计算机使用网络进行通信。这些网络可以位于局域网LAN上,也可以暴露于Internet。网络嗅探器是捕获通过网络传输的低级程序包数据的程序。攻击者可以分析此信息,以发现有价值的信息,例如用户ID和密码。
在本文中,我们将向您介绍用于嗅探网络的常见网络嗅探技术和工具。我们还将研究可以采取的对策,以保护通过网络传输的敏感信息。
什么是网络嗅探?
计算机通过使用IP地址在网络上广播消息进行通信。在网络上发送消息之后,具有匹配IP地址的收件人计算机将以其MAC地址作为响应。
网络嗅探是拦截通过网络发送的数据包的过程。这可以通过专用软件程序或硬件设备来完成。嗅探可以用来;
捕获敏感数据,例如登录凭据
窃听聊天消息
捕获文件已通过网络传输
以下是容易被嗅探的协议
远程登录
Rlogin
HTTP
SMTP
NNTP
流行音乐
的FTP
IMAP
如果登录信息以纯文本形式发送,则上述协议容易受到攻击

被动和主动嗅探
在讨论被动和主动嗅探之前,让我们看一下用于网络计算机的两种主要设备。集线器和交换机。
集线器通过将广播消息发送到除发送广播的端口之外的所有输出端口来工作。如果IP地址匹配,则收件人计算机将响应广播消息。这意味着使用集线器时,网络上的所有计算机都可以看到广播消息。它在OSI模型的物理层(第1层)上运行。
下图说明了集线器的工作方式。

开关的工作方式有所不同;它将IP / MAC地址映射到其上的物理端口。将广播消息发送到与收件人计算机的IP / MAC地址配置匹配的物理端口。这意味着广播消息仅由收件人计算机看到。交换机在数据链路层(第2层)和网络层(第3层)运行。
下图说明了开关的工作方式。

被动嗅探是拦截通过使用集线器的网络传输的程序包。由于它很难检测,因此称为被动嗅探。由于集线器向网络上的所有计算机发送广播消息,因此执行起来也很容易。
主动嗅探是拦截通过使用交换机的网络传输的数据包。嗅探交换链接的网络有两种主要方法,即ARP中毒和MAC泛洪。
黑客活动:嗅探网络流量
在这种实际情况下,我们将使用Wireshark嗅探通过HTTP协议传输的数据包。对于此示例,我们将使用Wireshark嗅探网络,然后登录到不使用安全通信的Web应用程序。
使用Wireshark嗅探网络
下图向您显示了完成本练习所要执行的步骤,而不会引起混淆







什么是MAC泛洪?
MAC泛洪是一种网络嗅探技术,它用伪造的MAC地址泛洪交换机MAC表。这导致交换存储器超负荷,并使其充当集线器。一旦交换机受到威胁,它将把广播消息发送到网络上的所有计算机。这样就可以嗅探网络上发送的数据包。
防止MAC泛滥的对策
嗅探对策
对网络物理媒体的限制极大地降低了安装网络嗅探器的机会
由于消息难以解密,因此在通过网络传输时对消息进行加密会大大降低其价值。
将网络更改为安全外壳(SSH)网络还可以减少嗅探网络的机会。
摘要