【.com速译】小伙伴们听说过嗅探这个词吗?泛指:暗中调查某事,取回机密资料。从信息安全的角度来看,嗅探是指:窃听流量,或者将流量路由到可以捕获、分析和监控的目标。如果用得“对”,我们可以通过嗅探分析网络使用情况,排查网络问题,通过监控会话进行各种开发和测试。然而,这里我们谈论的是被“错误使用”的嗅探攻击,以及它们如何从复杂的数据集中提取有意义的信息。嗅探攻击的定义在互联网世界中,攻击者可以利用应用程序级、网络级、主机级的硬件设备,通过嗅探的方式读取或拦截任意网络数据包中的文本信息。这些信息包括:用户名、密码、密钥、银行帐号、交易记录和任何其他有价值的内容。我们可以简单地将此类攻击从技术上等同于物理盗窃。嗅探动机:获取用户名和密码。窃取有关银行和交易的信息。监控电子邮件和聊天消息。进行身份盗用。嗅探的种类嗅探可分为主动式和被动式。顾名思义,主动是指攻击者为获取信息而进行的一系列活动或交互。在被动状态下,攻击者只是隐蔽地、被动地获取信息。接下来我们看一下两者的特点:(1)被动嗅探:这种嗅探经常发生在hub上。因为集线器设备可以在某个端口上接收流量,然后在所有其他端口上重新转发该流量,所以如果攻击者在集线器上放置嗅探器,他可以直接捕获流经该集线器的所有网络流量。而且,嗅探器可以长期“悄悄地”在那里监视网络中的一举一动。但是,随着集线器的使用减少并被交换机所取代,这种攻击方法已经相对过时了。(2)主动嗅探:交换机可以学习到带有目标MAC地址的CAM(Layer2switchaddress)表。基于此表,交换机可以决定将哪个网络数据包发送到哪里。主动嗅探时,嗅探器会向交换机发送大量虚假请求,填满CAM表。当CAM满时,交换机将不得不以“合法”的形式向所有端口发送网络流量,便于攻击者嗅探。网络攻击类型MACFlooding:如前所述,大量的MAC地址淹没交换机,使CAM表溢出,便于执行嗅探。DNS缓存中毒:攻击者通过更改DNS缓存记录来捕获此流量,以便将请求重定向到恶意网站。因为这些恶意网站看起来像真实的合法网站,所以它们可能具有很强的欺骗性。一旦用户输入与该帐户关联的登录信息,他们就会立即被嗅探。EvilTwinAttack:攻击者使用恶意软件改变受害者的DNS,通过设置一对DNS来响应各种请求。由此,攻击者可以轻松嗅探流量并将其重新路由到他们自己的目标网站。MAC欺骗:为了收集所有连接的交换机的MAC地址,攻击者会嗅探设备的MAC地址,并设置为与目标主机相同,从而嗅探和拦截发往目标主机的报文。如何识别嗅探器?嗅探器可以是安装在系统上的软件、嵌入式硬件设备或DNS级嗅探器或其他网络节点。如您所知,网络在逻辑上分为7层,每一层都有自己专门的任务。那么嗅探攻击发生在哪一层呢?通常,嗅探器可以从各个层捕获PDU(协议数据单元),其中最常见的是第3层(网络)和第7层(应用程序)。对于协议的每一层,目前都有非安全版本和相应的安全版本。让我们讨论一下容易受到嗅探攻击的协议:(1)HTTP:超文本传输??协议位于OSI模型的第7层。作为一种应用层协议,它以明文形式传输信息,一般适用于静态或不需要用户输入任何信息的网站。它的明显缺点是任何人都可以在两个通信方之间设置一个中间人攻击(MITM)代理来接受所有流量甚至修改一些数据流。随着Web2.0时代的到来,为了用户交互的安全,我们需要使用安全版本的HTTP(HTTPS)来保证数据流在离开第7层时是加密的。(2)TELNET:Telnet是一个客户端-服务器协议,可以通过虚拟终端提供通信功能。由于Telnet默认不对通信内容进行加密,攻击者可以通过接入客户端和服务器端连接的交换机或集线器,嗅探Telnet的通信内容,获取用户名和密码等信息。