資源描述:
《交換式網(wǎng)絡(luò)嗅探和反嗅探探究》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1�����、交換式網(wǎng)絡(luò)嗅探和反嗅探探究 摘要:網(wǎng)絡(luò)組網(wǎng)方式由共享型向交換型的轉(zhuǎn)變,使得基于共享式網(wǎng)絡(luò)的嗅探技術(shù)已不再適用�����。本文從交換式環(huán)境下實現(xiàn)網(wǎng)絡(luò)嗅探的原理出發(fā)��,分析了多種發(fā)起嗅探攻擊的途徑�����,并有針對性地提出了在交換環(huán)境中如何有效檢測和防御嗅探攻擊�����。關(guān)鍵詞:網(wǎng)絡(luò)嗅探交換機ARP欺騙中圖分類號:TP393.08文獻標(biāo)識碼:A文章編號:1007-9416(2013)03-0070-01在共享式網(wǎng)絡(luò)中���,只要將網(wǎng)卡設(shè)置成混雜模式就可以實現(xiàn)對本網(wǎng)段上所有主機的嗅探�����。而在交換式局域網(wǎng)中�,交換機在運行過程中可以根據(jù)某個MAC地址是在哪個端口上被發(fā)現(xiàn)的來建立自身的地址映射表,當(dāng)一個數(shù)據(jù)包到來時時�����,
2��、交換機會檢查封包的目的MAC地址�,同時核對一下自己的地映射址表,由此決定數(shù)據(jù)包該從哪個端口發(fā)送出去��,從而避免了被網(wǎng)段上其他主機嗅探的可能���。1交換式網(wǎng)絡(luò)中嗅探的實現(xiàn)5(1)MAC址表溢出��。交換機為了建立端到端的電路連接���,就必須在內(nèi)存中維護一個交換機端口與MAC地址的映射表,由于內(nèi)存大小的限制�����,地址映射表中只能存儲有限的映射表項���。當(dāng)交換機收到攻擊者發(fā)送的大量虛假MAC地址數(shù)據(jù)時����,由于其緩存空間有限,大量虛假數(shù)據(jù)會造成交換機無法進行正常的數(shù)據(jù)交換���,從而回退到HUB(集線器)的工作模式,此模式下交換機會以廣播方式將數(shù)據(jù)包發(fā)送到所有端口�����,這樣就可以實現(xiàn)傳統(tǒng)方式的嗅探攻擊����。當(dāng)然,如果交
3����、換機中使用靜態(tài)地址映射表,就可以有效規(guī)避這種嗅探攻擊��。(2)ARP欺騙攻擊�。ARP欺騙攻擊是通過向目標(biāo)主機發(fā)送偽造的ARP應(yīng)答,來更新目標(biāo)主機ARP緩存中的IP地址與MAC地址的映射關(guān)系�����,從而控制網(wǎng)絡(luò)中的數(shù)據(jù)包流向。假設(shè)網(wǎng)絡(luò)中����,A機器的IP地址為22.243.0.1,MAC地址為01-01-01-01��;B機器的IP地址22.243.0.2����,MAC地址為02-02-02-02;C機器的IP地址為22.243.0.3�,MAC地址為03-03-03-03。C向A發(fā)送一個自己偽造的ARP應(yīng)答����,而這個應(yīng)答中的數(shù)據(jù)的發(fā)送方IP地址是B機器的IP地址22.243.0.2,MAC地址是C的
4�����、地址03-03-03-03�。當(dāng)A接收到C偽造的ARP應(yīng)答,A就會更新它自己本地的ARP緩存?����,F(xiàn)在和IP地址22.243.0.2對應(yīng)的MAC地址在A的ARP緩存表上被改變成了03-03-03-03。此時�,A發(fā)往B的數(shù)據(jù)就會錯誤地發(fā)送到C。5(3)偽造MAC地址�。通過修改本機的MAC地址,使其與目標(biāo)主機的MAC地址相同�,這樣同一個MAC地址就對應(yīng)了交換機中兩個端口,當(dāng)有數(shù)據(jù)指向此MAC地址時�,數(shù)據(jù)包將同時由這兩個端口發(fā)送出去。這種方法與ARP欺騙的根本區(qū)別在于���,偽造MAC地址欺騙的是交換機,而ARP欺騙是則是針對目標(biāo)主機的ARP緩存���,與交換機沒有關(guān)系�。當(dāng)然如果交換機設(shè)置成靜態(tài)地
5��、址映射表�,也可以對這種偽造MAC地址的攻擊加以防范,所以實際中使用最多的還是ARP欺騙���。2交換式網(wǎng)絡(luò)中的嗅探檢測(1)Ping命令監(jiān)測���。當(dāng)懷疑某主機上運行有監(jiān)聽程序時�����,可以試著用正確的IP地址和錯誤的物理地址分別去Ping�����,如果兩種情況下主機都做出響應(yīng)則說明確實有監(jiān)聽程序在運行���,因為正常的機器是不會接受錯誤物理地址的,但此方法依賴于系統(tǒng)IP堆棧��,并不適用于所有系統(tǒng)����。查找局域網(wǎng)中的ARP攻擊源可以通過以下方法,其一�����,查看交換機的地址映射表來確定攻擊源的MAC地址���;其二�����,也可以反過來通過在網(wǎng)絡(luò)中部署嗅探器工具���,對ARP攻擊源的MAC地址進行定位�;其三����,直接Ping網(wǎng)關(guān)IP地址,
6�����、然后用arp–a命令查看與網(wǎng)關(guān)IP地址對應(yīng)的MAC地址����,此MAC地址即為攻擊者的真實地址����。(2)觀察系統(tǒng)響應(yīng)時間。由于正常系統(tǒng)主機不會處理�,未知物理地址的數(shù)據(jù)包,因此當(dāng)向疑為被監(jiān)聽主機發(fā)送大量不存在的物理地址的偽造數(shù)據(jù)包時����,由于監(jiān)聽程序會對這些數(shù)據(jù)包一樣進行處理����,因此使得響應(yīng)時間大大延長���,而正常的系統(tǒng)主機的回應(yīng)時間則沒有明顯變化�。5(3)監(jiān)視DNS請求�����。監(jiān)聽器需要通過發(fā)送DNS反向查詢要求的數(shù)據(jù)包來發(fā)現(xiàn)與IP地址有關(guān)的域名信息���。因此��,監(jiān)測被檢測主機產(chǎn)生的DNS數(shù)據(jù)流就可以判斷主機是否遭到監(jiān)聽�。所以當(dāng)Ping一個偽造的主機IP地址時�����,如果發(fā)現(xiàn)該主機對此IP地址提出了反向查詢的
7�、DNS請求,則說明該主機有可能正在實施監(jiān)聽行為�����。3交換式網(wǎng)絡(luò)反嗅探的方法(1)細劃子網(wǎng)。嗅探器只能捕獲當(dāng)前網(wǎng)段上的數(shù)據(jù)����,這就意味著對網(wǎng)段劃分得越細,嗅探器能夠收集的信息越少��。比如����,可以在交換機上設(shè)置VLAN,使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送�����。一般可以采用20個工作站為一組�,這是一個比較合理的數(shù)字。然后����,定期采用MD5隨機地對某個段進行檢測�,此法只適用于中小型網(wǎng)絡(luò)。(2)對IP—MAC地址雙向捆綁����。通過在用戶主機設(shè)置靜態(tài)IP��,同時在交換機上對IP—MAC地址對雙向捆綁�����,并開啟IP+MAC+密碼+帳號+接入交換機PORT+
