【正文】 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 struct arphdr {unsigned short int ar_hrd。 unsigned short h_proto。} ep。 Struct etherpacket {struct ethhdr eth。然后選擇用 Linux socket 來截取數(shù)據(jù)幀，通過設(shè)置 socket() 函數(shù)參數(shù)值，可以使 socket截取未處理的網(wǎng)絡(luò)數(shù)據(jù)幀，關(guān)鍵是函數(shù)的參數(shù)設(shè)置，下面就是有關(guān)的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層，既不作處理。在整個(gè) Inter中就更顯得微不足道了。前些時(shí)間美籍華人 Chinababble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中，但這個(gè)想法很快就被否定了。監(jiān)聽程序?qū)⑼?TCP會(huì)話的包整理到一起就相當(dāng)不容易了，如果你還期望將用戶詳細(xì)信息整理出來就需要根據(jù)協(xié)議對包進(jìn)行大量的分析。所以監(jiān)聽程序很多時(shí)候就會(huì)將監(jiān)聽得到的包存放在文件中等待以后分析。 ? 在 UNIX系統(tǒng)上，當(dāng)擁有超級(jí)權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機(jī)設(shè)置成監(jiān)聽模式了。 當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候，那么要是有一臺(tái)主機(jī)處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)（使用了不同的掩碼、 IP地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包，在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。這樣在物理線路上傳輸?shù)臄?shù)字信號(hào)也就能到達(dá)連接在集線器上的每個(gè)主機(jī)了。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。網(wǎng)絡(luò)接口不會(huì)識(shí)別 IP地址的。 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 Ether協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。因此，了解以太網(wǎng)監(jiān)聽技術(shù)的原理、實(shí)現(xiàn)方法和防范措施就顯得尤為重要。由于局域網(wǎng)中采用廣播方式，因此，在某個(gè)廣播域中可以監(jiān)聽到所有的信息包。而黑客通過對信息包進(jìn)行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰ? 所謂的網(wǎng)絡(luò)監(jiān)聽，是指主機(jī)網(wǎng)絡(luò)進(jìn)程接受到 IP數(shù)據(jù)包后，察看其的目標(biāo)端口是不是自己的端口號(hào)，如果是的話就接受該數(shù)據(jù)包進(jìn)行處理。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址，因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收到信息包，但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將可以接收到。在網(wǎng)絡(luò)接口由 IP層來的帶有 IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 Ether中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，正常狀態(tài)下網(wǎng)絡(luò)接口對讀入數(shù)據(jù)禎進(jìn)行檢查，如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會(huì)將數(shù)據(jù)禎交給 IP層軟件。 在 UNIX系統(tǒng)上，當(dāng)擁有超級(jí)權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機(jī)設(shè)置成監(jiān)聽模式了。而在 Windows 9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運(yùn)行監(jiān)聽工具就可以實(shí)現(xiàn)了。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。 Inter上那么多的協(xié)議，運(yùn)行進(jìn)起的話這個(gè)監(jiān)聽程序?qū)?huì)十分的大哦。如果真是這樣的話我想網(wǎng)絡(luò)必將天下大亂了。監(jiān)聽的協(xié)議分析 我們的研究從監(jiān)聽程序的編寫開始，用 Linux C語言設(shè)計(jì)實(shí)現(xiàn)。 Htons(0x0003)表示 截取的數(shù)據(jù)幀的類型為不確定，既接受所有的包。 struct iphdr ip。 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 將返回的指針賦值給指向數(shù)據(jù)幀頭結(jié)構(gòu)的指針，然后對其進(jìn)行分析。 其中 h_dest[6]是 48位的目標(biāo)地址的網(wǎng)卡物理地址， h_source [6] 是 48位的源地址的物理網(wǎng)卡地址。 unsigned short int ar_pro。if 0unsigned char _ar_sha[ETH_ALEN]。end if}。 u_int32_t seq。