網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 第8講 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第八講網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)目的要求：了解網(wǎng)絡(luò)監(jiān)聽(tīng)的工作原理；掌握網(wǎng)絡(luò)流量劫持的主要方法；掌握數(shù)據(jù)采集與分析的方法；了解網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)與防范技術(shù)。重點(diǎn)難點(diǎn)：網(wǎng)絡(luò)流量劫持的主要方法；數(shù)據(jù)采集與分析的方法。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、網(wǎng)絡(luò)監(jiān)聽(tīng)概述網(wǎng)絡(luò)監(jiān)聽(tīng)是指在計(jì)算機(jī)網(wǎng)絡(luò)接口處截獲網(wǎng)上計(jì)算機(jī)之間通信的數(shù)據(jù)，也稱(chēng)網(wǎng)絡(luò)嗅探。網(wǎng)絡(luò)監(jiān)聽(tīng)可以協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障；發(fā)現(xiàn)網(wǎng)絡(luò)攻擊（入侵檢測(cè)）。也可能被攻擊者利用來(lái)截獲網(wǎng)絡(luò)上的敏感信息，給網(wǎng)絡(luò)安全帶來(lái)極大危害。網(wǎng)絡(luò)監(jiān)聽(tīng)主要解決兩個(gè)問(wèn)題：一是網(wǎng)絡(luò)流量劫持，使監(jiān)聽(tīng)目標(biāo)的網(wǎng)絡(luò)流量經(jīng)過(guò)攻擊者控制的監(jiān)聽(tīng)點(diǎn)，主要通過(guò)各種地址欺騙或流量定向的方法來(lái)實(shí)現(xiàn)；二是在監(jiān)聽(tīng)點(diǎn)上采集并分析網(wǎng)絡(luò)數(shù)據(jù)，主要涉及網(wǎng)卡數(shù)據(jù)采集、協(xié)議分析技術(shù)，如果通信流量加密了，則還需要進(jìn)行解密處理。網(wǎng)絡(luò)監(jiān)聽(tīng)主要解決兩個(gè)問(wèn)題：一是網(wǎng)絡(luò)流量劫持，使監(jiān)聽(tīng)目標(biāo)的網(wǎng)絡(luò)流量經(jīng)過(guò)攻擊者控制的監(jiān)聽(tīng)點(diǎn)，主要通過(guò)各種地址欺騙或流量定向的方法來(lái)實(shí)現(xiàn)；二是在監(jiān)聽(tīng)點(diǎn)上采集并分析網(wǎng)絡(luò)數(shù)據(jù)，主要涉及網(wǎng)卡數(shù)據(jù)采集、協(xié)議分析技術(shù)，如果通信流量加密了，則還需要進(jìn)行解密處理。二、網(wǎng)絡(luò)流量劫持（一）流量劫持概述攻擊者要想監(jiān)聽(tīng)目標(biāo)的通信，首先要能夠接收到目標(biāo)的網(wǎng)絡(luò)通信數(shù)據(jù)，而這與網(wǎng)絡(luò)環(huán)境有關(guān)。一般來(lái)說(shuō)，網(wǎng)絡(luò)環(huán)境可以劃分為共享式網(wǎng)絡(luò)環(huán)境和交換式網(wǎng)絡(luò)環(huán)境兩類(lèi)。共享意味著同一網(wǎng)段的所有網(wǎng)絡(luò)接口都能夠訪問(wèn)在物理媒體上傳輸?shù)臄?shù)據(jù)，總線型以太網(wǎng)、Wi-Fi等無(wú)線網(wǎng)絡(luò)是典型的共享網(wǎng)絡(luò)。早期的以太網(wǎng)是一種典型的共享網(wǎng)絡(luò)，多臺(tái)主機(jī)連接在總線上，共享總線的通信資源。總線以廣播的方式工作，當(dāng)一臺(tái)主機(jī)發(fā)送數(shù)據(jù)時(shí)所有主機(jī)都能夠接收到發(fā)送的數(shù)據(jù)。主機(jī)之間在數(shù)據(jù)傳輸時(shí)是競(jìng)爭(zhēng)關(guān)系，采用載波監(jiān)聽(tīng)多點(diǎn)接入/碰撞檢測(cè)協(xié)議解決發(fā)送沖突問(wèn)題。集線器(Hub)本質(zhì)上是一種總線型網(wǎng)絡(luò)。