科普文—明文嗅探

  • A+
所属分类:安全文章

0x01 网卡工作原理简介

以太网的标准拓扑结构为总线型拓扑。

尽管目前快速以太网使用交换机来进行网络连接和组织。

但在逻辑上,以太网仍然是总线型拓扑。


网卡的主要工作是对总线当前状态进行探测,确定是否进行数据传输;

对接收到的数据帧的物理地址(MAC)进行检查,并根据网卡驱动程序设置的接收模式判断是否接收。


如果为接收,就接受数据,同时对CPU发送中断信号,将接收到数据帧交给操作系统处理,否则丢弃。

整个过程在网卡上独立完成。


对于网卡来说,一般有一下四种接收模式:

  • 广播模式:该模式下网卡接收物理地址(MAC)为0xFFFFFF的广播帧。

  • 组播模式:该模式下网卡接收自己组内的组播数据帧。

  • 直接模式:该模式下网卡只接收目的地址是自己MAC地址的数据帧。

  • 混杂模式:该模式下网卡接收所有经过自己的数据,不管该数据是否传给它的。


一般情况下,网卡的默认配置是同时支持前三种接收模式。

如果将网卡的工作模式设为混杂模式,那么网卡将接受所有传递给它的数据包。


这也就是嗅探器的基本原理:让网卡接收一切它能接收到的数据。


0x02 网络嗅探

网络中的两台主机要进行通信,就必须遵守相应的网络协议。


常用的FTP、Telnet、HTTP、POP3协议都是进行数据的明文传输。


一旦将明文传输的数据包截获下来,很容易就知道数据包内的敏感信息(如账号,密码),截获者就可以像正常用户那样,使用提取到信息登录相应的账户。


为了防范此类攻击,现在大部分的网络应用都采用加密传输协议,将数据进行加密后再传输。

若数据包被截获,无法使用私有的密钥进行解码,截获者看到的将是一些乱码,一个信息度为0的数据是没有任何意义的。

FTP明文嗅探:

网络拓扑:

科普文—明文嗅探

环境:

  • PC1(Win2003):192.168.10.10 (管理机)

  • PC2(Win2003):192.168.10.20 、Wireshark 1.4.0rc2 、VMware 8.0(嗅探机)

  • VMPC1(Win2003):192.168.10.21 、IIS6.0 (FTP账密:test1,test123)、采用桥接模式与PC2相连(受害机)


过程:

首页在PC2上运行Wireshark,设置过滤条件:host 192.168.10.21 and tcp port 21,进行数据监听。

PC1在终端下对WMPC1进行FTP登录。

科普文—明文嗅探


很快在Wireshark就显示了此次通信的所有数据包,其中账号和密码可以轻易的看到。

科普文—明文嗅探

Telnet明文嗅探:

网络拓扑:

科普文—明文嗅探

环境:

  • PC1(Win2003):192.168.10.10 (管理机)

  • PC2(Win2003):192.168.10.20 、Wireshark 1.4.0rc2 (嗅探机)

  • PC3(Win2003):192.168.10.30 、Telnet(账密:test2,test456) (受害机)

过程:

首先对锐捷交换机进行端口镜像配置,将F0/3的数据镜像到F0/2。

  1. hostname(config)#monitor session 1 source interface fastEthernet 0/3 both

  2. hostname(config)#monitor session 1 destination interface fastEthernet 0/2


在PC2上运行Wireshark

设置过滤条件:host 192.168.10.30 and tcp port 23,进行数据监听。

PC1 Telnet登录PC3


科普文—明文嗅探


登录成功后,停止PC2上的Wireshark监听,找到返回给登录者提示信息的那个包,后面就是传输的账号和密码。科普文—明文嗅探


用户名以一个字符一个包的 形式进行传输,在接收到回车符后,返回一个提示输入密码的包,密码也是同样的方式。

科普文—明文嗅探


0x03 嗅探对策

由于嗅探器需要网卡在混杂模式下才能工作,所以可以利用一些方法将其检测出来,然后进行黑名单处理。


DNS测试,很多攻击者使用的嗅探工具都会对IP进行反向DNS解析,以希望根据域名获取更有价值的主机。

而不监听网络通讯的主机不会对数据包内的IP地址进行反向解析。

根据这个特点,向网络中发送虚假目标IP地址的数据包,然后监听是否有机器发送对虚假目标IP地址的反向DNS查询。


主机响应时间测试,向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断。

正常的主机由于网卡在硬件层面对数据帧的MAC地址进行判定,所以响应的时间应该没有太明显的变化。

而处于混杂模式的主机由于对大量的垃圾信息照单全收,所以响应时间变化量则通常会有1-4个数量级。


利用ping模式进行监测,假设怀疑的主机的MAC地址为00:30:6E:00:9B:B9,目的地址为192.168.1.1。

那么我们伪造不与局域网内任何主机MAC地址相同的00:30:6E:00:9B:BC,目的IP为192.168.1.1的ICMP数据包。

正常模式下的主机是不会对这个包进行响应。

但混杂模式下的网卡会将一切接收的数据包直接上传到上层,上层检查到数据包的IP与自己的IP相符。

于是对这个ping的包做出响应。

这样,处于监听模式下的主机就暴漏了。


本文始发于微信公众号(T00ls):科普文—明文嗅探

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: