我想知道,如果攻击者设法从我的网络流量中捕获一些数据包,他可以从它们构建一个文件或任何易于理解的东西吗?
我知道 TCP/IP 协议正在使用 TCP/UDP 对文件(或正在发送的任何内容)进行分段,以便通过网络发送,因此如果文件足够大,则将其分段为某些数据包。如果你能从嗅探中得到的只是 blob 中的一针文本(据我所知,这是嗅探的结果),为什么还要费心加密无线网络的流量,有 SSL/TLS主要用于加密第一次身份验证(用户名/密码),为什么要加密所有流量?
我主要关心的是从捕获的数据包中构建文件的能力,有没有简单的方法可以做到这一点?
如果嗅探器拥有您发送的所有数据包,他可以重建您发送的所有数据(文件、邮件等),原因很简单,他拥有预期收件人拥有的所有数据。如果嗅探器只有一些数据包,那么他仍然可以重建您的部分流量——可以说是有漏洞的文件。例如,如果他只有一些你从 HTTP 服务器收到的数据包,他有文件的片段,知道按什么顺序放置它们,并且大致知道他错过了多少,因为每个 TCP 数据包都包含一个对于每个连续的数据包,序列号增加 1,并且 TCP 数据包具有不同的大小,但通常差异不大。
如果连接是加密的(例如因为它使用 SSL),嗅探器只能看到密文。所以他知道你在与谁通信,以及你交换了多少数据(除了罕见的协议,它使数据包的目标对窃听者保密,但这使得路由变得困难,所以不经常这样做)。
如果您在无线网络上使用加密,那么无法访问网络的窃听者(即没有 wifi 密码或所需的任何身份验证)可能仍然知道您正在交换多少流量,但不知道谁。因此,即使您在应用程序级别进行加密,使用 wifi 加密也会有所收获。wifi 加密的另一个好处是它不会泄露诸如 DNS 请求之类的非加密数据,这可能会泄露有关您的网络的更多信息,而不是让窃听者不费吹灰之力就能获得。wifi 加密的另一个好处是,有人可能想要从您的网络路由流量,以窃取您的带宽或实施可追溯到您的非法行为。第三个好处是,如果你
总之,wifi 加密确实提供了针对外部威胁的重要保护。请注意,我在上面写了“工作 wifi 加密”:众所周知,WEP被破坏(只需几分钟即可破解),WPA2可以很好地抵御外部攻击者。WEP 和 WPA(2) 也应该提供对内部人员的保护,但这一方面被破坏了:在 WPA2-PSK 下,最常见的变体(使用单个共享密钥),任何参与者都可以有效地窃听和欺骗其他参与者(参见除了防止未经授权的和其他wpa2问题之外,使用 PSK 保护 WiFi 的任何优势)。
如果攻击者嗅探到流量,他们可以将这些数据包中的所有内容拼凑起来。例如,尝试在您的网络上运行 Wireshark,同时在两台计算机之间传输文件。
数据包跟踪将让您重建整个文件。非常简单地!
即使你只抓取了 50% 的数据包,它仍然会为你提供很多信息。
所以是的 - 这应该让您担心,这很容易实现,这就是使用加密的原因!
有没有简单的方法可以做到这一点?
这取决于,您对嗅探什么协议感兴趣?HTTP、SMTP 等
使用 Bro IDS,您可以指定您希望从 HTTP 流量和 ftp 流量中解码的 mime 类型。然后它将这些文件转储到磁盘,对于其他协议它可以记录文件内容但它会与应用层协议混合,这对你来说可能没什么大不了的。
这篇博文包含您正在寻找的大部分信息sans.edu