-
进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器,以恰当地捕捉网络数据。通常把这个过程称为监听网络线路。
-
安置嗅探器首先需要考虑到种类繁多的用来连接网络的硬件设备,由于网络上主要的3种设备(集线器,交换机,路由器)对网络流量的处理方式都不相同,因此你必须非常清楚所分析网络使用的是哪些硬件设备。
-
捕获网络线路上数据包的几种方式:
- 混杂模式
- 在集线器连接网络中嗅探
- 在交换式网络中进行嗅探
- 在路由网络环境中进行嗅探
1,混杂模式
- 混杂模式是一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。
- 需要网卡支持。
- 由于广播流量,对于客户端来说,接收到并非以它们的地址作为目标的数据包是很常见的。
- 一个广播域(也就是一个网络段,其中任何一台计算机都可以无须经过路由器,直接传送数据到另一台计算机)是由几台计算机组成的,但广播域中仅仅只有一台客户端应该对传输的ARP广播请求包感兴趣。而一旦网络上的每台计算机都处理和回应ARP广播包的话,那么网络的性能将变得非常的糟糕。
- 网卡的混杂模式可以确保能够捕获所有的网络流量。一旦工作在混杂模式下,网卡将会把每一个它所看到的数据包都传递给主机的处理器,而无论数据包的目的地址是什么。一旦数据包到达CPU,它就可以被一个数据包嗅探软件捕获并进行分析。
2,在集线器连接网络中嗅探
-
流经集线器的所有网络数据包都会被发送到每一个集线器连接的端口。
-
分析一台连接到集线器上的计算机的网络通信,只需将数据包嗅探器连接到集线器的任意一个空闲端口上。这样你就可以看到所有从那台计算机流入流出的网络通信,以及其他接入集线器的所有计算机之间的通信。
-
当你的嗅探器连接到一个集线器网络时,你对本地网络的可视范围是不受限制的。
可视范围:表示你在数据包嗅探器中能够看到通信流量的主机范围。
-
集线器现已基本淘汰,因为在集线器网络中,在任意时刻里,只有一个设备可以通信。因此,通过集线器连接的设备必须与其他设备进行竞争,才能取得带宽来进行通信,当两个或多个设备同时通信时,数据包就会产生冲突碰撞,结果可能是丢包。当通信流量水平和碰撞概率增加时,设备需要传输每个数据包3次甚至4次,大大降低了网络性能。
3,在交换式网络中进行嗅探
- 将嗅探器连接到交换机上的一个端口时,你将只能看到广播数据包,及由你自己电脑传输与接收的数据包。
- 在一个交换式网络中从一个目标设备捕获网络流量的基本方法有如下4种:
- 端口镜像
- 集线器接出(hubbing out)
- 使用网络分流器
- ARP缓存污染攻击
3.1,端口镜像
- 为了使用端口镜像,你必须能够通过命令行或Web管理界面来访问目标设备所连接的交换机,并且这个交换机还必须支持端口镜像的功能,并且有一个空闲的端口,可以插入嗅探器。
- 要使用端口镜像,你需要发出一个命令,来强制交换机将一个端口上的所有通信都镜像到另一个端口上。
- 设置端口镜像的具体方法取决于不同的交换机厂商。对于大多数的交换机,需要登录到命令行界面,然后输入端口镜像命令。
3.2,集线器输出
- 将目标设备和分析系统分段到同一网络段中,然后把它们直接插入到一个集线器上。
- 在大多数情况下,集线器输出会将目标设备的全双工变成半双工。
3.3,使用网络分流器
- 可以将其放置在网络布线系统的两个端点之间,来捕获这两个端点之间的数据包。
- 网络分流器分为2种基本类型:聚合的和非聚合的。两者的根本区别在于:非聚合的网络分流器有4个端口,而聚合分流器则只有3个端口。
1,聚合的网络分流器
- 只有一个物理的流量监听口,来对双向通信进行嗅探。
- 使用步骤:
- 从交换机上拔下目标计算机的网线。
- 将连接目标计算机网线的另一端插入到网络分流器的“in”端口中。
- 将另一根网线的一端插入到网络分流器的“out”端口,并将另一端插入到网络交换机。
- 将最后一根网线的一端插入网络分流器的“Monitor”端口,并将另一端插入到你作为嗅探器使用的电脑上。
2,非聚合的网络分流器
- 相对聚合式而言,非聚合式在进行流量捕获时有着更好的灵活性。
- 非聚合式的网络分流器有着两个监听端口。一个监听端口用来嗅探流出方向的网络流量(从电脑连接到分流器的方向),另一个监听端口用来嗅探流入方向的网络流量(从分流器端口到电脑的方向)。
- 使用步骤:
- 从交换机上拔下计算机连接网线。
- 将网线的一端插入计算机,另一端插入到网络分流器的“in”端口上。
