1、第七章 假消息攻擊第七章 假消息攻擊2本章主要內容7.1 假消息攻擊概述7.2 網絡嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊2本章主要內容7.1 假消息攻擊概述3假消息攻擊概述所謂假消息攻擊是指利用網絡協議設計中的安全缺陷，通過發送偽造的數據包達到欺騙目標、從中獲利的目的。3假消息攻擊概述所謂假消息攻擊是指利用網絡協議設計中的安全缺4假消息攻擊概述TCP/IP協議的設計缺陷缺乏有效的信息加密機制，通信內容易被第三方截獲缺乏有效的身份鑒別和認證機制，通信雙方無法確認彼此的身份4假消息攻擊概述TCP/IP協議的設計缺陷

2、5假消息攻擊概述應用層傳輸層網絡層數據鏈路層DNS欺騙IP欺騙ICMP重定向ARP欺騙SSL中間人SYN FloodIP分片攻擊假消息攻擊的類型5假消息攻擊概述應用層傳輸層網絡層數據鏈路層DNS欺騙IP欺6本章主要內容7.1 假消息攻擊概述7.2 網絡嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊6本章主要內容7.1 假消息攻擊概述嗅探嗅探（Sniff）技術是網絡中的竊聽嗅探程序（Sniffer）截獲網絡中傳輸的數據，并從中解析出其中的機密信息嗅探嗅探（Sniff）技術是網絡中的竊聽攻擊者進行嗅探的目的竊取各種用戶名和口

3、令竊取機密的信息如電子郵件正文及附件、網絡打印的文檔等 窺探底層的協議信息如DNS的IP地址、本機IP地址、本機MAC地址，遠程主機的IP地址、網關的IP地址、一次TCP連接的Sequence Numbe中間人攻擊時篡改數據的基礎攻擊者進行嗅探的目的竊取各種用戶名和口令嗅探的正當用途解釋網絡上傳輸的數據包的含義為網絡診斷提供參考為網絡性能分析提供參考，發現網絡瓶頸 發現網絡入侵跡象，為入侵檢測提供參考將網絡事件記入日志嗅探的正當用途解釋網絡上傳輸的數據包的含義嗅探范圍802.3以太網使用廣播信道的網絡，在以太網中所有通信都是廣播的目前的以太網分為共享式以太網和交換式以太網共享式以太網使用同軸電

4、纜或HUB連接交換式以太網使用交換機連接嗅探范圍802.3以太網共享式以太網包轉發0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB發送到C共享式以太網包轉發0260.8c01.11110260.8c主機接收數據以太網卡首先從網絡中接收數據，并在處理完成數據鏈路層的任務后向操作系統的傳遞。主機接收數據以太網卡首先從網絡中接收數據，并在處理完成數據鏈以太網卡的工作原理網卡接收到傳輸來的數據，網卡內的單片程序檢查數據幀的目的MAC地址，根據網卡驅動程序設置的接收模式決定是否接收若不應接收就直接丟棄否則通過中斷的方

5、式通知操作系統以太網卡的工作原理網卡接收到傳輸來的數據，網卡內的單片程序檢以太網卡的偵聽模式偵聽模式是網絡適配器分析傳入幀的目標MAC地址，以決定是否進一步處理它們的方式。單播模式：接收單播和廣播數據幀組播模式：接收單播、廣播和組播數據幀混雜模式：接收所有數據幀以太網卡的偵聽模式偵聽模式是網絡適配器分析傳入幀的目標MAC單播模式單播模式下，網卡只讓與目標MAC地址與自己MAC地址相匹配的數據幀或者廣播數據幀通過，而過濾掉其它的幀。單播模式單播模式下，網卡只讓與目標MAC地址與自己MAC地址混雜模式混雜（promiscuous）模式下工作的網卡能夠接收到一切通過它的數據，而不進行數據的目的地址檢

6、查，即不再進行硬件過濾。混雜模式混雜（promiscuous）模式下工作的網卡能夠接交換式以太網交換式以太網是使用交換機組建的局域網交換機使用端口和MAC地址對應表進行數據轉發，根據數據包的目的MAC地址，選定目標端口E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.4444交換式以太網交換式以太網是使用交換機組建的局域網E0: 0交換式以太網包轉發E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c

7、01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX交換式以太網包轉發E0: 0260.8c01.1111MA交換式以太網嗅探MAC洪泛 MAC洪泛是向交換機發送大量含有虛構MAC地址和IP地址的IP包，使交換機無法處理如此多的信息，致使交換機進入了所謂的“打開失效”模式，也就是開始了類似于Hub的工作方式，向網絡上所有的機器廣播數據包。交換式以太網嗅探MAC洪泛 交換式以太網嗅探MAC欺騙 攻擊者通過將源MAC地址偽造為目標主機的源MAC地址，并將這樣的數

8、據包通過交換機發送出去，這使得交換機不斷地更新它的MAC端口映射表，從而讓交換機相信攻擊者主機的MAC地址就是目標主機的MAC地址，交換機就會把本應發送給目標主機的數據包發送給攻擊者。交換式以太網嗅探MAC欺騙 交換式以太網嗅探ARP欺騙 攻擊者通過對網關和目標主機進行ARP欺騙，就可以截取到兩者之間的通信數據，從而達到在交換式局域網中嗅探的目的。交換式以太網嗅探ARP欺騙 協議還原協議還原即是將離散的網絡數據根據協議規范重新還原成可讀的協議格式。 主機封包嗅探器抓包嗅探器組包協議還原協議還原即是將離散的網絡數據根據協議規范重新還原成可主機封包協議頭和協議層的對應關系應用層數據TCP包頭IP包頭MAC幀頭應用層傳輸層數據鏈路層網絡層主機封包協議頭和協議層的對應關系應用層數據TCP包頭IP包頭主機封包處理實體協議層次協議 應用程序應用層協議HTTP / FTP / SMTP / SNMP / POP3操作系統 傳輸層協議TCP / UDP網絡層協議ICMP / IP 以太網卡數據鏈路層協議 802.3以太網協議物理層協議 主機封包處理實體協議層次協議 應用程序應用層協議HTTP /主機封包主機封包嗅探器組包嗅探器組包嗅探的檢測嗅探器的檢測比較困難商業嗅探器向外發送的數據包向主機