国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　關(guān)于嗅探與ARP棍騙的道理，收集上有良多很好的帖子和文章，但大年夜部門都忽視了數(shù)據(jù)在收集中的轉(zhuǎn)發(fā)過(guò)程。實(shí)際上用嗅探和ARP棍騙來(lái)做標(biāo)題問(wèn)題有點(diǎn)忽悠的成分，因?yàn)樾崽奖旧砭桶酥鲃?dòng)嗅探和被動(dòng)嗅探，而ARP棍騙又是一個(gè)伶仃的手藝，棍騙的目標(biāo)只是讓數(shù)據(jù)顛末本機(jī)，即：主動(dòng)嗅探=ARP棍騙+抓包。在體味嗅探和ARP棍騙道理之前，我們必需對(duì)數(shù)據(jù)包在各類(互換收集、共享收集等)收集環(huán)境中的傳輸過(guò)程，筆者在這邊也只針對(duì)互換收集和共享收集進(jìn)行切磋。

　　若未加申明，文章中的三層指的是收集層，二層指的是數(shù)據(jù)鏈路層。

　　一.數(shù)據(jù)在收集中的轉(zhuǎn)發(fā)過(guò)程：

　　1.數(shù)據(jù)在互換收集中的傳輸過(guò)程以下圖(PC1發(fā)包給PC2)

　　注:此圖是以公網(wǎng)收集為根本，假定PC為內(nèi)網(wǎng)或加進(jìn)私有收集則在出口要考慮NAT等環(huán)境

　　a)PC1發(fā)現(xiàn)方針I(yè)P110.1.1.2(收集號(hào)110.1.1.0)與本機(jī)不在同網(wǎng)段(掩碼為24位，所以本機(jī)收集號(hào)為1.1.1.0)，是以PC1會(huì)將數(shù)據(jù)包丟給網(wǎng)關(guān)，為了數(shù)據(jù)報(bào)文可以或許達(dá)到網(wǎng)關(guān)，PC1封裝的報(bào)文里頭會(huì)以網(wǎng)關(guān)的MAC作為目標(biāo)MAC(收集數(shù)據(jù)傳輸，原目標(biāo)IP不變，原目標(biāo)MAC經(jīng)由過(guò)程三層收集時(shí)會(huì)不竭改變)。

　　b)數(shù)據(jù)報(bào)文達(dá)到二層互換機(jī)(這里只觸及二層互換，假定是三層互換機(jī)并設(shè)置了端口IP，則會(huì)有所不合)后，因?yàn)槎踊Q機(jī)拆解數(shù)據(jù)報(bào)文時(shí)只拆解到二層(只拆解到原目標(biāo)MAC),底子看不懂IP，所以會(huì)查找MAC-接口映照表(所謂的成立虛擬鏈路)，發(fā)現(xiàn)網(wǎng)關(guān)MAC對(duì)應(yīng)的是E5口，則將數(shù)據(jù)包從E5口丟出往。

　　c)路由器R1收到數(shù)據(jù)報(bào)文后查看原目標(biāo)IP(路由器屬于三層設(shè)備，拆解數(shù)據(jù)包到IP層)，查看數(shù)據(jù)包的目標(biāo)IP為110.1.1.1，進(jìn)而查找路由表，發(fā)現(xiàn)數(shù)據(jù)要達(dá)到目標(biāo)收集，數(shù)據(jù)包必需往下一跳218.1.1.2發(fā)送，是以路由器對(duì)數(shù)據(jù)包進(jìn)行重封裝，查看ARP表，原、目標(biāo)IP保持不變，將原MAC點(diǎn)竄成R1出接口(連接到R2的阿誰(shuí)端口)的MAC地址，目標(biāo)MAC改成R2的進(jìn)接口(R2接R1的接口MAC地址)，接下來(lái)和二層傳輸一樣，將數(shù)據(jù)包丟給R2。

　　d)R2收到數(shù)據(jù)包后與R1做的把持一樣，直到數(shù)據(jù)報(bào)文達(dá)到方針。按照之前的步調(diào)可以推出數(shù)據(jù)報(bào)文達(dá)到方針后，原IP、目標(biāo)IP不變，原MAC為R2接PC2的接口MAC、目標(biāo)MAC為PC2的MAC。PC2發(fā)現(xiàn)數(shù)據(jù)報(bào)文的目標(biāo)IP和目標(biāo)MAC與本機(jī)符合(非報(bào)復(fù)打擊者)，從而拆解數(shù)據(jù)包，獲得數(shù)據(jù)報(bào)文內(nèi)容。答復(fù)報(bào)文的時(shí)辰和之前的傳輸一樣。

