网络监听技术

网络监听技术

  • 网络监听概述
    • 网络监听环境
  • 流量劫持
    • 网络环境
    • 共享式网络监听原理
    • 交换式网络监听
      • 交换机的工作方式
      • 交换网络监听:交换机+集线器
      • 交换网络监听:端口镜像
      • 交换网络监听:MAC洪泛
      • 交换网络监听:MAC洪泛
      • 交换网络监听:ARP欺骗
      • 交换网络监听:端口盗用
    • DHCP欺骗
      • DHCP基本原理
      • DHCP欺骗
    • DNS劫持
      • DNS攻击
      • DNS劫持
      • CDN入侵
    • Wi-Fi 流量劫持
  • 数据采集
    • 网卡工作方式
    • 网卡的处理流程
    • 数据采集
      • Libpcap
    • 协议分析
  • 网络监听防御
    • 如何发现Sniffer
    • Sniffer的防范

网络监听概述

  • 网络监听( Network Listening):是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing )。
    • 协助网络管理员监测网络传输数据,排除网络故障;
    • 被黑客利用来截获网络上的敏感信息,给网络安全带来极大危害

网络监听环境

在这里插入图片描述

  • 要实施网络监听,主要解决两个问题:
    • 网络流量劫持,即使监听目标的网络流量经过攻击者控制的监听点(主机),主要通过各种地址欺骗或流量定向的方法来实现。
    • 在监听点上采集并分析网络数据,主要涉及网卡的工作原理、协议分析技术,如果通信流量加密了,则还需要进行解密处理。

流量劫持

网络环境

  • 攻击者要想监听目标的通信,首先要能够接收到目标的网络通信数据
  • 一般来说,网络环境可以划分为共享式网络环境和交换式网络环境两类。

共享式网络监听原理

  • 广播特性的总线:主机发送的物理信号能被物理连接在一起的所有主机接收到。
  • 网卡处于混杂模式:接收所有的数据帧。

  • 共享式网络监听:总线型以太网
    在这里插入图片描述
  • 共享网络监听:Hub
    在这里插入图片描述

交换式网络监听

交换机的工作方式

在这里插入图片描述

交换网络监听:交换机+集线器

在这里插入图片描述

交换网络监听:端口镜像

在这里插入图片描述

交换网络监听:MAC洪泛

在这里插入图片描述攻击思路:

  • 攻击思路:
    • 在局域网中发送带有欺骗性MAC地址源的数据
    • CAM表中将会填充伪造的MAC地址记录,随着记录增多,与CAM表相关的交换机内存将被耗尽,这时交换机以类似于集线器的模式工作,向其它所有的物理端口转发数据

交换网络监听:MAC洪泛

  • 问题:网络速度明显降低;目前许多交换机具有MAC洪泛免疫功能
    在这里插入图片描述

交换网络监听:ARP欺骗

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

交换网络监听:端口盗用

在这里插入图片描述
在这里插入图片描述

DHCP欺骗

  • DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态地获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。

DHCP基本原理

在这里插入图片描述

DHCP欺骗

在这里插入图片描述

DNS劫持

  • 在因特网中,域名解析系统(DNS)负责将域名(Domain Name)解析成 IP 地址。同ARP协议一样,DNS同样可以被黑客利用来进行网络流量窃取。
  • 攻击者还可以通过社会工程学等手段获得域名管理密码和域名管理邮箱,然后将指定域名的DNS纪录指向到黑客可以控制的DNS服务器,进而通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入黑客所指向的主机。

DNS攻击

  • DNS缓存投毒:控制DNS缓存服务器,把原本准备访问某网站替换为黑客指向的其他网站上。
  • 实现方式有多种:
    1. 可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果
    2. 通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。

DNS劫持

在这里插入图片描述

CDN入侵

在这里插入图片描述

Wi-Fi 流量劫持

在这里插入图片描述
在这里插入图片描述

  • Wi-Fi 强制断线
    在这里插入图片描述

数据采集

网卡工作方式

  • 单播(Unicast):网卡在工作时接收目的地址是本机硬件地址的数据帧;
  • 广播(Broadcast):接收所有类型为广播报文的数据帧;
  • 多播(Multicast):接收特定的组播报
  • 混杂模式(Promiscuous):是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式

网卡的处理流程

在这里插入图片描述

数据采集

在这里插入图片描述

Libpcap

  • Libpcap(Libaray for Packet Capture),即分组捕获函数库,是一个在用户级进行实时分组捕获的接口,其特点是独立于操作系统。Libpcap的Windows版本,称为Winpcap
  • 目前的Libpcap已成为开发跨平台的分组捕获和网络监视软件的首选工具
    在这里插入图片描述

