6.1 網(wǎng)絡(luò)嗅探技術(shù)

1、山東職業(yè)學(xué)院 01共享式局域網(wǎng)監(jiān)聽(tīng)技術(shù)02交換式局域網(wǎng)監(jiān)聽(tīng)技術(shù)第 3 頁(yè)網(wǎng)絡(luò)嗅探技術(shù) 網(wǎng)絡(luò)嗅探技術(shù)（Network Sniffing）又叫網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)，是作為網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具，分為軟件嗅探器和硬件嗅探器，這是一種在他方未察覺(jué)的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。山東職業(yè)學(xué)院 01共享式局域網(wǎng)監(jiān)聽(tīng)技術(shù)第 5 頁(yè)共享式局域網(wǎng)概述 共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波檢測(cè)多路偵聽(tīng)（CSMA/CD）機(jī)制來(lái)進(jìn)行傳輸控制。 共享式局域網(wǎng)是基于廣播的方式來(lái)發(fā)送數(shù)據(jù)的，因?yàn)榧€器不能識(shí)別幀，所以它就不知道一個(gè)端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)端口，它只好把幀發(fā)送到除源端口以

2、外的所有端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都可以收到這些幀。第 6 頁(yè)共享式局域網(wǎng)的工作原理 在正常的情況下，網(wǎng)卡應(yīng)該工作在廣播模式、直接模式，一個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡）應(yīng)該只響應(yīng)以下兩種數(shù)據(jù)幀： 與自己的MAC地址相匹配的數(shù)據(jù)幀（目的地址為主機(jī)的MAC地址）。 發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀（目的地址為0 xFFFFFFFFFF）。但如果共享式局域網(wǎng)中的一臺(tái)主機(jī)的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的話，那么，對(duì)于這臺(tái)主機(jī)的網(wǎng)絡(luò)接口而言，任何在這個(gè)局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦?tīng)到的。主機(jī)的這種狀態(tài)也就是監(jiān)聽(tīng)模式。處于監(jiān)聽(tīng)模式下的主機(jī)可以監(jiān)聽(tīng)到同一個(gè)網(wǎng)段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包。山東職業(yè)學(xué)院 02交換式局域網(wǎng)監(jiān)聽(tīng)技術(shù)第

3、8 頁(yè)共享式局域網(wǎng)概述 交換式局域網(wǎng)就是用交換機(jī)或其他非廣播式交換設(shè)備組建成的局域網(wǎng)。 這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口。因?yàn)槎丝陂g的幀傳輸彼此屏蔽，因此不必?fù)?dān)心節(jié)點(diǎn)發(fā)送的幀會(huì)被發(fā)送到非目的節(jié)點(diǎn)中去。第 9 頁(yè)交換式局域網(wǎng)的監(jiān)聽(tīng)技術(shù)（1 1）溢出攻擊）溢出攻擊交換機(jī)工作時(shí)要維護(hù)一張MAC地址與端口的映射表。但是用于維護(hù)這張表的內(nèi)存是有限的。如用大量的錯(cuò)誤MAC地址的數(shù)據(jù)幀對(duì)交換機(jī)進(jìn)行攻擊，交換機(jī)就可能出現(xiàn)溢出。這時(shí)交換機(jī)就會(huì)退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽(tīng)就很容易了。（2 2）ARPARP欺騙欺騙通過(guò)ARP欺騙，改變MAC地址表里的對(duì)應(yīng)關(guān)系，攻擊者可以成為被攻擊者與交換機(jī)之間的“中間人