u_int16_t fin:1。u_int16_t ack:1。 u_int16_t res1:4。u_int16_t psh:1。 elseerror Adjust your definesendifu_int16_t window。 這是 Linux 下 tcp協(xié)議的一部分與 ip協(xié)議相同取 BIG，其中 source是源端口， dest 是目的端口， seq是 s序， ack_seq 是 a序號(hào)，其余的是 tcp的連接標(biāo)志其中包括 6個(gè)標(biāo)志：syn表示連接請求， urg 表示緊急信息， fin表示連接結(jié)束， ack表示連接應(yīng)答， psh表示推棧標(biāo)志， rst表示中斷連接。u_int16_t len。u_int8_t code。} echo。} frag。如： type 0x03 是表示 unsearchable，這時(shí) code的不同表示了不同的 unsearchable :0x00表示網(wǎng)絡(luò)不可尋， 0x01表示主機(jī)不可尋， 0x02表示協(xié)議不可尋， 0x03表示端口不可尋， 0x05表示源路由失敗， 0x06網(wǎng)絡(luò)不可知， 0x07主機(jī)不可知。_u32 group。這是由于產(chǎn)生網(wǎng)絡(luò)監(jiān)聽行為的主機(jī)在工作時(shí)總是不做聲的收集數(shù)據(jù)包，幾乎不會(huì)主動(dòng)發(fā)出任何信息。按照這個(gè)思路，我們就可以這樣來操作：假設(shè)我們懷疑的主機(jī)的硬件地址是 00:30:6E:00:9B:B9，它的 ip地址是 ，那么我們現(xiàn)在偽造出這樣的一種 icmp數(shù)據(jù)包：硬件地址是不與局域網(wǎng)內(nèi)任何一臺(tái)主機(jī)相同的 00:30:6E:00:9B:9B，目的地址是 ，我們可以設(shè)想一下這種數(shù)據(jù)包在局域網(wǎng)內(nèi)傳輸會(huì)發(fā)生什么現(xiàn)象：任何正常的主機(jī)會(huì)檢查這個(gè)數(shù)據(jù)包，比較數(shù)據(jù)包的硬件地址，和自己的不同，于是不會(huì)理會(huì)這個(gè)數(shù)據(jù)包，而處于網(wǎng)絡(luò)監(jiān)聽模式的主機(jī)呢？由于它的網(wǎng)卡現(xiàn)在是在混雜模式的，所以它不會(huì)去對比這個(gè)數(shù)據(jù)包的硬件地址，而是將這個(gè)數(shù)據(jù)包直接傳到上層，上層檢查數(shù)據(jù)包的 ip地址，符合自己的 ip，于是會(huì)對對這個(gè) ping的包做出回應(yīng)。這種模式是上述 ping方式的一種變體，它使用 arp數(shù)據(jù)包替代了上述的 icmp數(shù)據(jù)包。 值得注意的是，現(xiàn)在互聯(lián)網(wǎng)上流傳著一些基于上面這兩種技術(shù)的腳本和程序，它們宣稱自己能準(zhǔn)確捕捉到局域網(wǎng)內(nèi)所有進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)，目前來講，這種說法基本上是不可靠的，因?yàn)樯鲜黾夹g(shù)在實(shí)現(xiàn)中，除了要考慮網(wǎng)卡的硬件過濾外，還需要考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過濾。嗅探器的正當(dāng)用處在于 分析 網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。一般情況下，大多數(shù)的嗅探器至少能夠 分析 下面的 協(xié)議 ： 1．標(biāo)準(zhǔn) 以太網(wǎng) 2． TCP/IP 3． IPX 4． DECNet 嗅探器通常是軟硬件的結(jié)合。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。（例如， 以太網(wǎng) 的前 12個(gè)字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來源和去處。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對其進(jìn)行存儲(chǔ)。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到 LAN上所有可用的機(jī)器。（大家可以試試天行 2的嗅探功能） 一般我們只嗅探每個(gè)報(bào)文的前 200到 300個(gè)字節(jié)。如果這樣的話就能捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過程。 2．幀的目標(biāo)區(qū)域具有 廣播地址 。值得注意的是： sniffer是極其安靜的，它是一種消極的 安全 攻擊。 這是很可怕的事，我認(rèn)為，通過對底層的信息 協(xié)議 記錄，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口 ip地址、 ip路由信息和 tcp連接的字節(jié)順序號(hào)碼等。如果網(wǎng)絡(luò)中有人在 Listen，那么信息包傳送將無法每次都順暢的流到目的地。但這通常并不可靠，但你可以控制哪個(gè)程序可以在你的計(jì)算機(jī)上運(yùn)行。不過，編程技巧高的 Sniffer即使正在運(yùn)行，也不會(huì)出現(xiàn)在這里的。從而發(fā)現(xiàn)是否有一個(gè) Sniffer正在運(yùn)行。 我們介紹以下 SSH，它又叫 Secure Shell。連接是通過使用一種來自RSA的算法建立的。它為通過 TCP/IP網(wǎng)絡(luò)通信提供了通用的最強(qiáng)的加密。當(dāng)然最關(guān)鍵的是怎樣使用它。游戲的目的是要安排好數(shù)字，用最少的步驟，把它們按遞減順序排好。 讓我們開始處理這個(gè)網(wǎng)絡(luò)拓?fù)洌瑏砜纯矗? (待續(xù) …) —— Sniffer（嗅探器） 怎樣防止被 sniffer 一個(gè)網(wǎng)絡(luò)段是僅由能互相信任的計(jì)算機(jī)組成的。 Hub再接到交換機(jī)上。計(jì)算機(jī)