【正文】 ，與其進(jìn)行聊天交流。一般來說 程序采用的是 80 或者是 8080 號端口來進(jìn)行建立通信。 畢業(yè)論文（設(shè)計） 第 32 頁圖 52 獲取目的主機物理地址示意圖只需要把目標(biāo)計算機的 IP 地址輸入就可以知道其對應(yīng)的物理位置和信號來源。 認(rèn)識端口掃描的原理端口掃描，簡單的說就是利用數(shù)據(jù)包來分析目標(biāo)計算機的響應(yīng)，從而得到目標(biāo)計算機的端口開放信息和系統(tǒng)內(nèi)存在的弱點信息。 使用 SuperScan 掃描計算機的端口SuperScan 是由 Foundstone 開發(fā)的一款免費的端口掃描軟件，該軟件的功能十分強大，與許多同類軟件相比，該軟件既是一款入侵軟件，又是一款網(wǎng)絡(luò)安全軟件。SuperScan 支持 IP 地址范圍掃描，可以輸入起始 IP 和結(jié)束 IP 如圖 53。在端口號后面 SuperScan 還附有簡單的端口說明。 加密傳輸?shù)臄?shù)據(jù)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密是指在傳輸數(shù)據(jù)前對數(shù)據(jù)進(jìn)行加密，待到對方接受數(shù)據(jù)后再進(jìn)行解密。 畢業(yè)論文（設(shè)計） 第 34 頁6 網(wǎng)絡(luò)嗅探技術(shù)的防范實際上，在局域網(wǎng)中很難發(fā)現(xiàn)嗅探，因為嗅探根本就不會留下任何痕跡，因此用戶就有必要了解防范嗅探常用的措施。從最下面可以看到計算機掃描的最終結(jié)果。（1） 打開 SuperScan 程序，以管理員身份運行。目前最常見的是利用掃描軟件來掃描端口，這些軟件又被統(tǒng)一稱為“端口掃描器” 。 掃描目標(biāo)計算機的端口由于端口是當(dāng)前計算機與外界的通道，因此黑客一旦鎖定目標(biāo)計算機，便會掃描計算機中已經(jīng)開放的端口，從而得到更多有用的信息。 根據(jù) IP 地址查看物理地址Inter 中所有的計算機 IP 地址都是全球統(tǒng)一分配的，因此可以同伙其中某些計算機的外網(wǎng) IP 地址查看其對應(yīng)的物理位置。（3） 打開命令提示符窗口，輸入 stat –n，確定之后可以查看到ESTABLISHED 狀態(tài)的對應(yīng)的外部 IP 地址，該地址就是目標(biāo)計算機的 IP地址。這里以騰訊 為例，探究如何獲取 Inter 中計算機 IP 地址的操作方法。當(dāng)然也可以使用局域網(wǎng)嗅探工具，可以看到局域網(wǎng)中所有計算機的 IP 地址和 Mac 地址，方便快捷。 搜集目標(biāo)計算機的重要信息搜索目標(biāo)主機信息是黑客入侵前必須要做的準(zhǔn)備工作，而該準(zhǔn)備工作則需要花費大量的時間。對于其獨特的過濾器更是進(jìn)行了一次詳盡的解析，從而知道其嗅探數(shù)據(jù)包的顯示過濾方式，方便我們更加快捷的得到需要的數(shù)據(jù)包。其中包括部分我們可以找到，比如源主機的 MAC 和 IP 地址、目的主機的 MAC 和IP 地址。第二部分是以太網(wǎng)的物理地址，這部分占了 14 個字節(jié)，從圖中可以看到，本地主機的Mac 地址是 04:7d:7b:42:42:d1:d1，而遠(yuǎn)端的 Mac 地址是 2c:27:d7:eb:19:56，經(jīng)過證明也是正確的。同時我們從 ttl 的值也可以看出對方主機的操作系統(tǒng)類型，可以判斷對方主機的操作系統(tǒng)是 win7。證明了軟件可正確性和可用性，同時也間接的說明我們電腦信息的不確定性和所處的不安全環(huán)境。圖 48 Wireshark 抓取 ICMP 包圖 畢業(yè)論文（設(shè)計） 第 28 頁其中四個數(shù)據(jù)是 ping 請求包，另外四個是 ping 應(yīng)答包。如下圖 46 所示。