协议分析

网络监听防御

如何发现Sniffer

  • 通过下面的方法可以分析出网络上是否存在Sniffer:

    • 构造特殊的报文,根据目标主机的反映判断其网卡是否处于混杂模式。
    • 往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(ICMP echo delay等方法)加以判断。
  • 使用Anti-Sniffer、promisc、cmp等工具,发现大型网络上的Sniffer 。

  • 测试网络接口有无被设置成混杂模式,因为虽然在非混杂模式下可以运行Sniffer,但只有在混杂模式下才可以捕获共享网络中的所有会话。

  • 对于SunOS、Linux和BSD Unix可以采用命令:ifconfig -a


Sniffer的防范

  • 规划网络: 一般将网络分段划分得越细,Sniffer收集到的信息越少
  • 采用加密通信: 加密后,即使Sniffer捕获了数据,也难于获得数据的原文。目前比较流行的做法是使用SSL协议和SSH安全产品
  • 要想防止对WLAN的监听攻击,可以启用一些安全策略,考虑采用无线VPN产品增强认证和加密功能。
  • 对于主动监听工具,简单地采用交换机来防止监听已经不够了。要防止ARP缓存改写,必须对敏感网络中所有主机的ARP缓存表进行硬编码,这些主机包括在线网站、DNS和Mail服务器、防火墙和DMZ路由器等。另外还应该用Ipsec、VPN和其它的加密技术来保护敏感信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/672369.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

OpenMV学习笔记3——画图函数汇总

画图,即在摄像头对应位置画出图形,对于需要反馈信息的程序来说很直观。就如上一篇文章颜色识别当中的例子一样,我们在识别出的色块上画出矩形方框,并在中间标出十字,可以直观的看到OpenMV现在识别出的色块。 目录 一…

《论文阅读》通过顺序不敏感的表示正则化实现稳健的个性化对话生成 ACL 2023

《论文阅读》通过顺序不敏感的表示正则化实现稳健的个性化对话生成 ACL 2023 前言 相关个性化生成论文推荐简介问题定义方法损失函数实验结果 前言 亲身阅读感受分享,细节画图解释,再也不用担心看不懂论文啦~ 无抄袭,无复制,纯手…

Least-Squares Rigid Motion Using SVD——文献精读(使用 SVD 方法求解 ICP 问题)

一、文章信息与摘要 文章标题:Least-Squares Rigid Motion Using SVD(使用奇异值分解的最小二乘刚性运动) 说明本文的核心目标:计算对齐两组对应点的最佳拟合刚性变换的步骤 二、问题描述 假设P{p1,p2,...,pn}和Q{q1,q2,...,qn…

以sqlilabs靶场为例,讲解SQL注入攻击原理【25-31关】

【Less-25】 首先分析源码 发现把 SQL语句中的 or、and 替换成了空格,这就导致无法使用之前的sql注入方式。 解决方案:用 && 代替 and , 用 || 代替 or , 而且&在url中有特殊含义,如果直接使用会有问题&a…

电磁兼容(EMC):BUCK变换器基本原理及传导辐射分析设计

目录 1. BUCK电路拓扑及原理 2. Buck拓扑电路电磁场分析 3.总结 开关电源替代线性电源,解决了效率和体积问题,但也带来了新的EMI问题。开关电源也是产品内部的强辐射源之一,基于透过现象看本质,将复杂问题简单化,本…

2024年06月在线IDE流行度最新排名

点击查看最新在线IDE流行度最新排名(每月更新) 2024年06月在线IDE流行度最新排名 TOP 在线IDE排名是通过分析在线ide名称在谷歌上被搜索的频率而创建的 在线IDE被搜索的次数越多,人们就会认为它越受欢迎。原始数据来自谷歌Trends 如果您相…

JAVA流程控制--For循环

1.虽然所有循环都可以用while或do...while表示,但Java提供了另外一种语句——for循环,使一些循环结构变得简单 2.for循环语句是支持迭代的一种通用结构,是最有效,最灵活的循环,结构 3.for循环执行的次数是在…

快速排序(排序中篇)

1.快速排序的概念及实现 2.快速排序的时间复杂度 3.优化快速排序 4.关于快速排序的细节 5.总代码 1.快速排序的概念及实现 1.1快速排序的概念 快速排序的单趟是选一个基准值,然后遍历数组的内容把比基准值大的放右边,比基准值小的放在左边&#xf…

