【正文】 16bit 協(xié)議地址 | 相應(yīng)的數(shù)據(jù)結(jié)構(gòu)如下 struct ethhdr unsigned char h_dest[ETH_ALEN]。 unsigned char h_source[ETH_ALEN]。 unsigned short h_proto。 其中 h_dest[6]是 48位的目標(biāo)地址的網(wǎng)卡物理地址， h_source [6] 是 48位的源地址的物理網(wǎng)卡地址。 H_proto是 16位的以太網(wǎng)協(xié)議，其中主要有 0x0800 ip， 0x8137 ipx， 0x88630x8864 pppoe(這是 Linux的 ppp)， 0x0600 ether _loop_back ， 0x02000x0201 pup等。 Iphdr 這是 ip協(xié)議的報(bào)頭 : 由此可以定義其結(jié)構(gòu)如下： 這是 Linux 的 ip協(xié)議報(bào)頭，針對(duì)版本的不同它可以有不同的定義，我們國內(nèi)一般用 BIG的定義，其中 version 是 ip的版本， protocol是 ip的協(xié)議分類主要有 0x06 udp， 0x01 icmp， 0x02 igmp等， saddr是 32位的源 ip地址， daddr是 32位的目標(biāo) ip地址。相應(yīng)的數(shù)據(jù)結(jié)構(gòu)： (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 struct arphdr {unsigned short int ar_hrd。 unsigned short int ar_pro。 unsigned char ar_hln。unsigned char ar_pln。 unsigned short int ar_op。if 0unsigned char _ar_sha[ETH_ALEN]。unsigned char _ar_sip[4]。unsigned char _ar_tha[ETH_ALEN]。unsigned char _ar_tip[4]。end if}。 這是 linux 的 arp 協(xié)議報(bào)頭，其中 ar_hrd 是硬件地址的格式， ar_pro協(xié)議地址的格式， ar_hln是硬件地址的長度， ar_pln時(shí)協(xié)議地址的長度， ar_op是 arp協(xié)議的分類 0x001是 arp echo 0x0002 是 arp ，源 ip地址，目標(biāo)地址的物理地址，目標(biāo) ip地址。 Tcphdr ip協(xié)議的 tcp協(xié)議報(bào)頭 以下是相應(yīng)數(shù)據(jù)結(jié)構(gòu)： struct tcphdr {u_int16_t source。 u_int16_t dest。 u_int32_t seq。 u_int32_t ack_seq。 if _BYTE_ORDER == _LITTLE _ENDIANu_int16_t resl:4。 u_int16_t doff:4。u_int16_t fin:1。u_int16_t syn:1。 u_int16_t rst:1。u_int16_t psh:1。u_int16_t ack:1。 u_int16_t urg:1。u_int16_t res2:2。 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 elif _BYTE _ORDER == _BIG _ENDIANu_int16_t doff:4。 u_int16_t res1:4。u_int16_t res2:2。u_int16_t urg:1。 u_int16_t ack:1。u_int16_t psh:1。u_int16_t rst:1。 u_int16_t syn:1。u_int16_t fin:1。 elseerror Adjust your definesendifu_int16_t window。 u_int16_t check。u_int16_t urg_ptr。}。 這是 Linux 下 tcp協(xié)議的一部分與 ip協(xié)議相同取 BIG，其中 source是源端口， dest 是目的端口， seq是 s序， ack_seq 是 a序號(hào)，其余的是 tcp的連接標(biāo)志其中包括 6個(gè)標(biāo)志：syn表示連接請(qǐng)求， urg 表示緊急信息， fin表示連接結(jié)束， ack表示連接應(yīng)答， psh表示推棧標(biāo)志， rst表示中斷連接。 window是表示接受數(shù)據(jù)窗口大小， check是校驗(yàn)碼， urg ptr是緊急指針。 Udphdr 這是 udp協(xié)議報(bào)頭 struct udphdr {u_int16_t source。 u_int16_t dest。u_int16_t len。u_int16_t check。} 這是 Linux下 ip協(xié)議中 udp協(xié)議的一部分，結(jié)構(gòu)很明顯 source 源端口， dest目的端口，len udp 長度， check 是校驗(yàn)碼。 Icmphdr 這是 ip協(xié)議的 icmp協(xié)議的報(bào)頭 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 struct icmphdr{u_int8_t type。u_int8_t code。u_int16_t checksum。union{struct {u_int16_t id。u_int16_t sequence。} echo。u_int32_t gateway。struct{u_int16_t_unused。