【正文】 允許匿名登錄、是否有可寫的 FTP 目錄以及是否能用 Tel 等。 Inter 中有不少網(wǎng)站服務(wù)器收集了 IP 地址的數(shù)據(jù)庫，利用這些網(wǎng)站可以輕松查詢指定 IP 地址對應(yīng)的物理位置 [9]，如圖 52 可知。（1） 啟動 程序，輸入賬號和密碼進(jìn)行登錄。搜索目標(biāo)主機(jī)信息包括獲取目標(biāo)主機(jī)的 IP 地址、查看目標(biāo)主機(jī)的物理位置等信息，除此之外，黑客還可以通過了解網(wǎng)站備案信息來進(jìn)行入侵網(wǎng)站的準(zhǔn)備工作。其他數(shù)據(jù)由于認(rèn)知深度有限，還暫不能對其進(jìn)行很好的解析。接下來在分析一下數(shù)據(jù)包的具體內(nèi)容。從圖 48 中可看到ICMP 包的序列號 NO.、時(shí)間 Time、源地址 Source、目的地址 Destination、協(xié)議 Protocol、長度 Length、信息內(nèi)容 Info。具體的嗅探方法如下：打開 Wireshark 軟件，選取好適宜的網(wǎng)卡，點(diǎn)擊 Start，開始抓包。例子 2：Ip addr == 顯示來源或目的 IP 地址為 的封包。圖 44 過濾器可以使用的子協(xié)議 畢業(yè)論文（設(shè)計(jì)） 第 24 頁Comparison operators 比較運(yùn)算符：經(jīng)常使用的有六種比較運(yùn)算符，如表 43 所示。ip proto \icmp與關(guān)鍵字 icmp 相同，這樣寫將會以 ping 工具常用的 icmp 作為目標(biāo)。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。表 41 捕捉過濾器的語法表語法 Protocol Direction Host Value Logical Operationsother expression例子 Tcp Dst 80 And Tcp dst 128Protocol（協(xié)議）:可能的值: ether, fddi, ip, ARP, rARP, deet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器是不同的。捕捉過濾器是用于我們需要什么樣的信息，從所有的數(shù)據(jù)包中找到我們所需要的一些數(shù)據(jù)包，中是開始捕捉前就已經(jīng)設(shè)定好的屬性 [9]。然而，仔細(xì)分析Wireshark 擷取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。 主要應(yīng)用網(wǎng)絡(luò)封包分析軟件的功能可想像成電工技師使用電表來量測電流、電壓、電阻的工作只是將場景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。通過使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式，并可實(shí)現(xiàn)對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。根據(jù)之前的步驟可以推出數(shù)據(jù)報(bào)文到達(dá)目標(biāo)后，源 IP、目的 IP 不變，源 MAC 為R2 接 PC2 的接口 MAC、目的 MAC 為 PC2 的 MAC。 交換式局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)局域網(wǎng)數(shù)據(jù)包的傳輸過程十分復(fù)雜。那么這個網(wǎng)段上的所有計(jì)算機(jī)都會接收到來自 A 的 ARP 請求，由于每臺計(jì)算機(jī)都有自己唯一的 MAC 和 IP，那么它會分析目的 IP 即 是不是自己的 IP？如果不是，網(wǎng)卡會自動丟棄數(shù)據(jù)包。因?yàn)樾崽桨鲃有崽胶捅粍有崽剑?ARP 欺騙又是一個單獨(dú)的技術(shù)，欺騙的目的只是讓數(shù)據(jù)經(jīng)過本機(jī)，即：主動嗅探=ARP 欺騙 +抓包。在圖 33 中，主機(jī) G 通過集線器連接到交換機(jī)的端口5，于是，交換機(jī)將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到端口 5，不再向端口 端口 端口 3 和端口 4 轉(zhuǎn)發(fā)。這種交換方式具有差錯檢測能力并能支持不同輸入/輸出速率端口之間的數(shù)據(jù)轉(zhuǎn)發(fā)，但交換延遲時(shí)間較長 [7]。直到 MAC 地址表記錄完成為止。交換機(jī)的 MAC 地址表也可以手工靜態(tài)配置，靜態(tài)配置的記錄不會被老化。圖 31 交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)原理圖 畢業(yè)論文（設(shè)計(jì)） 第 12 頁交換機(jī)的 MAC 地址表中，一條表項(xiàng)主要由一個主機(jī) MAC 地址和該地址所位于的交換機(jī)端口號組成。