返回
网卡混杂模式的检测

网卡混杂模式的检测

ID:9951474

大小:82.49 KB

页数:8页

时间:2018-05-16

网卡混杂模式的检测_第1页
网卡混杂模式的检测_第2页
网卡混杂模式的检测_第3页
网卡混杂模式的检测_第4页
网卡混杂模式的检测_第5页
资源描述:

《网卡混杂模式的检测》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网卡混杂模式的检测2008-11-0510:52检测工具:网卡混杂模式扫描器  安装之前,先要安装wincap3.0以上版本promiscanversion3.0.9.1Product.Code:05P30E-melatoninTeamICUProduct.key:9F9E-1017-4F58-862E1.简介在局域网中,嗅探行为已经成为网络安全的一个巨大威胁。通过网络嗅探,一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易,恶意用户只要从网络上下载嗅探器并安全到自己的计算机就可以了

2、。然而,却没有一个很好的方法来检测网络上的嗅探器程序。本文将讨论使用地址解析协议(AddressResolutionProtocol)报文来有效地检测办公网络和校园网上的嗅探器程序。2.网络嗅探的原理局域网通常使用以太网进行连接。在以太网线缆上使用IP(IPV4)协议传输的传递的信息是明文传输的,除非使用了加密程序进行了加密。当一个人把信息发送到网络上,他会希望只有特定的用户才能收到这些信息。但是,非常不幸,以太网的工作机制为非验证用户提供了窃取这些数据的机会。以太网在进行信息传输时,会把分组送到各个网络节点,

3、目的地址匹配的节点会接收这些分组,其它的网络节点只做简单的丢弃操作。而接收还是丢弃这些分组由以太网卡控制。在接收分组时,网卡会过滤出目的地址是自己的分组接收,而不是照单全收。在本文以后的部分我们将把网卡的这种过滤称为硬件过滤(HardwareFilter)。但是这只是在正常情况下,嗅探器使用另一种工作方式,它把自己的网卡设置为接收所有的网络分组,而不管分组的目的地址是否是自己。这种网卡模式叫作混杂模式(PromiscuousMode)。3.检测混杂模式的基本概念在网络中,嗅探器接收所有的分组,而不发送任何非法分

4、组。它不会妨碍网络数据的流动,因此很难对其进行检测。不过,处于混杂模式(promiscuousmode)网卡的状态很显然和处于普通模式下不同。在混杂模式下,应该被硬件过滤掉的分组文会进入到系统的内核。是否回应这种分组完全依赖与内核。下面我们举一个现实世界中的例子,说明我们检测处于混杂模式网络节点的方法。设想一下,在一个会议室中正在举行一个会议。某个人把耳朵放在会议室就可以进行窃听(嗅探^_^)。当她(还是个女的,原文如此:P)进行窃听(嗅探)时,会屏住呼吸,安静地聆听会议室内所有的发言。然而,如果此时会议室内有

5、人忽然叫窃听者的名字:“XX太太”,她就可能答应“唉”。这听起来有点好笑,但是完全可以用于网络嗅探行为的检测。网络进行网络嗅探的节点会接收网络的所有报文,因此其内核可能对某些本该被硬件过滤的分组作出错误回应。根据这个原理,我们可以通过检查节点对ARP报文的响应来检测网络的嗅探行为。4.基础1).硬件过滤器首先,我们从处于混杂模式(promiscuousmode)下和普通模式下有何不同开始。以太网的地址是6个字节,制造商为每块网卡分配的地址在全世界是唯一的,因此理论上没有相同地址的网卡。在以太网上的所有通讯都是基

6、于这种硬件地址。不过,网卡可以被设置为不同的过滤模式以接收不同种类的分组。下面就是以太网卡的过滤模式:unicast 网卡接收所有目的地址是自己的分组broadcast接收所有广播分组,以太网广播分组的目的地址是FFFFFFFFFFFF。这种广播分组能够到达网络上的所有节点。multicast接收目的地址为指定多投点递交(multicast)组地址的分组。网卡只接收其地址已经预先在多投点列表中注册的分组。allmulticast接收所有多投点递交广播分组。promiscuous根本不检查目的地址,接收网络上所有

7、的分组。图-1描述了硬件过滤器处于在正常情况下和在混杂模式下的区别。通常,网卡的硬件过滤器被设置为接收目为单投点递交(unicast)、广播(broadcast)和多投点递交(multicast)地址1的分组。过滤器只接收目的地址为自己的地址、广播地址(FFFFFFFFFFFF)和多投点地址1(01005E000001)的分组。2).ARP机制使用以太网连接的IP网络需要依靠以太网进行传输。只使用IP地址,报文是无法发送的。因此,在以太网上需要一种机制来提供IP地址和硬件地址之间的转换。这种机制就是地址解析协议

8、(AddressResolutionProtocol)。ARP属于网络层,和IP处于OSI模型的同一层。在IP网络上地址解析是不断进行的,所以ARP报文比较适合用来检测处于混杂模式(promiscuousmode)的网络节点。在下面的例子中,我们将讲述使用ARP报文是怎样解析IP地址的:例如:网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。