集線器的主要功能就是廣播數(shù)據(jù)包：把一個(gè)接口上收到的數(shù)據(jù)包群發(fā)到所有接口。主機(jī)通過(guò)局域網(wǎng)發(fā)送的數(shù)據(jù)首先被送到集線器，集線器進(jìn)而將接收到的數(shù)據(jù)向各個(gè)端口轉(zhuǎn)發(fā)，接在集線器上的所有主機(jī)都能收到該主機(jī)發(fā)送的數(shù)據(jù)。如果接收主機(jī)的網(wǎng)卡處于正常工作模式，網(wǎng)卡檢查發(fā)現(xiàn)數(shù)據(jù)幀的目的MAC地址不是自己的，將直接丟棄數(shù)據(jù)幀，但當(dāng)主機(jī)的網(wǎng)卡處于混雜模式時(shí)，它們將把數(shù)據(jù)幀提交給操作系統(tǒng)分析處理，實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)。與總線型以太網(wǎng)相似，Wi-Fi等無(wú)線網(wǎng)絡(luò)的特點(diǎn)也是在發(fā)送信號(hào)覆蓋范圍內(nèi)，所有網(wǎng)絡(luò)結(jié)點(diǎn)均能接收到網(wǎng)絡(luò)流量，主機(jī)根據(jù)地址判斷是否進(jìn)一步處理接收到的網(wǎng)絡(luò)數(shù)據(jù)。交換式環(huán)境的網(wǎng)絡(luò)流量劫持交換機(jī)內(nèi)部維護(hù)了一份地址與交換機(jī)端口的映射表。如果是二層交換機(jī)，映射表保存的是MAC地址與交換機(jī)端口的對(duì)應(yīng)關(guān)系，此時(shí)映射表也稱(chēng)為MAC地址表；如果是三層交換機(jī)，則表中保存的是IP地址與端口的對(duì)應(yīng)關(guān)系，映射表也稱(chēng)為IP地址表。采用交換機(jī)作為網(wǎng)絡(luò)連接設(shè)備，數(shù)據(jù)幀發(fā)送到交換機(jī)時(shí)，交換機(jī)將解析出數(shù)據(jù)幀的目的MAC地址或IP地址，并查詢(xún)自己的MAC或IP地址表，依據(jù)查詢(xún)到的端口信息進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。交換機(jī)與集線器最大的不同是通信數(shù)據(jù)不再需要向網(wǎng)絡(luò)連接設(shè)備的所有端口復(fù)制，而是精確發(fā)往目標(biāo)主機(jī)所在的端口。主機(jī)在正常情況下無(wú)法接收到發(fā)往其他主機(jī)的數(shù)據(jù)，即使網(wǎng)卡處于混雜模式也無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)。網(wǎng)絡(luò)管理員可以利用交換機(jī)所提供的一種稱(chēng)為端口鏡像（PortMirroring）的功能實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)。攻擊者由于不像網(wǎng)絡(luò)管理員一樣在網(wǎng)絡(luò)中擁有絕對(duì)的權(quán)限，需要采用一些攻擊技術(shù)來(lái)達(dá)到監(jiān)聽(tīng)目的，主要包括MAC攻擊、端口盜用和ARP欺騙。1.端口鏡像大部分交換機(jī)都具備端口鏡像的功能。端口鏡像指的是將交換機(jī)一個(gè)或多個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給指定的一個(gè)或多個(gè)端口，其中被復(fù)制的端口稱(chēng)為鏡像源端口，而復(fù)制操作的目的端口稱(chēng)為鏡像目的端口。交換機(jī)中引入端口鏡像功能主要是為網(wǎng)絡(luò)管理員提供方便，使他們能夠便捷的監(jiān)控?cái)?shù)據(jù)通信，掌握網(wǎng)絡(luò)運(yùn)行情況。2.MAC攻擊MAC攻擊針對(duì)交換機(jī)的MAC地址表進(jìn)行。MAC地址表在交換機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的過(guò)程中起著基礎(chǔ)性的作用。交換機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的過(guò)程可以描述如下。（1）交換機(jī)從自己的某一端口接收數(shù)據(jù)幀，它提取出數(shù)據(jù)幀的源MAC地址并建立MAC地址與交換機(jī)相應(yīng)端口的映射，將映射關(guān)系寫(xiě)入MAC地址表。