返回
sniffer窃企业机密arp检测抓内鬼

sniffer窃企业机密arp检测抓内鬼

ID:22725922

大小:63.50 KB

页数:10页

时间:2018-10-31

sniffer窃企业机密arp检测抓内鬼_第1页
sniffer窃企业机密arp检测抓内鬼_第2页
sniffer窃企业机密arp检测抓内鬼_第3页
sniffer窃企业机密arp检测抓内鬼_第4页
sniffer窃企业机密arp检测抓内鬼_第5页
资源描述:

《sniffer窃企业机密arp检测抓内鬼》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Sniffer窃企业机密ARP检测抓内鬼~教育资源库  编者按:Sniffer是网络故障的有效检测工具,但同时也是企业网络的极大威胁,必要的时候也要抓出Sniffer内鬼。  网卡混杂模式:为Sniffer窃取信息开后门  寻找Sniffer窃取者的致命弱点  ARP检测包找出混杂模式节点  软件过滤破获Sniffer窃取者  结论:不同系统采用不同的措施  在局域网中,Sniffer是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。Sniffer对安全有如此的威胁,但它可以方便的在因特网上下免费下栽并安装在PC上。但是,目前为止,还没有很好的方法来检测谁的PC安装

2、了Sniffer软件。这篇文档将讨论利用ARP包来检测那些在公司和学校局域网内Sniffing的恶意用户。  网卡混杂模式:为Sniffer窃取信息开后门  局域网通常是以太网组成的。在以太网上用的是IPV4协议,数据是明文传输的,除非用了加密软件。当用户发信息到网络上时,他只希望网络另一端的用户能接收到。不幸的是,以太网的机制给未被授权的用户提供了窃听信息的机会。  我们知道,在以太网中,信息会发送到网络中所有的节点,有些节点会接收这些信息,同时有些节点会简单的丢弃这些信息。接收或丢弃信息由网卡来控制。网卡不会接收所有发到局域网的数据包,即使它连在以太网上;相反它会过滤掉一些特定的数

3、据包。在这篇文档里,我们将称这种过滤为网卡的硬件过滤。Sniffer会被网卡设置成特定的模式,这样网卡就可以接收所有到达的数据包了,而不管它是不是这些包指定的目的地址。这种网卡的模式称为混杂模式。  Sniffer接收所有的数据包,而不是发送一些非法包。所以它不会干扰网络的正常运行,因此很难检测到这种恶意行为。虽然如此,网卡的混杂模式显然是不同于正常模式的。一个本来应该被过滤的包在这种模式下会被允许到达系统内核。是不是做出响应取决于系统内核。  寻找Sniffer窃取者的致命弱点  我们把检测混杂模式的方法用一个现实世界的例子来模拟。假设会议室里正在开会。一个窃听者用他的一只耳朵靠着会

4、议室的墙壁。当他正在窃听的时候,他会屏住呼吸,静静的听着会议室的所有对话。但是如果有人在会议里喊他的名字,MR.**?窃听者有时候会应声YES!这种类比看起来有些荒谬,但确实是应用在检测网络的SNIFFING上了。因为SINFFER接收所有的数据包,包括那些本来不是发给它的,所以它可能会对那些本来应该被网卡过滤的包错误地做出响应。所以,我们对混杂模式的检测建立在以下的基础上:向网络上所有的节点发送ARP请求包,检查是不是有ARP响应包。  为了解释这个原理,首先,我们从网卡的混杂模式和普通模式的区别开始。所有以太网卡都有6字节的硬件地址。厂商分配这些地址,而且每个地址都是唯一的。从理论

5、上说,不存在两块硬件地址一样的网卡。以太网上信息的交流是建立在硬件地址的基础上的。但是网卡为了接收不同类型的数据包,可以建立不同的过滤机制。现对网卡的各种过滤机制说明如下:  单播(UNICAST)  接收所有目标地址和网卡的硬件地址一样的包。  广播(Broadcast)  接收所有的广播包。广播包的目的地址是FFFFFFFFFFFF。这种模式是为了能收到那些希望能到达网络所有节点的包。  组播(Multicast)  接收所有预先注册好的特定组的包。只有那些预先注册的组才会被网卡接收。  所有的组播(AllMulticast)  接收所有的组播。这种模式和上层的协议有关联,这种模式

6、会接收所有组播位设为1的包。  混杂(Promiscuous)  接收所有的数据包而不管它的目的地址是什么。  上图示意了在正常模式和混杂模式下硬件过滤的操作方式。通常情况下,网卡的硬件过滤会设置成单播,广播和组播1模式。网卡只接收目的地址和它的硬件地址一样,广播地址(FF:FF:FF:FF:FF:FF)和组播地址1(01:00:5E:00:00:01)。  ARP检测包找出混杂模式节点  正如前面所陈述的,网卡设置成普通模式和混杂模式对包的过滤是不同的。当网卡被设成混杂模式后,本来被过滤的包会允许到达系统内核。利用这种机制,我们建立一种新的机制来检测混杂模式节点:如果构造一个目的地址

7、不是广播地址的ARP包,把它发送到网络的每个节点,如果发现有些节点有响应,那么这些节点工作在混杂模式。  我们简单地看一下正常的ARP请求和响应的操作方式。首先,为解析192.168.1.10产生一个ARP请求包。它的目的地址为广播地址,使网络上所有的节点能够收到。理论上,只有IP地址符合的节点才会响应。  但是,如果把ARP包的目的地址设成非广播地址呢?比如,如果把目标地址设成00-00-00-00-00-01?当网卡处于正常模式,这个包将被

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。