我要评论嗅探(sniff),就是窃听网络上流经的数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个mm聊qq等等......而很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。下面让我们看一下交换机网络嗅探方法中的欺骗交换机缓存的方式:
交换机里面有一张cam表,记录了mac-port信息(这个端口对应的机器的mac地址是什么),mac信息的获取是:交换机从转发的数据包中提取。所谓欺骗交换机缓存,就是修改这张cam表以达到欺骗交换机的目的!比如现在有一个4端口的交换机,它的cam表如下:
现在port1的机器a(ip是192.168.1.11,mac地址为11-11-11-11-11-11)想要嗅探port2的机器b(ip是192.168.1.22,mac地址为22-22-22-22-22-22),怎么办呢?流程如下:
机器a对外发送一个数据包,如下:
srcip:192.168.1.11 scrmac:22-22-22-22-22-22
dstip:xxx.xxx.xxx.xxx(随便写),dstmac:xx-xx-xx-xx-xx-xx(随便写)
此时,交换机收到这个包,发现在原来cam里面,port1对应的机器mac地址是11-11-11-11-11-11,怎么现在变为:22-22-22-22-22-22了呢??应该是这台机器的mac地址变了,那我更新cam表!
更新后的交换机cam表如下:
现在有port1和port2对应的mac地址是一样的。如果现在网关(假设现在port4连接的是网关)来了一个数据包是给机器b(ip是192.168.1.22,mac地址为22-22-22-22-22-22),交换机会顺序查询此刻的cam表来确定该数据包转发去哪个端口!
在查询port1时,发现此端口对应mac地址和数据包里的mac地址相同,交换机直接就把包转发到port1的机器a了,由于该包已转发完毕,交换机继续处理下一个数据包......就这样,数据包又再次落入充满窥探欲望的人手中!
这里也需要注意几个问题:
1).a收到包后,还是需要转发给b的,不然b和外面的对话就中断了。
2).当a把包转发给b时,需要修复交换机的cam表。
当你看完以上这两点注意时,可能会发现利用这种的一些缺陷:
1).a在转发包给b时需要恢复cam表,转发后又要再次欺骗。如果在转发包时,网关来了一个数据给b,此时的cam表是正确的,交换机会把这个数据会直接发给b,a无法监听到这个包,由于每次转发都需要完成以上操作,导致cam表刷新相当频繁,最后的结果是,a监听到的数据很不完整。
2).你接的交换机的端口号决定着你的命运!
如果b接的port1端口,a接的是port2端口,那么,用这种方式,a将永远也嗅探不到b的信息,更悲观的想一下,如果你连接的是这个交换机最后一个端口呢??!:<
3).跨交换机进行嗅探丢包非常多!
看下图:
现在交换机a连接交换机b的port1,机器c连接port2,如果没有机器b的话,机器a还是能比较顺利监听机器到c的信息的,但是有了机器b就不同了,交换机的cam表里port1这条记录,会因为机器a和机器b的发包而经常改变。导致的问题大家也可以想到了。
防止欺骗交换机缓存的方法只有在交换机处绑定port-mac这对信息,但由于这和交换机原先设计的理念有矛盾,故这个是无法实现的,也就是说,没有办法防止,值得一说的是,现在无线网已经兴起了,和集线器时代一样,在无线网络监听别人的信息是不费吹灰之力的事情,无线网的安全也值深思!
以上就是介绍的交换机网络嗅探方法中欺骗交换机缓存的方式,希望这篇文章对大家的学习有所帮助。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!
网友评论