第2章 黑客常用的攻击方法
1
计算机网络安全技术
网络监听技术
第2章 黑客常用的攻击方法 Nhomakorabea2

网络监听指黑客在网络中监听他人的 数据包，分析数据包，从而获得一些 敏感信息，如账号和密码等。 网络监听也是网管用来监视网络的状

态、数据流动情况以及传输的信息等
工具。

网络监听工具称为Sniffer，有硬件和



网络故障诊断分析工具
网络性能优化、管理系统
它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能 和规划网络的发展。
网络监听技术
网卡工作原理
第2章 黑客常用的攻击方法
4
网卡先接收数据包头部的目的MAC 地址，根据网卡设置的接收模式判 断该不该接收（正常情况下接收自 己的），如需接收就在接收后通知 CPU；如不接收就直接丢弃。CPU
数据包就经由假的网关转发到了黑客 主机，黑客从中获取需要信息。
欺骗网络中某台主机，使其数据包发
生错误的转发，从而达到监听目的。
网络监听技术
ARP欺骗攻击
第2章 黑客常用的攻击方法
11

IP为10.3.40.59的黑客主机对IP为10.3.40.5 的主机进行ARP欺骗，被欺骗的主机上网
ARP欺骗前数据流向
混杂模式
能够接收网络中的广 播信息。
只接收目的地址是自 己MAC的数据。
能够接收到一切通过 它的数据。
网络监听技术
HUB共享工作模式
第2章 黑客常用的攻击方法
6
HUB工作模式下的监听
网络监听技术
交换机网络工作模式
第2章 黑客常用的攻击方法
7
交换机网络工作模式下的监听
网络监听技术
sniffer实现监听需要：
时，本该直接发往网关10.3.40.254的数据
包发给了黑客主机10.3.40.59,经由黑客主 机再发给网关，网关发给主机10.3.40.5的
被欺骗计算机 10.3.40.5
网关 10.3.40.254
ARP欺骗后数据流向
数据包也同样经由黑客主机中转，黑客主
机完全监听了主机10.3.40.5的网络通信。

欺骗工具SwitchSniffer可实施ARP欺骗。
黑客计算机 10.3.40.59
网络监听技术
ARP欺骗的检测和防范
网络存在大量ARP响应包
第2章 黑客常用的攻击方法
12

ARP命令静态绑定网关
ARP防火墙 加密传输数据、使用VLAN技术细 分网络拓扑，可以降低ARP欺骗攻 击的危害后果
第2章 黑客常用的攻击方法
9
网络监听技术
第2章 黑客常用的攻击方法
10
网络监听之ARP欺骗技术
ARP是地址解析协议，将网络层IP地
ARP欺骗是黑客常用的攻击手段之一，
黑客通常用自己主机的MAC地址假冒
址转换为以太网使用的MAC地址。
ARP欺骗就是使用伪造的假MAC地址
网络网关地址，这样内网发往外网的
软件两种。硬件Sniffer也称为网络分
析仪。
网络监听技术
第2章 黑客常用的攻击方法
3
什么是 Sniffer ?

Sniffer原理
Sniffer，中文可以翻译为嗅探器,
也就是我们所说的数据包捕获器。 网络通信监视软件
Sniffer工作原理就是更改网卡工作模式，
利用网卡混杂模式接收一切所能接受的 数据，从而捕获数据包，分析数据包。 达到网络监听目的。
得到接收信号，调用驱动程序接收
数据，并放入内存供操作系统进一 步处理。
网络监听技术
网卡的工作模式
第2章 黑客常用的攻击方法
5
广播方式
Broad Cast Model
在此添加标题 MultiCast Model
能够接收组播数据， 无论是否组内成员。
组播方式
直接方式
Direct Model
Promiscuous Model
第2章 黑客常用的攻击方法
8
1 2
3
把网卡置于混杂模式 捕获数据包
分析数据包
1 3
2
网络监听技术
网络监听的检测和防范 划分VLAN进行合理的网络分段。 避免明文传输口令，用SSH/SSL建立加 密连接，保证数据传输安全。 Sniffer通常被用来入侵系统后收集信息， 因此防止系统被突破可以避免网络监听。 将共享式网络升级为交换式网络。 AntiSniff 工具用于检测局域网中是否有 机器网卡处于混杂模式 （不是免费的）。