【正文】 絡數(shù)據(jù)幀，關鍵是函數(shù)的參數(shù)設置，下面就是有關的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層，既不作處理。前些時間美籍華人 Chinababble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中，但這個想法很快就被否定了。所以監(jiān)聽程序很多時候就會將監(jiān)聽得到的包存放在文件中等待以后分析。 當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個子網(wǎng)（使用了不同的掩碼、 IP地址和網(wǎng)關）的主機的數(shù)據(jù)包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。而發(fā)向網(wǎng)絡外的禎中繼攜帶的就是網(wǎng)關的物理地址。 計算機網(wǎng)絡監(jiān)聽的概述 Ether協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機。由于局域網(wǎng)中采用廣播方式，因此，在某個廣播域中可以監(jiān)聽到所有的信息包。 所謂的網(wǎng)絡監(jiān)聽，是指主機網(wǎng)絡進程接受到 IP數(shù)據(jù)包后，察看其的目標端口是不是自己的端口號，如果是的話就接受該數(shù)據(jù)包進行處理。在網(wǎng)絡接口由 IP層來的帶有 IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。當數(shù)字信號到達一臺主機的網(wǎng)絡接口時，正常狀態(tài)下網(wǎng)絡接口對讀入數(shù)據(jù)禎進行檢查，如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數(shù)據(jù)禎交給 IP層軟件。而在 Windows 9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運行監(jiān)聽工具就可以實現(xiàn)了。 Inter上那么多的協(xié)議，運行進起的話這個監(jiān)聽程序?qū)值拇笈丁１O(jiān)聽的協(xié)議分析 我們的研究從監(jiān)聽程序的編寫開始，用 Linux C語言設計實現(xiàn)。 struct iphdr ip。 其中 h_dest[6]是 48位的目標地址的網(wǎng)卡物理地址， h_source [6] 是 48位的源地址的物理網(wǎng)卡地址。if 0unsigned char _ar_sha[ETH_ALEN]。 u_int32_t seq。u_int16_t ack:1。u_int16_t psh:1。 這是 Linux 下 tcp協(xié)議的一部分與 ip協(xié)議相同取 BIG，其中 source是源端口， dest 是目的端口， seq是 s序， ack_seq 是 a序號，其余的是 tcp的連接標志其中包括 6個標志：syn表示連接請求， urg 表示緊急信息， fin表示連接結(jié)束， ack表示連接應答， psh表示推棧標志， rst表示中斷連接。u_int8_t code。} frag。_u32 group。按照這個思路，我們就可以這樣來操作：假設我們懷疑的主機的硬件地址是 00:30:6E:00:9B:B9，它的 ip地址是 ，那么我們現(xiàn)在偽造出這樣的一種 icmp數(shù)據(jù)包：硬件地址是不與局域網(wǎng)內(nèi)任何一臺主機相同的 00:30:6E:00:9B:9B，目的地址是 ，我們可以設想一下這種數(shù)據(jù)包在局域網(wǎng)內(nèi)傳輸會發(fā)生什么現(xiàn)象：任何正常的主機會檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包的硬件地址，和自己的不同，于是不會理會這個數(shù)據(jù)包，而處于網(wǎng)絡監(jiān)聽模式的主機呢？由于它的網(wǎng)卡現(xiàn)在是在混雜模式的，所以它不會去對比這個數(shù)據(jù)包的硬件地址，而是將這個數(shù)據(jù)包直接傳到上層，上層檢查數(shù)據(jù)包的 ip地址，符合自己的 ip，于是會對對這個 ping的包做出回應。 值得注意的是，現(xiàn)在互聯(lián)網(wǎng)上流傳著一些基于上面這兩種技術(shù)的腳本和程序，它們宣稱自己能準確捕捉到局域網(wǎng)內(nèi)所有進行網(wǎng)絡監(jiān)聽的主機，目前來講，這種說法基本上是不可靠的，因為上述技術(shù)在實現(xiàn)中，除了要考慮網(wǎng)卡的硬件過濾外，還需要考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過濾。一般情況下，大多數(shù)的嗅探器至少能夠 分析 下面的 協(xié)議 ： 1．標準 以太網(wǎng) 2． TCP/IP 3． IPX 4． DECNet 嗅探器通常是軟硬件的結(jié)合。（例如， 以太網(wǎng) 的前 12個字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡：數(shù)據(jù)的來源和去處。當用戶發(fā)送一個報文時，這些報文就會發(fā)送到 LAN上所有可用的機器。如果這樣的話就能捕獲網(wǎng)絡和其他網(wǎng)絡進行身份鑒別的過程。值得注意的是： sniffer是極其安靜的，它是一種消極的 安全 攻擊。