你的行为是如何被黑客监控的?只有9%的人才知道

  • 发表 2020-10-22 18:33
你的行为是如何被黑客监控的? 数据监听是常见的黑客攻击方式之一,通过监听,可以完全掌握受害者的一切网络行为,包括受害者访问了什么网站,浏览了什么内容,发送了什么消息,黑客都可以看的一清二楚

你的行为是如何被黑客监控的?

数据监听是常见的黑客攻击方式之一,通过监听,可以完全掌握受害者的一切网络行为,包括受害者访问了什么网站,浏览了什么内容,发送了什么消息,黑客都可以看的一清二楚。

在这个大互联, 大数据的时代,越来越多的人都会通过网络来处理各种事务,也有越来越多的人选择把数据存储在网络上。

个人隐私信息泄露事件也时有发生,数据监听已经成为非常普遍的攻击方式了。本文将通过实例来演示黑客到底是如何能够监听我们的数据的。

黑客为什么能够监听到我们的数据

根据计算机网络的原理,如果黑客要监听用户的网络行为,前提是用户的数据流经了黑客的监听设备,所以其实我们真正要解决的问题,是如何让受害者的正常上网行为的数据流经黑客的计算机。

但是很明显,正常情况下,用户上网行为的数据会沿着网络设备的连接线路来进行传输。这个传输过程中,会经过若千个节点设备(比如路由器和交换机)。

黑客要想入侵和控制某个用户的节点设备难度较大,这里我们不讨论,我们讨论的是如何在不控制任何节点设备的情况下,就能够使受害者的数据流经黑客的计算机。

如何使用户正常上网的数据流经我们的计算机

一般情况下,没有谁会把自己的数据主动发往陌生的计算机,但是有这么几种情况除外:

1、用户使用了代理服务器,所有上网的流量会先发往代理服务器,再由代理服务器来转发。这种情况需要用户主动设置代理,一般也容易被察觉。

2、通过地址伪造和欺骗,使用户错误的把本来要发给节点设备的数据发往了黑客的计算机。这种方式对用户来说是完全无感知的,成功率非常高。

我们这里要演示的就是通过ARP欺骗来使用户的数据流经我们的计算机。

什么是ARP欺骗

ARP协议,即地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。

我们在网络中通信都是以IP地址为通信地址,但是在局域网中,实际上是靠MAC地址来通信的,所以在同一个局域网里,需要用ARP协议来把一个IP地址对应的MAC地址进行解析来使设备可以在局域网内通信。

ARP的工作原理如下:

当PC1要访问PC2时,PC1会首先会以广播的形式发起ARP查询请求。PC2 收到该请求后,会以单播的形式把自己的MAC地址回应给PC1,然后PC1就会把PC2的IP和MAC地址的对应关系写入到ARP缓存表中, 以便后续查询。

这个协议有一个致命的漏洞。因为ARP查询请求是广播发送的,也就是说同一个广播域中,其他所有计算机都能收到这个请求,只不过正常情况下,其他计算机看到查询的地址不是自己,就不会做任何回应。

但是如果在同一个广播域中,有一台黑客的计算机,或者有一台计算机被黑客远程控制了,黑客就可以使用ARP欺骗来把自己的MAC地址回应给PC1。然而ARP协议本身并没有判断MAC地址真伪的能力,所以就会认为黑客的计算机就是自己要访问的对象。

ARP欺骗一般分为欺骗主机和欺骗网关。

欺骗主机:我们都知道,局域网中的计算机要上网,会把数据交由网关来转发。这时, 黑客的计算机伪装成网关,向受害者的PC发出ARP回应, 告诉他我就是网关。然后计算机以后,上网的所有数据,就会发往黑客的计算机,从而实现监听受害者发出的数据。

欺骗网关:通过欺骗主机,黑客只能监听到用户发出的数据,但用户下载的数据还是会正常的从网关发往受害者PC。所以一般黑客还会伪装成受害者的PC, 向网关设备发出ARP回应,告诉他我就是受害者PC,此时受害者下载的所有数据都会发送到黑客的计算机,黑客就能完全的监听到受害者的所有数据了。

如何防御ARP欺骗

ARP的防护手段有很多,简单的有客户PC自己绑定静态的ARP记录。但是在大型企业中,需要用更加专业的技术手段来防御,不然会被ARP攻击造成非常严重的后果。

● 主机级被动检测:当系统接收到来自局域网上的ARP请求时,系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同,则说明该网络上另有一台机器与自己具有相同的IP地址。

● 主机级主动检测:主机定期向所在局域网发送查询自己IP地址的ARP请求报文。如果能够收到另一ARP响应报文,则说明该网络上另有一台机器与自己具有相同的IP地址。

● 服务器级检测:当服务器收到ARP响应时,为了证实它的真实性,根据反向地址解析协议 (RARP)就用从响应报文中给出的MAC地址再生成一个RARP请求,它询问这样一个问题:“如果你是这个 MAC地址的拥有者, 请回答你的IP地址”。 这样就会查询到这个MAC地址对应的IP地址,比较这两个IP地址,如果不同,则说明对方伪造了ARP响应报文。

● 网络级检测:配置主机定期向中心管理主机报告其ARP缓存的内容。中心管理主机上的程序就会查找出两台主机报告信息的不一致,以及同一台主机前后报告内容的变化。或者利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化。

● 静态绑定关键主机的IP地址与MAC地址映射关系。

● 结合DHCP snooping来实现ARP防护。

现在你知道如何预防自己的数据被黑客监听了吗?

相关标签

人民网

0 篇新闻