在当前信息化社会,无纸化办公已是大势所趋。在单位里,电子邮箱、FTP服务器、OA系统、电子审批系统等,均成为工作中必不可少的工具。其中,个人密码的保护至关重要。为了加强密码安全,很多单位都明确规定:密码长度必须在多位数以上(如10位数);密码中必须包含特定字符(如“#”、“&”等);密码隔一段时间必须修改;个人电脑必须安装指定的杀毒软件和防火墙等等,危险漫步安全意识也很高,所以也做了很多措施。
应该说,这些措施已经足够完善了,密码的安全性看上去已无懈可击。但是,事实并非如此。采用如下提到的交换机端口映射技术,再结合嗅探工具,再强大的密码也会被坏人轻松拿到。
![QSYFC{3F$7P]R1AAV3TRO5U.png](https://www.weixianmanbu.com/zb_users/upload/2017/05/201705091494310684377449.png)
一、数据嗅探原理简介
首先,我们对数据嗅探原理做下简单介绍。在庄共孛-HUB组成的局域网中,当机器A访问
外部网络时,机器A首先将数据发送至HUB,此时HUB会将数据发送至所有端口,该HUB所连机器的所有网卡均能接收到该数据。
正常情况下,若机器发现数据头的目的MAC-自己不同,则将该数据包丢弃。然而,若其中一台秽.器B开启了嗅探程序,则嗅探程序会将网卡设置为“混杂模式”。此时,在机器B运行的嗅探程序即能够接收到整个HUB内的数据信息了。
以电子邮件为例,当机器A收发电子邮件时,正在机器B上运行的嗅探程序(此处使用CommView)将会捕获到邮件传送过程中的全部信息。其中,我们能看到该邮箱密码为XXXXXX。
二、嗅探破解存在的问题
在当前的局域网中,共享式HUB已很少采用,组网设备主要为功能更为强大的二层交换机。典型组网拓扑如下图:
二层交换机局域网
二层交换机能够记录机器MAC地址与端口的对应关系,当交换机从某个端口收到一个数据包,它会读取包头中的目的MAC地址,并在地址表中查找相应的端口:之后,交换机会将数据包发送至与该目的MAC地址对应的端口。这样,其它端口将不会接收到该数据包,嗅探破解密码完全失效。
当机器A与外部网络通信时(如收发邮件),机器B将无法截获任何数据。
三、交换机端口映射技术
在二层交换机局域网中,如何获取我们需要的密码呢?在此,就用到了交换机端口映射技术。所谓端口映射,就是通过命令设置,将某端口(如端口A)数据流量全部在指定端口(如端口B)进行复制,从而在B端口上能够监测到A端口全部收发数据包文。在交换机A上做如下命令(此处以华为公司交换机为例):
ort mirrorng Ethernet O/O/1 both Ethernet0/0/24
此时,交换机A的1端口(连接机器A的端口)的数据报文将全部映射至其24端口。
在交换机B上做如下命令:
ort monior Ethernet 0/0/2
ort mioring Ethernt 0/0/24 bth Ethemet0/0/2
此时,交换机B的2端口(连接机器B的端口)被设定为监测端口;同时,其24端口的数据报文将全部映射至2端口。此时,机器B能够监测到机器A所有的收发数据报文。
当机器A收发电子邮件时,在机器B上运行的嗅探程序将会截获全部报文。经过测试,电子邮件、FTP服务、电子审批系统等,均为明文传输。端口映射做为交换机一项特性,主要是在故障处理时进行报文分析,以更准确的进行定位。然而借助于这项技术,。即使我们不在局域网内,但只要能够接入其上层网络设备,即可通过端口映射抓取报文,从而得到用户密码等重要数据。
四、密码安全防护措施
密码对于个人的重要性不言而喻,但无论多么强壮的密码,在端口映射及嗅探破解面前可谓不堪一击。那么,如何才能做好保护好我们的密码呢?
需主要做好以下3点:
1、做好网络设备的登陆管理,尤其是远程与本地管理密码,需定期修改;非工作人员严禁登陆网络设备。
2、严格控制登陆帐号的权限,如protmirroring、port monitor等命令,均需设置为最高权限帐号才可以配置;且设置监察员定期对设备巡检,非经审批上述命令不允许配置。
3、对于重要的电子审批系统,其密码采用密文传输。如QQ、MSN由于采用了密文传输,其密码安全性即得到了很大提升。博客里有关安全的方面推荐大家多看一看,防止信息泄露。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。