3-2019051113-陈俊文-网络监听1

【网络监听原理与实践】 网络监听，也称为嗅探，是一种技术手段，允许攻击者捕获网络上的数据包，以获取通信信息。本实验“网络监听1”旨在深入理解网络监听的原理，以及如何在交换环境下实施监听。实验中涉及的主要知识点包括交换机的工作机制、MAC地址欺骗以及嗅探软件的使用。 1. **交换机工作原理**： - 交换机内部维护了一个MAC-PORT表，用于记录每个主机MAC地址与其连接的端口关系。 - 当交换机接收到数据帧，会查找目的MAC地址，将其转发到对应端口。若目的MAC未知，则广播到所有端口，并将源MAC地址添加到MAC-PORT表中。 - 交换机支持多个端口间的并发数据传输，并定期更新MAC-PORT表。 2. **MAC地址欺骗**： - 攻击者通过伪造源MAC地址，欺骗交换机的MAC-PORT表，使交换机误认为攻击者就是目标主机，从而将目标主机的数据包转发给攻击者。 - 这种欺骗监听方法依赖于交换机对MAC-PORT表的管理机制，即定时删除和更新映射。 3. **实验环境**： - 实验设备包括三台PC，分别作为监听者（PC1）、被监听者（PC2）和消息发送者（PC3），它们通过交换机互连。 - PC1的IP地址为10.1.50.25，其他PC的IP和MAC地址也有明确配置。 4. **实验步骤**： - 攻击者PC1将自己的MAC地址改为被监听者PC2的地址。 - PC3向PC2发送ping请求，PC2使用Wireshark抓包，同时PC1也在监听。 - 查看交换机MAC-PORT表，确认PC1和PC2的MAC地址相同。 - 通过比较PC1和PC2的抓包结果，发现PC1也能收到PC3的ICMP报文，但不会回应，而PC2会回应。 5. **实验总结与思考**： - 仅截获ICMP报文可能引发怀疑，攻击者需通过ARP请求诱使目标主机发送回复报文，以保持欺骗的有效性。 - MAC-PORT表会动态更新，因此持续欺骗的频率需高于目标主机发送ARP报文的频率。 此实验不仅让参与者理解了网络监听的基本概念，还实际操作了嗅探软件如Wireshark，加深了对交换机工作原理和MAC欺骗的理解。同时，实验揭示了网络监听可能带来的安全风险，提醒我们在设计网络防御策略时必须考虑到这些潜在威胁。