【正文】 (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 struct arphdr {unsigned short int ar_hrd。 unsigned short h_proto。} ep。 Struct etherpacket {struct ethhdr eth。然后選擇用 Linux socket 來截取數(shù)據(jù)幀，通過設(shè)置 socket() 函數(shù)參數(shù)值，可以使 socket截取未處理的網(wǎng)絡(luò)數(shù)據(jù)幀，關(guān)鍵是函數(shù)的參數(shù)設(shè)置，下面就是有關(guān)的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層，既不作處理。在整個 Inter中就更顯得微不足道了。前些時間美籍華人 Chinababble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中，但這個想法很快就被否定了。監(jiān)聽程序?qū)⑼?TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據(jù)協(xié)議對包進行大量的分析。所以監(jiān)聽程序很多時候就會將監(jiān)聽得到的包存放在文件中等待以后分析。 ? 在 UNIX系統(tǒng)上，當擁有超級權(quán)限的用戶要想使自己所控制的主機進入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機設(shè)置成監(jiān)聽模式了。 當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個子網(wǎng)（使用了不同的掩碼、 IP地址和網(wǎng)關(guān)）的主機的數(shù)據(jù)包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健＿@樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達連接在集線器上的每個主機了。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。網(wǎng)絡(luò)接口不會識別 IP地址的。 計算機網(wǎng)絡(luò)監(jiān)聽的概述 Ether協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機。因此，了解以太網(wǎng)監(jiān)聽技術(shù)的原理、實現(xiàn)方法和防范措施就顯得尤為重要。由于局域網(wǎng)中采用廣播方式，因此，在某個廣播域中可以監(jiān)聽到所有的信息包。而黑客通過對信息包進行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰ? 所謂的網(wǎng)絡(luò)監(jiān)聽，是指主機網(wǎng)絡(luò)進程接受到 IP數(shù)據(jù)包后，察看其的目標端口是不是自己的端口號，如果是的話就接受該數(shù)據(jù)包進行處理。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機的正確地址，因為只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收到信息包，但是當主機工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標物理地址是什么，主機都將可以接收到。在網(wǎng)絡(luò)接口由 IP層來的帶有 IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。 (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 Ether中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。當數(shù)字信號到達一臺主機的網(wǎng)絡(luò)接口時，正常狀態(tài)下網(wǎng)絡(luò)接口對讀入數(shù)據(jù)禎進行檢查，如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數(shù)據(jù)禎交給 IP層軟件。 在 UNIX系統(tǒng)上，當擁有超級權(quán)限的用戶要想使自己所控制的主機進入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機設(shè)置成監(jiān)聽模式了。而在 Windows 9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運行監(jiān)聽工具就可以實現(xiàn)了。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。 Inter上那么多的協(xié)議，運行進起的話這個監(jiān)聽程序?qū)值拇笈?。如果真是這樣的話我想網(wǎng)絡(luò)必將天下大亂了。監(jiān)聽的協(xié)議分析 我們的研究從監(jiān)聽程序的編寫開始，用 Linux C語言設(shè)計實現(xiàn)。 Htons(0x0003)表示 截取的數(shù)據(jù)幀的類型為不確定，既接受所有的包。 struct iphdr ip。 (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 將返回的指針賦值給指向數(shù)據(jù)幀頭結(jié)構(gòu)的指針，然后對其進行分析。 其中 h_dest[6]是 48位的目標地址的網(wǎng)卡物理地址， h_source [6] 是 48位的源地址的物理網(wǎng)卡地址。 