返回
交换式网络嗅探和反嗅探探究

交换式网络嗅探和反嗅探探究

ID:6060816

大小:27.00 KB

页数:5页

时间:2018-01-01

交换式网络嗅探和反嗅探探究_第1页
交换式网络嗅探和反嗅探探究_第2页
交换式网络嗅探和反嗅探探究_第3页
交换式网络嗅探和反嗅探探究_第4页
交换式网络嗅探和反嗅探探究_第5页
资源描述:

《交换式网络嗅探和反嗅探探究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、交换式网络嗅探和反嗅探探究  摘要:网络组网方式由共享型向交换型的转变,使得基于共享式网络的嗅探技术已不再适用。本文从交换式环境下实现网络嗅探的原理出发,分析了多种发起嗅探攻击的途径,并有针对性地提出了在交换环境中如何有效检测和防御嗅探攻击。关键词:网络嗅探交换机ARP欺骗中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2013)03-0070-01在共享式网络中,只要将网卡设置成混杂模式就可以实现对本网段上所有主机的嗅探。而在交换式局域网中,交换机在运行过程中可以根据某个MAC地址是在哪个端口上被发现的来建立自身的地址映射表,当一个数据包到来时时,

2、交换机会检查封包的目的MAC地址,同时核对一下自己的地映射址表,由此决定数据包该从哪个端口发送出去,从而避免了被网段上其他主机嗅探的可能。1交换式网络中嗅探的实现5(1)MAC址表溢出。交换机为了建立端到端的电路连接,就必须在内存中维护一个交换机端口与MAC地址的映射表,由于内存大小的限制,地址映射表中只能存储有限的映射表项。当交换机收到攻击者发送的大量虚假MAC地址数据时,由于其缓存空间有限,大量虚假数据会造成交换机无法进行正常的数据交换,从而回退到HUB(集线器)的工作模式,此模式下交换机会以广播方式将数据包发送到所有端口,这样就可以实现传统方式的嗅探攻击。当然,如果交

3、换机中使用静态地址映射表,就可以有效规避这种嗅探攻击。(2)ARP欺骗攻击。ARP欺骗攻击是通过向目标主机发送伪造的ARP应答,来更新目标主机ARP缓存中的IP地址与MAC地址的映射关系,从而控制网络中的数据包流向。假设网络中,A机器的IP地址为22.243.0.1,MAC地址为01-01-01-01;B机器的IP地址22.243.0.2,MAC地址为02-02-02-02;C机器的IP地址为22.243.0.3,MAC地址为03-03-03-03。C向A发送一个自己伪造的ARP应答,而这个应答中的数据的发送方IP地址是B机器的IP地址22.243.0.2,MAC地址是C的

4、地址03-03-03-03。当A接收到C伪造的ARP应答,A就会更新它自己本地的ARP缓存。现在和IP地址22.243.0.2对应的MAC地址在A的ARP缓存表上被改变成了03-03-03-03。此时,A发往B的数据就会错误地发送到C。5(3)伪造MAC地址。通过修改本机的MAC地址,使其与目标主机的MAC地址相同,这样同一个MAC地址就对应了交换机中两个端口,当有数据指向此MAC地址时,数据包将同时由这两个端口发送出去。这种方法与ARP欺骗的根本区别在于,伪造MAC地址欺骗的是交换机,而ARP欺骗是则是针对目标主机的ARP缓存,与交换机没有关系。当然如果交换机设置成静态地

5、址映射表,也可以对这种伪造MAC地址的攻击加以防范,所以实际中使用最多的还是ARP欺骗。2交换式网络中的嗅探检测(1)Ping命令监测。当怀疑某主机上运行有监听程序时,可以试着用正确的IP地址和错误的物理地址分别去Ping,如果两种情况下主机都做出响应则说明确实有监听程序在运行,因为正常的机器是不会接受错误物理地址的,但此方法依赖于系统IP堆栈,并不适用于所有系统。查找局域网中的ARP攻击源可以通过以下方法,其一,查看交换机的地址映射表来确定攻击源的MAC地址;其二,也可以反过来通过在网络中部署嗅探器工具,对ARP攻击源的MAC地址进行定位;其三,直接Ping网关IP地址,

6、然后用arp–a命令查看与网关IP地址对应的MAC地址,此MAC地址即为攻击者的真实地址。(2)观察系统响应时间。由于正常系统主机不会处理,未知物理地址的数据包,因此当向疑为被监听主机发送大量不存在的物理地址的伪造数据包时,由于监听程序会对这些数据包一样进行处理,因此使得响应时间大大延长,而正常的系统主机的回应时间则没有明显变化。5(3)监视DNS请求。监听器需要通过发送DNS反向查询要求的数据包来发现与IP地址有关的域名信息。因此,监测被检测主机产生的DNS数据流就可以判断主机是否遭到监听。所以当Ping一个伪造的主机IP地址时,如果发现该主机对此IP地址提出了反向查询的

7、DNS请求,则说明该主机有可能正在实施监听行为。3交换式网络反嗅探的方法(1)细划子网。嗅探器只能捕获当前网段上的数据,这就意味着对网段划分得越细,嗅探器能够收集的信息越少。比如,可以在交换机上设置VLAN,使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组,这是一个比较合理的数字。然后,定期采用MD5随机地对某个段进行检测,此法只适用于中小型网络。(2)对IP—MAC地址双向捆绑。通过在用户主机设置静态IP,同时在交换机上对IP—MAC地址对双向捆绑,并开启IP+MAC+密码+帐号+接入交换机PORT+

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。