Wireshark 教程:网络和密码嗅探器

⚡ 智能摘要

Wireshark 密码嗅探器教程展示了攻击者如何捕获网络传输中的凭据,以及防御者如何阻止他们。本指南将逐步讲解。 Wireshark 捕获、明文 HTTP 分析、MAC 泛洪以及阻止嗅探的加密控制。

  • 🔎 嗅闻是什么: 嗅探器读取局域网或互联网上的底层数据包,以窃取登录信息、文件和聊天流量。
  • 🧭 被动式与主动式: 集线器允许静默被动捕获;交换网络需要主动技术,例如 ARP 欺骗或 MAC 泛洪。
  • 🦈 Wireshark 逐步讲解: 安装 Wireshark 4.x,选择实时界面,捕获,然后筛选 HTTP POST 以读取纯文本表单数据。
  • 🛡️ 防御措施: 使用 HTTPS、SSH、VPN、强大的 Wi-Fi 加密和交换机端口安全来降低嗅探器的有效性。
  • 🤖 人工智能视角: 现代 IDS 和 SIEM 平台应用机器学习技术,可在几秒钟内标记嗅探、ARP 欺骗和 MAC 表溢出等攻击。

Wireshark 密码嗅探器概述

计算机通过网络进行通信。这些网络可以是局域网 (LAN),也可以是连接到互联网的网络。 网络嗅探器是能够捕获底层数据包的程序。 transmit通过网络传输。 攻击者可以分析这些信息,从而发现有价值的细节,例如用户 ID 和密码。

本文将介绍常见的网络嗅探技术、攻击者和道德黑客用于嗅探网络的工具,以及保护网络传输中敏感信息的应对措施。 Wireshark 以下操作步骤仅供教育和授权测试之用。

什么是网络嗅探?

计算机通过使用 IP 地址在网络上广播消息来进行通信。一旦消息在网络上发送,具有匹配 IP 地址的接收计算机就会以其 MAC 地址进行响应。

网络嗅探是拦截通过网络发送的数据包的过程。 它可以通过专用软件、硬件分流器或配置好的端口镜像来实现。嗅探可用于:

  • 捕获登录凭据等敏感数据
  • 窃听聊天信息
  • 捕获已保存的文件 transmit通过网络

以下协议在以明文形式传输登录信息时容易受到嗅探攻击:

  • 远程登录
  • 登录
  • HTTP
  • SMTP
  • NNTP
  • POP
  • 则fTP
  • IMAP

现代的等效协议(HTTPS、SMTPS、IMAPS、SFTP、SSH)会对有效载荷进行加密,因此嗅探器看到的是密文而不是凭据。

被动嗅探和主动嗅探

在了解被动嗅探和主动嗅探之前,让我们先来看一下计算机联网中常用的两种设备:集线器和交换机。

集线器的工作原理是向除发送广播消息的输出端口之外的每个输出端口发送广播消息。 如果 IP 地址匹配,接收计算机就会响应广播。因此,基于中心节点的网段上的每台机器都可以看到每一帧。中心节点运行在网络的物理层(第 1 层)。 OSI模型.

下图说明了集线器的工作原理。

被动嗅探和主动嗅探

交换机的工作原理不同;它将 IP 地址和 MAC 地址映射到物理端口。 帧仅转发到与接收方 MAC 地址匹配的端口,因此局域网上的其他主机看不到这些流量。交换机在数据链路层(第 2 层)运行,并具备路由功能,因此也可以在网络层(第 3 层)运行。

下图说明了开关的工作原理。

被动嗅探和主动嗅探

被动嗅探是指拦截数据包 transmit通过集线器网络传输。 之所以称之为被动攻击,是因为攻击者无需注入流量,这使得攻击难以检测。此外,由于集线器会向网络上的每个主机发送广播消息,因此攻击也很容易实施。

主动嗅探是指拦截数据包 transmit通过交换机的网络传输。 嗅探交换网络主要采用两种技术: ARP中毒 以及 MAC 泛洪攻击。

黑客活动:嗅探网络流量

在这个实际场景中,我们将 使用 Wireshark 嗅探数据包 transmit通过 HTTP 协议我们将捕获本地接口上的流量,然后登录到一个未使用安全通信的示例 Web 应用程序。 Guru99号训练基地 http://www.techpanda.org/.

登录地址为 admin@google.com 密码是 Password2010.

注意: 我们将仅出于演示目的,在我们自己的网络上登录 Web 应用程序。同样的技术也可能泄露与嗅探器位于同一网络上的其他主机的数据包,因此您必须在运行之前获得书面授权。 Wireshark 在任何您无法控制的网络上进行嗅探。嗅探范围不仅限于 techpanda.org; Wireshark 捕获流经接口的 HTTP 和其他协议流量。

热门精选
ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer 是一款强大的策略管理和审计解决方案,旨在增强网络安全性和透明度。它提供对防火墙流量的实时可见性,并有助于……ping 管理员识别安全漏洞、优化规则集并监控带宽使用情况。

访问 ManageEngine

使用嗅探网络 Wireshark

下图展示了完成此练习所需的步骤,避免任何混淆。

使用嗅探网络 Wireshark

下载 Wireshark ,来自 wireshark.org/download.html当前稳定分支是 Wireshark 4.x,运行于 Windows, macOS和Linux。

  • 可选 Wireshark
  • 您将看到以下欢迎屏幕

使用嗅探网络 Wireshark

  • 选择要嗅探的网络接口。本教程使用无线连接;在有线局域网中,请选择以太网适配器。
  • 点击上方所示的开始(鲨鱼鳍)按钮。

使用嗅探网络 Wireshark

使用嗅探网络 Wireshark

  • 登录邮箱是 admin@google.com 密码是 Password2010.
  • 点击提交按钮。
  • 登录成功后应显示以下仪表盘。

使用嗅探网络 Wireshark

  • 切换回 Wireshark 停止实时录制。

使用嗅探网络 Wireshark

  • 仅按类型过滤 HTTP 流量ping HTTP 进入显示筛选栏。

使用嗅探网络 Wireshark

  • 找到“信息”列,查找包含 HTTP 动词 POST 的条目,然后单击它。

使用嗅探网络 Wireshark

  • 日志条目下方有一个面板,其中包含捕获数据的摘要。请查找该行 基于行的文本数据:application/x-www-form-urlencoded.

