计算机网络安全基础-网络监听基本概念

网络监听

网络监听技术也可以用于窃听网络通信数据，类似电话窃听，通常被称为网络嗅探，属于一种攻击手段。

基本原理

通常一个网络接口只接受两种数据帧

• 与自己硬件地址相匹配的数据帧
• 发向所有机器的广播数据帧

网卡通常有4种接收模式

• 广播方式：接收网络中的广播信息
• 组播方式：接收数据组播
• 直接方式：只有目的网卡才能接收该数据
• 混杂模式：接收一切通过它的数据，而不管该数据是否是传给它的

早期使用的集线器时共享介质的工作方式

• 只要把主机网卡设为混杂模式，网络监听可以在任何接口上实现

现在的网络基本使用交换机

• 需要把执行网络监听的主机接在镜像端口上才能 监听整个交换机上的网络信息
  • 镜像端口：交换机会将某个端口的流量复制到镜像端口，从而实现检测

通过网络监听实现攻击其他主机的方式有：网络嗅探攻击、ARP欺骗等
d

网络嗅探攻击

• 能够捕获密码，可以记录下明文传送的userid和password（嗅探器用于网络攻击的主要目的！）

• 能够捕获专用的或者机密的信息（金融账号、E-mail信息）

• 窥探底层的协议信息

ARP欺骗

• 当一台新主机A加入局域网时，向网关发送ARP请求，请求网关的MAC地址
• 攻击者B通过截获主机A的ARP报文，发送ARP回复报文给主机A，报文中包含网关IP地址+自身的IP地址
• 自此，当主机A要去访问外网时，数据包都会被交换机先发送给攻击者B，在由攻击者B发送给网关，实现网络监听

应对措施

加密

• 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密。

划分VLAN

• VLAN技术可以有效隔离内网不同部门的主机，防止大部分基于网络嗅探的入侵。