当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 交换网络中的嗅探和ARP欺骗

安全基础
U盘病毒预防的一个小技巧
微软漏洞补丁阻止防溢出者病毒
“网游盗号木马”将成为新毒王
IE浏览器RealPlayer的安全漏洞
网上购物 网络购物陷阱要预防
预先付费骗局让聪明人更容易相信
非法程序传播垃圾邮件的防范方法
汇款时收到只有卡号的短信
黑客入侵网站的常用方法
EXE可执行文件无法打开的解决方法
关于Gmail可能不知道的几个功能
微软官方提供的密码强度在线测试工具
网页代码中的“隐形杀手”分类
关闭无用服务保证Windows系统安全
网络信息安全与保密的6个技术目标
简单几招对付捆绑木马的技巧
让企业远离四处潜伏的众多安全威胁
有助于拨号上网用户预防黑客入侵的方法
工行专家建议的网上交易的安全性
网吧上网养成上网后清除个人信息的习惯

安全基础 中的 交换网络中的嗅探和ARP欺骗


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 55 ::
收藏到网摘: n/a

 以太网内的嗅探(sniff)对于网络安全来说并不是什么好事,虽然对于网络管理员能够跟踪数据包并且发现
网络问题,但是如果被破坏者利用的话,就对整个网络构成严重的安全威胁。至于嗅探的好处和坏处就不罗嗦了。


ARP缓存表
   假设这样一个网络:

             ——————————
             |       HUB        |
             ——————————
                |      |      |
                |      |      |
                |      |      |
             HostA   HostB   HostC

其中
A的地址为:IP:192.168.10.1     MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2     MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3     MAC: CC-CC-CC-CC-CC-CC

假设B是属于一个嗅探爱好者的,比如A机器的ARP缓存:

C:\>arp -a

Interface: 192.168.10.1 on Interface 0x1000003
  Internet Address      Physical Address      Type
  192.168.10.3          CC-CC-CC-CC-CC-CC     dynamic

    这是192.168.10.1机器上的ARP缓存表,假设,A进行一次ping 192.168.10.3操作,PING主机C,会查询本地的
ARP缓存表,找到C的IP地址的MAC地址,那么就会进行数据传输,目的地就是C 的MAC地址。如果A中没有C的ARP记
录,那么A首先要广播一次ARP请求,当C接收到A 的请求后就发送一个应答,应答中包含有C的MAC地址,然后A接
收到C的应答,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。
    因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。


集线器网络(Hub-Based)

    很多网络都是用Hub进行连接的。数据包经过Hub传输到其他计算机的时候,Hub只是简单地把这个数据包广播
到Hub的所有端口上。
    这就是上面举例中的一种网络结构。

    现在A需要发送TCP数据包给C。首先,A需要检查本地的ARP 缓存表,查看是否有IP为192.168.10.3即C的ARP记
录,如果没有那么A将要广播一个ARP请求,当C接收到这个请求后,就作出应答,然后A更新自己的ARP缓存表。并
且获得与C的IP相对应的MAC地址。这时就传输这个TCP数据包,Ethernet帧中就包含了C的MAC地址。当数据包传输
到HUB的时候,HUB直接把整个数据包广播到所有的端口,然后C就能够接收到A发送的数据包。

    正因为HUB把数据广播到所有的端口,所以计算机B也能够收到A发送给C的数据包。这正是达到了B嗅探的目的。

    因此,Hub-Based的网络基本没有安全可言,嗅探在这样的网络中非常容易。


交换网络(Switched Lan)

    交换机用来代替HUB,正是为了能够解决HUB的几个安全问题,其中就是能够来解决嗅探问题。Switch不是把数
据包进行端口广播,它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此,在交换网络上,如果把上面
例子中的HUB换为Switch,B就不会接收到A发送给C的数据包,即便设置网卡为混杂模式,也不能进行嗅探。


ARP欺骗( ARP spoofing)

    ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存
进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应
答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地
址本来应该是CC-CC-CC-CC-C