【正文】 絡數據幀，關鍵是函數的參數設置，下面就是有關的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數據幀的層次在物理層，既不作處理。前些時間美籍華人 Chinababble曾提出將望路監(jiān)聽從局域網延伸到廣域網中，但這個想法很快就被否定了。所以監(jiān)聽程序很多時候就會將監(jiān)聽得到的包存放在文件中等待以后分析。 當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個子網（使用了不同的掩碼、 IP地址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。而發(fā)向網絡外的禎中繼攜帶的就是網關的物理地址。 計算機網絡監(jiān)聽的概述 Ether協議的工作方式是將要發(fā)送的數據包發(fā)往連接在一起的所有主機。由于局域網中采用廣播方式，因此，在某個廣播域中可以監(jiān)聽到所有的信息包。 所謂的網絡監(jiān)聽，是指主機網絡進程接受到 IP數據包后，察看其的目標端口是不是自己的端口號，如果是的話就接受該數據包進行處理。在網絡接口由 IP層來的帶有 IP地址的數據包又增加了一部分以太禎的禎頭的信息。當數字信號到達一臺主機的網絡接口時，正常狀態(tài)下網絡接口對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數據禎交給 IP層軟件。而在 Windows 9x的系統(tǒng)中則不論用戶是否有權限都將可以通過直接運行監(jiān)聽工具就可以實現了。 Inter上那么多的協議，運行進起的話這個監(jiān)聽程序將會十分的大哦。監(jiān)聽的協議分析 我們的研究從監(jiān)聽程序的編寫開始，用 Linux C語言設計實現。 struct iphdr ip。 其中 h_dest[6]是 48位的目標地址的網卡物理地址， h_source [6] 是 48位的源地址的物理網卡地址。if 0unsigned char _ar_sha[ETH_ALEN]。 u_int32_t seq。u_int16_t ack:1。u_int16_t psh:1。 這是 Linux 下 tcp協議的一部分與 ip協議相同取 BIG，其中 source是源端口， dest 是目的端口， seq是 s序， ack_seq 是 a序號，其余的是 tcp的連接標志其中包括 6個標志：syn表示連接請求， urg 表示緊急信息， fin表示連接結束， ack表示連接應答， psh表示推棧標志， rst表示中斷連接。u_int8_t code。} frag。_u32 group。按照這個思路，我們就可以這樣來操作：假設我們懷疑的主機的硬件地址是 00:30:6E:00:9B:B9，它的 ip地址是 ，那么我們現在偽造出這樣的一種 icmp數據包：硬件地址是不與局域網內任何一臺主機相同的 00:30:6E:00:9B:9B，目的地址是 ，我們可以設想一下這種數據包在局域網內傳輸會發(fā)生什么現象：任何正常的主機會檢查這個數據包，比較數據包的硬件地址，和自己的不同，于是不會理會這個數據包，而處于網絡監(jiān)聽模式的主機呢？由于它的網卡現在是在混雜模式的，所以它不會去對比這個數據包的硬件地址，而是將這個數據包直接傳到上層，上層檢查數據包的 ip地址，符合自己的 ip，于是會對對這個 ping的包做出回應。 值得注意的是，現在互聯網上流傳著一些基于上面這兩種技術的腳本和程序，它們宣稱自己能準確捕捉到局域網內所有進行網絡監(jiān)聽的主機，目前來講，這種說法基本上是不可靠的，因為上述技術在實現中，除了要考慮網卡的硬件過濾外，還需要考慮到不同操作系統(tǒng)可能產生的軟件過濾。一般情況下，大多數的嗅探器至少能夠 分析 下面的 協議 ： 1．標準 以太網 2． TCP/IP 3． IPX 4． DECNet 嗅探器通常是軟硬件的結合。（例如， 以太網 的前 12個字節(jié)存放的是源和目的的地址，這些位告訴網絡：數據的來源和去處。當用戶發(fā)送一個報文時，這些報文就會發(fā)送到 LAN上所有可用的機器。如果這樣的話就能捕獲網絡和其他網絡進行身份鑒別的過程。值得注意的是： sniffer是極其安靜的，它是一種消極的 安全 攻擊。如果網絡中有人在 Listen，那么信息包傳送將無法每次都順暢的流到目的地。不過，編程技巧高的 Sniffer即使正在運行，也不會出現在這里的。 我們介紹以下 SSH，它又叫 Secure Shell。它為通過 TCP/IP網絡通信提供了通用的最強的加密。