编译原理【第四+七章】

考试题 1、简述语法制导翻译的基本思想 将语法分析和语义分析结合起来,通过语法规则驱动语义动作执行,用于将源程序翻译成目标代码或中间代码。 通过使用属性和语义动作,编译器可以在语法分析的同时生成目标代码或中间代码,实现…

网络原理——TCP/IP--数据链路层,DNS

T04BF 👋专栏: 算法|JAVA|MySQL|C语言 🫵 今天你敲代码了吗 目录 数量链路层目的地址和原地址类型校验和 DNS 数量链路层 主要的协议是以太网协议.一个横跨数据链路层和 物理层的协议,既包含了数据链路层的内容, 也包含了⼀些物理层的内容 我们来了解一…

STM32作业实现(五)温湿度传感器dht11

目录 STM32作业设计 STM32作业实现(一)串口通信 STM32作业实现(二)串口控制led STM32作业实现(三)串口控制有源蜂鸣器 STM32作业实现(四)光敏传感器 STM32作业实现(五)温湿度传感器dht11 STM32作业实现(六)闪存保存数据 STM32作业实现(七)OLED显示数据 STM32作业实现(八)触摸按…

官网上线,一款令人惊艳的文本转语音模型:ChatTTS

近日,一个名为 ChatTTS 文本转语音模型的项目在github上横空出世,一经推出便引发极大关注,短短四天时间,已经狂揽了14.2k的Start量。 ChatTTS是一款专为对话场景设计的支持中英文的文本转语音(TTS)模型&…

AGM DAP-LINK 离线烧录报错信息分析

DAP-LINK 支持离线烧录。 即:先把要烧录的bin 烧录到DAP-LINK 中;然后DAP-LINK 可以脱离PC,上电后通过按键对目标板进行烧录。 CMSIS-DAP模式 跳线JGND断开,状态LED D4快闪,D3常亮(串口状态)。…

服务失败后如何重试?

服务失败后如何重试? 在分布式系统和网络应用程序中,重试策略对于有效处理瞬时错误和网络不稳定性至关重要。 重试策略能让系统在发生故障时多次尝试操作,从而提高最终成功的可能性。 下图显示了 4 种常见的重试策略。 01 线性回退 线性回…

LabVIEW开发中对RS-232、RS-485、RS-422通讯的比较及注意事项

本文介绍了LabVIEW开发中常用的RS-232、RS-485和RS-422通讯方式的区别及各自特点,详细说明了它们的适用场景和开发过程中需要注意的问题,帮助开发人员在选择和实现通讯方式时做出最佳决策。 详细说明 RS-232、RS-485、RS-422通讯简介 RS-232、RS-485和…

虚幻引擎5 Gameplay框架(四)

Gameplay重要类及重要功能使用方法(三) 虚幻的委托机制 虚幻委托之间的区别序列化就是是否可以在蓝图中执行 多播与单播的创建 制作功能:使用多播与单播将血条与血量进行实时更新首先新建一个单播与一个多播委托 实例化这两个委托的标签…

西门子电梯控制保姆级教程

一、电梯运行控制 1.电梯控制系统结构 可以理解是通过ip进行访问的 2.基于PLCSIM Adv与电梯仿真软件的控制环境搭建 虽然都是用一台电脑来控制,但是还是用以太网来连接 在FC块里面也要用两个DB块来放输入和输出 二、电梯对象的分析 在eet里面,用手动控制…

关于高版本 Plant Simulation 每次保存是 提示提交comm对话框的处理方法

关于高版本 Plant Simulation 每次保存是 提示提交comm对话框的处理方法 如下图 将model saving history 修改为None即可 关于AutoCAD 2022 丢失模板库的问题 从新从以下地址打开即可: D:\Program Files\Autodesk\AutoCAD 2022\UserDataCache\zh-cn\Template

LabVIEW步进电机的串口控制方法与实现

本文介绍了在LabVIEW环境中通过串口控制步进电机的方法,涵盖了基本的串口通信原理、硬件连接步骤、LabVIEW编程实现以及注意事项。通过这些方法,用户可以实现对步进电机的精确控制,适用于各种自动化和运动控制应用场景。 步进电机与串口通信…

python--面向对象-文件读写-异常

一、继承 定义一个类时,需要使用另外一个类的方法或属性,就可以通过继承实现 object是Python的顶级类,创建类是会自动继承,就拥有object中的方法 定义格式 # 类的定义 # 旧式类定义 一般在定义单个类时使用 class 类名:name N…