資源描述:
《網(wǎng)卡混雜模式的檢測》由會員上傳分享�����,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1��、網(wǎng)卡混雜模式的檢測2008-11-0510:52檢測工具:網(wǎng)卡混雜模式掃描器??安裝之前��,先要安裝wincap3.0以上版本promiscanversion3.0.9.1Product.Code:05P30E-melatoninTeamICUProduct.key:9F9E-1017-4F58-862E1.簡介在局域網(wǎng)中�,嗅探行為已經(jīng)成為網(wǎng)絡(luò)安全的一個巨大威脅。通過網(wǎng)絡(luò)嗅探��,一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私���。要實現(xiàn)上述目的非常容易���,惡意用戶只要從網(wǎng)絡(luò)上下載嗅探器并安全到自己的計算機就可以了
2��、����。然而�����,卻沒有一個很好的方法來檢測網(wǎng)絡(luò)上的嗅探器程序��。本文將討論使用地址解析協(xié)議(AddressResolutionProtocol)報文來有效地檢測辦公網(wǎng)絡(luò)和校園網(wǎng)上的嗅探器程序�。2.網(wǎng)絡(luò)嗅探的原理局域網(wǎng)通常使用以太網(wǎng)進(jìn)行連接��。在以太網(wǎng)線纜上使用IP(IPV4)協(xié)議傳輸?shù)膫鬟f的信息是明文傳輸?shù)?����,除非使用了加密程序進(jìn)行了加密��。當(dāng)一個人把信息發(fā)送到網(wǎng)絡(luò)上�����,他會希望只有特定的用戶才能收到這些信息。但是��,非常不幸�,以太網(wǎng)的工作機制為非驗證用戶提供了竊取這些數(shù)據(jù)的機會。以太網(wǎng)在進(jìn)行信息傳輸時���,會把分組送到各個網(wǎng)絡(luò)節(jié)點��,
3����、目的地址匹配的節(jié)點會接收這些分組����,其它的網(wǎng)絡(luò)節(jié)點只做簡單的丟棄操作。而接收還是丟棄這些分組由以太網(wǎng)卡控制���。在接收分組時�,網(wǎng)卡會過濾出目的地址是自己的分組接收����,而不是照單全收。在本文以后的部分我們將把網(wǎng)卡的這種過濾稱為硬件過濾(HardwareFilter)����。但是這只是在正常情況下�����,嗅探器使用另一種工作方式����,它把自己的網(wǎng)卡設(shè)置為接收所有的網(wǎng)絡(luò)分組���,而不管分組的目的地址是否是自己����。這種網(wǎng)卡模式叫作混雜模式(PromiscuousMode)�����。3.檢測混雜模式的基本概念在網(wǎng)絡(luò)中��,嗅探器接收所有的分組�����,而不發(fā)送任何非法分
4���、組����。它不會妨礙網(wǎng)絡(luò)數(shù)據(jù)的流動��,因此很難對其進(jìn)行檢測�����。不過����,處于混雜模式(promiscuousmode)網(wǎng)卡的狀態(tài)很顯然和處于普通模式下不同。在混雜模式下����,應(yīng)該被硬件過濾掉的分組文會進(jìn)入到系統(tǒng)的內(nèi)核。是否回應(yīng)這種分組完全依賴與內(nèi)核��。下面我們舉一個現(xiàn)實世界中的例子����,說明我們檢測處于混雜模式網(wǎng)絡(luò)節(jié)點的方法。設(shè)想一下�,在一個會議室中正在舉行一個會議���。某個人把耳朵放在會議室就可以進(jìn)行竊聽(嗅探^_^)。當(dāng)她(還是個女的���,原文如此:P)進(jìn)行竊聽(嗅探)時�����,會屏住呼吸��,安靜地聆聽會議室內(nèi)所有的發(fā)言���。然而,如果此時會議室內(nèi)有
5����、人忽然叫竊聽者的名字:“XX太太”���,她就可能答應(yīng)“唉”�。這聽起來有點好笑�����,但是完全可以用于網(wǎng)絡(luò)嗅探行為的檢測。網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)嗅探的節(jié)點會接收網(wǎng)絡(luò)的所有報文����,因此其內(nèi)核可能對某些本該被硬件過濾的分組作出錯誤回應(yīng)。根據(jù)這個原理�,我們可以通過檢查節(jié)點對ARP報文的響應(yīng)來檢測網(wǎng)絡(luò)的嗅探行為。4.基礎(chǔ)1).硬件過濾器首先��,我們從處于混雜模式(promiscuousmode)下和普通模式下有何不同開始�。以太網(wǎng)的地址是6個字節(jié),制造商為每塊網(wǎng)卡分配的地址在全世界是唯一的����,因此理論上沒有相同地址的網(wǎng)卡。在以太網(wǎng)上的所有通訊都是基
6�����、于這種硬件地址��。不過��,網(wǎng)卡可以被設(shè)置為不同的過濾模式以接收不同種類的分組�����。下面就是以太網(wǎng)卡的過濾模式:unicast?網(wǎng)卡接收所有目的地址是自己的分組broadcast接收所有廣播分組,以太網(wǎng)廣播分組的目的地址是FFFFFFFFFFFF�����。這種廣播分組能夠到達(dá)網(wǎng)絡(luò)上的所有節(jié)點���。multicast接收目的地址為指定多投點遞交(multicast)組地址的分組���。網(wǎng)卡只接收其地址已經(jīng)預(yù)先在多投點列表中注冊的分組。allmulticast接收所有多投點遞交廣播分組�����。promiscuous根本不檢查目的地址���,接收網(wǎng)絡(luò)上所有
7����、的分組�。圖-1描述了硬件過濾器處于在正常情況下和在混雜模式下的區(qū)別��。通常�����,網(wǎng)卡的硬件過濾器被設(shè)置為接收目為單投點遞交(unicast)、廣播(broadcast)和多投點遞交(multicast)地址1的分組����。過濾器只接收目的地址為自己的地址、廣播地址(FFFFFFFFFFFF)和多投點地址1(01005E000001)的分組��。2).ARP機制使用以太網(wǎng)連接的IP網(wǎng)絡(luò)需要依靠以太網(wǎng)進(jìn)行傳輸�。只使用IP地址,報文是無法發(fā)送的��。因此�����,在以太網(wǎng)上需要一種機制來提供IP地址和硬件地址之間的轉(zhuǎn)換�����。這種機制就是地址解析協(xié)議
8����、(AddressResolutionProtocol)。ARP屬于網(wǎng)絡(luò)層,和IP處于OSI模型的同一層�。在IP網(wǎng)絡(luò)上地址解析是不斷進(jìn)行的,所以ARP報文比較適合用來檢測處于混雜模式(promiscuousmode)的網(wǎng)絡(luò)節(jié)點���。在下面的例子中��,我們將講述使用ARP報文是怎樣解析IP地址的:例如:網(wǎng)絡(luò)上一臺IP地址為192.168.1.1的PC(X)以太網(wǎng)地址是00-00-00-00-00