（2）交換機(jī)提取數(shù)據(jù)幀的目的MAC地址，在MAC地址表中查找相應(yīng)MAC地址，以決定向哪個(gè)端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。（3）如果MAC地址表中包含了目的MAC地址的信息，則將數(shù)據(jù)幀發(fā)向與目的MAC地址相對(duì)應(yīng)的交換機(jī)端口；（4）如果MAC地址表中沒(méi)有目的MAC地址的信息，則將數(shù)據(jù)幀向交換機(jī)的所有端口轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的過(guò)程稱(chēng)為洪泛（flood）?？梢钥闯?，交換機(jī)建立MAC地址表的過(guò)程中是一個(gè)自學(xué)習(xí)的過(guò)程。自學(xué)習(xí)的方法思想簡(jiǎn)單，易于實(shí)現(xiàn)，但存在很大的安全隱患。網(wǎng)絡(luò)中數(shù)據(jù)幀的地址信息并不一定真實(shí)。數(shù)據(jù)幀的源MAC地址如果是虛假的，交換機(jī)也會(huì)更改MAC地址表。MAC攻擊的攻擊思路是：持續(xù)發(fā)送大量源MAC地址為隨機(jī)值的數(shù)據(jù)幀，虛假的MAC地址記錄信息將不斷增加到交換機(jī)的MAC地址表中。由于交換機(jī)MAC地址表中都是虛假的記錄，當(dāng)有數(shù)據(jù)幀需要發(fā)送時(shí)，交換機(jī)無(wú)法通過(guò)MAC地址表找到數(shù)據(jù)幀目的MAC對(duì)應(yīng)的端口，此時(shí)交換機(jī)只能采用洪泛的方法，向所有物理端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。3.端口盜用端口盜用技術(shù)也利用了交換機(jī)MAC地址表的自學(xué)習(xí)機(jī)制。端口盜用的攻擊思路是：向交換機(jī)發(fā)送欺騙性的數(shù)據(jù)幀，在交換機(jī)的MAC地址表中使被監(jiān)聽(tīng)主機(jī)的MAC地址與黑客所處的交換機(jī)端口聯(lián)系在一起。在采用端口盜用技術(shù)進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的過(guò)程中也存在一個(gè)問(wèn)題：應(yīng)當(dāng)如何把監(jiān)聽(tīng)到的數(shù)據(jù)發(fā)還給被監(jiān)聽(tīng)的主機(jī)？針對(duì)此問(wèn)題，目前比較常用的方法是將數(shù)據(jù)先進(jìn)行緩存，然后定期給交換機(jī)發(fā)送正確的被監(jiān)聽(tīng)主機(jī)MAC地址與端口對(duì)應(yīng)關(guān)系數(shù)據(jù)包，恢復(fù)MAC地址表后，再將數(shù)據(jù)轉(zhuǎn)交給被監(jiān)聽(tīng)主機(jī)。轉(zhuǎn)交完畢后，再實(shí)施新一輪的端口盜用。4.ARP欺騙ARP協(xié)議建立在信任局域網(wǎng)中所有主機(jī)的基礎(chǔ)上。協(xié)議具有高效的優(yōu)點(diǎn)，但是缺乏驗(yàn)證機(jī)制。當(dāng)主機(jī)接收到ARP數(shù)據(jù)包時(shí)，不會(huì)進(jìn)行任何認(rèn)證就刷新自己的ARP高速緩存。利用這一點(diǎn)可以實(shí)現(xiàn)ARP欺騙，造成ARP緩存中毒（CachePoisoning）。所謂ARP緩存中毒，就是主機(jī)將錯(cuò)誤的IP地址和MAC地址的映射信息記錄在自己的ARP高速緩存中。ARP欺騙有兩種實(shí)現(xiàn)方法。一種實(shí)現(xiàn)方法是利用ARP請(qǐng)求，攻擊主機(jī)可以發(fā)送ARP請(qǐng)求，在ARP請(qǐng)求的源IP地址和源MAC地址字段填充虛假的信息。由于ARP請(qǐng)求以廣播的形式發(fā)送，一個(gè)包含欺騙性信息的ARP請(qǐng)求將刷新網(wǎng)絡(luò)中所有主機(jī)的ARP高速緩存，影響面大。這是一種優(yōu)勢(shì)也是一種缺陷，缺陷主要在于欺騙行為過(guò)于明顯，容易被發(fā)現(xiàn)。實(shí)施ARP欺騙的另外一種方法是利用ARP響應(yīng)。