1. 以太网嗅探原理
以太网环境下的嗅探本身是比较简单的 , 只要网卡能设置成混杂模式且有数据包到达网卡 , 则可用多种方法捕捉数据包并进行各种协议分析 。在Linux下可用RAW套接字 , SOCK_PACKET套接字 , LIBPCAP函数包等方法捕捉数据包 , 典型的应用程序如TCPDUMP , LINUX_SNIFFER等 。
在共享型以太网中 , 上述两个条件显然是满足的 。所有的主机都连接到HUB , 而HUB对数据包传输形式是广播 。这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到 。因此在这样的环境中 , 任何设置成混杂模式的主机 , 都可以捕捉发送给其它主机的数据包 , 从而窃听网络上的所有通信 。
在交换型以太网中 , 上述条件2是不满足的 。所有的主机连接到SWITCH , SWITCH比HUB更聪明 , 它知道每台计算机的MAC地址信息和与之相连的特定端口 , 发给某个主机的数据包会被SWITCH从特定的端口送出 , 而不是象HUB那样 , 广播给网络上所有的机器 。这种传输形式使交换型以太网的性能大大提高 , 同时还有一个附加的作用:使传统的嗅探器无法工作 。
综上所述 , 交换型网络环境嗅探的核心问题是:如何使本不应到达的数据包到达本地 。通常的方法有MAC洪水包和ARP欺骗 。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包 , 使交换机无法处理如此多的信息 , 致使交换机就进入了所谓的"打开失效"模式 , 也就是开始了类似于集线器的工作方式 , 向网络上所有的机器广播数据包 。(具体实现请参阅Dsniff中的macof)本文中 , 我们将要具体分析ARP欺骗模式 。
2. 相关协议数据包格式
以太数据包格式:
类型0800 :IP数据包
类型0806 :ARP数据包
ARP数据包格式:
ARP数据包简化格式
为了论述的简洁性 , 我们把ARP数据包格式做一些简化 。目的端MAC地址 源MAC地址 ARP包类型 发送端MAC地址 发送端IP地址 目的端MAC地址 目的端IP地址
3. 实验环境
为了更清楚的描述交换网络的嗅探原理 , 我们建立一个虚构的交换网络环境 , 在下面的论述中将用到这些数据.
4. ARP协议原理
在以太网中传输的数据包是以太包 , 而以太包的寻址是依据其首部的物理地址(MAC地址) 。仅仅知道某主机的逻辑地址(IP地址)并不能让内核发送一帧数据给此主机 , 内核必须知道目的主机的物理地址才能发送数据 。ARP协议的作用就是在于把逻辑地址变换成物理地址 , 也既是把32bit的IP地址变换成48bit的以太地址 。
每一个主机都有一个ARP高速缓存 , 此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系 。假如本机想与某台主机通信 , 则首先在ARP高速缓存中查找此台主机的IP和MAC信息 , 假如存在 , 则直接利用此MAC地址构造以太包;假如不存在 , 则向本网络上每一个主机广播一个ARP请求包 , 其意义是"假如你有此IP地址 , 请告诉我你的MAC地址" , 目的主机收到此请求包后 , 发送一个ARP响应包 , 本机收到此响应包后 , 把相关信息记录在ARP高速缓存中 , 以下的步骤同上 。
可以看出 , ARP协议是有缺点的 , 第三方主机可以构造一个ARP欺骗包 , 而源主机却无法分辨真假 。
5. ARP欺骗原理
假设B(2.2.2.2)要与A(1.1.1.1)通信 , 且B的ARP高速缓存中没有关于A的MAC信息 , 则B发出ARP请求包 。
此时 , B的ARP高速缓存中关于A的记录为(1.1.1.104:04:04) , 则B向A发IP包实际上是发到我的主机(4.4.4.4 , 04:04:04) 。同理 , 假如我进一步欺骗A , 让A的ARP高速缓存中关于B的记录为(2.2.2.204:04:04) , 则A向B发IP包实际上也是发到我的主机(4.4.4.4 , 04:04:04) 。最后 , 我让本机打开数据包转发 , 也既是充当路由器 , 则A , B之间能正常通信 , 但我能全部捕捉到相关数据 。
推荐阅读
- LAPB、X.25和X.25交换配置命令
- 交换机应用点概要
- 华为交换机端口监听配置
- 上海有线网络IP优化&SDH&三层交换网络集成
- 华为交换机端口镜像配置
- 华为交换机中小企业或大企分支机构的常用配置
- 交换机WEB网管配置
- 华为交换机ip mac 端口绑定!!
- 交谈名词解释 交谈的定义
- 软交换技术备战下一代通信网络探讨