Wireshark教程:网络与密码嗅探器

作者: Oliver Jones Oliver Jones
小时 - 权威教程 更新于

计算机通过网络进行通信。这些网络可以是本地局域网(LAN),也可以连接到互联网。网络嗅探器是捕获在网络上传输的低级包数据的程序。攻击者可以分析这些信息来发现有价值的信息,例如用户ID和密码。

在本文中,我们将介绍常见的网络嗅探技术和用于嗅探网络的工具。我们还将探讨您可以采取的对策,以保护在网络上传输的敏感信息。

什么是网络嗅探?

计算机通过IP地址在网络上广播消息进行通信。一旦消息在网络上发送,具有匹配IP地址的接收计算机将使用其MAC地址进行响应。

网络嗅探是拦截网络上传输的数据包的过程。这可以通过专门的软件程序或硬件设备完成。嗅探可用于:

  • 捕获敏感数据,例如登录凭证
  • 窃听聊天消息
  • 捕获在网络上传输的文件

以下是易受嗅探攻击的协议:

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

如果以明文形式发送登录详细信息,上述协议将易受攻击

Network Sniffing

被动与主动嗅探

在讨论被动和主动嗅探之前,让我们先了解用于联网的两个主要设备:集线器和交换机。

集线器通过将广播消息发送到其所有输出端口(发送广播的端口除外)来工作。如果IP地址匹配,接收计算机将响应广播消息。这意味着在使用集线器时,网络上的所有计算机都可以看到广播消息。它工作在OSI模型的物理层(第1层)。

下图说明了集线器的工作原理。

Passive and Active Sniffing

交换机的工作方式不同;它将IP/MAC地址映射到其上的物理端口。广播消息被发送到与接收计算机的IP/MAC地址配置匹配的物理端口。这意味着广播消息仅由接收计算机看到。交换机工作在数据链路层(第2层)和网络层(第3层)。

下图说明了交换机的工作原理。

Passive and Active Sniffing

被动嗅探是拦截使用集线器的网络上传输的数据包。它之所以被称为被动嗅探,是因为难以检测。它也易于执行,因为集线器会将广播消息发送到网络上的所有计算机。

主动嗅探是拦截使用交换机的网络上传输的数据包。嗅探交换机连接的网络主要有两种方法:ARP欺骗和MAC地址泛洪。

相关文章

黑客活动:嗅探网络流量

在这个实际场景中,我们将使用Wireshark嗅探HTTP协议上传输的数据包。在此示例中,我们将使用Wireshark嗅探网络,然后登录一个不使用安全通信的Web应用程序。我们将登录到http://www.techpanda.org/上的Web应用程序。

登录邮箱是admin@google.com,密码是Password2010

注意:我们仅出于演示目的登录Web应用程序。该技术还可以嗅探与您用于嗅探的计算机在同一网络上的其他计算机的数据包。嗅探不仅限于techpanda.org,还可以嗅探所有HTTP和其他协议数据包。

使用Wireshark嗅探网络

下面的图示显示了您将执行的步骤,以便清晰地完成此练习

Sniffing the Network using Wireshark

从此链接下载Wireshark http://www.wireshark.org/download.html

  • 打开Wireshark
  • 您将看到以下屏幕

Sniffing the Network using Wireshark

  • 选择您要嗅探的网络接口。请注意,在此演示中,我们使用的是无线网络连接。如果您在局域网中,则应选择局域网接口。
  • 点击开始按钮,如下图所示

Sniffing the Network using Wireshark

Sniffing the Network using Wireshark

  • 登录邮箱是admin@google.com,密码是Password2010
  • 点击提交按钮
  • 成功登录后,您应该会看到以下仪表板

Sniffing the Network using Wireshark

  • 返回Wireshark并停止实时捕获

Sniffing the Network using Wireshark

  • 使用过滤器文本框仅筛选HTTP协议结果

Sniffing the Network using Wireshark

  • 找到“信息”列,查找带有HTTP动词POST的条目并点击它

Sniffing the Network using Wireshark

  • 在日志条目正下方,有一个包含捕获数据摘要的面板。查找显示“行基文本数据:application/x-www-form-urlencoded”的摘要

Sniffing the Network using Wireshark

  • 您应该能够查看通过HTTP协议提交给服务器的所有POST变量的明文值。

什么是MAC地址泛洪?

MAC地址泛洪是一种网络嗅探技术,它用虚假的MAC地址泛洪交换机的MAC地址表。这会导致交换机内存过载,使其像集线器一样运行。一旦交换机受到损害,它会将广播消息发送到网络上的所有计算机。这使得在网络上传输数据包成为可能。

MAC地址泛洪的对策

  • 一些交换机具有端口安全功能。此功能可用于限制端口上的MAC地址数量。它还可以用于维护一个安全的MAC地址表,除了交换机提供的地址表之外。
  • 身份验证、授权和记账服务器可用于过滤已发现的MAC地址。

网络嗅探对策

  • 限制网络物理介质会大大降低安装网络嗅探器的可能性
  • 加密网络上传输的消息会大大降低其价值,因为它们很难解密。
  • 将网络更改为安全外壳(SSH)网络也可降低网络被嗅探的风险。

摘要

  • 网络嗅探是在网络上传输数据包时进行拦截
  • 被动嗅探是在使用集线器的网络上进行的。难以检测。
  • 主动嗅探是在使用交换机的网络上进行的。容易检测。
  • MAC地址泛洪通过用虚假的MAC地址泛洪MAC地址表列表来工作。这使得交换机像集线器一样运行
  • 如上所述的安全措施有助于保护网络免受嗅探。