小符的CEH考证之路捌 - 嗅探

muscleBigger
412 阅读8分钟

CEH - 职业道德黑客关于 嗅探Sniffing

通过嗅探,您可以监控受保护或不受保护的各种流量。嗅探是通过在网络接口上启用混杂模式promiscuous mode来扫描和监控捕获的数据(如 DNS 流量、Web 流量等)的过程。攻击者可以从中泄露信息,例如用户名和密码。同一局域网内的任何人都可以嗅探数据包。

Working of Sniffers嗅探者的工作

在嗅探过程中,攻击者连接到目标网络开始嗅探。嗅探器将网络接口卡 (NIC) 变成混杂模式promiscuous mode。混杂模式是一种接口模式,在这种模式下,NIC 会响应它接收到的每个数据包。攻击者解密数据包以提取信息。交换机维护其 MAC 表以验证连接的主机,攻击者使用端口镜像Port Mirroring、交换端口分析器 (SPAN) 和许多其他技术更改此表复制给攻击者的所有数据包。 注释:Switch vs Hub

  • Switch 交换机将广播和多播转发到所有端口,但将单播数据包unicast packets转发到特定端口
  • Hub 所有数据包传输到所有端口。

Types of Sniffing嗅探的类型

Passive Sniffing被动

无需发送额外的数据包或干扰设备,例如在连接到集线器hub。

Active Sniffing主动

攻击者必须向连接的设备发送额外的数据包才能开始接收数据包。使用的技术有Techniques:

  • ** MAC Flooding 网卡泛洪水**, MAC address is a 48-bit unique identification number(MAC) 地址是一个 48 位的唯一标识号。前 24 位是对象唯一标识符 Object Unique Identifier(OUI),后 24 位是网络接口控制器 Network Interface Controller(NIC)。其中,MAC 地址表/CAM 表MAC地址表或Content-Addressable Memory table用于以太网交换机中记录MAC地址,以及用于转发数据包的相关信息。MAC Flooding攻击者发送随机 IP 映射的随机 MAC 地址,以溢出 CAM 表的存储容量overflow the storage capacity of CAM table。 CAM 表具有固定长度,因此当被填满时,交换机充当集线器hub,在每个端口上广播每个数据包,帮助攻击者嗅探数据包。linux的网卡泛洪水攻击工具macof。
  • DHCP Attacks ,Dynamic Host Configuration Protocol动态主机配置协议,DHCP 是动态分配 IP 地址的过程,因此这些地址会自动分配,并且可以在主机不需要它们时重复使用。往返时间Round Trip Time是从发现 DHCP 服务器到获得租用 IP 地址的时间度量。其中,IPv4 DHCP过程:常用端口(UDP port 67 for Server, UDP port 68 for Client)
    1. 通过使用 UDP 广播,DHCP 客户端发送一个初始的 DHCP-Discovery 数据包。
    2. DHCP 服务器回复一个 DHCP-Offer 数据包,提供配置参数offering the configuration parameters。
    3. DHCP客户端发回一个DHCP-Request报文,发往DHCP服务器,请求DHCP参数。
    4. 最后,DHCP 服务器发送包含配置参数的 DHCP-Acknowledgement 数据包。 IPv6 DHCP过程: 常用端口(UDP port 547 for Server, UDP port 546 for Client) | CLIENT | | SERVER | | :-----: | :-: | :-------: | | Solicit | -> | | | | <- | Advertise | | Request | -> | | | | <- | Reply |

DHCP攻击中包括DHCP,Starvation Attack饥饿攻击,DHCP 饥饿攻击是对 DHCP 服务器的拒绝服务攻击。攻击者使用伪造的 MAC 地址向 DHCP 服务器发送虚假请求,以租用 DHCP 地址池中的所有 IP 地址。一旦分配了所有 IP 地址,即将到来的用户将无法获得 IP 地址或续租。Tools:Dhcpstarv,Yersinia。另一种攻击方式是Rogue DHCP Server Attacker流氓 DHCP 服务器攻击。流氓 DHCP 服务器攻击者在网络中部署恶意 DHCP 服务器以及 DHCP 饥饿攻击。当合法的 DHCP 服务器受到拒绝服务攻击时,DHCP 客户端无法从合法的 DHCP 服务器获取 IP 地址。即将到来的 DHCP 发现 (IPv4) 和请求 (IPv6) 由虚假 DHCP 服务器回复,配置参数将流量导向它。防御方法:DHCP SnoopingDHCP 侦听,侦听功能从 DHCP 流量中识别唯一受信任的端口。任何尝试回复 DHCP 请求的访问端口都将被忽略。还有可以开启端口保护。

  • DNS Poisoning DNS投毒,DNS 在网络中用于将人类可读的域名转换为 IP 地址。当 DNS 服务器接收到请求时,它没有条目,它会生成查询到另一个 DNS 服务器进行翻译等等。具有翻译的 DNS 服务器将发回 IP 地址。DNS poisoning 技术是当 DNS 服务器接收到错误条目时,它会更新其数据库。为了提高性能,DNS 服务器维护一个缓存,在该缓存中更新此条目以提供快速的查询解决方案。在缓存过期之前,此错误条目会导致 DNS 转换中毒cache expires。

    • Intranet DNS Spoofing 内网 DNS 欺骗,通常在具有交换网络的局域网 (LAN) 上执行。在 ARP 中毒的帮助下,攻击者嗅探数据包,提取 DNS 请求的 ID,并以虚假的 IP 转换进行回复,将流量引导至恶意站点。

