网络嗅探的原理

定位

一，引言

目的:了解hack惯用的各种网络嗅探技术及其对网络安全的威胁，针对不同嗅探方法采用相应的防范对策。

要求:应具备以下知识：

网络嗅探原理。

了解流行网络协议的数据封装格式。

内容:通过理解hack惯用的网络嗅探技术以及对于WiresharkPortable等sniff工具的使用,分析hack的主要攻击手段,并学会配置测试计算机采用IPSec加密,预防网络嗅探,从而达到保护自我的目的.

主要任务:

1、描述模拟hack嗅探所在网络中的传输流量，捕获帐号、密码等敏感信息，对加密的密码进行破解攻击。

2、使用WiresharkPortable等网络工具进行嗅探。

3、使用网络数据包嗅探专家、dsniff等hack工具进行密码嗅探和破解。

4、配置测试计算机采用IPSec加密，重复上述嗅探过程，观察结果。

二,仪器设备和材料
1、每组4台PC划做一个VLAN。
2、4台PC，A号PC机用于hack攻击，B,C,D分别用于Windows文件服务器、Web服务器、FTP服务器等模拟。


三,hack攻击主要手段分析
hack除了利用漏洞扫描技术进行踩点外，还可以在条件满足的情况下，对目标主机所在网络进行嗅探，并对嗅探到的信息进行分析，从中获得所需的敏感信息，如密码等。

网络嗅探工具通常用来进行协议分析和网络监控，以便于进行故障诊断、性能分析和安全分析等，hack则用之进行安全敏感信息的监听和截取
其实,网络嗅探的原理很简单,他是一种数据链路层的技术,利用的是共享式网络传输介质.共享即意味着网络中的一台机器可以嗅探到传递给本网段中所有机器的报文.网卡存在一种特
殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将他收到的所有报文都传递给操作系统处理.这种特殊的工作模式,就称之为混杂模式.网络嗅探器通过将网卡设置为混
杂模式,并利用数据链路访问技术来实现对网络的嗅探.实现了对数据链路层的访问,我们就可以把嗅探能力扩展到任意类型的数据链路帧,而不光是IP数据报.


四,安装、使用WiresharkPortable等网络工具进行嗅探
安装、使用WiresharkPortable嗅探自己登录网络、电子邮箱等通信过程。观察所捕获的数据，从中检查敏感的数据
操作步骤:在A号PC机上安装Wireshark并运行,然后,让B号PC机以普通用户身份访问任意服务器.此时,A号PC机进入Wireshark之后选择要进行嗅探的网卡连接，点击“Start”开始嗅
探.让嗅探进行一段时间,之后,点击“Stop”停止嗅探，可以看到一个完整的DNS查询过程。起内容包括:捕获信息编号(No.),捕获信息时间(Time),源IP地址(Source),目标IP地址(Destation),
协议名称(Protecal),信息内容(Info).
点击其中为A号PC机ip地址的信息条目,则会在下方的栏目内显示该条目的具体16进制的信息.试分析器内容


五,安装、使用网络数据包嗅探专家、dsniff、Cain等hack工具进行密码嗅探和破解。
安装、使用网络数据包嗅探专家、dsniff、Cain等hack工具Cain & Abel是一个可以破解屏保、PWL密码、共享密码、缓存口令、远程共享口令等诸多密码的hack工具.
其中,Cain&Abel是两个程序,Cain是图形界面主程序,Abel是后台服务程序,由两个文件组成:Abel.exe和Abel.dll
程序配置:Cain&Abel需要配置一些参数,可从主界面中的配置对话框中完成
Sniffer嗅探表,配置Cain或APR选择网卡及启动参数等
APR欺骗表,Cain使用多线程每30秒向主机发送ARP欺骗包,这是必须的.因为远程主机会定期整理ARP缓存.当间隔设置太短时会产生大量的ARP网络流量,而设置太长时又起不到欺骗劫
持的效果.


Cain的功能:
网路调查员:用来鉴别域控制器,SQLServer,打印服务,远程访问拨入服务,Novell Servers,Apple文件服务,中断服务器等,设置能鉴别其操作系统版本.
口令破解:cain 支持多数通用的哈希算法以及基于它们的加密算法.
暴力口令破解:暴力破解就是尝试所有可能的键组合来解密,是否可行一般与口令长度以及计算机的性能有关.Cain的暴力破解器使用预定义或自定义字符集的所有可能组合来测试加密
的口令.所有可能的组合空间可用以下公式来计算:其中：L=字符集字符个数，m=最小口令长度，M=最大口令长度
字典口令破解：字典破解是以字典中的每一个可能的词作为可能的口令尝试，这种法肯能比暴力破解更有效因为用户一般选择口令范围很小。

密码分析：使用时空交换快速密码分析方法，次破解技术使用名为缤纷表，此表由一组大型的预计算好的加密口令表组成。其可以由程序“rtgen.exe”或“winrtgen.exe”产生。
WEP破解
WEP破解依赖于某些RC4算法的缺陷，通过捕获足够数量的WEP包，能快速破解64为~128位密钥
口令解码：其中包括Access数据库口令解码，Base64口令解码，星号查看，Cisco Type-7PasswordDecoder，认证管理器和口令解码，拨号口令解码，企业管理器口令解码等
Cain 的嗅探器功能：
APR欺骗：这是cain 的最主要特色，能实现交换式网络中的嗅探，并对主机间通信进行注入。APR实现ARP欺骗攻击并路由到正确目的地。
DNS欺骗：ARP-NDS欺骗只是简单改写DNS应答包中的IP地址，Cain嗅探器提取NDS请求包中的域名，并从欺骗列表中查找相应的地址，若有匹配的，数据包就被重写为相关欺骗的
IP地址，并用APR欺骗引擎重路由之，这样客户端就受到了被欺骗的DNS应答包从而有效的重定向到了预定目标IP。

HTTPS欺骗：Cain的HTTPS嗅探器工作在全双工客户端透明模式，服务器和客户端的通信被加密，且如果欺骗被激活，攻击者的IP和MAC地址绝不会暴露给受害客户端，链接本地监
听的HTTPS“接收器”接收，劫持客户端连接。OpenSSL库用来管理多个SSL通信，一个用于“客户端<->CAIN”,另一个用于“CAIN<->服务器”。
远程桌面欺骗：


六,配置IPSec安全策略
配置一台PC的IPSec安全策略为系统提供的“安全服务器（要求安全）”，另一台PC的IPSec安全策略配置为“客户端（只相应）”。在服务器上启用Telnet服务，从另一台PC登
录，嗅探此过程。