　　二.數(shù)據(jù)在共享收集中的傳輸圖(PC1發(fā)包給PC2)

　　數(shù)據(jù)報(bào)文在共享收集中的傳輸和互換收集獨(dú)一的不合在于第二個(gè)步調(diào)，互換收集中互換機(jī)緣按照MAC-端口對(duì)應(yīng)表進(jìn)行傳輸，也就是說(shuō)除網(wǎng)關(guān)(以圖為例)，其他同互換機(jī)下的PC機(jī)沒(méi)法收到數(shù)據(jù)報(bào)文(沒(méi)呈現(xiàn)報(bào)復(fù)打擊的環(huán)境下)。而在共享收集中，因?yàn)镠UB屬于一層設(shè)備，對(duì)達(dá)到本身的數(shù)據(jù)報(bào)文，HUB會(huì)對(duì)報(bào)文進(jìn)行廣播(除收到報(bào)文的阿誰(shuí)接口)，是以接在同HUB的所有PC都能收到該報(bào)文。注：凡是環(huán)境下，網(wǎng)卡都是工作在非稠濁模式，也就是說(shuō)即便收到數(shù)據(jù)報(bào)文，網(wǎng)卡會(huì)鑒定目標(biāo)MAC是不是和本身的一樣，不一樣的話代表數(shù)據(jù)包不是給本身的，是以會(huì)丟棄，只領(lǐng)受那些目標(biāo)MAC和本身一樣的數(shù)據(jù)報(bào)文。在嗅探時(shí)必需開(kāi)啟稠濁模式，在該模式下，網(wǎng)卡不合弊端數(shù)據(jù)報(bào)文進(jìn)行鑒定，一鍋端!二.ARP棍騙：1.棍騙過(guò)程及道理從上面的數(shù)據(jù)報(bào)文傳輸過(guò)程可以知道二層傳輸是經(jīng)由過(guò)程MAC進(jìn)行傳輸?shù)?，在傳輸過(guò)程中PC需要查詢ARP表。是以報(bào)復(fù)打擊者只要可以改變方針的ARP表就可以實(shí)現(xiàn)報(bào)復(fù)打擊,從而將數(shù)據(jù)牽引到本身的機(jī)械上，如圖

　　a)在正常環(huán)境下，PC1經(jīng)由過(guò)程本地ARP表知道網(wǎng)關(guān)1.1.1.2的MAC地址為1.1.1.10260.8c01.1111，所以PC1封裝包的時(shí)辰會(huì)將目標(biāo)MAC設(shè)置成路由器的MAC地址?；Q機(jī)經(jīng)由過(guò)程MAC-端口對(duì)應(yīng)表可以或許正常的將數(shù)據(jù)報(bào)文從E1口轉(zhuǎn)發(fā)給路由器，實(shí)現(xiàn)數(shù)據(jù)傳輸。

　　b)黑客對(duì)PC2有完全的節(jié)制權(quán)，經(jīng)由過(guò)程不竭發(fā)送(假充的)ARP報(bào)文奉告PC1，本身才是1.1.1.1對(duì)應(yīng)的MAC是0260.8c01.1113。

　　c)PC1收到黑客發(fā)的ARP報(bào)文后，刷新本身的ARP表，將1.1.1.1的MAC誤覺(jué)得是0260.8c01.1113。

　　d)PC1將要拜候外網(wǎng)數(shù)據(jù)報(bào)文的目標(biāo)MAC設(shè)置成0260.8c01.1113(PC2的MAC,目測(cè)PC1被本身的ARP表給騙了)。

　　e)互換機(jī)經(jīng)由過(guò)程拆解包發(fā)現(xiàn)目標(biāo)MAC對(duì)應(yīng)的端口為E4(PC2的阿誰(shuí)接口，連鎖反應(yīng)了!)，就將數(shù)據(jù)報(bào)文從E4口丟出。

　　f)PC2成功獲得PC1發(fā)往外網(wǎng)的要求報(bào)文。偷看后從頭封包，原IP、目標(biāo)IP不改變，將原MAC改成PC2的MAC，目標(biāo)MAC改成網(wǎng)關(guān)的(數(shù)據(jù)包恢復(fù)正常，看起來(lái)和沒(méi)報(bào)復(fù)打擊時(shí)PC1發(fā)出的報(bào)文完全一樣)，PC2點(diǎn)竄完后將數(shù)據(jù)包丟給互換機(jī)，從而棍騙實(shí)現(xiàn)，當(dāng)然對(duì)該包的回應(yīng)報(bào)文，因?yàn)槁酚善鰽RP表沒(méi)被污染，所以可以或許正常的將返回報(bào)文直接丟給PC1。

