深度剖析WinPcap之(二)――网络分析与嗅探的基础知识(5)

1.3.6  交换机欺骗

正如前面所提及的,在一个网络上使用交换机使得嗅探更困难。从理论上而言,连接到交换机的计算机应该只看见发给自己的网络流量,然而存在一些技术可绕过该技术限定。下面列举了攻溃交换机防守的几种方式:
Ø 交换洪泛(Switch Flooding
一些交换机可以像一个集线器的方式运行,所有的数据包被广播给所有的计算机。这可以通过大量的假MAC地址使交换机地址表溢出来完成,这样移出所有安全防备。
通过一个叫macof的程序可产生Dsniff数据包,该程序被设计用来使交换机MAC地址洪泛。可以从www.monkey.org/~dugsong/dsniff下载该程序。
Ø ARP 重定向(ARP Redirect)  
当一台计算机需要其它计算机的MAC地址,它发送一个地址解析协议(ARP)请求。每台计算机也维护一个ARP表来存储与之会话的计算机的MAC地址。
ARP 在一个交换机上广播,因此,所有在该交换机上的计算机都能看到该请求与回应。这儿有几种方法使用ARP来欺骗一个交换机发送网络流量给它不应该发送的地方。
首先,一个入侵者通过发送一个ARP声明能够搅乱一个交换机,使得入侵者扮演其它的角色。一个入侵者也能发送一个ARP声明,把入侵者的计算机作为一个路由器,在这种情况下,计算机将试图发送它们的数据包通过入侵者的计算机。或者,一个入侵者将仅给一个受害者发送一个ARP请求,声明自己为路由器,这样,受害者开始推进数据包给入侵者。
Ø ICMP 重定向(ICMP Redirect) 
一些时候计算机在同一个物理网段与交换机上,但是在不同的逻辑网段上。这意味着它们在不同的IP子网中。当计算机A想给计算机B会话时,它通过一个路由器发送它的请求。路由器知道它们在同一个物理网段上,因此它发送一个ICMP重定向给计算机A,使它知道可以直接发送数据包给计算机B。一个入侵者(计算机X)能发送一个假的ICMP重定向给计算机A,告诉它把发送给计算机B的数据包发给计算机X
Ø ICMP 路由广告(ICMP Router Advertisements)
这些广告告诉计算机使用哪一个路由器。入侵者发送一个广告声明,它就是那个路由器,从此计算机开始通过该入侵者推进所有的数据包。
Ø MAC 地址欺骗(MAC Address Spoofing) 
一个入侵者利用伪装计算机的MAC地址,能够伪装成使用一台不同的计算机。发送带有受害者源地址的数据包来欺骗交换机。交换机把该欺骗信息放进它的地址表中,并开始发送数据包给入侵者。但是受害者仍在交换机上,怎样处理发送的更新将会导致交换机把地址表改回来?这可以通过采用一些拒绝服务(DoS)类型的攻击使受害者离线,接着重定向交换机并继续通信。
一些交换机具有允许静态赋予每个端口一个MAC地址的防范措施。如果网络规模很大,这可能难以管理,但是这将减少MAC欺骗。其它交换机的配置,允许一个端口锁定它所遇到的第一个MAC,并在物理端口访问受限的环境中,提出一个在可维护性与安全性之间强制性的平衡。
为了在LinuxSolaris上欺骗你计算机的MAC地址,使用下列的ifconfig命令即可:
ifconfig eth0 down
ifconfig eth0 hw ether 00:02:b3:00:00:AA
ifconfig eth0 up
 
通过广播ping命令向各主机登记该MAC地址:
ping -c 1 –b 192.168.1.255.
 
现在你可以嗅探所有道拥有该MAC地址的计算机的网络流量。
Ø 重新配置交换机的端口映射
正如前面所提及的,交换机端口能被配置成为查看到其它端口的网络流量。一个入侵者能够通过Telnet或一些其它默认的后门连接到交换机来实现。一个入侵者也能够使用简单网络管理协议(SNMP),如果它是没有受保护的。
Ø 网线探针
正如前面所提及的,网线探针能够用来实现网线的物理窥探。在一个交换机的上行网线上布下探针可以显示所有出入交换机的网络流量。

你可能感兴趣的:(基础,深度,知识,winpcap,网络分析)