在网络上窃听:嗅到数据包
数据包嗅探器是一种程序或设备,它允许监视和捕获通过网络在两台计算机之间传输的数据。这个名字来源于数据在网络上传输的方式,无论是TCP还是UDP,都是以被称为“数据包”的结构化字节块的形式传输的。
数据包嗅探器通常在非常低电平(OSI模型的第4层)处连接到网络接口。此计算机可以是工作站或在工作站之间路由网络数据的网关。嗅探器能够如何接收通过所连接的网络接口传输的每个分组的副本,而不管套接字类型,(TCP / UDP)端口号和协议。
通过在UDEMY.com上播放课程了解更多有关监视传输数据的更多信息
与网络监控工具的区别
网络监控工具通常用于测量流量,并以特定资源访问(如远程主机、本地服务等)和访问频率的形式分解数据。另一方面,包嗅探器用于访问资源之间交换的实际信息。
网络监控工具通常作为交通流路径的直接中介。在这种模式下,该工具充当代理,接收特定端口上的传入数据,然后将数据转发到预期的目的地。另一种选择是附加到特定的边缘服务器(如邮件服务器,代理服务器),并可以访问通过这些服务器流动的内容。
相比之下,网络嗅探器侵入性更小,也更透明。捕获是在硬件级别执行的,而不是在传输级别甚至是应用程序级别。
已经说过,大多数高级网络安全工具通常包含数据包嗅探的方面,以确定本地网络上的恶意代码或内容的存在。
数据包嗅探器的使用
由于其“隐身模式”能力和利用它们的历史,将普通趋势与黑客联系起来,并为不道德的目的利用它们的历史。可以使用一些建设性方式包嗅探包括:
- 监控特定协议、端口和终端系统的流量,以便进行传输时间和特定协议分析。此类数据包嗅探器通常是与特定应用程序场景的调试、测试和概要分析相关的工具。
- 监视TCP / UDP数据包内容,用于通常表示恶意代码交换的签名(例如特洛伊木马,后门和其他恶意软件)。此类数据包嗅探器通常是与安全性和保护相关的工具。
对于上述两种情况,包嗅探器以以下两种模式之一操作:
- 未经过滤的:在此模式下,捕获通过网络接口传输的每个数据包。此模式更常用于分析限于数据传输的各个数据包的情况(例如,检测恶意意图,基于批量攻击等)
- 过滤:在此模式下,仅捕获包含特定数据元素的数据包。这更常用在中断链链和合并的情况下更常用,以导出两个系统之间的应用程序/协议级通信。一个很好的例子是从多个TCP / UDP数据包重建电子邮件邮件正文。
流行的工具
- Wireshark
Wireshark(原名Ethereal)是目前最流行的开源多平台网络协议分析器。它允许检查实时的网络数据,交互式浏览捕获的数据和重建一个TCP会话的数据流。它还支持数百种协议和媒体类型。
- Ettercap
ettercap是一个套装局域网的局部攻击局域网。它具有嗅探的实时连接,内容过滤,可直通,主动和被动解剖协议(甚至加密的)。
网络拓扑和嗅探
传统上,基于集线器的网络比交换网络更容易到网络嗅探。对于源自给定机器的流量,集线器将每个数据包广播到连接到集线器的所有计算机。这允许例如机器C上的嗅探器捕获机器A和B之间的所有流量。
另一方面,交换网络直接从其发起的计算机接收数据包,然后将数据包直接发送到分配它的计算机。仍然可能发生数据包嗅探,但它仅限于流量源的机器。
现在仍然有一些技术可以破坏交换网络,允许从网络上的任意机器嗅探数据包:
- ARP欺骗
这是一种在本地网络上发送假地址解析协议(ARP)消息的技术。这会导致攻击者的MAC地址(让我们呼叫这台机器B)与目标机器的IP地址(让我们呼唤这台机器a)。因此,所有用于机器A的流量都被路由到机器B.如果机器A是本地网络的网关,有效地将网络的所有流量路由到攻击机。攻击者必须转发所有接收的数据包到网关。这确保了不受影响的正常流量流动并未受到影响,并且攻击者保持未被发现。
- MAC洪水
交换机维护MAC表,将网卡MAC地址映射到连接的物理LAN套接字。在这种类型的攻击中,大量的以太网帧被馈送到交换机,并且每个帧具有不同的源MAC地址。这导致MAC表耗尽空间。然后,交换机在“失败打开”模式下运行,并开始表现与集线器一样。此后,分组嗅探器可以开始捕获在网络上不同机器之间交换的分组。
防范报文嗅探
- 避免公共网络
公共网络,比如机场和咖啡店的网络,是最不可能采取充分措施来防止数据包被嗅探的网络。人们应该避免在这些网络上发送敏感内容,比如银行密码、个人识别码,甚至是电子邮件和社交网站的常规凭证。
- 内容加密
尽可能地,加密在公共网络上发送的数据。最常见的加密形式是SSL(或HTTPS)的HTTP。但是,并非所有网站都允许您通过HTTPS连接。在这种情况下,考虑将VPN连接打开到专用网络(例如,办公室网络)并继续浏览Web或发送电子邮件。
结论
包嗅探是一种非常强大的工具,可以监视组织网络的运行状况,并作为诊断其中问题的工具之一。话虽如此,如果落入坏人之手,这项技术可能被证明具有极大的破坏性和恶意。数据包嗅探与黑客行为有很长一段历史。网络技术的不断改进降低了许多与专用网络嗅探器相关的风险。用户在公共网络上应该采取足够的预防措施来保护他们的数据免受此类攻击。