使用嗅探网络 Wireshark

  • 现在你应该能够读取通过 HTTP 提交到服务器的每个 POST 变量的明文值,包括电子邮件和密码字段。

什么是 MAC 地址泛洪攻击?

MAC 泛洪是一种网络嗅探技术,它用伪造的 MAC 地址泛洪交换机 CAM(MAC 地址)表。 一旦地址表满了,交换机就无法再学习合法的目的地,并开始将数据帧转发到每个端口,充当集线器。攻击者随后就可以在数据包穿越网络时将其捕获。

应对 MAC 泛洪的措施

  • 交换机端口安全。 限制数量 MAC地址 每个端口允许的 MAC 地址数量,粘性学习第一个看到的 MAC 地址,如果超过限制则锁定或关闭端口。
  • 身份验证、授权和计费 (AAA) 服务器 可与 802.1X 配合使用,过滤已发现的 MAC 地址,并仅接受经过身份验证的设备。
  • 动态ARP检测和DHCP休眠ping 缓解与 MAC 泛洪攻击相关的 ARP 欺骗攻击。

嗅探对策

  • 限制对实体介质的访问。 锁定配线架、禁用端口的墙壁插座和分段 VLAN 可以降低嗅探器被安装的可能性。
  • 对传输中的流量进行加密。 HTTPS(TLS 1.3)、SSH、IPsec 和现代 VPN 协议使得攻击者无法读取捕获的数据包。
  • 替换不安全的协议。 从 Telnet 迁移到 SSH的全站范围内从 FTP 转换为 SFTP 或 FTPS,以及从 HTTP 转换为 HTTPS。
  • 加固 Wi-Fi。 使用 WPA3 或 WPA2-AES 并设置强密码,以防止无线嗅探。
  • 使用入侵检测系统进行监控。 诸如 Suricata、Zeek 和等工具 Snort 当出现 ARP 欺骗、MAC 表溢出或混杂接口时发出警报。

人工智能如何加强网络嗅探防御

现代入侵检测和安全信息与事件管理 (SIEM) 平台现在将机器学习技术应用于数据包捕获,以比单独使用规则集更快地检测嗅探相关活动。人工智能会模拟正常的 ARP、DHCP 和 MAC 地址表行为,然后标记异常情况,例如异常的广播流量、重复的 IP 到 MAC 地址映射等。ping或者突然的 CAM 表变更,这表明存在 ARP 中毒或 MAC 泛洪攻击。

大型语言模型还有助于分析师进行分类。 Wireshark Zeek 会以简明易懂的语言总结可疑流量,提出过滤建议,并将观察到的入侵指标 (IOC) 与威胁情报源进行交叉比对,从而记录日志。防御者仍需根据原始捕获数据验证 AI 的分析结果,但在繁忙的网络上,速度提升非常显著。

结语

  • 网络嗅探会拦截网络传输中的数据包,并可能泄露明文凭证。
  • 被动嗅探运行在基于中心节点的网络上,难以检测;主动嗅探针对交换机,更容易被发现。
  • Wireshark 4.x 是本教程中使用的标准开源分析器,用于读取 HTTP POST 数据。
  • MAC 地址泛洪会使交换机 CAM 表过载,导致交换机表现得像集线器一样。
  • 加密(HTTPS、SSH、VPN)、交换机端口安全、WPA3 Wi-Fi 和 AI 辅助监控共同抵消了大多数嗅探攻击。

常见问题

仅限在您拥有或已获得书面授权的网络上进行测试。嗅探他人的网络流量在大多数国家/地区违反了窃听和计算机滥用相关法律,因此务必在实验室环境中操作,或获得网络所有者的书面许可。

默认情况下并非如此。HTTPS 使用 TLS 加密有效负载,因此 Wireshark 显示密文。只有当您控制服务器的私钥或从客户端浏览器导入 SSLKEYLOGFILE 会话密钥时,才能进行解密。

绝大部分储备使用 http.request.method == “POST” 隔离表单提交,或将其与 http 包含“密码” 在授权测试期间,在明文网站上发现可能的凭证流量。

AI模型会建立正常的ARP、DHCP和交换机行为基线,然后标记异常情况,例如重复的MAC地址映射。pings、突然的 CAM 表变更或混杂的接口,比仅签名规则更快地捕获 ARP 欺骗和 MAC 泛洪。

是的。大型语言模型可以总结 pcap 导出内容、建议显示过滤器并解释不寻常的协议,但在采取任何事件响应决策之前,您仍然应该根据原始捕获数据验证结果。

Wi-Fi 捕获需要监听模式和支持的适配器才能读取空中帧,而以太网嗅探则依赖于端口镜像、网络分流器或 ARP 欺骗等主动攻击来查看另一台主机的流量。

端到端加密。全站强制使用 HTTPS,优先使用 SSH 而非 Telnet,Wi-Fi 连接必须使用 WPA3 加密,并将远程会话路由到现代 VPN,以确保捕获到的任何数据包都包含密文而非可用的凭据。

总结一下这篇文章: