iT邦幫忙

2024 iThome 鐵人賽

DAY 21
0
Security

腳本小子的滲透測試學習筆記系列 第 21

第21天:CEH第八章監聽

  • 分享至 

  • xImage
  •  

網路嗅探 (Network Sniffing)

封包嗅探 (Packet Sniffing)

  • 封包嗅探是一種透過軟體應用程式或硬體設備,監控與擷取在特定網路中流經的所有資料封包的過程。
  • 它允許攻擊者從某個節點觀察並存取整個網路流量。
  • 封包嗅探能夠幫助攻擊者獲取敏感資訊,例如 Telnet 密碼、電子郵件流量、Syslog 流量、路由器設定、網頁流量、DNS 流量、FTP 密碼、聊天會話以及帳戶資訊等。

嗅探器如何運作 (How a Sniffer Works)

  • 嗅探器會將系統的網路介面卡 (NIC) 設定為混雜模式 (Promiscuous Mode),這樣網卡便能接收該網路區段上所有傳輸的資料。
  • 攻擊者會透過混雜模式來強制交換機 (Switch) 表現得像集線器 (Hub),以便嗅探並擷取所有傳輸的資料。

這樣一來,攻擊者便能監控到整個網路中的所有流量,包括其他設備之間的通信內容,進而取得重要的敏感資訊。


嗅探的類型 (Types of Sniffing)

被動嗅探 (Passive Sniffing)

  • 定義: 被動嗅探是指透過集線器 (Hub) 進行的嗅探,在這種情況下,網路中的所有流量都會被傳送至所有埠口 (Ports)。
  • 運作方式: 這種方法只需監控其他設備發送的封包,而無需在網路中傳送任何額外的資料封包。
  • 網路結構: 在使用集線器來連接系統的網路中,網路上的所有主機都能看到所有流量,因此攻擊者可以輕鬆地擷取通過集線器的所有流量。
  • 注意事項: 使用集線器已經是一種過時的做法。現代大多數的網路結構都改用交換機 (Switch)。
  • 圖示說明: 圖中顯示攻擊者透過集線器 (Hub) 來進行嗅探,集線器將所有網路封包傳送至所有連接的裝置,因此攻擊者可輕鬆擷取所有資料。

主動嗅探 (Active Sniffing)

  • 定義: 主動嗅探用於嗅探基於交換機的網路 (Switch-based Network)。
  • 運作方式: 主動嗅探涉及向網路注入地址解析協議 (Address Resolution Protocol, ARP) 封包,藉此使交換機的內容可定址記憶體 (Content Addressable Memory, CAM) 表格發生泛洪 (Flooding),從而干擾主機與埠之間的連接追蹤。
  • 主動嗅探技術:
    • MAC Flooding: 泛洪交換機的 MAC 位址表,以至於交換機切換至 Hub 模式。
    • DNS Poisoning: 對 DNS 查詢進行毒化,導致目標被重定向至攻擊者控制的伺服器。
    • ARP Poisoning: 透過偽裝 ARP 回應,欺騙目標主機,使其將攻擊者的 MAC 位址綁定至合法 IP。
    • DHCP Attacks: 攻擊 DHCP 協議,使得目標主機無法正常獲取 IP。
    • Switch Port Stealing: 攻擊者發送偽造的 MAC 位址,誘使交換機更新其 CAM 表格。
    • Spoofing Attack: 偽裝合法的網路裝置,欺騙目標主機。
      待補,最近比較沒空

上一篇
第20天:CEH第七章惡意軟體威脅
下一篇
第22天:CEH第九章社交工程
系列文
腳本小子的滲透測試學習筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言