例子 7：Tcp flags顯示包含 TCP 標(biāo)志的數(shù)據(jù)包例子 8：Tcp glags syn ==0x02顯示包含 TCP SYN 標(biāo)志的數(shù)據(jù)包 嗅探 ICMP 數(shù)據(jù)包前面已經(jīng)探究如何使用 Wireshark 的過濾器的使用方法來得到我們想要的數(shù)據(jù)包，現(xiàn)在我們嘗試使用本機來具體嗅探 ICMP 數(shù)據(jù)包，來驗證 WIreshark的可用性。例子 4：ip src != and ip dst != 顯示來源不為 并且目的 IP 不為 的封包。例子 1：snmp || dns || icmp 顯示的是 SNMP 或 DNS 或 ICMP 的數(shù)據(jù)包。當(dāng)其被使用在過濾器的兩個條件之間時，只有當(dāng)且僅當(dāng)其中的一個條件滿足是，這樣的結(jié)果才會被顯示出來。String 1 ，String 2 可選項：父類 Protocol 協(xié)議的子類，可以點擊父類協(xié)議旁邊的“+” ，然后進(jìn)行選擇需要的子類。它的功能比捕捉過濾器還要強大，而且經(jīng)過過濾器條件是，并不需要重新捕捉一次。other proto\ip與關(guān)鍵字 ip 相同，這樣寫將會以 IP 協(xié)議作為目標(biāo)。Host 顯示目的或來源 IP 地址為 的封包。例如：not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。Host（主機）:可能的值： , port, host, portrange.如果沒有指定此值，則默認(rèn)使用host關(guān)鍵字。六部分每一部分都很重要，都可以單獨組成一個篩選過濾語句，所以說每一部分都很重要，但都不是不可或缺的。 點擊開始（Start）進(jìn)行捕捉。捕捉過濾器的語法與其它使用 Lipcap（Linux）或者 Winpcap（Windows）庫開發(fā)的軟件一樣，比如著名 TCPdump。那么我應(yīng)該使用哪一種過濾器呢？兩種過濾器的目的是不同的。在 Wireshark 中有兩種過濾器：捕捉過濾器和顯示過濾器。圖 41 Wireshark 抓包圖 使用過濾器捕捉數(shù)據(jù)包Wireshark 的使用和普通抓包軟件大同小異，區(qū)別就在于 Wireshark 的過濾器的不同。Wireshark 不是入侵偵測系統(tǒng)（Intrusion Detection System, IDS） ，對于網(wǎng)絡(luò)上的異常流量行為，Wireshark 不會產(chǎn)生警示或是任何提示。在 GNUGPL 通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。因為以上原因，人們可以很容易在 Wireshark 上添加新的協(xié)議，或者將其作為插件整合到您的程序里，這種應(yīng)用十分廣泛。目前由 Wireshark team 進(jìn)行進(jìn)一步開發(fā)和維護(hù)。 簡介Wireshark（前稱 Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。雖然網(wǎng)絡(luò)嗅探器技術(shù)被黑客利用后會對網(wǎng)絡(luò)安全構(gòu)成一定的威脅，但嗅探器本身的危害并不是很大，主要是用來為其他黑客軟件提供網(wǎng)絡(luò)情報，真正的攻擊主要是由其他黑客軟件來完成的。 畢業(yè)論文（設(shè)計） 第 18 頁4 嗅探工具 Wireshark網(wǎng)絡(luò)嗅探器無論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面均扮演了很重要的角色。圖 34 交換式局域網(wǎng)中數(shù)據(jù)轉(zhuǎn)發(fā)圖 共享式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)數(shù)據(jù)報文在共享網(wǎng)絡(luò)中的傳輸和交換網(wǎng)絡(luò)唯一的不同在于第二個步驟，交換網(wǎng)絡(luò)中交換機會根據(jù) MAC端口對應(yīng)表進(jìn)行傳輸，也就是說除了網(wǎng)關(guān)，其他同交換機下的 PC 機無法收到數(shù)據(jù)報文。 