u_int16_t mtu。} frag。} un。}。 這是 linux下的 ip協(xié)議中的 icmp的協(xié)議，這里面主要的是前兩項(xiàng)參數(shù)，其中type是 icmp協(xié)議的類型，而 code 則是對(duì) type類型的再分析。如： type 0x03 是表示 unsearchable，這時(shí) code的不同表示了不同的 unsearchable :0x00表示網(wǎng)絡(luò)不可尋， 0x01表示主機(jī)不可尋， 0x02表示協(xié)議不可尋， 0x03表示端口不可尋， 0x05表示源路由失敗， 0x06網(wǎng)絡(luò)不可知， 0x07主機(jī)不可知。 Igmphdr 這是 ip協(xié)議的 igmp協(xié)議報(bào)頭 struct igmphdr{ _u8 type。_u8 code。_u16 csum。_u32 group。}。 這是 Linux下的 ip協(xié)議中的 igmp協(xié)議，協(xié)議中主要是前面兩個(gè)屬性， Type表示igmp 協(xié)議的信息類型， code表示 routing code. 然后，將截取的數(shù)據(jù)幀的地址賦值給定義的結(jié)構(gòu) .由此可根據(jù)不同的結(jié)構(gòu)分析數(shù)據(jù)，得到我們需要的信息。 (完 …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 檢測(cè)網(wǎng)絡(luò)監(jiān)聽的手段 對(duì)發(fā)生在局域網(wǎng)的其他主機(jī)上的監(jiān)聽，一直以來，都缺乏很好的檢測(cè)方法。這是由于產(chǎn)生網(wǎng)絡(luò)監(jiān)聽行為的主機(jī)在工作時(shí)總是不做聲的收集數(shù)據(jù)包，幾乎不會(huì)主動(dòng)發(fā)出任何信息。但目前網(wǎng)上已經(jīng)有了一些解決這個(gè)問題的思路和產(chǎn)品： 1．反應(yīng)時(shí)間 向懷疑有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)包，根據(jù)各個(gè)主機(jī)回應(yīng)的情況進(jìn)行判斷，正常的系統(tǒng)回應(yīng)的時(shí)間應(yīng)該沒有太明顯的變化，而處于混雜模式的系統(tǒng)由于對(duì)大量的垃圾信息照單全收，所以很有可能回應(yīng)時(shí)間會(huì)發(fā)生較大的變化。 2．觀測(cè) dns 許多的網(wǎng)絡(luò)監(jiān)聽軟件都會(huì)嘗試進(jìn)行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽發(fā)生時(shí)可以在 dns系統(tǒng)上觀測(cè)有沒有明顯增多的解析請(qǐng)求。 3．利用 ping模式進(jìn)行監(jiān)測(cè) 上面我們說過：當(dāng)一臺(tái)主機(jī)進(jìn)入混雜模式時(shí)，以太網(wǎng)的網(wǎng)卡會(huì)將所有不屬于他的數(shù)據(jù)照單全收。按照這個(gè)思路，我們就可以這樣來操作：假設(shè)我們懷疑的主機(jī)的硬件地址是 00:30:6E:00:9B:B9，它的 ip地址是 ，那么我們現(xiàn)在偽造出這樣的一種 icmp數(shù)據(jù)包：硬件地址是不與局域網(wǎng)內(nèi)任何一臺(tái)主機(jī)相同的 00:30:6E:00:9B:9B，目的地址是 ，我們可以設(shè)想一下這種數(shù)據(jù)包在局域網(wǎng)內(nèi)傳輸會(huì)發(fā)生什么現(xiàn)象：任何正常的主機(jī)會(huì)檢查這個(gè)數(shù)據(jù)包，比較數(shù)據(jù)包的硬件地址，和自己的不同，于是不會(huì)理會(huì)這個(gè)數(shù)據(jù)包，而處于網(wǎng)絡(luò)監(jiān)聽模式的主機(jī)呢？由于它的網(wǎng)卡現(xiàn)在是在混雜模式的，所以它不會(huì)去對(duì)比這個(gè)數(shù)據(jù)包的硬件地址，而是將這個(gè)數(shù)據(jù)包直接傳到上層，上層檢查數(shù)據(jù)包的 ip地址，符合自己的 ip，于是會(huì)對(duì)對(duì)這個(gè) ping的包做出回應(yīng)。這樣，一臺(tái)處于網(wǎng)絡(luò)監(jiān)聽模式的主機(jī)就被發(fā)現(xiàn)了。 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 檢測(cè)網(wǎng)絡(luò)監(jiān)聽的手段 這種方法，在 10pht這個(gè)黑客組織的 antisniff產(chǎn)品中有很好的體現(xiàn)?？蓞⒁姡? arp數(shù)據(jù)包進(jìn)行監(jiān)測(cè) 除了使用 ping進(jìn)行監(jiān)測(cè)外，目前比較成熟的有利用 arp方式進(jìn)行監(jiān)測(cè)的。這種模式是上述 ping方式的一種變體，它使用 arp數(shù)據(jù)包替代了上述的 icmp數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的 arp包，如果局域網(wǎng)內(nèi)的某個(gè)主機(jī)響應(yīng)了這個(gè) arp請(qǐng)求，那 么我們就可以判斷它很可能就是處于網(wǎng)絡(luò)監(jiān)聽模式了，這是目前相對(duì)而言比較好的監(jiān)測(cè)模式。 這種方式，在 neped和 PromiScan這兩個(gè)產(chǎn)品中有所體現(xiàn)。可分