    • DNS Poisoning, 攻击者替换目标机器上的 DNS 配置。

    • Proxy Server DNS Poisoning 代理服务器 DNS 中毒,攻击者替换 Web 浏览器的 DNS 配置

    • DNS Cache Poisoning 缓存中毒,攻击者利用 DNS 软件中的缺陷,添加或更改条目entries。 DNS投毒的防御通过:

    • Segregate authoritative and recursive resolver 授权和迭代解析器的事务隔离

    • Query and response verification using DNS Guard 使用 DNS Guard 进行查询和响应验证

    • Restrict external DNS lookup 限制外部

    • Prevent DNS Open Resolver configuration 禁止DNS开放的配置

    • Transaction ID randomization ID随机性

    • DNS application inspection configurationDNS 应用检查配置

    • DNS resolver

    • IP Source Guard IP源保护

    • IDS deployment

    • Disable recursion 禁用递归

    • DNS non-existent domain rate limiting DNS不存在域速率限制

    • Uni-Cast path forwarding 单播路径转发

    • UDP source port randomization UDP端口随机性

    • DNSSEC

  • Switch Port Stealing 端口窃取,该技术基于 MAC 泛洪MAC Flooding,攻击者发送伪造的 ARP 数据包bogus ARP packets,带有目标的源 MAC 地址和自己的目标地址。交换机因此更新 CAM 表。如果攻击者在目标数据包之后立即发送一个伪造的 ARP 数据包,攻击者将得到响应responese。

  • ARP Poisoning ARP投毒,地址解析协议 (ARP) 是一种通信协议,用于发现与给定互联网层地址(通常是 IPv4 地址)关联的链路层地址(例如 MAC 地址)。通过广播带有 IP 地址的 ARP 请求,交换机可以从特定主机的回复中获知相关的 MAC 地址信息。如果没有映射,或者映射未知,源将向所有节点发送广播。攻击者通过局域网 (LAN) 发送伪造的 ARP 数据包。在这种情况下,交换机会将攻击者的 MAC 地址更新为合法用户或服务器的 IP 地址,然后开始将数据包转发给攻击者。攻击者可以通过从数据包中提取信息来窃取信息。ARP Poisoning 用来:

    • Session hijacking
    • Denial-of-Service attacks
    • Man-in-the-Middle attacks
    • Packet sniffing
    • Data interceptions
    • VoIP tapping
    • Connection resetting
    • Stealing passwords ARP投毒的防御,Dynamic ARP Inspection (DAI)

  • Spoofing 欺骗,其中一种spoofing attack是MAC Spoofing/Duplicating操纵MAC地址冒充合法用户或发起DoS等攻击。攻击者嗅探交换机端口上处于活动状态的用户的 MAC 地址并复制 MAC 地址。这可以拦截流量,而发往合法用户的流量可能会直接流向攻击者。MAC Spoofing防御通过:

    • DHCP Snooping
    • Dynamic ARP Inspection
    • Source Guard: monitor and prevent the host to impersonate another host

  • Wiretapping 窃听 其中可以使用的硬件协议分析仪Hardware Protocol Analyzer​,分析通过传输通道捕获的数据包和信号的硬件或软件。硬件协议分析仪是用于在不干扰网络流量的情况下进行捕获的物理设备。这种硬件的一个主要优点是移动性、灵活性和吞吐量throughput。Hardware Protocol Analyzer 硬件协议分析仪可以:

    • Monitor network usage 监视网络使用情况
    • Identify traffic 识别流量
    • Decrypt packets 解密数据包
    • Extract information 提取信息
    • Seize packet 抓包

除了硬件协议分析的主动嗅探,还有一种嗅探叫Switch Port Analyzer (SPAN) Port交换机端口分析器 (SPAN) 端口,也叫做 Port Mirroring端口镜像。它在网络交换机上用于将在一个交换机端口(或整个 VLAN)上看到的网络数据包的副本发送到另一个交换机端口上的网络监控连接。

除此之外可以采用,Wiretapping窃听手段进行主动嗅探。通过从电线(如电话线或互联网)获取信号来获取信息tapping the signal from wire。窃听主要由第三方进行。合法窃听称为合法拦截legal interception,主要由政府或安全机构执行。窃听采用资源集成、同步和管理 (PRISM) 的规划工具lanning tool for Resource Integration, Synchronization, and Management (PRISM)。PRISM 是一种旨在收集通过美国服务器的信息和过程的工具。由国家安全局 (NSA) 的特殊来源行动 (SSO) 部门开发Special Source Operation (SSO) division of National Security Agencies (NSA)。 PRISM 旨在识别和监控可疑通信。通过美国的互联网流量路由,或存储在美国服务器上的数据被 NSA 窃听。反窃听的方法:

-   HTTPS instead of HTTP
-   SFTP instead of FTP
-   Switch instead of Hub
-   Port security
-   DHCP Snooping
-   Dynamic ARP inspection
-   Source guard
-   Sniffing detection tool
-   Strong encryption protocol

探测方法Detection:

-   Ping method
-   ARP method
-   Promiscuous port detection

Sniffing Tools 嗅探工具

  • Wireshark,Filters in Wireshark:

    • == Equal
    • eq Equal
    • != Not equal
    • ne Not equal
    • contains Contains specified value

  • 嗅探的防御(与窃听一致)

avatar
文章
阅读
粉丝