一臺(tái)主機(jī)發(fā)送ARP請(qǐng)求以后，如果有其他主機(jī)發(fā)送欺騙性的ARP響應(yīng)，發(fā)送請(qǐng)求的主機(jī)不會(huì)進(jìn)行甄別，會(huì)認(rèn)為ARP響應(yīng)的內(nèi)容真實(shí)并刷新自己的ARP高速緩存。采用ARP響應(yīng)進(jìn)行欺騙，針對(duì)性強(qiáng)，只有被欺騙的目的主機(jī)會(huì)刷新ARP高速緩存，其他主機(jī)不受干擾。此外，身份被偽造的主機(jī)上也不會(huì)有告警信息出現(xiàn)。因此，這種ARP欺騙方法在網(wǎng)絡(luò)攻擊過(guò)程中經(jīng)常被使用。ARP欺騙軟件常常將控制的主機(jī)偽裝成網(wǎng)關(guān)。因?yàn)閮?nèi)網(wǎng)主機(jī)與外網(wǎng)的通信都需要經(jīng)由網(wǎng)關(guān)轉(zhuǎn)發(fā)，監(jiān)聽(tīng)主機(jī)和網(wǎng)關(guān)之間的通信，往往可以獲得大量有價(jià)值的信息。另外，如果攻擊者不將劫持到的數(shù)據(jù)包轉(zhuǎn)發(fā)出去，則被劫持的主機(jī)也就無(wú)法與外網(wǎng)通信，從而造成嚴(yán)重的斷網(wǎng)。DHCP欺騙DHCP協(xié)議采用客戶(hù)端/服務(wù)器模型，使用UDP協(xié)議作為其傳輸協(xié)議。主機(jī)地址的動(dòng)態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動(dòng)。當(dāng)DHCP服務(wù)器接收到來(lái)自網(wǎng)絡(luò)主機(jī)申請(qǐng)地址的信息時(shí)，才會(huì)向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息，以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動(dòng)態(tài)配置。如果攻擊者也在內(nèi)網(wǎng)里開(kāi)啟了DHCP服務(wù)，用戶(hù)收到的回復(fù)包很可能就是攻擊者發(fā)出的，這時(shí)用戶(hù)的網(wǎng)絡(luò)配置，如IP地址、網(wǎng)關(guān)地址、DNS地址，完全由攻擊者設(shè)置了。例如，攻擊者可以將自己控制的主機(jī)的IP地址作為網(wǎng)關(guān)或DNS地址回復(fù)給被攻擊主機(jī)，從而將被攻擊主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包劫持到自己控制的主機(jī)進(jìn)行監(jiān)聽(tīng)。DHCPDISCOVER是以廣播方式進(jìn)行的，因此只能在同一網(wǎng)段之內(nèi)進(jìn)行。如果多個(gè)網(wǎng)絡(luò)共用一個(gè)DHCP服務(wù)器，則需要通過(guò)DHCPAgent(或DHCPProxy)主機(jī)來(lái)接管客戶(hù)的DHCP請(qǐng)求，然后將此請(qǐng)求傳遞給真正的DHCP服務(wù)器，然后將服務(wù)器的回復(fù)傳給客戶(hù)。如果采用有線上網(wǎng)的方式，最好還是手動(dòng)配置地址信息。對(duì)于不得不使用DHCP來(lái)配置IP地址，管理員應(yīng)該嚴(yán)格控制DHCP回復(fù)的權(quán)限，只允許交換機(jī)特定的接口才能發(fā)送DHCP回復(fù)包。DNS劫持DNS服務(wù)器一旦被攻擊者控制，用戶(hù)發(fā)起的各種域名解析，都將被暗中操控。例如，將正常網(wǎng)站解析成攻擊服務(wù)器的IP地址，并事先在攻擊服務(wù)器上開(kāi)啟HTTP代理，保證用戶(hù)的網(wǎng)絡(luò)通信正常進(jìn)行，用戶(hù)上網(wǎng)時(shí)幾乎看不出任何破綻，而攻擊者則獲取到了所有訪問(wèn)流量。攻擊者還可以通過(guò)社會(huì)工程學(xué)等手段獲得域名管理密碼和域名管理郵箱，然后將指定域名的DNS紀(jì)錄指向到攻擊者控制的DNS服務(wù)器，進(jìn)而通過(guò)在該DNS服務(wù)器上添加相應(yīng)域名記錄，從而使網(wǎng)民訪問(wèn)該域名時(shí)，進(jìn)入攻擊者所指向的主機(jī)。Wi-Fi流量劫持無(wú)線網(wǎng)絡(luò)如同一個(gè)看不見(jiàn)的集線器，無(wú)需任何物理傳播介質(zhì)，附近所有人都可以收聽(tīng)數(shù)據(jù)信號(hào)，很多攻擊者利用無(wú)線網(wǎng)絡(luò)的開(kāi)放性進(jìn)行流量劫持。