網路嗅探 (Network Sniffing)

封包嗅探 (Packet Sniffing)

• 封包嗅探是一種透過軟體應用程式或硬體設備，監控與擷取在特定網路中流經的所有資料封包的過程。
• 它允許攻擊者從某個節點觀察並存取整個網路流量。
• 封包嗅探能夠幫助攻擊者獲取敏感資訊，例如 Telnet 密碼、電子郵件流量、Syslog 流量、路由器設定、網頁流量、DNS 流量、FTP 密碼、聊天會話以及帳戶資訊等。

嗅探器如何運作 (How a Sniffer Works)

• 嗅探器會將系統的網路介面卡 (NIC) 設定為混雜模式 (Promiscuous Mode)，這樣網卡便能接收該網路區段上所有傳輸的資料。
• 攻擊者會透過混雜模式來強制交換機 (Switch) 表現得像集線器 (Hub)，以便嗅探並擷取所有傳輸的資料。

這樣一來，攻擊者便能監控到整個網路中的所有流量，包括其他設備之間的通信內容，進而取得重要的敏感資訊。

嗅探的類型 (Types of Sniffing)

被動嗅探 (Passive Sniffing)

• 定義: 被動嗅探是指透過集線器 (Hub) 進行的嗅探，在這種情況下，網路中的所有流量都會被傳送至所有埠口 (Ports)。
• 運作方式: 這種方法只需監控其他設備發送的封包，而無需在網路中傳送任何額外的資料封包。
• 網路結構: 在使用集線器來連接系統的網路中，網路上的所有主機都能看到所有流量，因此攻擊者可以輕鬆地擷取通過集線器的所有流量。
• 注意事項: 使用集線器已經是一種過時的做法。現代大多數的網路結構都改用交換機 (Switch)。
• 圖示說明: 圖中顯示攻擊者透過集線器 (Hub) 來進行嗅探，集線器將所有網路封包傳送至所有連接的裝置，因此攻擊者可輕鬆擷取所有資料。

主動嗅探 (Active Sniffing)

• 定義: 主動嗅探用於嗅探基於交換機的網路 (Switch-based Network)。
• 運作方式: 主動嗅探涉及向網路注入地址解析協議 (Address Resolution Protocol, ARP) 封包，藉此使交換機的內容可定址記憶體 (Content Addressable Memory, CAM) 表格發生泛洪 (Flooding)，從而干擾主機與埠之間的連接追蹤。
• 主動嗅探技術:
  • MAC Flooding: 泛洪交換機的 MAC 位址表，以至於交換機切換至 Hub 模式。
  • DNS Poisoning: 對 DNS 查詢進行毒化，導致目標被重定向至攻擊者控制的伺服器。
  • ARP Poisoning: 透過偽裝 ARP 回應，欺騙目標主機，使其將攻擊者的 MAC 位址綁定至合法 IP。
  • DHCP Attacks: 攻擊 DHCP 協議，使得目標主機無法正常獲取 IP。
  • Switch Port Stealing: 攻擊者發送偽造的 MAC 位址，誘使交換機更新其 CAM 表格。
  • Spoofing Attack: 偽裝合法的網路裝置，欺騙目標主機。
    待補，最近比較沒空