　　2.若何選擇棍騙標(biāo)的目標(biāo) 在棍騙過(guò)程中，選擇準(zhǔn)確的棍騙標(biāo)的目標(biāo)也是很首要的，經(jīng)由過(guò)程瀏覽我們可以看到上面的棍騙標(biāo)的目標(biāo)是PC1網(wǎng)關(guān)。那么我們?nèi)艉慰隙?zhǔn)確的棍騙標(biāo)的目標(biāo)呢?

　　a) 員工工作收集，我們知道正常要求報(bào)文里面含有大年夜量的敏感信息，如網(wǎng)站治理后臺(tái)賬戶暗碼等。而要求包的走向是員工PC網(wǎng)關(guān)，假定黑客節(jié)制的電腦與員工內(nèi)部統(tǒng)一網(wǎng)段，那么正常環(huán)境下黑客會(huì)棍騙員工的PC機(jī)本身是網(wǎng)關(guān)，從而截獲要求報(bào)文

　　b)辦事器收集，而在機(jī)房(辦事器收集)中，治理員一般會(huì)在外部進(jìn)行拜候，即要求報(bào)文是由網(wǎng)關(guān)轉(zhuǎn)發(fā)給辦事器，也就是說(shuō)要求報(bào)文的走向是網(wǎng)關(guān)辦事器，假定黑客節(jié)制的是機(jī)房里的一臺(tái)辦事器，為了截獲到要求報(bào)文中的辦事器登錄暗碼等敏感信息，報(bào)復(fù)打擊者一般會(huì)對(duì)網(wǎng)關(guān)倡議棍騙，奉告網(wǎng)關(guān)本身是某臺(tái)或某些辦事器。

　　c) 實(shí)際上不管在員工收集或機(jī)房?jī)?nèi)部收集，黑客比較習(xí)慣與進(jìn)行雙向棍騙，一方面奉告網(wǎng)關(guān)本身是某些終端，另外一方面奉告同網(wǎng)段的其他終端本身是網(wǎng)關(guān)，可是該編制會(huì)產(chǎn)生大年夜量的垃圾信息，因?yàn)樵诨貞?yīng)報(bào)文中根基上不會(huì)攜帶敏感的信息。

　　3. ARP棍騙的瓶頸為了獲得更多的敏感信息，良多人會(huì)利用雙向+批量的棍騙編制，一方面奉告網(wǎng)關(guān)本身的MAC對(duì)應(yīng)的IP是網(wǎng)段內(nèi)所有的IP(如許不管數(shù)據(jù)報(bào)文是給哪臺(tái)機(jī)子的，只如果發(fā)送給同網(wǎng)段機(jī)械網(wǎng)關(guān)城市轉(zhuǎn)發(fā)給報(bào)復(fù)打擊者);另外一方面棍騙所有同網(wǎng)段終端本身是網(wǎng)關(guān)(實(shí)際上棍騙同網(wǎng)段所有的終端比較等閑，直接將ARP包的目標(biāo)mac設(shè)置成FFFFFFFFF就好了)，從而所有終端發(fā)出的報(bào)文城市顛末報(bào)復(fù)打擊者的機(jī)械?？墒羌俣ㄟ@模樣做，報(bào)復(fù)打擊者節(jié)制的機(jī)械直接承載了全部網(wǎng)段的數(shù)據(jù)流量，要對(duì)全部網(wǎng)段的數(shù)據(jù)進(jìn)行措置，重封裝、再轉(zhuǎn)發(fā)，這在辦事器的機(jī)能和建設(shè)上要求可不是一般的尖刻，所以選擇好棍騙對(duì)象和標(biāo)的目標(biāo)顯得很是首要。