游戲的目的是要安排好數字，用最少的步驟，把它們按遞減順序排好。 Hub再接到交換機上。入侵者已經能從一個防火墻后面掃描，并探測正在運行的服務。因此，防止系統(tǒng)被突破是關鍵。根據端口的回應來確認該端口是否可用和更進一步偵察它的漏洞。 2．非常用端口 通過一個非標準端口，就是我們常常簡單化地認為的 1023以上的端口。所以，例如：可以通過連接80號端口然后用 Ident來判斷 HTTP服務是否在 root下運行。另外一種秘密掃描技術是 反向映射 ，當你試圖在網絡上搜索所有的主機時，然后通過產生 主機不可到達 的 ICMP信息來確定哪些 IP不存在。另一個技術是發(fā)送錯誤的包到一個端口，并期望處于監(jiān)聽狀態(tài)的端口發(fā)回一個不同的錯誤消息而不是關閉端口的消息。但是，有的包可能會在線路上發(fā)生意外丟失或被防火墻過濾，因此這并不是一個高效的掃描技術。 SOCKS錯誤配置將允許任意的源地址和目標地址通行。 端口掃描技術 反彈掃描 對于攻擊者來說隱藏他們行蹤是能力是很重要的。如果 FTP服務允許讀出或寫入數據進一個目錄(如 :/ining)，你可以發(fā)送任意數據到這個被發(fā)現可以打開的端口。這種技術可以用來隱藏查詢的原始來源。 （待續(xù) … ） 端口掃描技術 反彈掃描 IRC BNC：攻擊者喜歡通過用其它機器繞接他們的連接來隱藏自己的 IRC標識。所以端口 111被防火墻封鎖并不影響。 ICMP掃描也可并行執(zhí)行，所以速度很快。按照 Foydor的話說 : nmap對大型網絡端口掃描很有用，盡管它在一臺主機上也工作的很出色。一個被探測的端口的明顯的特征是 在短時間內幾個包來自同一地址而有不同的目的地 ，另一個信號是 一個沒有監(jiān)聽的端口有 SYN(連接請求 ) 。 4．怎樣在網絡上發(fā)現 Sniffer及如何防止被 Sniffer? 5．簡述端口掃描的概念。 記住 :攻擊者常常也使用 IP地址欺騙，所以偵察器會告訴我們我們被端口掃描了，但不一定告訴我們來自哪兒。s More Than One Way To Do It條條大道通羅馬 )。對數據的重新組合被發(fā)送到系統(tǒng)而引起系統(tǒng)的回應。例如：第二次對一個關閉的 UDP端口調用 write()總是會失敗。 UDP 掃描 端口掃描通常指對 TCP端口的掃描，它是定向連接的，因此給攻擊者提供了很好的反饋信息。因此，對 smtp試探的方法在網上就經常被使用。然后我們試著列出當前地址目錄，結果被發(fā)送到 serverDTP。 FTP反彈掃描利用了 FTP協議本身的弱點。更重要的是，這可能允許攻擊者通過你的系統(tǒng)訪問其它的 Inter上的機器，使得攻擊者隱藏他自己的真實地址?；蛩袠擞浂紱]有被設置的空掃描。關閉端口時將恢復一個 RST的 FIN包。這樣可繞過包過濾和防火墻，因為它他看不到一個完整的 TCP頭所以不能對應相應的過濾規(guī)則。他們會觀察連進的程序，然后他們就登記一個錯誤。 端口掃描技術 最簡單的端口掃描 (例如：發(fā)送一些經過仔細挑選建立的包到選定的目標端口 )是試圖打開被掃描者的 0到 65535號端口看些是打開的。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或信息。同時要控制擁有相當權限的用戶的數量。你必須考慮一條這樣的路徑，即信任關系有多長。其余的網段將不可能被 sniffer。 這樣的拓撲結構需要有這樣的規(guī)則：一個網絡段必須有足夠的理由才能信任另一網絡段。目前，還沒有人突破過這種加密方法。它是建立在客戶機 /服務器模型上的。但可能入侵者用的是他們自己寫的程序，所以都會給發(fā)現 sniffer造成相當大的困難。在非高速信道上，如 56Kddn等，如果網絡中存在 sniffer，你應該也可以察覺出網絡通訊速度的變化。 2．金融帳號 許多用戶很放心在網上使用自己的信用卡或現金帳號，然而 sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和 pin. 3．偷窺機密或敏感的信息數據 通過攔截數據包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的 會話過程。 (完 …) —— Sniffer（嗅探器） 網絡監(jiān)聽 Sniffer的工作原理 通常在同一個網段的所有網絡接口都有訪問在物理媒體上傳輸的所有數據的能力，而每個網絡接口都還應該有一個硬件地址，該硬件地址不同于網絡中存在的其他網絡接口的硬件地址，同時，每個網絡至少還要一個廣播地址。 如果某在工作站的網絡接口處于雜收模式，那么它就可以捕獲網絡上所有的報文和幀，如果一個工作站