攻擊者可以利用無(wú)線路由器的弱口令，暴力破解無(wú)線路由器的后臺(tái)管理員口令，進(jìn)而控制無(wú)線路由器進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。除此之外，攻擊者主要采用無(wú)線熱點(diǎn)釣魚(yú)的方式來(lái)劫持用戶(hù)的通信數(shù)據(jù)。在無(wú)線Wi-Fi網(wǎng)絡(luò)中，每個(gè)熱點(diǎn)都時(shí)時(shí)刻刻廣播著一種稱(chēng)為“信標(biāo)（Beacon）”的數(shù)據(jù)包，里面帶有熱點(diǎn)名等相關(guān)的信息。功率大的熱點(diǎn)，用戶(hù)接收時(shí)的信號(hào)強(qiáng)度（RSSI）自然也會(huì)高一些，客戶(hù)端總是跟信號(hào)最強(qiáng)的熱點(diǎn)聯(lián)系。熱點(diǎn)釣魚(yú)的基本原理是：攻擊者只需開(kāi)一個(gè)同名同認(rèn)證的偽熱點(diǎn)，并且在信號(hào)功率大于被模仿的熱點(diǎn)即可，這樣客戶(hù)端就會(huì)跟信號(hào)強(qiáng)的釣魚(yú)熱點(diǎn)聯(lián)系，從而獲得客戶(hù)的通信數(shù)據(jù)。數(shù)據(jù)采集與解析（一）網(wǎng)卡的工作原理網(wǎng)卡的全稱(chēng)是網(wǎng)絡(luò)接口卡（NetworkInterfaceCard，NIC），它用于實(shí)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)電纜間的物理連接，為計(jì)算機(jī)之間的通信提供物理通道。網(wǎng)卡工作在數(shù)據(jù)鏈路層，其地址被稱(chēng)為MAC地址或者硬件地址（PhysicalAddress）。MAC地址由6個(gè)字節(jié)組成，前3個(gè)字節(jié)是IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的，不同廠商使用不同的數(shù)值，后3個(gè)字節(jié)由網(wǎng)絡(luò)設(shè)備制造廠商自行分配，在生產(chǎn)時(shí)寫(xiě)入設(shè)備，每塊網(wǎng)卡不同。數(shù)據(jù)幀的幀頭中有源MAC地址和目的MAC地址信息。數(shù)據(jù)幀到達(dá)主機(jī)網(wǎng)卡時(shí)，在正常情況下，網(wǎng)卡讀入數(shù)據(jù)幀，并檢查數(shù)據(jù)幀幀頭中的MAC地址字段。如果數(shù)據(jù)幀的目的MAC地址是自己的MAC地址或者是廣播地址，則產(chǎn)生中斷信號(hào)通知操作系統(tǒng)進(jìn)行相應(yīng)處理，否則，數(shù)據(jù)幀將被丟棄。每個(gè)到達(dá)網(wǎng)卡的數(shù)據(jù)幀，都有這樣一個(gè)處理流程。網(wǎng)卡有一種接口配置模式稱(chēng)為混雜（Promiscuous）模式。網(wǎng)卡工作在混雜模式時(shí)，對(duì)于接收到的數(shù)據(jù)幀，不會(huì)檢查其幀頭信息，而是一律產(chǎn)生硬件中斷，通知操作系統(tǒng)進(jìn)行處理。將主機(jī)網(wǎng)卡配置為混雜模式是實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)的一項(xiàng)前提條件。（二）數(shù)據(jù)采集將網(wǎng)卡置成混雜模式后，就可以采集網(wǎng)絡(luò)通信數(shù)據(jù)了。數(shù)據(jù)鏈路層處于協(xié)議棧的第2層，基于物理層之上，所有數(shù)據(jù)鏈路層以上協(xié)議都要直接或間接使用數(shù)據(jù)鏈路層協(xié)議提供的服務(wù)。因此，數(shù)據(jù)采集通常需要在數(shù)據(jù)鏈路層上進(jìn)行，通過(guò)數(shù)據(jù)鏈路層編程接口實(shí)現(xiàn)。Libpcap(LibraryforPacketCapture)，即分組捕獲函數(shù)庫(kù)，是由勞倫斯·伯克利國(guó)家實(shí)驗(yàn)室開(kāi)發(fā)的一個(gè)在用戶(hù)級(jí)進(jìn)行實(shí)時(shí)分組捕獲的接口。