交换机网络嗅探方法之欺骗交换机缓存

安全
用ARP欺骗辅助嗅探是一种比较旧的方式,现在的局域网机器很多都装了ARP防火墙!如果机器装了ARP防火墙,ARP欺骗辅助嗅探方式就没用了,那还有其他的方式吗?答案是肯定的,那就是欺骗交换机缓存!看本文的详细分析。

嗅探(sniff),就是窃听网络上流经的数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个MM聊QQ等等......而很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。下面让我们看一下交换机网络嗅探方法中的欺骗交换机缓存的方式:

cncert的一个很出名的会话劫持工具SSCLONE就是采用这种方法进行嗅探的,它的网站上也有专门的文章说明“欺骗交换机缓存”的嗅探方法(见参考资料)。我在这里大概说一下原理吧。

交换机里面有一张CAM表,记录了Mac-Port信息(这个端口对应的机器的MAC地址是什么),MAC信息的获取是:交换机从转发的数据包中提取。所谓欺骗交换机缓存,就是修改这张CAM表以达到欺骗交换机的目的!比如现在有一个4端口的交换机,它的CAM表如下:

  1. port1 -- 11-11-11-11-11-11  
  2.  
  3. port2 -- 22-22-22-22-22-22  
  4.  
  5. port3 -- 33-33-33-33-33-33  
  6.  
  7. port4 -- 44-44-44-44-44-44 

现在port1的机器A(IP是192.168.1.11,MAC地址为11-11-11-11-11-11)想要嗅探port2的机器B(IP是192.168.1.22,MAC地址为22-22-22-22-22-22),怎么办呢?呵呵~流程如下:

机器A对外发送一个数据包,如下:

SrcIP:192.168.1.11 ScrMac:22-22-22-22-22-22

DstIP:xxx.xxx.xxx.xxx(随便写),DstMac:xx-xx-xx-xx-xx-xx(随便写)

此时,交换机收到这个包,发现在原来CAM里面,port1对应的机器MAC地址是11-11-11-11-11-11,怎么现在变为:22-22-22-22-22-22了呢??哦,应该是这台机器的MAC地址变了吧~好!那我更新CAM表!

更新后的交换机CAM表如下:

  1. port1 -- 22-22-22-22-22-22  
  2.  
  3. port2 -- 22-22-22-22-22-22  
  4.  
  5. port3 -- 33-33-33-33-33-33  
  6.  
  7. port4 -- 44-44-44-44-44-44 

现在有port1和port2对应的MAC地址是一样的。如果现在网关(假设现在port4连接的是网关)来了一个数据包是给机器B(IP是192.168.1.22,MAC地址为22-22-22-22-22-22),交换机会顺序查询此刻的CAM表来确定该数据包转发去哪个端口!

在查询port1时,发现此端口对应MAC地址和数据包里的MAC地址相同,交换机直接就把包转发到port1的机器A了,由于该包已转发完毕,交换机继续处理下一个数据包......就这样,数据包又再次落入充满窥探欲望的人手中!

这里也需要注意几个问题:

1).A收到包后,还是需要转发给B的,不然B和外面的对话就中断了。

2).当A把包转发给B时,需要修复交换机的CAM表。

当你看完以上这两点注意时,可能会发现利用这种的一些缺陷:

1).A在转发包给B时需要恢复CAM表,转发后又要再次欺骗。如果在转发包时,网关来了一个数据给B,此时的CAM表是正确的,交换机会把这个数据会直接发给B,A无法监听到这个包,由于每次转发都需要完成以上操作,导致CAM表刷新相当频繁,最后的结果是,A监听到的数据很不完整。

2).你接的交换机的端口号决定着你的命运!

如果B接的port1端口,A接的是port2端口,那么,用这种方式,A将永远也嗅探不到B的信息,更悲观的想一下,如果你连接的是这个交换机最后一个端口呢??!:<

3).跨交换机进行嗅探丢包非常多!

看下图:

交换机网络嗅探方法之欺骗交换机缓存

现在交换机A连接交换机B的port1,机器C连接port2,如果没有机器B的话,机器A还是能比较顺利监听机器到C的信息的,但是有了机器B就不同了,交换机的CAM表里port1这条记录,会因为机器A和机器B的发包而经常改变。导致的问题大家也可以想到了。

防止欺骗交换机缓存的方法只有在交换机处绑定port-mac这对信息,但由于这和交换机原先设计的理念有矛盾,故这个是无法实现的,也就是说,没有办法防止,值得一说的是,现在无线网已经兴起了,和集线器时代一样,在无线网络监听别人的信息是不费吹灰之力的事情,无线网的安全也值深思!

交换机网络嗅探方法中欺骗交换机缓存的方式就为大家叙述完了,如果读者想了解其他的方法请阅读:

 交换机网络嗅探方法之用ARP欺骗辅助嗅探

【编辑推荐】

  1. NetStumbler:免费的Windows 802.11嗅探器
  2. Kismet:一款超强的无线嗅探器
  3. Tcpdump:最经典的网络监控和数据捕获嗅探器
  4. 高手支招 如何发现和防止Sniffer嗅探器
  5. 嗅探器实用工具介绍之NetXray
责任编辑:佚名 来源: 博客园
相关推荐

2011-07-20 10:43:54

2017-05-23 13:57:42

交换机方法网络

2010-01-14 10:43:18

交换机配置交换机种类

2014-06-20 14:02:11

交换机

2024-01-30 11:49:10

交换机网络设备网络操作系统

2010-03-19 10:38:47

传统交换机

2010-01-05 10:14:39

交换机配置TRUNK

2010-01-04 16:52:51

2017-05-23 14:59:54

交换机接口宽带

2009-03-03 09:57:00

网络病毒二层交换机溢出故障

2013-04-09 15:36:19

交换机交换机端口设备端口模式

2010-01-18 15:22:47

交换机MAC地址

2010-01-05 11:24:08

交换机背板带宽

2010-07-16 17:48:55

2009-03-09 10:12:00

交换机VLAN

2010-03-16 11:12:40

智能光纤交换机

2010-01-14 14:38:49

交换机常见术语

2010-01-14 10:00:08

交换机VLAN应用

2010-01-05 09:10:55

交换机网络故障

2023-06-12 11:49:40

网络交换机局域网
点赞
收藏

51CTO技术栈公众号