作为不安全的Telnet的替代方法,SSH可以加密流量以确保数据的机密性和完整性。(3)FTP:FTP常用来在客户端和服务器之间传输文件。对于身份验证,FTP使用纯文本用户名和密码机制。但是,与Telnet类似,攻击者可以嗅探流量以获取身份凭证并访问服务器上的所有文件。FTP可以用SSL/TLS加强,或者用更安全的SFTP(SSH文件传输协议)代替。(4)POP:邮件客户端可以使用POP协议从邮件服务器下载邮件。该协议也容易受到嗅探攻击,因为它也使用纯文本机制进行通信。它的后续版本POP2和POP3比原来的版本安全得多。(5)SNMP:简单网络管理协议(SNMP),可用于与网络上的被管理设备进行通信。对于通信过程中的各种消息,SNMP使用社区字符串(communitystring)来进行客户端认证。由于社区字符串以明文形式传输密码,SNMP早已被SNMPV2和V3取代,其中V3被认为是最新和最安全的。优秀的嗅探工具(1)Wireshark:作为开源的抓包和分析器,Wireshark支持Windows、Linux等操作系统。作为Tcpdump的替代品,该工具是基于GUI的。Wireshark使用pcap来监视和捕获来自网络接口的数据包,并根据IP地址、协议和许多其他参数过滤数据包。可以根据相关性对不同的数据包进行分组或标记。基于此,我们可以根据需要进行选择和分解。(2)dSniff:dSniff可用于各种网络协议的分析和密码嗅探。它可以从FTP、Telnet、POP、rLogin、MicrosoftSMB、SNMP和IMAP等协议中获取信息。(3)Microsoftnetworkmonitor:顾名思义,它可以用来捕获、分析和排查网络数据包。功能方面,软件支持大量(300多种)协议、无线监控模式、碎片消息重组等。(4)Debookee:付费工具,可以用来监控分析网络。无论目标设备是笔记本电脑、网络设备,甚至是电视,它都可以拦截和分析来自其子网的数据流量。一般来说,Debookee可以提供以下三个模块:网络分析模块:扫描连接的设备,拦截子网中的流量,扫描TCP端口,在网络层面分析和监控HTTP、DNS、TCP和DHCP协议,分析VoIP呼叫等。WiFi监控模块:提供覆盖区域内各种AP、无线客户端、WiFi统计等详细信息。SSL/TLS解密模块:支持各种安全协议的监控分析。防止嗅探攻击的措施(1)连接到受信任的网络:请不要连接到隔壁咖啡店提供的不受信任的免费Wi-Fi只是为了“崩溃互联网”。攻击者往往利用用户缺乏网络安全意识,在公网实施流量嗅探,或者创建与现有网络ID相似的新网络,引诱受害者“入侵”。尤其是在机场,您会发现许多名为“FreeAirportWi-Fi”的无线网络。可能其中隐藏着攻击者的嗅探器节点。因此,请仅连接到可信任的网络,例如您的家庭或办公室。(2)加密!加密!加密!重要的事情说三遍:请对所有离开本系统的流量进行加密,以确保即使流量被嗅探,攻击者也无法理解其“字面意思”。例如:使用HTTPS协议加密流量的网站显然比仅使用HTTP的网站更安全。当然,值得注意的是,简单的加密并非万无一失,攻击者很可能会抓取大量数据,使用解密工具寻找特征,然后进行破解。因此,请按照纵深防御原则做好多层次的安全加固工作。(3)网络扫描和监控:您必须定期扫描目标网络,寻找可能以跨接方式捕获流量的入侵企图,或任何类型的恶意设备。此外,我们还需要对目标网络进行实时监控,尽早发现网络中的混杂模式设备和嗅探器。原标题:什么是嗅探攻击?,作者:AbhinavCynix
