1、

（1）Why要內(nèi)網(wǎng)滲透：安全機(jī)制嚴(yán)，正面突破難；內(nèi)網(wǎng)間信任，攻擊更容易。

（2）內(nèi)網(wǎng)滲透技術(shù)：嗅探、假消息攻擊

（3）嗅探Sniff技術(shù)是網(wǎng)絡(luò)中的竊聽。嗅探程序Sniffer截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，從中解析出其中的機(jī)密信息

（4）攻擊者利用嗅探：竊取各種用戶名和口令、竊取機(jī)密信息、窺探底層的協(xié)議信息、中間人攻擊時(shí)篡改數(shù)據(jù)

正當(dāng)用途 --> 網(wǎng)管（快速診斷網(wǎng)絡(luò)）

（5）本課關(guān)于嗅探的討論范圍 --> 802.3以太網(wǎng)：使用廣播信道的網(wǎng)絡(luò)，在以太網(wǎng)中所有通信都是廣播的。

以太網(wǎng)分為：共享式以太網(wǎng)——使用同軸電纜或HUB鏈接（集線器）；交換式以太網(wǎng)——使用交換機(jī)鏈接

現(xiàn)在共享式以太網(wǎng)已無。路由器也是交換機(jī)，含了路由功能，一般交換機(jī)沒有路由功能。

2、

（1）以太網(wǎng)卡的工作原理

（網(wǎng)卡接收傳輸來的數(shù)據(jù) --> 物理層）

（2）以太網(wǎng)卡的偵聽模式

偵聽模式是網(wǎng)絡(luò)適配器分析傳入幀的目標(biāo)MAC地址，決定是否進(jìn)一步處理他們的方式。

① 單播模式：接收單播或廣播數(shù)據(jù)幀

② 組播模式：接收單播、廣播、組播數(shù)據(jù)幀

③ 混雜模式：接收所有數(shù)據(jù)幀

嗅探（不過濾） --> 混雜模式。點(diǎn)擊wireshark時(shí)，后臺(tái)將網(wǎng)卡的接收模式改為混雜模式。

3、Sniffer程序的三個(gè)模塊：網(wǎng)絡(luò)數(shù)據(jù)驅(qū)動(dòng)（捕獲數(shù)據(jù)包）、協(xié)議還原（分析數(shù)據(jù)包）、緩沖區(qū)管理（管理緩沖區(qū)）

Windows環(huán)境下的包捕獲：

① ?使用WinSock編程接口：創(chuàng)建原始套接字，使用WSAIoctl函數(shù)將套接字設(shè)置為接收所有數(shù)據(jù)。

② 使用Winpcap。

4、交換式以太網(wǎng)

交換式以太網(wǎng)是用交換機(jī)組件的局域網(wǎng)，首屏幕和戴姆勒皮饑餓MAC地址對應(yīng)表（交換表）進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，根據(jù)數(shù)據(jù)包的目的MAC地址，選定目標(biāo)端口。

交換機(jī)收到包，查表，轉(zhuǎn)發(fā)給相應(yīng)的端口，對嗅探有很大的影響，只能收自己的包了。

在交換式以太網(wǎng)中實(shí)現(xiàn)嗅探：①硬件接入 --> ARP假消息攻擊 --> 攻擊只能交換機(jī)將端口配置為鏡像端口。

5、無線局域網(wǎng)中的嗅探

無線局域網(wǎng)：不采用傳統(tǒng)電纜線的同時(shí)，提供傳統(tǒng)有線局域網(wǎng)的所有功能。

無線局域網(wǎng)的嗅探：搜索無線網(wǎng)絡(luò) ?--> ?嗅探無線數(shù)據(jù)包

6、協(xié)議還原：將離散的網(wǎng)絡(luò)數(shù)據(jù)根據(jù)協(xié)議規(guī)范重新還原成可讀的協(xié)議格式。

主機(jī)封包? -->? 嗅探器抓包? -->? 嗅探器組包

左邊為主機(jī)封包；右邊為嗅探器組包。

7、

（1）嗅探的防范

針對廣播信道 ?--> 減小廣播域： 使用網(wǎng)絡(luò)分段、用交換機(jī)代替HUB

針對明文傳輸 ?--> ?數(shù)據(jù)加密

（2）嗅探的檢查

比較困難，因?yàn)樾崽狡魇潜粍?dòng)攻擊，是不發(fā)包的。

① 交換機(jī)中的方法：端口和MAC對應(yīng)關(guān)系的交換表，若要嗅探會(huì)改變交換表 ?--> 會(huì)頻繁出現(xiàn)兩個(gè)mac搶一個(gè)端口。

② 若是網(wǎng)管，可以看到各個(gè)主機(jī)，可以通過網(wǎng)卡的接收模式。

③ 發(fā)送一些特殊地址的數(shù)據(jù)包