《网络工程技术实践》课件项目七任务一网络嗅探攻击与防范.pptx

1、1 项目七 网络协议攻击与防范项目七 网络协议攻击与防范2 项目七 网络协议攻击与防范【项目概述】某安全运维公司接到一个任务，要求对客户公司的服务器进行渗透测试。已知客户公司的局域网使用的是TCP/IP协议，有一台Windows服务器，运行有web、ftp服务，一台Linux服务器，运行有Telnet服务。请使用渗透测试技术测试公司的网络是否存在安全漏洞，并给出防范措施。【项目分析】TCP/IP协议是Internet的标准协议，该协议诞生于20世纪60年代，在制定该协议时就没有预测到攻击的发生，因此，该协议本身就存在许多漏洞。针对TCP/IP协议常见的攻击有SYN泛洪攻击、UDP泛洪攻击、TC

2、P会话支持等。另外，http、ftp、telnet、pop3等协议因为是明文传输，很容易被窃听，存在着传输信息被泄露的危险。3 项目七 网络协议攻击与防范项目主要内容：任务一 网络嗅探攻击与防范任务二 SYN泛洪攻击与防范任务三 UDP泛洪攻击与防范任务四 TCP会话劫持攻击与防范4 项目七 网络协议攻击与防范任务一 网络嗅探攻击与防范5 项目七 网络协议攻击与防范l任务描述 Windows服务器的IP地址为192.168.137.100/24，请使用网络嗅探软件对目标网络的ftp、http数据包进行嗅探攻击，尝试能否获取用户登录服务器的用户名和密码，如果能够，请给出防范嗅探攻击的措施。l任务

3、分析 网络嗅探（Network Sniffer），也叫网络监听，是黑客在局域网中常用的一种攻击技术。网络嗅探攻击利用计算机网络接口截获其他计算机的数据报文，并加以分析，从而获得一些敏感信息。网络嗅探软件原来是网络管理员使用一种工具软件，用来监视网络流量、状态和数据等信息。但在黑客手中，网络嗅探软件则变成了一个攻击工具。6 项目七 网络协议攻击与防范l1网络嗅探的原理l网络嗅探的基本原理就是让网卡接收一切所能接收的数据。l网卡工作在数据链路层。在数据链路层上，数据是以帧（Frame）为单位传输的。帧由几部分组成，其中帧头包括数据的目的MAC地址和源MAC地址。网卡驱动程序将用户要发送的数据以及源

4、MAC地址和目的MAC地址打包成帧，然后通过网卡发送到网络中。网络中的其他主机在收到该帧后，根据其目的MAC地址，判断此帧是否是发给自己的，如果目的MAC地址为自己的MAC地址，则通知CPU接收该帧，如果目的MAC地址不是自己，则丢弃该帧。这是一般网卡的工作模式。l然而，网卡还有另一种工作模式，称为“混杂”（Promiscuous）模式。此时，网卡不关心所接收到的帧的目的地址是否是自己的MAC地址，所有接收到的帧全部通知CPU接收。这就为网络嗅探提供了便利条件。7 项目七 网络协议攻击与防范l网络嗅探能够实现的另一个条件是怎样使网络中的数据全部到达嗅探者的主机。这里分两种情况来讨论。l（1）共

5、享式网络环境中。如果一个局域网络是一个共享式网络，例如使用HUB来连接的网络，那么根据共享式网络的工作原理，从一台主机发送的数据包会发往其他所有端口的主机，当然也包括嗅探者的主机。正常的计算机网卡在接收到目的MAC地址不是自己的数据包后，都会丢弃该数据包。而嗅探者的计算机的网卡处于“混杂”模式，因此，在共享式网络中，无须采取特别措施就能在一台计算机上嗅探到其他计算机上的数据。这种嗅探是被动式的，被嗅探者无法发现。如图7-1所示。8 项目七 网络协议攻击与防范图7-1 共享式网络环境中的嗅探9 项目七 网络协议攻击与防范l（2）交换网络环境中。正常情况下，使用交换机组建的网络中，交换机只会把数据

6、帧发往接收者所在的端口，因此，其他端口的主机都无法接收到数据，嗅探者也无法实现嗅探。如图7-2所示。图7-2 交换式网络环境中的数据传输10 项目七 网络协议攻击与防范l然而，攻击者可以采取一些措施使交换机把数据发往嗅探者的计算机。例如，通过MAC泛洪攻击（将在项目七的任务一中介绍），使得交换机像HUB一样工作，这样嗅探者就能够接收到其他端口发过来的数据。也可以使用ARP欺骗技术（将在项目七的任务三中介绍），使得用户主机误以为嗅探者的计算机是网关，从而在需要把数据发往网关时，将数据转发给嗅探者的计算机。11 项目七 网络协议攻击与防范l（3）交换机端口镜像。如果是合法的嗅探，嗅探者是交换机的管

