文档介绍:会计学
1
木马的信息窃取技术
主要内容
木马的重要功能之一是获取被攻击目标主机及其所在网络的敏感信息
木马的信息窃取技术包括三种技术
嗅探技术
信息采集技术
行为采集技术
第1页/共33页
嗅探技术概述
嗅探技术,是一种常用的收集有用数据信息的网络监听方法,是网络安全攻防技术中很重要的一种
嗅探器(sniffer)作为嗅探技术的一种技术实现,最初是网络管理员检测网络通信的一种工具,是利用计算机的网络接口截获 目的地为其他计算机的 数据报文的一种工作
一个装载了嗅探器的木马,通过对嗅探获得的数据进行分析处理,可以获得整个网络的网络状态、数据流动和个人主机的帐户等敏感信息,为后续的攻击做好充分准备
第2页/共33页
嗅探技术原理
以太网
计算机与局域网的连接通过主机机箱内的网卡
网卡负责打包数据报为帧(数据传输的最小单位)发送到局域网,同时接收来自局域网的帧并交付网络层处理
以太网网卡一般具有四种接收工作模式:
广播模式(Broadcast):物理地址(MAC)地址是 0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧,类似于有线电视信号
多播模式(Multicase):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员
直接模式(Directory):只接收目的地址为本机MAC地址的数据包,如网页浏览
混杂模式(Promiscuous):接收局域网内的所有数据包,网管用于分析局域网
网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的
第3页/共33页
嗅探技术原理
ARP协议
IP地址是主机在网络层中的地址,数据链路层无法识别IP地址,但网卡、交换机等都工作在数据链路层,所以如果想要将网络层中的数据报交给目的主机,必须要在数据链路层封装为有MAC地址的帧后才能发送,但是32bit的IP地址和48bit的MAC地址之间没有可推算的简单映射关系
ARP协议就是将某个IP地址解析为对应的MAC地址的协议。每个主机都设有一个ARP高速缓存,存放局域网中主机的IP地址和MAC地址对儿
当两台主机进行通信时,通过查询ARP缓存表来进行IP地址到MAC地址的转换,缓存表中不存在查找项时,运行ARP广播查找目标主机的MAC地址
ARP缓存表中的每一个映射地址项都有生存时间,进行定时更新
可用ARP –A命令查看本机所维护的缓存表,结合Ping使用,可看到相应机器的MAC地址
第4页/共33页
嗅探技术原理
共享式网络的嗅探技术
局域网的共享特性决定了嗅探能够成功
由于局域网是基于广播方式传送数据的,所有的数据报都会被送到每一主机节点,当主机节点网卡设为混杂模式时,无论监听到的数据帧目的地址如何,网卡都能予以接收
在局域网中,集线器采用广播的形式传输数据,即向所有端口传送数据
第5页/共33页
第6页/共33页
嗅探技术原理
交换式网络的嗅探技术
交换机维护一张地址映射表
地址映射表记录网络节点与MAC地址的对应关系,当需要向目的地址发送数据时,交换机在地址映射表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送;如果没有找到匹配项,交换机可能会向除接收端口外的所有端口发送该数据报
第7页/共33页
第8页/共33页
嗅探技术原理
在交换式网络环境下,要想达到嗅探的目的,可以有三个攻击点:
交换机
目标主机
改变自己
第9页/共33页