如果網(wǎng)絡中有人在 Listen，那么信息包傳送將無法每次都順暢的流到目的地。不過，編程技巧高的 Sniffer即使正在運行，也不會出現(xiàn)在這里的。 我們介紹以下 SSH，它又叫 Secure Shell。它為通過 TCP/IP網(wǎng)絡通信提供了通用的最強的加密。游戲的目的是要安排好數(shù)字，用最少的步驟，把它們按遞減順序排好。 Hub再接到交換機上。入侵者已經(jīng)能從一個防火墻后面掃描，并探測正在運行的服務。因此，防止系統(tǒng)被突破是關鍵。根據(jù)端口的回應來確認該端口是否可用和更進一步偵察它的漏洞。 2．非常用端口 通過一個非標準端口，就是我們常常簡單化地認為的 1023以上的端口。所以，例如：可以通過連接80號端口然后用 Ident來判斷 HTTP服務是否在 root下運行。另外一種秘密掃描技術(shù)是 反向映射 ，當你試圖在網(wǎng)絡上搜索所有的主機時，然后通過產(chǎn)生 主機不可到達 的 ICMP信息來確定哪些 IP不存在。另一個技術(shù)是發(fā)送錯誤的包到一個端口，并期望處于監(jiān)聽狀態(tài)的端口發(fā)回一個不同的錯誤消息而不是關閉端口的消息。但是，有的包可能會在線路上發(fā)生意外丟失或被防火墻過濾，因此這并不是一個高效的掃描技術(shù)。 SOCKS錯誤配置將允許任意的源地址和目標地址通行。 端口掃描技術(shù) 反彈掃描 對于攻擊者來說隱藏他們行蹤是能力是很重要的。如果 FTP服務允許讀出或?qū)懭霐?shù)據(jù)進一個目錄(如 :/ining)，你可以發(fā)送任意數(shù)據(jù)到這個被發(fā)現(xiàn)可以打開的端口。這種技術(shù)可以用來隱藏查詢的原始來源。 （待續(xù) … ） 端口掃描技術(shù) 反彈掃描 IRC BNC：攻擊者喜歡通過用其它機器繞接他們的連接來隱藏自己的 IRC標識。所以端口 111被防火墻封鎖并不影響。 ICMP掃描也可并行執(zhí)行，所以速度很快。按照 Foydor的話說 : nmap對大型網(wǎng)絡端口掃描很有用，盡管它在一臺主機上也工作的很出色。一個被探測的端口的明顯的特征是 在短時間內(nèi)幾個包來自同一地址而有不同的目的地 ，另一個信號是 一個沒有監(jiān)聽的端口有 SYN(連接請求 ) 。 4．怎樣在網(wǎng)絡上發(fā)現(xiàn) Sniffer及如何防止被 Sniffer? 5．簡述端口掃描的概念。 記住 :攻擊者常常也使用 IP地址欺騙，所以偵察器會告訴我們我們被端口掃描了，但不一定告訴我們來自哪兒。s More Than One Way To Do It條條大道通羅馬 )。對數(shù)據(jù)的重新組合被發(fā)送到系統(tǒng)而引起系統(tǒng)的回應。例如：第二次對一個關閉的 UDP端口調(diào)用 write()總是會失敗。 UDP 掃描 端口掃描通常指對 TCP端口的掃描，它是定向連接的，因此給攻擊者提供了很好的反饋信息。因此，對 smtp試探的方法在網(wǎng)上就經(jīng)常被使用。然后我們試著列出當前地址目錄，結(jié)果被發(fā)送到 serverDTP。 FTP反彈掃描利用了 FTP協(xié)議本身的弱點。更重要的是，這可能允許攻擊者通過你的系統(tǒng)訪問其它的 Inter上的機器，使得攻擊者隱藏他自己的真實地址?；蛩袠擞浂紱]有被設置的空掃描。關閉端口時將恢復一個 RST的 FIN包。這樣可繞過包過濾和防火墻，因為它他看不到一個完整的 TCP頭所以不能對應相應的過濾規(guī)則。他們會觀察連進的程序，然后他們就登記一個錯誤。 端口掃描技術(shù) 最簡單的端口掃描 (例如：發(fā)送一些經(jīng)過仔細挑選建立的包到選定的目標端口 )是試圖打開被掃描者的 0到 65535號端口看些是打開的。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或信息。同時要控制擁有相當權(quán)限的用戶的數(shù)量。你必須考慮一條這樣的路徑，即信任關系有多長。其余的網(wǎng)段將不可能被 sniffer。 這樣的拓撲結(jié)構(gòu)需要有這樣的規(guī)則：一個網(wǎng)絡段必須有足夠的理由才能信任另一網(wǎng)絡段。目前，還沒有人突破過這種加密方法。它是建立在客戶機 /服務器模型上的。但可能入侵者用的是他們自己寫的程序，所以都會給發(fā)現(xiàn) sniffer造成相當大的困難。在非高速信道上，如 56Kddn等，如果網(wǎng)絡中存在 sniffer，你應該也可以察覺出網(wǎng)絡通訊速度的變化。 2．金融帳號 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號，然而 sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和 pin. 3．偷窺機密或敏感的信息數(shù)據(jù) 通過攔截數(shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的 會話過程。 (完 …) —— Sniffer（嗅探器） 網(wǎng)絡監(jiān)聽 Sniffer的工作原理 通常在同一個網(wǎng)段的所有網(wǎng)絡接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡接口都還應該有一個硬件地址，該硬件地址不同于網(wǎng)絡中存在的其他網(wǎng)絡接口的硬件地址，同時，每個網(wǎng)絡至少還要一個廣播地址。 如果某在工作站的網(wǎng)絡接口處于雜收模式，那么它就可以捕獲網(wǎng)絡上所有的報文和幀，如果一個工作站