7、理员，则可以在交换机上配置端口镜像，把需要嗅探的端口的数据镜像到嗅探器所在的端口。部署入侵检测系统（IDS）时，通常采用的就是端口镜像技术。l2网络嗅探工具l（1）Wireshark。Wireshark（2006年夏天之前叫Ethereal）是一款开源的网络协议分析器，可以运行在Linux和Windows上。Wireshark可以实时检测网络通信数据，也可以检测其捕获的网络通信数据快照文件；既可以通过图形界面浏览这些业的发展，也可以查看网络通信数据包中每一层的详细内容。Wireshark原本是一款网络管理软件，然而近几年被黑客利用，已成为黑客工具排行第一名。12 项目七 网络协议攻击与防范l（

8、2）Cain&Abel。Cain&Abel是著名的 Windows 平台口令破解工具。它能通过网络嗅探很容易的恢复多种口令，能使用字典破解加密的口令，暴力破解口令，录音VoIP（IP电话）谈话内容，解码编码化的口令，获取无线网络密钥，恢复缓存的口令，分析路由协议等。Cain&Abel是两个程序：Cain是图形界面主程序；Abel是后台服务程序。该工具在黑客工具排行榜中名列前茅。13 项目七 网络协议攻击与防范l任务实施l1使用Wireshark嗅探用户登录FTP服务器的用户名和密码。l此任务实施的拓扑示意图如图7-3所示。图7-3 使用wireshark嗅探用户登录FTP服务器的用户名和密码的

9、拓扑示意图14 项目七 网络协议攻击与防范l步骤1 在嗅探者的计算机上运行Wireshark软件。l步骤2 在打开的Wireshark软件中选择“Capture”菜单的“Interfaces”菜单项，如图7-4所示。图7-4 选择“Capture”菜单的“Interfaces”菜单项15 项目七 网络协议攻击与防范l步骤3 在打开的“Capture Interface”对话框中，选择嗅探所使用的网络接口设备（即网卡）。然后点击“start”按钮开始嗅探。如图7-5所示。图7-5 选择嗅探所使用的网卡16 项目七 网络协议攻击与防范l步骤4 在FTP客户端登录FTP服务器。如图7-6所示。图7-

10、6 FTP客户端登录FTP服务器17 项目七 网络协议攻击与防范l步骤5 在Wireshark中点击“停止”按钮，并开始分析数据包，如图7-7所示。图7-7 分析数据包18 项目七 网络协议攻击与防范l知识链接：Wireshark的如何使用？l不同版本的Wireshark界面略有差别，在此我们以Wireshark 1.12.4为例介绍它的使用方法。l（1）抓取数据包。选择“Capture”菜单中的“Interface”菜单项，打开“Capture Interfaces”窗口，选择此次抓取数据包所使用的网络接口设备（即网卡）。然后点击“start”按钮开始抓包，如图7-8所示，抓包结束后，单击工

11、具栏中的“stop”按钮可以停止抓包，如图7-9所示。19 项目七 网络协议攻击与防范图7-8 Wireshark开始抓包20 项目七 网络协议攻击与防范图7-9 Wireshark停止抓包21 项目七 网络协议攻击与防范l（2）分析数据包。Wireshark的数据窗口分为三部分，自上而下分别为：数据包统计窗口、协议分析窗口和具体数据窗口，如图7-10所示。数据包统计窗口每行代表一个数据包。在进行数据包分析时，在数据包统计窗口选择一个数据包，协议分析窗口将列出该数据包的所有协议，自上而下代表每一层的协议。点击其中一层的协议，在具体数据窗口将列出该协议的二进制数据。22 项目七 网络协议攻击与防

12、范图7-10 Wireshark数据包分析23 项目七 网络协议攻击与防范l（3）过滤数据。Wireshark能够捕捉网络中的所有数据包，大量的数据包反倒会影响对特定数据包的分析。因此，如果希望Wireshark只捕捉我们想要的数据包，或者想从大量的数据包中找出符合要求的数据包，则需要过滤器。lWireshark的过滤器分为捕获过滤器和显示过滤器两种。l1.捕获过滤器。在启动抓包前，设置过滤条件，可以减少捕获数据包的数量，如图7-11所示。点击“Capture”菜单的“Options”菜单项，打开“Capture Options”窗口，点击“Capture Filter”按钮选择一些简单的过滤

