什么是嗅探攻击?

什么是嗅探攻击?

作者: 涛哥     发布于「 技术分享 」 - 筱涛web之路

2020-5-30 分类: 技术分享 阅读(98)评论(0)
当前位置:首页 > 技术分享 > 正文

作者: 涛哥

全网最全的网络资源分享网站

手机扫码查看

标签:

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

介绍

在本文中,我们将讨论什么是嗅探攻击,以及如何使自己或组织免受嗅探攻击。我们还将介绍一些可用于执行嗅探和恢复信息的工具。一般而言,嗅探是指秘密调查某些内容以查找机密信息。从信息安全的角度来看,嗅探是指窃听流量或将流量路由到可以捕获,分析和监视的目标。通常执行嗅探以分析网络使用情况,对网络问题进行故障排除,监视会话以进行开发和测试。由于我们已经了解了基本的嗅探,因此让我们继续了解如何将其用于执行攻击。

 

定义嗅探攻击

还记得一些电影,法律机构和犯罪分子,他们过去经常打扰电话线路,以便听到一个人收到的电话以获取一些信息。这是嗅探攻击的完美示例。该技术可用于测试电话线并确定呼叫质量,但犯罪分子将其用于非法目的。在Internet的世界中,可以使用应用程序,网络和主机级别的硬件设备来执行嗅探。攻击者可以截获和读取任何具有纯文本信息的网络数据包。该信息可以是用户名,密码,密码,银行详细信息或对攻击者有价值的任何信息。这种攻击只是技术上等同于物理间谍。

嗅探动机:

  • 获取用户名和密码

  • 窃取银行相关/交易相关信息

  • 监视电子邮件和聊天消息

  • 身份盗窃

嗅探的类型

嗅探分为主动和被动两种。顾名思义,活动是指攻击者为了获取信息而进行的一些活动或交互。在被动状态下,攻击者只是隐藏休眠状态并获取信息。让我们首先讨论被动嗅探。

被动嗅探:

这种嗅探发生在集线器上。集线器是一种设备,它在一个端口上接收流量,然后在所有其他端口上重新传输该流量。它没有考虑到流量并不用于其他目的地。在这种情况下,如果将嗅探器设备放置在集线器上,则嗅探器可以直接捕获所有网络流量。嗅探器可以长时间不被发现坐在那里,并在网络上进行监视。由于如今这些集线器已很少使用,因此这种攻击将是一种老套的技巧。集线器被交换机所取代,这就是主动嗅探的地方。

主动嗅探:

简而言之,交换机将学习具有目的地的mac地址的CAM表。根据该表,交换机可以决定将哪个网络数据包发送到哪里。处于非活动嗅探状态时,嗅探器将使用虚假请求来充斥交换机,以使CAM表变满。CAM装满后,交换机将充当交换机并将网络流量发送到所有端口。现在,这是合法的流量,已分发到所有端口。这样,攻击者可以嗅探来自交换机的流量。

让我们讨论网络中的一些攻击实现

MAC泛洪:

用MAC地址填充交换机,以使CAM表溢出并且可以执行嗅探。

DNS缓存中毒:

更改DNS缓存记录,以便将请求重定向到恶意网站,攻击者可以在其中捕获流量。恶意网站可能是攻击者建立的具有真实外观的网站,因此受害者可以信任该网站。用户可以输入登录详细信息,并立即嗅探它们。

邪恶双胞胎攻击:

攻击者使用恶意软件来更改受害者的DNS。攻击者已经设置了一个双DNS(邪恶双),它将响应请求。这可以轻松地用于嗅探流量并将其重新路由到攻击者希望的网站。

MAC欺骗:

攻击者可以收集连接到交换机的MAC地址。嗅探设备设置有相同的MAC地址,因此,针对原始计算机的消息将传递到嗅探器计算机,因为它具有相同的MAC地址设置。

您如何识别嗅探器?

识别嗅探器的类型可能取决于攻击的复杂程度。可能长时间没有检测到嗅探器,将其隐藏在网络中。市场上有一些反嗅探器软件可以捕获入侵者,但是嗅探器可能会逃脱它,从而产生错误的安全感。嗅探器可以是安装在系统上的软件,可以插入硬件设备,可以在DNS级别嗅探器或其他网络节点,等等。实际的网络非常复杂,因此很难识别出嗅探器。由于很难识别,因此我们将讨论使嗅探到的信息对攻击者无用的方法。

容易受到嗅探攻击的协议

我们知道网络遵循分层的方法,每一层都有一个专门的任务,下一层会加总到它。到目前为止,我们还没有讨论嗅探攻击发生在什么层上。嗅探攻击根据攻击的动机在各个层次上起作用。嗅探器可以从各个层捕获PDU,但是第3层(网络)和第7层(应用程序)至关重要。在所有协议中,有些协议容易受到嗅探攻击。协议的安全版本也可用,但是如果某些系统仍在使用非安全版本,则信息泄漏的风险变得很大。让我们讨论一些容易受到嗅探攻击的协议。

