L O G O网络监听与ARP攻击田宏政1网络监络监 听v 网络监听，在网络安全上一直是一个比较敏感的话题 ，作为一种发展比较成熟的技术，监听在协助网络管 理员监测 网络传输 数据，排除网络故障等方面具有不 可替代的作用，因而一直倍受网络管理员的青睐。然 而，在另一方面网络监听也给以太网安全带来了极大 的隐患，许多的网络入侵往往都伴随着以太网内网络 监听行为，从而造成口令失窃，敏感数据被截获等等 连锁性安全事件。Date2网络监络监 听事件v1994年2月间，相继发生了几次大的安全事件 ，一个不知名的人在众多的主机和骨干网络设 备上安装了网络监听软件，利用它对美国骨干 互联网和军方网窃取了超过100，000个有效 的用户名和口令。 v上述事件可能是互联网上最早期的大规模的网 络监听事件了，它使早期网络监听从“地下“走 向了公开，并迅速的在大众中普及开来。Date3网络监络监 听原理简简介v对对于目前很流行的以太网协议协议 ，其工作方式是 ：将要发发送的数据包发发往连连接在一起的所有主 机，包中包含着应该应该 接收数据包主机的正确地 址，只有与数据包中目标标地址一致的那台主机 才能接收。 v但是，当主机工作监听模式下，无论数据包中 的目标地址是什么，主机都将接收(当然只能监 听经过自己网络接口的那些包)。 Date4网络络数据传传送原理v 当数据由应应用层层自上而下的传递时传递时 ，在网络层络层 形成ip 数据报报，再向下到达数据链链路层层，由数据链链路层层将ip数 据报报分割为为数据帧帧，增加以太网包头头，再向下一层发层发 送。 v 需要注意的是，以太网的包头头中包含着本机和目标设备标设备 的mac地址，也即，链链路层层的数据帧发帧发 送时时，是依靠 48bits的以太网地址而非ip地址来确认认的，以太网的 网卡设备驱动设备驱动 程序不会关心ip数据报报中的目的ip地址 ，它所需要的仅仅仅仅 是mac地址。 Date5v目标ip的mac地址又是如何获得的呢？发送端 主机会向以太网上的每个主机发送一份包含目 的地的ip地址的以太网数据帧（称为arp数据包 ），并期望目的主机回复，从而得到目的主机 对应的mac地址，并将这个mac地址存入自己 的一个arp缓存内。Date6v 当局域网内的主机都通过HUB等方式连接时，一般都称为共享式的连接 ，这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有 数据向HUB上的每个端口转发 ，也就是说当主机根据mac地址进行数据 包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在 一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常 状况下其他主机会忽略这些通讯报 文而已！ v 如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous(混杂) 状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内 传输 的信息都是可以被听到的。Date7数据传传送实实例v 我们现 在有A,B两台主机，通过hub相连在一个以太网内，现在A 机上的一个用户想要访问 B机提供的WWW服务，那么当A机上的 用户在浏览 器中键入B的ip地址，得到B机提供的web服务时 ，从 7层结 构的角度上来看都发生了什么呢？ v 1：首先，当A上的用户在浏览 器中键入B机的地址，发出浏览请 求后，A机的应用层得到请求，要求访问 IP地址为B的主机； v 2：应用层于是将请求发送到7层结 构中的下一层传输层 ，由传 输层实现 利用tcp对ip建立连接。 v 3：传输层 将数据报交到下一层网络层 ，由网络层 来选路Date8v 4：由于A，B两机在一个共享网络中，IP路由选择 很简单 ：IP数据报 直接由源主机发送到目的主机。 