13、条件，或者在后边的文本框中输入条件表达式来设置过滤条件。24 项目七 网络协议攻击与防范图7-11 Wireshark设置过滤条件25 项目七 网络协议攻击与防范l捕获过滤器的条件表达式语法格式如下：lProtocol Direction Host Value Logical operations Other expressionlProtocol（协议）主要包括ether、ip、arp、rarp、icmp、tcp、udp等。lDirection（方向）主要包括src、dst、src and dst、src or dst等。lHost（主机）主要包括net、port、host、port ran

14、ge等。l如果有多个条件表达式，可以使用Logical operations（逻辑运算符）将多个表达式进行连接。Other expression代表了其它的条件表达式，其格式与前面的表达式相同。逻辑运算符主要包括not、and、or。not具有最高优先级，or和and具有相同的优先级，运算时从左至右进行。26 项目七 网络协议攻击与防范l2.显示过滤器。经过捕获过滤器过滤后的数据还是很复杂，可以使用显示过滤器进行更加细致的查找，如图7-12所示。它的功能比捕获过滤器更为强大，而且在修改过滤条件时，并不需要重新捕获一次，因为它是在已经捕获的数据对符合条件的数据进行查找。图7-12 Wiresha

15、rk的条件过滤器27 项目七 网络协议攻击与防范l显示过滤器使用起来比捕获过滤器更加方便。可以点击“Expression”按钮，打开如图7-13所示的“Filter Expression”对话框。在左侧栏中选择要过滤的数据的协议类型，中间栏中选择关系运算符，右边栏根据需要输入相应的值，即可设置过滤条件。图7-13 Wireshark的Filter Expression对话框28 项目七 网络协议攻击与防范l也可以在“Filter”后面的文本框中输入过滤表达式。显示过滤器的条件表达式语法格式如下：lProtocol.String Comparison operator Value Logical

16、 operations Other expressionlProtocol（协议）包括了OSI模型第2层至第7层大量的协议，在“Filter Expression”对话框中可以看到所支持的协议。lString（子串）是协议所支持的子类，根据协议的不同内容各不相同。在“Filter Expression”对话框中点击每一个协议左边的“+”号，可以看到其所支持的子类。lComparison operator（比较操作符）包括“=”、“!=”、“”、“=”、“=”六种比较运算符和“contains”、“matches”两种模糊比较运算符。l如果有多个条件表达式，可以使用Logical operati

17、ons（逻辑运算符）将其它表达式相连接。Other expression表示其它表达式，其格式与前面的表达式相同。逻辑运算符包括“and”和“or”两种。29 项目七 网络协议攻击与防范l如果表达式语法正确，Filter栏背景色将变为绿色，并在数据窗口显示符合过滤条件的数据包；如果表达式语法错误，Filter栏背景色将变为红色，并会弹出错误提示信息，数据窗口也不会显示对应条件的数据包。30 项目七 网络协议攻击与防范l2使用Cain&Abel嗅探用户登录Web服务器的用户名和密码。l此次任务实施的拓扑示意图如图7-14所示。图7-14 使用Cain&Abel嗅探用户登录Web服务器的用户名和密

18、码的拓扑示意图31 项目七 网络协议攻击与防范l步骤1 在嗅探者的计算机上运行Cain&Abel软件。在主窗口单击“Sniffer”选项卡，再单击下方的“Passwords”选项卡，最后单击工具栏中的“Start/Stop Sniffer”按钮，如图7-15所示。图7-15 运行Cain&Abel软件32 项目七 网络协议攻击与防范l步骤2 在客户端浏览器访问Web服务器，正常输入登录所需要的用户名和密码，如图7-16所示。图7-16 客户端浏览器访问Web服务器并输入登录的用户名和密码33 项目七 网络协议攻击与防范l步骤3 在嗅探者的Cain&Abel软件中，点击左侧树状目录中的“HTTP

19、”，其后面括号里的数字代表嗅探到了几台服务器的密码，如图7-17所示。在右侧窗口中的“Username”栏列出的是登录Web服务器的用户名，“Passowrd”栏列出的是登录Web服务器的密码，“URL”栏列出了登录的网址。34 项目七 网络协议攻击与防范图7-17 使用Cain&Abel嗅探登录Web服务器的用户名和密码35 项目七 网络协议攻击与防范l3对网络嗅探的防范l对网络嗅探防范的措施包括以下几个方面：l（1）不要使用集线器组建网络。l（2）在交换机上就防范MAC泛洪攻击。l（3）防范中间人攻击。l（4）企业服务器使用加密协议。在HTTP协议、非匿名登录的FTP协议上使用SSL协议，使用SSH协议代替Telnet协议。36 项目七 网络协议攻击与防范THANKS