畢業(yè)論文（設(shè)計） 第 17 頁（4）R2 收到數(shù)據(jù)包后與 R1 做的操作一樣，直到數(shù)據(jù)報文到達(dá)目標(biāo)。（1）PC1 發(fā)現(xiàn)目標(biāo) IP 的網(wǎng)絡(luò)號為 與本機不在同一網(wǎng)段內(nèi)，掩碼為 24 位，所以本機網(wǎng)絡(luò)號為 ，因此 PC1 會將數(shù)據(jù)包丟給網(wǎng)關(guān)，為了數(shù)據(jù)報文能夠到達(dá)網(wǎng)關(guān)，PC1 封裝的報文里頭會以網(wǎng)關(guān)的 MAC 作為目的MAC 網(wǎng)絡(luò)數(shù)據(jù)傳輸，源目的 IP 不變，源目的 MAC 通過三層網(wǎng)絡(luò)時會不斷改變。在以后的通信中，A 在和 B 通信時，會首先察看 ARP 高速緩存中有沒有 B 的 IP 和 MAC 的映射關(guān)系，如果有，就直接取得 MAC 地址，如果沒有就再發(fā)一次 ARP 請求的廣播，B 再應(yīng)答即重復(fù)上面動作。當(dāng) A 機接收到 ARP 應(yīng)答后，更新自己的 ARP 高速緩存，即把 ARP 應(yīng)答中的 B 機的源 IP，源 MAC 的映射關(guān)系記錄在高速緩存中。首先 A 并不知道 B 在哪里，那么 A 首先就會發(fā)一個廣播的 ARP 請求，即目的 MAC 為 FFFFFF FFFFFF,目的 IP 為 B 的 ，再帶上自己的源 IP 和源 MAC。然后在命令行中輸入 ARP a，會看見 BBBBBBBBBBBB dynamic 這樣的信息。這里簡單的分析在交換式和共享式局域網(wǎng)環(huán)境中的傳輸過程，對數(shù)據(jù)在傳輸過程中發(fā)生的變化，嗅探在其中扮演的角色，對于數(shù)據(jù)包的傳輸影響。這時交換機不再轉(zhuǎn)發(fā)，簡單地將數(shù)據(jù)丟棄，數(shù)據(jù)幀被限制在本地流動。圖 33 交換機的幀過濾假設(shè)主機 A 需要向主機 G 發(fā)送數(shù)據(jù)，因為主機 A 通過集線器連接到交換機的端口 1，所以，交換機從端口 1 讀入數(shù)據(jù)，并通過 MAC 地址表決定將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到哪個端口。交換機建立起 MAC 地址表后，它就可以對通過的信息進(jìn)行過濾了。如接收數(shù)據(jù)是正確的，再根據(jù)目的地址確定輸出端口號，將數(shù)據(jù)轉(zhuǎn)發(fā)出去。（1）直接交換在直接交換方式下，交換機邊接收邊檢測。（3）循環(huán)上一步，MAC 地址表不斷加入新的 MAC 地址與端口對應(yīng)信息。（2）如果有數(shù)據(jù)需要轉(zhuǎn)發(fā)，如主機PC1 發(fā)送數(shù)據(jù)幀給主機 PC3，此時，在 MAC 地址表中沒有記錄，交換機將向除向 E0/1 以外的其它所有端口轉(zhuǎn)發(fā)，在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前，它首先檢查這個幀的 畢業(yè)論文（設(shè)計） 第 13 頁源 MAC 地址 M1，并記錄與之對應(yīng)的端口 E0/1，于是交換機生成（M1，E0/1）這樣一條記錄，并加入到 MAC 地址表內(nèi)。因此，MAC 地址表中所維護(hù)的一直是最有效和最精確的 MAC 地址/端口信息。當(dāng)然，在存放 MAC 地址表項之前，交換機首先應(yīng)該查找 MAC 地址表中是否已經(jīng)存在該源地址的匹配表項，僅當(dāng)匹配表項不存在時才能存儲該表項。而 HUB 的所有端口共享帶寬，同樣一個帶寬 100Mbps 的 HUB，如果有 10 個端口，則每個端口的平均帶寬為10Mbps，如圖 31 所示。以太網(wǎng)交換機的主要功能包括MAC 地址學(xué)習(xí)、幀的轉(zhuǎn)發(fā)及過濾和避免回路。它通過判斷數(shù)據(jù)幀的目的 MAC 地址，從而將幀從合適的端口發(fā)送出去。