计算机网络安全基础-网络监听基本概念
网络监听
网络监听技术也可以用于窃听网络通信数据,类似电话窃听,通常被称为网络嗅探,属于一种攻击手段。
基本原理
通常一个网络接口只接受两种数据帧
- 与自己硬件地址相匹配的数据帧
- 发向所有机器的广播数据帧
网卡通常有4种接收模式
- 广播方式:接收网络中的广播信息
- 组播方式:接收数据组播
- 直接方式:只有目的网卡才能接收该数据
- 混杂模式:接收一切通过它的数据,而不管该数据是否是传给它的
早期使用的集线器时共享介质的工作方式
- 只要把主机网卡设为混杂模式,网络监听可以在任何接口上实现
现在的网络基本使用交换机
- 需要把执行网络监听的主机接在镜像端口上才能 监听整个交换机上的网络信息
- 镜像端口:交换机会将某个端口的流量复制到镜像端口,从而实现检测
通过网络监听实现攻击其他主机的方式有:网络嗅探攻击、ARP欺骗等
d
网络嗅探攻击
-
能够捕获密码,可以记录下明文传送的userid和password(嗅探器用于网络攻击的主要目的!)
-
能够捕获专用的或者机密的信息(金融账号、E-mail信息)
-
窥探底层的协议信息
ARP欺骗
- 当一台新主机A加入局域网时,向网关发送ARP请求,请求网关的MAC地址
- 攻击者B通过截获主机A的ARP报文,发送ARP回复报文给主机A,报文中包含网关IP地址+自身的IP地址
- 自此,当主机A要去访问外网时,数据包都会被交换机先发送给攻击者B,在由攻击者B发送给网关,实现网络监听
应对措施
加密
- 一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密。
划分VLAN
- VLAN技术可以有效隔离内网不同部门的主机,防止大部分基于网络嗅探的入侵。
dididi