當(dāng)初設(shè)計(jì)Libpcap僅僅是準(zhǔn)備用在不同版本的Unix平臺(tái)上，但實(shí)際效果卻遠(yuǎn)遠(yuǎn)超過(guò)了當(dāng)初的預(yù)計(jì)，目前的Libpcap已成為開(kāi)發(fā)跨平臺(tái)的分組捕獲和網(wǎng)絡(luò)監(jiān)視軟件的首選工具，2021年6月發(fā)布的是Libpcap版本為1.10.1。Libpcap包捕獲機(jī)制是在數(shù)據(jù)鏈路層（主要由網(wǎng)絡(luò)接口卡驅(qū)動(dòng)程序處理）增加一個(gè)旁路處理（NetworkTap,網(wǎng)絡(luò)分接口），在不干擾操作系統(tǒng)自身網(wǎng)絡(luò)協(xié)議棧處理的情況下（也就是不影響系統(tǒng)正常網(wǎng)絡(luò)功能和應(yīng)用的運(yùn)行，網(wǎng)卡驅(qū)動(dòng)程序同樣會(huì)將收到的網(wǎng)絡(luò)數(shù)據(jù)包正常交與系統(tǒng)網(wǎng)絡(luò)協(xié)議棧進(jìn)行處理），對(duì)接收的數(shù)據(jù)包通過(guò)Linux內(nèi)核中的BPF(BerkeleyPacketFilter)進(jìn)行過(guò)濾和緩沖處理，最后直接傳遞給上層網(wǎng)絡(luò)監(jiān)聽(tīng)?wèi)?yīng)用程序。Winpcap是Libpcap的Windows版，其工作原理與Libpcap類(lèi)似。Winpcap由內(nèi)核中的網(wǎng)絡(luò)組包過(guò)濾器（NetgroupPacketFilter,NPF）、低層動(dòng)態(tài)鏈接庫(kù)packet.dll和高層動(dòng)態(tài)鏈接庫(kù)wpcap.dll三部分組成。Winpcap最后的官方版本是4.1.3，2018年9月之后不再更新，取而代之的是Npcap(/)。Npcap是網(wǎng)絡(luò)掃描軟件Nmap工程組開(kāi)發(fā)的Windows系統(tǒng)包捕獲（以及發(fā)送）庫(kù)，它綜合利用一個(gè)定制的Windows內(nèi)核驅(qū)動(dòng)程序以及Nmap工程組開(kāi)發(fā)的高性能Libpcap庫(kù)為Windows系統(tǒng)上網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送和接收提供了一個(gè)非常好用的、功能強(qiáng)大的PcapAPI，完全兼容Winpcap。（三）協(xié)議解析協(xié)議解析就是使用特定的程序?qū)ο鄳?yīng)層次中的網(wǎng)絡(luò)協(xié)議進(jìn)行分析，去除本層中網(wǎng)絡(luò)協(xié)議的首部，提取出本層中的數(shù)據(jù)部分，按照此方法自下而上的對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行逐層解析，最終還原出網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)以及解析MAC地址、IP地址和端口號(hào)等有價(jià)值的網(wǎng)絡(luò)相關(guān)參數(shù)。網(wǎng)絡(luò)數(shù)據(jù)的傳輸在發(fā)送端先進(jìn)行自上而下的數(shù)據(jù)封裝，之后通過(guò)物理層的比特流傳輸給接收方，再由接收方相應(yīng)的解析程序進(jìn)行自下而上的解析還原。在網(wǎng)絡(luò)數(shù)據(jù)封裝過(guò)程中，網(wǎng)絡(luò)分層模型中的每一層都會(huì)為到來(lái)的數(shù)據(jù)添加一些控制信息，幫助數(shù)據(jù)進(jìn)行正確傳輸。控制信息通常放在數(shù)據(jù)部分之前，稱(chēng)為各層報(bào)文的首部。應(yīng)用層將為原始數(shù)據(jù)添加應(yīng)用層協(xié)議首部；當(dāng)運(yùn)輸層接收到應(yīng)用層傳來(lái)的數(shù)據(jù)時(shí)，會(huì)對(duì)其添加包含源端口號(hào)、目的端口號(hào)和其他控制信息組成的運(yùn)輸層首部；網(wǎng)絡(luò)層收到運(yùn)輸層傳送的信息時(shí)，將為它添加含有源IP地址、目的IP地址以及其他信息構(gòu)成的IP首部；而網(wǎng)絡(luò)接口層收到網(wǎng)絡(luò)層傳來(lái)的信息時(shí)，不僅將為其加上含有源MAC地址、目的MAC地址和其他信息組成的幀首部，還將在網(wǎng)絡(luò)層數(shù)據(jù)后加上相關(guān)校驗(yàn)序列。當(dāng)接收方接收到傳來(lái)的網(wǎng)絡(luò)數(shù)據(jù)時(shí)，與數(shù)據(jù)封裝過(guò)程相反，會(huì)按照自下而上的網(wǎng)絡(luò)分層模型逐次去除各層添加在上層數(shù)據(jù)中的控制信息，逐層還原出用戶(hù)的原始數(shù)據(jù)，這一過(guò)程稱(chēng)為數(shù)據(jù)包的拆封。數(shù)據(jù)包的拆封過(guò)程就是底層網(wǎng)絡(luò)協(xié)議的解析過(guò)程。網(wǎng)絡(luò)監(jiān)聽(tīng)工具早期常常使用Cain軟件來(lái)實(shí)現(xiàn)ARP欺騙。Cain是由Oxid.it公司開(kāi)發(fā)的一款針對(duì)Microsoft操作系統(tǒng)的免費(fèi)口令恢復(fù)工具。它的功能十分強(qiáng)大，可以進(jìn)行網(wǎng)絡(luò)嗅探，ARP欺騙，破解加密口令、解碼被打亂的口令、顯示口令框、顯示緩存口令和分析路由協(xié)議，甚至還可以監(jiān)聽(tīng)內(nèi)網(wǎng)中他人使用VoIP撥打的電話。盡管Cain的主要功能是口令破解，但實(shí)際應(yīng)用中，常常使用Cain來(lái)進(jìn)行ARP欺騙，然后利用Wireshark進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)采集與解析。近幾年來(lái)，應(yīng)用最廣泛的網(wǎng)絡(luò)流量劫持軟件是Ettercap。Ettercap是一款功能強(qiáng)大的開(kāi)源網(wǎng)絡(luò)中間人攻擊工具，可以實(shí)現(xiàn)基于ARP欺騙、ICMP路由重定向、DHCP欺騙等技術(shù)的中間人攻擊，監(jiān)聽(tīng)網(wǎng)內(nèi)主機(jī)間的通信，并提供強(qiáng)大的協(xié)議解析能力。Ettercap主要運(yùn)行于Debian/Ubuntu、FreeBSD、OpenBSD、Fedora等Unix類(lèi)操作系統(tǒng)平臺(tái)。網(wǎng)絡(luò)數(shù)據(jù)采集與分析軟件有很多，如Sniffer、Wireshark、MNM、Tcpdump等。Sniffer是NAI公司推出的一款便攜式網(wǎng)管和應(yīng)用故障診斷分析工具，分為軟件和硬件兩種。軟件Sniffer有SnifferPro、NetworkMonitor、PacketBone等。硬件Sniffer通常稱(chēng)為協(xié)議分析儀，一般都是商業(yè)性的，價(jià)格也比較昂貴，但其支持鏈路捕獲能力擴(kuò)展，并支持高速數(shù)據(jù)流的實(shí)時(shí)捕獲分析。Wireshark是一款與Sniffer功能類(lèi)似的開(kāi)源網(wǎng)絡(luò)協(xié)議分析軟件，也是當(dāng)前應(yīng)用最廣的網(wǎng)絡(luò)協(xié)議分析軟件，廣泛應(yīng)用于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全領(lǐng)域，如日常網(wǎng)絡(luò)安全監(jiān)測(cè)、網(wǎng)絡(luò)性能測(cè)試與故障診斷、網(wǎng)絡(luò)惡意代碼捕獲及分析、網(wǎng)絡(luò)用戶(hù)行為監(jiān)測(cè)、黑客活動(dòng)追蹤、網(wǎng)絡(luò)協(xié)議逆向分析等。MNM（MicrosoftNetworkMonitor）是微軟公司推出的一款免費(fèi)網(wǎng)絡(luò)流量采集與分析軟件，功能與Wireshark類(lèi)似。但在無(wú)線局域網(wǎng)（如Wi-Fi）抓包方面，相比Wireshark，MNM的使用更方便一些，功能也要強(qiáng)一些，很多時(shí)候Wireshark不能抓取的無(wú)線網(wǎng)絡(luò)協(xié)議包，而MNM可以。Fiddler軟件是一款得到廣泛應(yīng)用的專(zhuān)門(mén)針對(duì)HTTP、HTTPS協(xié)議的網(wǎng)絡(luò)流量采集與分析工具，運(yùn)行平臺(tái)為Windows。網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)和防范（一）監(jiān)聽(tīng)檢測(cè)方法有一些技術(shù)手段可以用于識(shí)別網(wǎng)絡(luò)中實(shí)施監(jiān)聽(tīng)的主機(jī)。具體的手段包括以下幾種。