信息安全技术(一) 网络数据的嗅探与欺骗

网络数据的嗅探与欺骗

前言

无论什么样的漏洞渗透模块，在网络中都是以数据包的形式传输的，因此如果我们能够对网络中的数据包进行分析，就可以掌握渗透的原理。 另外，很多网络攻击的方法也都是发送精心构造的数据包来完成的， 如常见的ARP欺骗。利用这种欺骗方式，黑客可以截获受害计算机与外部通信的全部数据，如受害者登录使用的用户名与密码、发送的邮件等。

1.1 使用TcpDump分析网络数据

TcpDump是一款“资深”网络工作人 员必备的工具，这款工具极为强大。在戴维·马 兰(David J.Malan)主讲的哈佛大学公开课计算机科学CS50中，他就在上课时使用 TcpDump捕获了教室中的网络流量。

和Kalilinux2中大多数软件一样，TcpDump是一款小巧的工作在纯命令行上的工具。也正由于它的体积小所以这款工具可以完美的运行在大多数路由器，防火墙以及Linux系统中。不过现在这款工具也有了可以运行在Windows操作系统上的版本。TcpDump可以即时的显示捕获到的数据包。

实战演练

1. 在Kali靶机中打开一个命令行输入“tcpdump”启动TcpDump工具:

2. 使用TcpDump来捕获网络中的数据，但不存储数据。

这里的-i用来指定TcpDump进行监听所使用的网卡，-v表示以verbose mode显示。

3. 将捕获到的的数据存储到一个文件中。

1.2 使用Wireshark进行网络分析

Wireshark是现在世界上最优秀的网络抓包软件，它也是目前世界上最为流行的网络分析软件。和TcpDump一样，这个强大的工具可以捕捉网络中的数据。相比TcpDump，Wireshark最大的优势在于赏心悦目的 GUI。目前国内外的大部分网络安全方面的专家都将Wireshark视作必必备的工具。

1. 在Kali Linux2中已经安装好了Wireshark。启动Wireshark的方法有两种：

 1）命令提示行：

2）菜单启动：

 2. Wireshark工具的环境配置

1）主机上有多块网卡，可以指定一块网卡，屏蔽其他网卡的进出流量：

打开菜单Capture(捕获) / Options(选项)，在“Capture Interfaes”窗口中选择需要的网卡

接下来会弹出如下图窗口，在这个窗口中选择需要使用的网卡，这里选择最常用的eth0。

 2）Wireshark的工作界面可以分成3个面板：

 1显示数据包列表  2显示数据包详细信息  3显示数据包原始信息。

3. Wireshark的显示过滤器使用

Wireshark 为使用者提供了两个过滤器，一个是显示过滤器，另一个是捕获过滤器。需要特别强调一点，这两个过滤器使用的是不同的过滤语法。显示过滤器较为实用，我们在使用Wireshark捕获数据包的时候， 无须事先设定任何条件，仍然是正常的捕获所有数据包，但是可以根据指定的条件将不符夺合条件的数据包过滤，只显示那些符合条件的数据包。

案例1：只显示icmp协议的数据包。

如下图，过滤器只显示icmp协议的数据包。

案例2：只显示arp协议的数据包。

案例3：只显示所有源地址IP为  192.168.137.132 （win7或XP）的数据包。 

案例4：只显示所有源端口不为80的数据包。

 1.3 使用arpspoof进行网络欺骗

1. 安装arpsoof

 2. arpspoof使用格式：

3. 伪装为网关截获所有数据

1）实验所涉及的主机

攻击者IP（kali靶机）：  192.168.137.131 

被欺骗的主机IP（XP靶机）： 192.168.137.132 

默认网关： 192.168.137.2 

2）使用arpspoof完成一次网络欺骗

 3）验证：在被欺骗的主机(XP)上查看arp表，攻击者和网关的mac地址相同

4）在攻击者主机（kali）上开启转发功能，将截获的数据包再转发出去，不影响被欺骗主机上网

在XP靶机中的浏览器访问

1.4 使用Ettercap进行网络嗅探

在早期的网络中，进行数据交换使用的设备是集线器，这时网络中的数据都是广播的。这意味着计算机能够接收到发送给其他计算机的信息。而捕获在网络中传输的数据信息的行为就称为网络嗅探。在这个时期，我们只需要将网卡更改为混杂模式即可接收到整个网络的数据。但是在现在的网络中使用的设备是交换机，这个时期我们就不能仅仅依靠将网卡改为混杂模式就监听到整个网络的数据，而是需要利用 ARP协议的漏洞。

现在我们来介绍一个集成了ARP欺骗功能的工具-Ettercap。最初的Ettercap只是被设计用来进行网络嗅探，但是随着越来越多功能的加入，现在它已经变成了一款功能极为强大的网络攻击工具，利用这款工具甚至可以完成对加密通信的监听。

实验所涉及的主机：

攻击者IP： 192.168.137.131 

被欺骗的主机IP：  192.168.137.132 

默认网关：  192.168.137.2 

1. 启动图形化Ettercap工具的方法

1）菜单栏启动

2）命令行启动

2. Ettercap工具的环境配置

1）选择中间人运行摸式（默认不勾选Bridged sniffing）

2）选择网卡类型：

本地有线网卡：eth0

无线网卡：vlan0

点击如上图右上角的√后进入此界面

3. 查看网络中可以欺骗的主机

使用菜单栏“Hosts”选项下拉菜单中的“scan for hosts”来查看

 4. 在“Hosts list”中选择目标主机

选择IP  192.168.137.2 主机（网关）作为目标1（单击Add to Target 1按钮）

选择IP  192.168.137.132 主机（被欺骗主机）作为目标2（单击Add to Target 2按钮）

5. 查看设置好的目标

6. 对目标进行ARP欺骗

7. 启动攻击

 8. 查看目标上所有连接

 如下图所示，成功进行网络嗅探。

总结：这里介绍了如何在网络中进行嗅探和欺骗，这是我认为最为有效的一种攻击方式。几乎所有的网络安全机制都是针对外部的，而极少会防御来自内部的攻击。因此在网络内部进行嗅探和欺骗的成功率极高。

在很多经典的渗透案例中也都提到了这种攻击方式，例如国内最知名的一家IT企业的安全主管就曾经提到过，他在进入到企业后做的第一件事情就是利用网络监听截获了部门领导的电子邮箱密码。另外随着现在硬件的发展，也出现了有人使用装载了树莓派的无人机进入到受保护的区域，然后连接到无线网络进行网络监听的事件。