* * *共享网络和交换网络中的网络监控有什么区别？

在* * *共享局域网中窃听所谓* * *共享局域网，是指早期使用HUB作为网络连接设备的传统以太网的结构。在这种结构中，所有机器共用同一条传输线，集线器没有端口的概念，其数据传输方式为“广播”。当集线器收到相应的数据时，它只是将数据发送到它所连接的每条设备线上。例如，如果一台机器发送了一条“我想和小金说话”的消息，所有连接到集线器的设备都会接收到这条消息，但只有名为小金的计算机会接收并处理这条消息，而其他无关的计算机会“悄悄”丢弃这条消息。所以* * *的以太网结构中的数据其实并不私密，只是网卡会“绅士”一点，忽略与自己无关的“八卦”，但很不幸，网卡被设计了“工作模式”的选项，导致了噩梦的发生。每个网卡基本上会有以下几种工作模式:单播、广播、组播和混杂。一般情况下，操作系统会将网卡设置为广播模式。在广播模式下，网卡可以接收广播消息的所有数据帧，例如ARP寻址。此外，它还会忽略目的地址不是自己MAC地址的报文，即只接收发送给自己的数据报文、广播和组播报文。如果网卡设置为单播或组播模式，可能会导致局域网出现异常，因为这两种模式限制了它接收的消息类型；滥交模式是罪恶的根源。在混杂模式下，网卡接收报文中的所有目标MAC地址，不做任何校验，导致无论什么数据经过，都会被网卡接收到的情况。这是监控开始的地方。一般情况下，网卡的工作模式由操作系统设置，没有公共模式供用户选择，限制了普通用户的监控实现。但自从嗅探器家族发展到一定程度，开始有了设定网卡工作模式的权力，矛头直指滥交。任何用户只需勾选相应的选项。他的机器变成了一个耳朵，可以记录局域网内任何机器传输的数据。由于* * *专属局域网的特点，每个人都可以接收到数据，导致不可抗拒的信息泄露。不过最后这种监控方式基本被淘汰了。人们用了什么手段？很简单，局域网结构升级成了“交换式局域网”。2.在交换式局域网中窃听作为与“* * *”相对的“交换式局域网”，其网络连接设备已经被交换机所取代。交换机的聪明之处在于它连接的每台计算机都是独立的。交换机引入了“端口”的概念，它将生成一个地址表，用于存储与其连接的每台计算机的MAC地址。此后，每个网络接口都作为独立端口存在。除了声明为广播或组播的消息，交换机不会允许其他消息像* * * LAN一样以广播的形式发送，所以即使你的网卡设置为混杂模式，也不会接收发送到其他计算机的数据，因为数据的目标地址会在交换机中被识别，然后发送到表中对应地址的端口，永远不会去别人家。这种改进很快扼杀了传统的局域网监控方法，但历史往往证明人是难以征服的...(1)，对交换机的攻击:不知道是谁在MAC flood中最先发现了这种攻击方式，可能是因为交换机的出现破坏了嗅探器的工作，所以一肚子的气。另一种方式是由精明的技术人员进行的实验，想象当交换机的处理器超过它可以承受的信息量时会发生什么。不管从什么角度来看，至少这种攻击模式已经成为现实:所谓MAC flood攻击，就是向交换机发送大量包含虚假MAC地址和IP地址的IP包，使交换机无法处理这么多信息，导致设备无法正常工作。也就是所谓的“失败”模式。在这种模式下，交换机的处理器不再能够正常地分析数据报和构造查找地址表。然后，交换机就会变成一个普通的集线器，无差别地向所有端口发送数据。这种行为被称为“泛洪”，因此攻击者可以嗅到所需的数据。但是使用这种方式会给网络带来大量的垃圾数据包，对于听者来说并不是一件好事。所以MAC泛洪的情况很少，设计了端口保护的交换机在过载时可能会强行关闭所有端口，导致网络中断。因此，现在人们倾向于使用地址解析协议ARP进行欺骗性攻击。(2)地址解析协议导致的噩梦回顾上面提到的局域网寻址方式，我们已经知道两台计算机是依靠MAC地址来完成通信的，与IP地址无关，而目标计算机的MAC地址是通过ARP协议广播获得的，获得的地址会存储在MAC地址表中并定期更新。在此期间，计算机不会广播寻址信息来获取目标MAC地址，这就给了入侵者可乘之机。当一台计算机要向另一台计算机发送数据时，它会首先根据IP地址查询自己的ARP地址表。如果其中没有目标计算机的MAC信息，就会触发ARP广播寻址数据，直到目标计算机返回自己的地址信息。一旦目标计算机的MAC信息存在于这个地址表中，计算机将直接发送这个地址作为数据链路层的以太网地址头包。为了防止MAC地址表保留错误的数据，系统会在指定的周期后清除MAC地址表，重新广播获得一个地址列表，新的ARP广播可以无条件覆盖原来的MAC地址表。假设局域网中有两台电脑A和B在通信，电脑C想以窃听者的身份获取这两台电脑的通信数据，那么它必须想办法把自己插入两台电脑之间的数据线。在这种一对一的交换网络中，计算机C必须成为中间设备，以允许数据通过它。为了实现这个目标，计算机C将开始伪造虚假的ARP消息。ARP寻址报文有两种，一种是发送寻址信息的ARP查询包，源机器用来广播寻址信息，另一种是目标机器的ARP响应包，用来响应源机器的MAC地址。在窃听的情况下，如果计算机C想要窃听计算机A的通信，它将伪造一个带有计算机B的IP地址和计算机C的MAC地址的虚假ARP响应包并发送给计算机A .它导致计算机A的MAC地址表被错误地更新为计算机B的IP与计算机C的MAC地址相对应的情况.这样， 系统通过IP地址获取的MAC地址都属于C机，数据会发送到C机作为监控。 但是这样会造成一种情况，作为原始目标方的计算机B是不会接收到数据的，那么扮演着伪数据接收方角色的计算机C就必须扮演一个转发器的角色，将计算机A发送的数据返回给计算机B，让两台计算机之间的通信正常进行。这样，电脑C就与电脑AB形成了通信链路，但对于电脑A和B来说，电脑C始终是透明的，它们并不知道电脑C在窃听数据传输。只要在计算机A重新发送ARP查询包之前，计算机C及时伪造一个虚假的ARP回复包，就可以维持这个通信链路，从而获得连续的数据记录，同时也不会引起监听者的通信异常。这种由计算机C发起的监听计算机A和B之间数据通信的行为，就是“ARP欺骗”或“ARP攻击”。实际上，现实环境中的ARP欺骗除了嗅探A机的数据外，通常还会嗅探B机的数据，只要C机向A机发送伪装成B机的ARP回复包，同时发送伪装成A机的ARP回复包，就可以作为双向代理插入到它们之间的通信链路中。