v 5：由于A，B两机在一个共享网络中，所以A机必须将32bit的IP地址 转换为 48bit的以太网地址，请注意这一工作是由arp来完成的。 v 6：链路层的arp通过工作在物理层的hub向以太网上的每个主机发送 一份包含目的地的ip地址的以太网数据帧，在这份请求报文中申明： 谁是B机IP地址的拥有者，请将你的硬件地址告诉我。 v 7：在同一个以太网中的每台机器都会“接收”（请注意这一点！）到 这个报文，但正常状态下除了B机外其他主机应该 会忽略这个报文， 而B机网卡驱动 程序识别 出是在寻找自己的ip地址，于是回送一个 arp应答，告知自己的ip地址和mac地址。Date9v 8：A机的网卡驱动 程序接收到了B机的数据帧，知道了B机的mac 地址，于是以后的数据利用这个已知的MAC地址作为目的地址进 行发送。同在一个局域网内的主机虽然也能“看”到这个数据帧， 但是都保持静默，不会接收这个不属于它的数据帧。 v 上面是一种正常的情况，如果网卡被设置为为 混杂模式（ promiscuous），那么第8步就会发生变化，这台主机将会默不 作声的听到以太网内传输 的所有信息，也就是说：窃听也就因此 实现 了！这会给局域网安全带来极大的安全问题 ，一台系统一旦 被入侵并进入网络监 听状态，那么无论是本机还是局域网内的各 种传输 数据都会面临被窃听的巨大可能性。Date10网络监络监 听的重要性v 现现在网络络中使用的大部分协议协议 都是很早设计设计 的，许许多 协议协议 的实现实现 都是基于一种非常友好的、通信的双方充 分信任的基础础之上，许许多信息以明文发发送。因此，如 果用户户的账户账户 名和口令等信息也以明文的方式在网上 传输传输 ，而此时时一个黑客或网络络攻击击者正在进进行网络监络监 听，只要具有初步的网络络和TCP/IP协议协议 知识识，便能 轻轻易地从监监听到的信息中提取出感兴兴趣的部分。同理 ，正确的使用网络监络监 听技术术也可以发现发现 入侵并对对入侵 者进进行追踪定位，在对对网络络犯罪进进行侦查侦查 取证时获证时获 取 有关犯罪行为为的重要信息，成为为打击击网络络犯罪的有力 手段。Date11Sniffer介绍绍vSniffer，网络嗅探，可以探测网络内部的数据 包 v分为硬件嗅探器和软件嗅探器 v最初主要用来做网络分析工作，分析网络的性 能与故障 v入侵者利用Sniffer可以获得很多对入侵有价值 的内容Date12为为什么可以利用嗅探器 Sniffer入侵vTcp/ip协议的设计没有重点考虑安全问题 v现在互联网上广泛应用的网络协议 都没有采用 加密机制，数据内容直接以明文传送。或者有 些加密机制太弱。比如标准的telnet协议、ftp 协议都采用明文传送口令Date13共享式网络络中的侦侦听Sniffer机器1机器2数据以广播式发送网卡置于混杂模式下Date14注意vSniffer对广播型网络有效，对交换型网络无 效 v如果使用软件Sniffer，则网卡需要工作与“混 杂模式”。通常，要求管理员权限才能完成。通 常模式下面，网卡会自动丢弃不属于自己的数 据包Date15常用的监监听工具v Windows平台下的： v Windump是最经典的unix平台上的tcpdump的window移植版 ，和tcpdump几乎完全兼容，采用命令行方式运行，对用惯 tcpdump的人来讲会非常顺手。可运行在Windows 95/98/ME/Windows NT/2000/XP平台上 。 v 使用方法： http:/www.cnitblog.com/lenatem/archive/2008/11/27/5193 3.html v Iris Eeye公司的一款付费软 件，有试用期，完全图形化界面，可 以很方便的定制各种截获控制语句，对截获数据包进行分析，还原等 。对管理员来讲很容易上手，入门级 和高级管理员都可以从这个工具 上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP平台上 。Date16UNIX平台下的监监听软软件v tcpdump 不多说，最经典的工具，被大量的*nix系统采用。 v ngrep 和tcpdump类似，但与tcpdump最大的不同之处在于，借助 于这个工具，管理员可以很方便的把截获目标定制在用户名，口令等感 兴趣的关键字上。 v snort 目前很红火的免费的ids系统，除了用作ids以外，被用来 sniffer也非常不错，可以借助工具或是依靠自身能力完全还原被截获的 数据。 v Dsniff 作者设计 的出发点是用这个东西进行网络渗透测试 ，包括一 套小巧好用的小工具，主要目标放在口令，用户访问资 源等敏感资料上 ，非常有特色，工具包中的arpspoof，macof等工具可以令人满意的捕 获交换机环境下的主机敏感数据。 v Ettercap 和dsniff在某些方面有相似之处，也可以很方便的工作在 交换机环境下提示：国内用户访问这 个站点需要使用代理服务器。 v Sniffit 被广泛使用的网络监 听软件，截获重点在用户的输出。 Date17硬件的网络络窃听v 网络侦听器 v 协议分析器 v 特点：速度快，使用方 便Date18网络监络监 听在网络络管理中的应应用v在系统管理员看来，网络监听的主要用途是进 行数据包分析，通过网络监听软件，管理员可 以观测分析实时经 由的数据包，从而快速的进 行网络故障定位。Date19交换环换环 境下的网络监络监 听v 交换机的工作原理 v 不同于工作在第一层的hub,交换机是工作在二层，也就是说数据链 路层的。 v 交换机在工作时维护 着一张ARP的数据库，在这个库中记录 着交 换机每个端口绑定的MAC地址，当有数据报发 送到交换机上时，交 换机会将数据报的目的MAC地址与自己维护 的数据库内的端口对照 ，然后将数据报发 送到“相应的“端口上，注意，不同于HUB的报文 广播方式，交换机转发 的报文是一一对应 的。对二层设备 而言， 仅有两种情况会发送广播报文，一是数据报的目的MAC地址不在交 换机维护 的数据库中，此时报 文向所有端口转发 ，二是报文本身 就是广播报文。由此，我们可以看到，这在很大程度上解决了网络 监听的困扰。Date20交换换式网络络中的ARP攻击击v 交换机转发 的报文是一一对应 的，由此看来，交换环 境下再采用 传统 的共享式局域网下网络监 听是不可行了，由于报文是一一对 应转发 的，普通的网络监 听软件此时无法监听到交换环 境下其它 主机任何有价值的数据。 v 局域网内主机数据包的传送完成不是依靠ip地址，而是依靠arp找 出ip地址对应 的mac地址实现 的。 v arp协议 是不可靠和无连接的，通常即使主机没有发出arp请求， 也会接受发给 它的arp回应，并将回应的mac和ip对应 关系放入 自己的arp缓存中。Date21ARP简简介v ARP（Address Resolution Protocol，地址解析协议 ）是一个位 于TCP/IP协议栈 中的底层协议 ，负责 将某个IP地址解析成对应 的MAC地址。 v ARP协议 的基本功能就是通过目标设备 的IP地址，查询 目标设备 的MAC地址，以保证通信的进行。 v ARP（AddressResolutionProtocol）是地址解析协议 ，是一种 将IP地址转化成物理地址的协议 。从IP地址到物理地址的映射有 两种方式：表格方式和非表格方式。 v ARP具体说来就是将网络层 （IP层，也就是相当于OSI的第三层 ）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层 ）的MAC地址。Date22ARP攻击击vARP攻击，是针对以太网地址解析协议（ARP ）的一种攻击技术。此种攻击可让攻击者取得 局域网上的数据封包甚至可篡改封包，且可让 网络上特定计算机或所有计算机无法正常连接 。 v最早探讨ARP攻击的文章是由Yuri Volobue所 写的ARP与ICMP转向游戏。Date23ARP攻击击原理v ARP攻击就是通过伪造IP地址和MAC地址实现 ARP欺骗，能够在网络中产生大量的