- 将另一根网线的一端插入到网络分流器的“out”端口,然后将另一端插入到网络交换机上。
- 将第三根网线插入到网络分流器的“Monitor A”端口,并将另一端插入到你作为嗅探器使用电脑的一块网卡接口上。
- 将最后一根网线插入到网络分流器的“Monitor B”端口,并将另一端插入到你作为嗅探器使用电脑的第二块网卡接口上。
3,如何选择合适的网络分流器
- 在大多数情况下,聚合的网络分流器是首选,因为它们需要较少的网线,同时在嗅探器计算机上也不需要两块网卡。
- 在你需要捕获高带宽的流量,或是只需要关注一个方向上的流量时,非聚合的网络分流器会更加适用。
3.4,ARP缓存污染
1,ARP查询过程
- 按照行业标准术语,我们将第三层寻址方案称为IP寻址系统。网络上的所有设备相互通信时在第三层上均使用IP地址。由于交换机在OSI模型的第二层上工作,它们只识别第二层上的MAC地址,因此网络设备必须在它们创建的数据包中包含这些信息。当这些设备在不知道通信对方的MAC地址时,必须要通过已知的第三层IP地址来进行查询,这样才可能通过交换机将流量传递给相应的设备。
- 上面的过程就是通过第二层上的ARP协议来实施的。连接到以太网网络上计算机的ARP查询过程,是从一台计算机想要与另一台进行通信时开始的。发起通信的计算机首先检查自己的ARP缓存,查看它是否已经有对方IP地址对应的MAC地址。
- 如果不存在,它将往数据链路层广播地址FF:FF:FF:FF:FF:FF发送一个ARP广播请求包,作为一个广播数据包,它会被这个特定的以太网广播域上的每台计算机接收,这个请求包问道:“某某IP地址的MAC地址是什么?”
- 没有匹配到目标IP地址的计算机会简单地选择丢弃这个请求包。而目标计算机则选择答复这个数据包,通过ARP应答告知它的MAC地址。此时,发起通信的计算机就获取到了数据链路层的寻址信息,便可以利用它与远端计算机进行通信,同时将这些信息保存在ARP缓存中,来加速以后的网络访问。
2,ARP缓存污染是如何工作的
- ARP缓存污染,也被称为ARP欺骗,是一种在交换网络中监听流量的高级方法。这种方法通过发送包含虚假MAC地址的ARP消息,来劫持其他计算机的流量。
- ARP缓存污染是一种在交换式网络中进行监听的高级技术。它通常由攻击者使用,向客户端系统发送虚假地址的数据包,来截获特定的网络流量,或者对目标进行拒绝服务攻击(DoS)。然而,它也可以是一种在交换式网络中捕获目标系统数据包的方法。
4,在路由网络环境中进行嗅探
- 所有在交换式网络中用来监听网络线路的技术在路由网络环境中都同样适用。面对路由网络环境时,唯一需要重点考虑的问题是,当你调试一个涉及多个网络分段的故障时,如何安装你的嗅探器?
- 一个设备的广播域一直延伸,直到到达一个路由器,在这个点上,网络流量将会被转发给上游路由器。
- 在网络数据必须经过多个路由器的情况下,在各个路由器上分析网络流量是非常重要的。如:在网络中由几个路由器将几个网络分段连接在一起。在这个网络中,每个网段与上游网段进行通信,来获取和存储数据。
5,部署嗅探器的指导准则
| 技术 | 指导准则 |
|---|---|
| 端口镜像 | 通常是首选的,因为它不会留下网络脚印痕迹,也不会因此而产生额外的数据包。 可以在不让客户端脱机下线的情况下进行配置,非常便于镜像路由器或服务器端口。 |
| 集线器输出 | 当你不需要考虑主机暂时下线带来的后果时适用。 当你必须捕获多台主机的流量时是低效率的,因为碰撞和丢包会导致性能低下。 可能会导致现代的100/1000Mbit/s主机丢失数据包,因为大多数真正的集线器都只是10Mbit/s的。 |
| 使用网络分流器 | 当你不需要考虑主机暂时下线带来的后果时适用。 当你需要嗅探光纤通信时,这是唯一选项。 由于网络分流器就是为了网络监听嗅探而设计的,而且能够跟上现代网络速度,因此这种方法比起集线器输出要更优一些。 在预算紧张时,这种方法的成本会过于高昂。 |
| ARP缓存污染 | 这会被认为是非常草率的,因为它涉及网络上注入数据包,并通过重路由网络流量流经你的嗅探器。 在你需要一个暂时性快速实施的方法,能够将一个设备的网络流量进行捕获,而又不用将其下线,同时端口镜像又不被支持的时候,这种方法会是一个高效的选择。 |
| 直接安装 | 一般不建议,因为如果一台主机存在故障和问题,这个问题可能会导致数据包被丢弃,或是被配置成它们无法被准确展示的样子。 主机的网卡不需要设置在混杂模式。 在进行环境测试,评估和审查性能,或是检查在其他地方捕获的数据包文件时,这是最佳方案。 |