unsigned short int ar_pro。if 0unsigned char _ar_sha[ETH_ALEN]。end if}。 u_int32_t seq。u_int16_t fin:1。u_int16_t ack:1。 u_int16_t res1:4。u_int16_t psh:1。 elseerror Adjust your definesendifu_int16_t window。 這是 Linux 下 tcp協(xié)議的一部分與 ip協(xié)議相同取 BIG，其中 source是源端口， dest 是目的端口， seq是 s序， ack_seq 是 a序號，其余的是 tcp的連接標志其中包括 6個標志：syn表示連接請求， urg 表示緊急信息， fin表示連接結(jié)束， ack表示連接應(yīng)答， psh表示推棧標志， rst表示中斷連接。u_int16_t len。u_int8_t code。} echo。} frag。如： type 0x03 是表示 unsearchable，這時 code的不同表示了不同的 unsearchable :0x00表示網(wǎng)絡(luò)不可尋， 0x01表示主機不可尋， 0x02表示協(xié)議不可尋， 0x03表示端口不可尋， 0x05表示源路由失敗， 0x06網(wǎng)絡(luò)不可知， 0x07主機不可知。_u32 group。這是由于產(chǎn)生網(wǎng)絡(luò)監(jiān)聽行為的主機在工作時總是不做聲的收集數(shù)據(jù)包，幾乎不會主動發(fā)出任何信息。按照這個思路，我們就可以這樣來操作：假設(shè)我們懷疑的主機的硬件地址是 00:30:6E:00:9B:B9，它的 ip地址是 ，那么我們現(xiàn)在偽造出這樣的一種 icmp數(shù)據(jù)包：硬件地址是不與局域網(wǎng)內(nèi)任何一臺主機相同的 00:30:6E:00:9B:9B，目的地址是 ，我們可以設(shè)想一下這種數(shù)據(jù)包在局域網(wǎng)內(nèi)傳輸會發(fā)生什么現(xiàn)象：任何正常的主機會檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包的硬件地址，和自己的不同，于是不會理會這個數(shù)據(jù)包，而處于網(wǎng)絡(luò)監(jiān)聽模式的主機呢？由于它的網(wǎng)卡現(xiàn)在是在混雜模式的，所以它不會去對比這個數(shù)據(jù)包的硬件地址，而是將這個數(shù)據(jù)包直接傳到上層，上層檢查數(shù)據(jù)包的 ip地址，符合自己的 ip，于是會對對這個 ping的包做出回應(yīng)。這種模式是上述 ping方式的一種變體，它使用 arp數(shù)據(jù)包替代了上述的 icmp數(shù)據(jù)包。 值得注意的是，現(xiàn)在互聯(lián)網(wǎng)上流傳著一些基于上面這兩種技術(shù)的腳本和程序，它們宣稱自己能準確捕捉到局域網(wǎng)內(nèi)所有進行網(wǎng)絡(luò)監(jiān)聽的主機，目前來講，這種說法基本上是不可靠的，因為上述技術(shù)在實現(xiàn)中，除了要考慮網(wǎng)卡的硬件過濾外，還需要考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過濾。嗅探器的正當用處在于 分析 網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。一般情況下，大多數(shù)的嗅探器至少能夠 分析 下面的 協(xié)議 ： 1．標準 以太網(wǎng) 2． TCP/IP 3． IPX 4． DECNet 嗅探器通常是軟硬件的結(jié)合。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網(wǎng)絡(luò)報文。（例如， 以太網(wǎng) 的前 12個字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來源和去處。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達，然后對其進行存儲。當用戶發(fā)送一個報文時，這些報文就會發(fā)送到 LAN上所有可用的機器。（大家可以試試天行 2的嗅探功能） 一般我們只嗅探每個報文的前 200到 300個字節(jié)。如果這樣的話就能捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進行身份鑒別的過程。 2．幀的目標區(qū)域具有 廣播地址 。值得注意的是： sniffer是極其安靜的，它是一種消極的 安全 攻擊。 這是很可怕的事，我認為，通過對底層的信息 協(xié)議 記錄，比如記錄兩臺主機之間的網(wǎng)絡(luò)接口地址、遠程網(wǎng)絡(luò)接口 ip地址、 ip路由信息和 tcp連接的字節(jié)順序號碼等。如果網(wǎng)絡(luò)中有人在 Listen，那么信息包傳送將無法每次都順暢的流到目的地。但這通常并不可靠，但你可以控制哪個程序可以在你的計算機上運行。不過，編程技巧高的 Sniffer即使正在運行，也不會出現(xiàn)在這里的。從而發(fā)現(xiàn)是否有一個 Sniffer正在運行。 我們介紹以下 SSH，它又叫 Secure Shell。連接是通過使用一種來自RSA的算法建立的。它為通過 TCP/IP網(wǎng)絡(luò)通信提供了通用的最強的加密。當然最關(guān)鍵的是怎樣使用它。游戲的目的是要安排好數(shù)字，用最少的步驟，把它們按遞減順序排好。 讓我們開始處理這個網(wǎng)絡(luò)拓撲，來看看： (待續(xù) …) —— Sniffer（嗅探器） 怎樣防止被 sniffer 一個網(wǎng)絡(luò)段是僅由能互相信任的計算機組成的。 Hub再接到交換機上。計算機