络监听：ARP欺骗;(四)交换网络监听：ARP欺骗;目标主机的IP为22，它的网关IP地址为，网关MAC地址为00-e8-4c-68-17-8b;攻击主机的IP地址为48，MAC地址为00-0c-29-6c-22-04，在运行攻击程序arpspoof.py之前，还需要开启对网关和目标IP地址的流量转发功能，在终端输入“echo1/proc/sys/net/ipv4/ip_forward”命令，然后运行上述攻击程序（需要root权限）后即可发起对目标主机的ARP欺骗攻击;攻击主机发起ARP攻击后，目标主机的网关MAC地址已经被修改成攻击主机的MAC地址，目标主机的流量被攻击主机成功劫持;从图中可以看出，目标主机访问了2()网站的web服务;攻击停止后，目标主机的网关MAC地址恢复正常;(五)交换网络监听：端口盗用;(五)交换网络监听：端口盗用;交换网络监听小结;二、DHCP欺骗;DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态地获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。;;;三、DNS劫持;在因特网中，域名解析系统（DNS）负责将域名（DomainName）解析成IP地址。同ARP协议一样，DNS同样可以被黑客利用来进行网络流量窃取。

;攻击者还可以通过社会工程学等手段获得域名管理密码和域名管理邮箱，然后将指定域名的DNS纪录指向到黑客可以控制的DNS服务器，进而通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的主机。;DNS缓存投毒：控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果；或者通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。;;;四、Wi-Fi流量劫持;;;;内容提纲;一、网卡的工作原理;MAC地址;网卡工作方式;;二、数据采集;以太网的广播方式发送;Libpcap（LibarayforPacketCapture），即分组捕获函数库，是由劳伦斯·伯克利国家实验室开发的一个在用户级进行实时分组捕获的接口，其特点是独立于操作系统。Libpcap的Windows版本，称为Winpcap

目前的Libpcap已成为开发跨平台的分组捕获和网络监视软件的首选工具。;;三、协议分析;;内容提纲;;;;MNM（MicrosoftNetworkMonitor）（下载地址：/en-us/download/details.aspx?id=4865），功能与Wireshark类似。但在无线局域网（如Wi-Fi）抓包方面，相比Wireshark，MNM更强，很多时候Wireshark不能抓取的无线网络协议包，而MNM可以。

为什么有时抓不到无线网络协议包？;Fiddler软件是一款得到广泛应用的专门针对HTTP、HTTPS协议的网络流量采集与分析工具（/download/fiddler），运行平台为Windows。

工作原理？;早期主要用Cain来做流量劫持;Ettercap是一款功能强大的开源网络中间人攻击工具（官网：），可以实现基于ARP欺骗、ICMP路由重定向、DHCP欺骗等技术的中间人攻击，监听网内主机间的通信，并提供强大的协议解析