資源描述:
《網卡混雜模式的檢測.docx》由會員上傳分享,免費在線閱讀�����,更多相關內容在教育資源-天天文庫��。
1、網卡混雜模式的檢測2008-11-0510:52檢測工具:網卡混雜模式掃描器??安裝之前��,先要安裝wincap3.0以上版本promiscanversion3.0.9.1Product.Code:05P30E-melatoninTeamICUProduct.key:9F9E-1017-4F58-862E1.簡介在局域網中�,嗅探行為已經成為網絡安全的一個巨大威脅。通過網絡嗅探�,一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私�。要實現(xiàn)上述目的非常容易,惡意用戶只要從網絡上下載嗅探器并安全到自己的計算機就可以了���。然而�����,卻沒有一個很好的方法來檢測網絡
2���、上的嗅探器程序。本文將討論使用地址解析協(xié)議(AddressResolutionProtocol)報文來有效地檢測辦公網絡和校園網上的嗅探器程序�。2.網絡嗅探的原理局域網通常使用以太網進行連接。在以太網線纜上使用IP(IPV4)協(xié)議傳輸?shù)膫鬟f的信息是明文傳輸?shù)?,除非使用了加密程序進行了加密。當一個人把信息發(fā)送到網絡上�����,他會希望只有特定的用戶才能收到這些信息。但是����,非常不幸,以太網的工作機制為非驗證用戶提供了竊取這些數(shù)據的機會���。以太網在進行信息傳輸時��,會把分組送到各個網絡節(jié)點��,目的地址匹配的節(jié)點會接收這些分組�,其它的網絡節(jié)點只做簡單的丟棄操作�。而接收還
3、是丟棄這些分組由以太網卡控制���。在接收分組時�����,網卡會過濾出目的地址是自己的分組接收�,而不是照單全收��。在本文以后的部分我們將把網卡的這種過濾稱為硬件過濾(HardwareFilter)。但是這只是在正常情況下���,嗅探器使用另一種工作方式����,它把自己的網卡設置為接收所有的網絡分組���,而不管分組的目的地址是否是自己�。這種網卡模式叫作混雜模式(PromiscuousMode)����。3.檢測混雜模式的基本概念在網絡中�����,嗅探器接收所有的分組�����,而不發(fā)送任何非法分組��。它不會妨礙網絡數(shù)據的流動��,因此很難對其進行檢測。不過��,處于混雜模式(promiscuousmode)網卡的狀態(tài)
4���、很顯然和處于普通模式下不同����。在混雜模式下����,應該被硬件過濾掉的分組文會進入到系統(tǒng)的內核。是否回應這種分組完全依賴與內核���。下面我們舉一個現(xiàn)實世界中的例子����,說明我們檢測處于混雜模式網絡節(jié)點的方法����。設想一下,在一個會議室中正在舉行一個會議����。某個人把耳朵放在會議室就可以進行竊聽(嗅探^_^)。當她(還是個女的,原文如此:P)進行竊聽(嗅探)時�,會屏住呼吸,安靜地聆聽會議室內所有的發(fā)言��。然而�,如果此時會議室內有人忽然叫竊聽者的名字:“XX太太”,她就可能答應“唉”���。這聽起來有點好笑����,但是完全可以用于網絡嗅探行為的檢測��。網絡進行網絡嗅探的節(jié)點會接收網絡的所有報文
5����、�����,因此其內核可能對某些本該被硬件過濾的分組作出錯誤回應。根據這個原理����,我們可以通過檢查節(jié)點對ARP報文的響應來檢測網絡的嗅探行為。4.基礎1).硬件過濾器首先�,我們從處于混雜模式(promiscuousmode)下和普通模式下有何不同開始。以太網的地址是6個字節(jié)��,制造商為每塊網卡分配的地址在全世界是唯一的��,因此理論上沒有相同地址的網卡。在以太網上的所有通訊都是基于這種硬件地址����。不過�����,網卡可以被設置為不同的過濾模式以接收不同種類的分組���。下面就是以太網卡的過濾模式:unicast?網卡接收所有目的地址是自己的分組broadcast接收所有廣播分組,以太
6���、網廣播分組的目的地址是FFFFFFFFFFFF�����。這種廣播分組能夠到達網絡上的所有節(jié)點�。multicast接收目的地址為指定多投點遞交(multicast)組地址的分組�����。網卡只接收其地址已經預先在多投點列表中注冊的分組。allmulticast接收所有多投點遞交廣播分組���。promiscuous根本不檢查目的地址,接收網絡上所有的分組���。圖-1描述了硬件過濾器處于在正常情況下和在混雜模式下的區(qū)別。通常,網卡的硬件過濾器被設置為接收目為單投點遞交(unicast)��、廣播(broadcast)和多投點遞交(multicast)地址1的分組���。過濾器只接收目的地
7����、址為自己的地址���、廣播地址(FFFFFFFFFFFF)和多投點地址1(01005E000001)的分組���。2).ARP機制使用以太網連接的IP網絡需要依靠以太網進行傳輸����。只使用IP地址��,報文是無法發(fā)送的����。因此��,在以太網上需要一種機制來提供IP地址和硬件地址之間的轉換���。這種機制就是地址解析協(xié)議(AddressResolutionProtocol)。ARP屬于網絡層�����,和IP處于OSI模型的同一層。在IP網絡上地址解析是不斷進行的�����,所以ARP報文比較適合用來檢測處于混雜模式(promiscuousmode)的網絡節(jié)點�。在下面的例子中���,我們將講述使用ARP報文
8、是怎樣解析IP地址的:例如:網絡上一臺IP地址為192.168.1.1的PC(X)以太網地址是00-00-00-00-00