　　三.嗅探和ARP棍騙的辨別

　　a) 嗅探一般存在于共享收集中，在共享收集中一般利用HUB作為接進(jìn)層，顛末HUB的數(shù)據(jù)報(bào)文不管長(zhǎng)得甚么樣，因?yàn)镠UB工作在第一層，看不懂二層以上的報(bào)文是啥模樣的，所以一概以廣播措置，在統(tǒng)一網(wǎng)段的計(jì)較機(jī)只要將網(wǎng)卡設(shè)置成稠濁模式便可。

　　b) 嗅探在互換收集中不合用，因?yàn)榛Q機(jī)是經(jīng)由過(guò)程MAC-端口對(duì)應(yīng)表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的，所以在互換收集中假定只將網(wǎng)卡設(shè)置成稠濁模式，而不進(jìn)行ARP棍騙，其成果只能接管到收集中的廣播包。

　　c) 共享收集中合用ARP棍騙，那是弄巧成拙，合用ARP棍騙的編制會(huì)對(duì)影響收集流量，對(duì)收集造成很大年夜的影響，別的合用ARP棍騙會(huì)產(chǎn)生大年夜量的ARP報(bào)文，很等閑被發(fā)現(xiàn)。而嗅探對(duì)全部收集幾近沒(méi)有影響，因?yàn)樾崽街皇亲霰O(jiān)聽(tīng)，而不會(huì)產(chǎn)生多余的數(shù)據(jù)報(bào)文。

　　四.加密是不是安然

　　良多人說(shuō)利用HTTPS或VPN等手段便可以避免嗅探或ARP棍騙，這是不周全的。具體要看甚么收集及甚么手藝。下面筆者針對(duì)HTTPS和VPN在共享、互換收集中進(jìn)行切磋。

　　1. 共享收集+嗅探

　　a) 在共享收集利用HTTPS確切可以很好的解決數(shù)據(jù)被盜取的標(biāo)題問(wèn)題(當(dāng)然小我證書泄漏除外)，因?yàn)楸O(jiān)聽(tīng)的機(jī)械沒(méi)有證書也就沒(méi)法進(jìn)行解密。

　　b) 在共享收集中利用VPN手藝不必然可以或許避免，部門VPN手藝只是在原本的數(shù)據(jù)報(bào)文多加一個(gè)IP報(bào)頭，對(duì)數(shù)據(jù)內(nèi)容本身未做加密，報(bào)復(fù)打擊者利用監(jiān)聽(tīng)手藝獲得該類數(shù)據(jù)仍是能正常獲得報(bào)文的內(nèi)容的

　　2. 互換收集+ARP嗅探從道理上講，該類型的報(bào)復(fù)打擊屬于中間人報(bào)復(fù)打擊，可以捏造任何證書，是以對(duì)HTTPS等來(lái)講，報(bào)復(fù)打擊者只要偷梁換柱，捏造證書便可以成功獲得數(shù)據(jù)的明文信息。但對(duì)部門利用秘鑰不經(jīng)由過(guò)程公網(wǎng)傳輸?shù)暮驼?例如利用publikey驗(yàn)證的SSH,KEY不經(jīng)由過(guò)程收集傳輸)就沒(méi)法截取明文信息，也沒(méi)法捏造。

　　3. 共享收集+ARP棍騙該類型報(bào)復(fù)打擊和第2中報(bào)復(fù)打擊沒(méi)啥兩樣，就不做具體味商了五.若何避免ARP棍騙及嗅探。實(shí)際上彀上已有良多種解決方案了，但在這邊仍是小提一下簡(jiǎn)單的避免編制。第四點(diǎn)也有提到了一部門。在互換收集中一般利用雙向綁定便可以解決ARP棍騙的標(biāo)題問(wèn)題了，有些牛人說(shuō)可以直接捏造MAC棍騙互換機(jī)，這也是一種繞過(guò)編制，但實(shí)際上這類編制可行性不高，當(dāng)然有時(shí)辰確切可以或許截獲到數(shù)據(jù)報(bào)文，但會(huì)時(shí)互換機(jī)的MAC-端口對(duì)應(yīng)表產(chǎn)生混亂，別的報(bào)文若發(fā)給你就不會(huì)發(fā)給方針辦事器，會(huì)產(chǎn)生拒盡辦事報(bào)復(fù)打擊。在共享收集中利用雙向綁定理論上是沒(méi)結(jié)果的，因?yàn)橹灰嵞〩UB的數(shù)據(jù)城市進(jìn)行廣播，即便綁定，所有終端也會(huì)收到數(shù)據(jù)報(bào)文。Hub不像二層互換，有MAC-端口對(duì)應(yīng)表。當(dāng)然對(duì)嗅探和ARP報(bào)復(fù)打擊的道理、操縱和防御不止文中提到的這些，文章只是筆者的一點(diǎn)心得體味，僅供參考。說(shuō)這么多，實(shí)際上要進(jìn)行ARP報(bào)復(fù)打擊的話，一個(gè)cain、一個(gè)sniffer、一個(gè)ettercap便可以完全弄定了。