1)HTTP:

超文本传输​​协议用于OSI模型的第7层。这是一个应用层协议,以纯文本形式传输信息。当存在静态网站或不需要用户输入任何信息的网站时,这很好。任何人都可以在两者之间设置一个MITM代理,并收听所有流量或修改该流量以获取个人利益。现在,当我们进入Web 2.O世界时,我们需要确保用户的交互是安全的。这是通过使用HTTP的安全版本(即HTTPS)来确保的。使用https,流量一离开第7层就被加密。

2)TELNET:

Telnet是一种客户端-服务器协议,可通过虚拟终端提供通信功能。Telnet默认情况下不加密通信。有权访问连接客户端和服务器的交换机或集线器的任何人都可以嗅探telnet通信以获取用户名和密码。SSH用作不安全telnet的替代。SSH使用加密技术对流量进行加密,并为流量提供机密性和完整性。

3)FTP:

FTP用于在客户端和服务器之间传输文件。为了进行身份验证,FTP使用了纯文本用户名和密码机制。像telnet一样,攻击者可以嗅探流量以获取凭据并访问服务器上的所有文件。FTP可以通过唱歌的SSL / TLS进行保护,也可以被称为SFTP(SSH文件传输协议)的更安全的版本代替。

4)POP:

它代表邮局协议,电子邮件客户端使用它从邮件服务器下载电子邮件。它还使用纯文本机制进行通信,因此也容易受到嗅探攻击。POP之后是POP2和POP3,它们比原始版本安全一些。

5)SNMP:

简单的网络管理协议用于与网络上的受管网络设备进行通信。SNMP使用各种消息进行通信,并使用社区字符串来执行客户端身份验证。有效的社区字符串就像以明文形式传输的密码一样。SNMP已被SNMPV2和V3取代,v3是最新和最安全的。

顶级嗅探工具

Wireshark:

开源数据包捕获器和分析器。它支持Windows,Linux等,并且是基于GUI的工具(替代Tcpdump)。它使用pcap监视和捕获来自网络接口的数据包。可以根据IP,协议和许多其他参数对数据包进行过滤。分组可以被分组或标记为基础相关性。每个数据包可以根据需要进行选择和分解。

dSniff:

它用于各种网络协议的网络分析和密码嗅探。它可以分析各种协议(FTP,Telnet,POP,rLogin,Microsoft SMB,SNMP,IMAP等)以获取信息。
Microsoft网络监视器:顾名思义,它用于捕获和分析网络。用于网络故障排除。该软件的一些功能包括分组,大量协议支持(300+),无线监控模式,碎片消息的重组等。

取消预定者:

它是一种付费工具,可用于监视和分析网络。不论设备类型(笔记本电脑,设备,电视等)如何,它都可以拦截和分析来自该子网中设备的流量。它提供了各种模块:

  • 网络分析模块:扫描连接的设备,拦截子网中的流量,TCP端口扫描器,HTTP,DNS,TCP,DHCP协议的网络分析和监视,分析VoIP呼叫等。

  • WiFi监视模块:无线电范围内的访问点详细信息,无线客户端详细信息,WiFi统计信息等。

  • SSL / TLS解密模块:支持监视和分析安全协议。

防范嗅探攻击的措施

  1. 连接到受信任的网络:您是否信任隔壁咖啡店提供的免费Wi-Fi?连接到任何公共网络都有可能会嗅探流量。攻击者利用用户缺乏的知识来选择这些公共场所。设置公共网络,然后可能会(也可能不会)监视是否有任何入侵或错误。攻击者可以嗅探该网络,也可以创建自己的名称相似的新网络,从而诱骗用户加入该网络。坐在机场的攻击者可以创建一个名为“免费机场Wi-Fi”的Wi-Fi,附近的用户可能会连接到该Wi-Fi,从而通过攻击者的嗅探器节点发送所有数据。这里的警告是,您只能连接到您信任的网络-家庭网络,办公室网络等。

  2. 加密!加密!加密!:对离开系统的所有流量进行加密。这将确保即使流量被嗅探,攻击者也将无法理解。这里要注意的一件事是,深度防御原则上的安全工作。加密数据并不意味着现在一切都安全。攻击者可能能够捕获大量数据并进行加密攻击以从中获取某些信息。使用安全协议可确保对流量进行加密并为流量提供安全性。使用https协议的网站比使用HTTP的网站更安全-如何实现?加密。

  3. 网络扫描和监视:必须对网络进行扫描,以查找可能以跨度模式设置的任何类型的入侵尝试或恶意设备,以捕获流量。网络管理员必须同时监视网络,以确保设备卫生。IT团队可以使用各种技术来确定网络中是否存在嗅探器。带宽监视是一种,监视设置为混杂模式的设备,等等。

分享到:
未经允许不得转载:

作者: 涛哥, 转载或复制请以 超链接形式 并注明出处 筱涛web之路
原文地址: 《什么是嗅探攻击?》 发布于2020-5-30

评论

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

Sitemap