（1）采用Ping主機(jī)的方法。向可能運(yùn)行監(jiān)聽(tīng)軟件的主機(jī)發(fā)送定制的Ping數(shù)據(jù)包，目的IP地址是可疑主機(jī)的IP地址，目的MAC地址是隨機(jī)填入的數(shù)值。如果主機(jī)網(wǎng)卡處于混雜模式，它將接收錯(cuò)誤的MAC地址，主機(jī)會(huì)對(duì)這個(gè)錯(cuò)誤的Ping數(shù)據(jù)包產(chǎn)生回應(yīng)。（2）發(fā)送垃圾數(shù)據(jù)包的方法。向網(wǎng)絡(luò)中發(fā)送大量目的MAC地址不存在的數(shù)據(jù)包，正常的主機(jī)會(huì)忽略這些數(shù)據(jù)包，而運(yùn)行監(jiān)聽(tīng)軟件的主機(jī)將對(duì)這些數(shù)據(jù)包進(jìn)行分析和處理。向可疑機(jī)器發(fā)送正常的Ping命令，比較主機(jī)在垃圾數(shù)據(jù)包發(fā)送之前及之后對(duì)Ping命令的響應(yīng)速度。（3）利用ARP數(shù)據(jù)包進(jìn)行檢測(cè)。在局域網(wǎng)中發(fā)送非廣播方式的ARP請(qǐng)求數(shù)據(jù)包，包中所查詢(xún)的IP地址是局域網(wǎng)中不存在的地址，如果網(wǎng)絡(luò)中有主機(jī)響應(yīng)此ARP請(qǐng)求，并以自己的MAC地址作為被查詢(xún)IP地址的解析結(jié)果，那么可以推斷該主機(jī)在實(shí)施ARP欺騙，很可能處于網(wǎng)絡(luò)監(jiān)聽(tīng)模式。（4）觀察DNS服務(wù)器的解析請(qǐng)求。在網(wǎng)絡(luò)中針對(duì)一些實(shí)際不存在的IP地址發(fā)送Ping數(shù)據(jù)包，如果有主機(jī)對(duì)這些IP地址進(jìn)行DNS反向查詢(xún)，可以推斷這些主機(jī)運(yùn)行了監(jiān)聽(tīng)程序。防范網(wǎng)絡(luò)監(jiān)聽(tīng)為了保證數(shù)據(jù)傳輸?shù)陌踩€可以采取一些舉措主動(dòng)防范網(wǎng)絡(luò)通信被監(jiān)聽(tīng)。（1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。網(wǎng)絡(luò)監(jiān)聽(tīng)只能在局域網(wǎng)中實(shí)施，即被監(jiān)聽(tīng)的主機(jī)與實(shí)施監(jiān)聽(tīng)的主機(jī)必須同屬一個(gè)網(wǎng)絡(luò)。黑客無(wú)法直接對(duì)遠(yuǎn)程主機(jī)實(shí)施監(jiān)聽(tīng)。網(wǎng)絡(luò)分段有助于將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相隔離，一般將網(wǎng)絡(luò)劃分得越精細(xì)，網(wǎng)絡(luò)監(jiān)聽(tīng)軟件能夠收集到的信息越少。虛擬局域網(wǎng)（VirtualLocalAreaNetwork,VLAN）就是一種常用的網(wǎng)絡(luò)分段方法。（2）交換機(jī)端口綁定。網(wǎng)絡(luò)中的主機(jī)如果相對(duì)固定，盡量將IP地址或MAC地址與交換機(jī)的端口相關(guān)聯(lián)，使得端口盜用、ARP欺騙等網(wǎng)絡(luò)監(jiān)聽(tīng)所依賴(lài)的攻擊手段難以實(shí)施。（3）采用加密技術(shù)。數(shù)據(jù)經(jīng)過(guò)加密后傳輸，即使在傳輸過(guò)程中有黑客實(shí)施監(jiān)聽(tīng)，所獲取的也只是密文信息，攻擊者必須能夠破譯密文才能獲取具體的傳輸內(nèi)容。加密技術(shù)能夠提升網(wǎng)絡(luò)的安全，但它會(huì)在一定程度上減緩數(shù)據(jù)傳輸速度。（4）防范與網(wǎng)絡(luò)監(jiān)聽(tīng)有關(guān)的黑客技術(shù)。在交換式環(huán)境中實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)，往往需要采用一些黑客技術(shù)達(dá)成監(jiān)聽(tīng)目的。例如，ARP欺騙是使用廣泛的監(jiān)聽(tīng)手段，可以采用靜態(tài)綁定ARP的方法來(lái)應(yīng)對(duì)。靜態(tài)綁定ARP即將局域網(wǎng)中其他主機(jī)的IP地址和MAC