否則三層交換模塊根據(jù)路由信息向結(jié)點 B 廣播一個 ARP 請求，結(jié)點 B 得到此 ARP 請求后向三層交換模塊回復(fù)其 MAC 地址，三層交換模塊保存此地址并回復(fù)給發(fā)送結(jié)點 A，同時將結(jié)點 B 的 MAC 地址發(fā)送到二層交換引擎的 MAC 地址表中。其原理是：假設(shè)兩個使用 IP 協(xié)議的結(jié)點 A、B 通過第三層交換機進(jìn)行通信，發(fā)送結(jié)點 A 在開始發(fā)送時，把自己的 IP 地址與結(jié)點 B 的 IP 地址比較，判斷結(jié)點 B 是否與自己在同一子網(wǎng)內(nèi)。主要應(yīng)用的協(xié)議有地址解析協(xié)議 ARP 和逆向地址解析協(xié)議RARP。同樣的，攻擊者 C1 向主機 C3 也發(fā)送一個偽造的 ARP 響應(yīng)，告訴主機 C3：主機 C2 的 IP 地址 對應(yīng)的MAC 地址是 aa: aa: aa: aa: aa: aa，主機 C3 也會更新自己的 MAC 地址表，同時也會將數(shù)據(jù)發(fā)送給攻擊者。這些嗅探工具通過偽造ARP 數(shù)據(jù)包來欺騙交換機，向交換機持續(xù)不斷的發(fā)送 ARP 數(shù)據(jù)包，使交換機更新 ARP 緩存表來達(dá)到欺騙的目的。由于各種 ARP 攻擊軟件的盛行，使我們遭受很多損 畢業(yè)論文（設(shè)計） 第 8 頁失，甚至造成嚴(yán)重后果。交換機通過查找自己自主學(xué)習(xí)的 ARP 緩存表來決定把數(shù)據(jù)報發(fā)送到目的主機所對應(yīng)的端口，而不是把一個數(shù)據(jù)報發(fā)送給所有端口，讓所有的主機都去驗證這個數(shù)據(jù)包是否是發(fā)給自己的，這樣做不僅提高了網(wǎng)絡(luò)的性能，讓網(wǎng)絡(luò)的帶寬無形中擴大，也間接的提高了網(wǎng)絡(luò)的安全性。當(dāng)前的嗅探技術(shù)大多采用捕捉數(shù)據(jù)包的前 200300 個字節(jié)，然后存儲下來進(jìn)行解析的方法。這種被動的接收信息的方式可以稱為是被動攻擊。圖 21 共享式局域網(wǎng)嗅探拓?fù)鋱D用圖 21 舉例來說明，在共享式局域網(wǎng)中，當(dāng) C1 要發(fā)一個數(shù)據(jù)包到 C4 時，當(dāng)轉(zhuǎn)發(fā)到 HUB1 時，HUB 會同時轉(zhuǎn)發(fā)給除 C1 外的所有主機，即CCCC5, 在 CCC5 接收后經(jīng)過匹配數(shù)據(jù)包中的 MAC 地址，發(fā)現(xiàn)和自己的 MAC 地址不相符時，就會丟棄收到的數(shù)據(jù)包，而 C4 匹配合適后，發(fā)現(xiàn)與自己的 MAC 地址相同，就會接收數(shù)據(jù)包。而混雜模式則是不管數(shù)據(jù)幀中的目的地址是否與自己的 MAC地址匹配，都會先接收下來，然后進(jìn)行分析。 畢業(yè)論文（設(shè)計） 第 6 頁一般來說，我們正常使用的計算機的網(wǎng)卡都是處于非混雜模式的，非混雜模式又可以分為了廣播模式、組播模式和直接模式。而根據(jù)局域網(wǎng)環(huán)境所使用的連接設(shè)備又可以分為共享式局域網(wǎng)和交換式局域網(wǎng)。 網(wǎng)絡(luò)嗅探的原理 復(fù)雜網(wǎng)絡(luò)環(huán)境現(xiàn)實生活中，我們所在的網(wǎng)絡(luò)通常為局域網(wǎng)。用交換機 Switch 組建的網(wǎng)絡(luò)是基于交換原理的，其連接設(shè)備是二層交換機或者是三層交換機，交換機的轉(zhuǎn)發(fā)方式不是把數(shù)據(jù)包發(fā)到所有的端口上，而是通過查詢MAC 地址表直接發(fā)到目的網(wǎng)卡所在的端口。網(wǎng)絡(luò)嗅探工作在 TCP/IP 網(wǎng)絡(luò)協(xié)議的底層，把數(shù)據(jù)鏈路層傳輸?shù)臄?shù)據(jù)包全都記錄下來?，F(xiàn)階段，很多網(wǎng)吧的網(wǎng)絡(luò)設(shè)