黑客实施攻击-网络扫描技术( 五 )


主机工作在监听模式 , 无论数据包中的目标物理地址是什么 , 主机都将接收 。
网络监听工具嗅探器Sniffer , 软件、硬件、网络分析仪 。
①HUB和网卡工作原理
以太网等很多网络是基于总线方式 , 物理上是广播的 , 就是当一个机器发给另一个机器的数据 , 共享HUB先收到然后把它接收到的数据再发给HUB上的其他每个接口 , 所以在共享HUB所连接的同一网段的所有设备的网卡都能接收到数据 。
而对于交换机 , 其内部单片程序能够记住每个接口的MAC地址 , 能够将收到的数据直接转发到相应接口连接的计算机 , 不像共享HUB那样发给所有的接口 , 所以交换式网络环境下只有相应的设备能够接受到数据(除了广播包) 。
网卡工作在数据链路层 , 在数据链路层上数据是以帧为单位传输的 , 帧有几部分组成 , 不同的部分执行不同的功能 。其中 , 帧头包括数据的MAC地址和源MAC地址 。帧通过特定的称为网络驱动程序的软件处理进行成型 , 然后通过网卡发送到网线上 , 通过网线到达目标机器 , 在目标机器的一端执行相反的过程 。
目标机器网卡收到传输来的数据 , 认为应该接收就在接收后产生中断信号通知CPU , 认为不该接收就丢弃 , 所以不该接收的数据网卡被截断 , 计算机根本不知道 。
CPU得到中断信号产生中断 , 操作系统根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据 。网卡收到传来的数据 , 先接收数据头的目标MAC地址 。
只有目标MAC地址与本地MAC地址相同的数据包(直接模式)或者广播包(广播模式)或者组播数据(组播模式) , 网卡才接受 , 否则数据包直接被网卡抛弃 。
网卡通常有4种接收数据方式;广播方式 , 接受网络中的广播信息;组播方式 , 接受组播数据;直接方式 , 只有目的网卡才能接受该数据;混杂模式 , 接受一切通过它的数据 , 而不管该数据是否是传给它的 。网卡工作混杂模式 , 可以捕获网络上所有经过的数据帧 , 这时网卡就是嗅探器 。
②网络监听基本原理
Sniffer基本工作原理 , 让网卡接受一切所能接受的数据 。Sniffer工作过程分为三步:网卡置于混杂模式 , 捕获数据包 , 分析数据包 。
ARP协议 , IP地址到MAC地址转换 , 地址映像关系存储在ARP缓存表 。黑客攻击ARP缓存表 , 将发送给正确主机的数据包 , 由攻击者转发给其控制的另外主机 。
共享式网络环境 , 攻击者把网卡设置为混杂模式 。
交换式网络环境 , 攻击者试探交换机是否存在失败保护模式(Fail-Safe Mode);交换机维护IP地址和MAC地址映像关系需要一定时间 , 网络通信出现大量虚假MAC地址 , 某些类型交换机出现过载情况会转换到失败保护模式 , 工作模式与共享式相同 。
交换机不存在失败保护模式 , 需使用ARP欺骗 。ARP欺骗需要攻击者主机具有IP数据包的转发能力 , 拥有两块网卡 , 假设IP地址分别是192.168.0.5和192.168.0.6 , 插入交换机两个端口 , 它截获目标主机192.16.0.3和网关192.168.0.2之间的通信 , 如图4-26所示 。
主机A(192.168.0.4)通过网关(192.168.0.2)访问因特网 , 广播ARP请求 , 要求获得网关MAC地址 。
交换机收到ARP请求 , 将请求包转发给各个主机;交换机将更新MAC地址和端口之间的映射表 , 主机A绑定所连接的端口 。
网关收到ARP请求 , 发出带有网关MAC地址的ARP响应 。
网关更新ARP缓存表 , 绑定主机A的IP地址和MAC地址 。
交换机收到网关对主机A的ARP响应 , 查找它的MAC地址和端口之间映射表 , 转发ARP数据包到相应端口 。
交换机更新MAC地址和端口之间的映射表 , 即将192.168.0.2绑定连接端口 。
主机A收到ARP响应包 , 更新ARP缓存表 , 绑定网关的IP地址和MAC地址 。
主机A用新MAC地址信息把数据发送给网关 , 通信信道建立 。
在ARP欺骗的情况下 , 攻击者诱使目标主机(192.168.0.3)、网关(192.168.O.2)与其通信;攻击者伪装成路由器 , 使目标主机和网关之间所有数据通信经由攻击者主机转发 , 攻击者可对数据随意处理 。


推荐阅读