交換機(jī)的沖突域僅局限于交換機(jī)的一個端口上。若目的結(jié)點(diǎn) B 與發(fā)送結(jié)點(diǎn) A 在同一子網(wǎng)內(nèi)，則進(jìn)行二層的轉(zhuǎn)發(fā)。在這個例子中，IP 地址是不會起作用的，因?yàn)?IP 地址只能確定網(wǎng)絡(luò)層的傳輸，對于鏈路層和物理層是沒有用處的。正常網(wǎng)絡(luò)通信的數(shù)據(jù)流向是從本機(jī)發(fā)送數(shù)據(jù)到遠(yuǎn)程網(wǎng)關(guān)然后通過解包匹配目的端口的 MAC 地址從而確定從網(wǎng)關(guān)哪個端口轉(zhuǎn)發(fā)到出去。但即使是這樣也足夠了，因?yàn)檫@其中很可能包含各類應(yīng)用的用戶賬號和口令 [5]。 通過上面的例子可以看到，在共享式局域網(wǎng)中，集線器 HUB 會無條件的 畢業(yè)論文（設(shè)計(jì)） 第 7 頁轉(zhuǎn)發(fā)給每一個連接的主機(jī)，然后通過匹配 MAC 地址是否相同來確定數(shù)據(jù)包是否是發(fā)送給自己的，是否接收。廣播方式：該模式下的工作的計(jì)算機(jī)可以接收網(wǎng)絡(luò)中的廣播信息。局域網(wǎng)（Local Area Network，LAN）可能是指我們所處在的一棟大樓、一個生活小區(qū)、一所學(xué)校等一個團(tuán)體所在的生活區(qū)的網(wǎng)絡(luò)鏈路連接，這一片地方的計(jì)算機(jī)通過網(wǎng)線進(jìn)行連接，組成一個小范圍的網(wǎng)絡(luò)。許多攻擊者就是使用嗅探軟件，即 Sniff 來進(jìn)行數(shù)據(jù)嗅探。是的，嗅探讓我們的擔(dān)心變成了真的。也分為不同的平臺。（2）對嗅探的數(shù)據(jù)包進(jìn)行了解，對數(shù)據(jù)包的種類、作用、內(nèi)容進(jìn)行了深入的解釋和探究，方便我們對于嗅探本質(zhì)的了解。主動攻擊指的是對互聯(lián)網(wǎng)上傳輸和存儲的數(shù)據(jù)進(jìn)行插入、刪除和假冒。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，越來越多的信息資源放在了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)的安全性和可靠性顯得越發(fā)重要 [2]。因此，內(nèi)網(wǎng)攻擊的成功率比外部網(wǎng)絡(luò)攻擊高很多，并且，造成的損失也比外網(wǎng)攻擊嚴(yán)重很多。網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各種網(wǎng)絡(luò)資源和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用也越開越豐富，互聯(lián)網(wǎng)的影響與日俱增。對于嗅探工具 Wireshark 的過濾器也做了深入的分析，其捕捉過濾器和顯示過濾器有著重要的作用，可以使我們方便快捷的得到想要的數(shù)據(jù)包。學(xué)院有權(quán)保留本人所提交論文的原件或復(fù)印件，允許論文被查閱或借閱；學(xué)院可以公布本論文的全部或部分內(nèi)容，可以采用影印、縮印或其他手段復(fù)制保存本論文。本論文如有剽竊他人研究成果及相關(guān)資料若有不實(shí)之處，由本人承擔(dān)一切相關(guān)責(zé)任。因此對計(jì)算機(jī)嗅探技術(shù)的研究已成為計(jì)算機(jī)信息安全領(lǐng)域的一個重點(diǎn)和熱點(diǎn)。網(wǎng)絡(luò)參與的平等性使得民眾的主動性大大的增強(qiáng)。經(jīng)過對 6000 多加政府網(wǎng)站監(jiān)測顯示，37%的政府網(wǎng)站存在網(wǎng)頁安全漏洞，極易遭到網(wǎng)頁篡改和網(wǎng)頁掛馬等形式的攻擊和破壞 [1]。零星的 ARP 攻擊較之大規(guī)模的 ARP 攻擊更難于被網(wǎng)絡(luò)管理者和用戶發(fā)現(xiàn)，并且零星的 ARP 攻擊帶來的損失并不一定比大規(guī)模的 ARP 攻擊小，這主要是因?yàn)榇笠?guī)模的 ARP 攻擊主要是拒絕服務(wù)，而小規(guī)模的 ARP 攻擊的主要目的是信息監(jiān)聽和會話劫持等，對信息安全的威脅更大。網(wǎng)絡(luò)嗅探技術(shù)在信息安全防御技術(shù)和黑客攻防技術(shù)中都處于非常重要的地位。而賬號和口令對各類網(wǎng)上應(yīng)用的重要性是眾所周知的。 三亞學(xué)院畢業(yè)論文（設(shè)計(jì)） 第 4 頁2 嗅探 概述嗅探在現(xiàn)代已經(jīng)不再是一個神秘的詞匯，因?yàn)樵诰W(wǎng)絡(luò)日益擴(kuò)展的時(shí)代里，人們對于網(wǎng)絡(luò)技術(shù)的發(fā)展已經(jīng)十分關(guān)注，對于局域網(wǎng)時(shí)常發(fā)生的嗅探事件也很關(guān)注。在生活中，我們需要更多的便利，在網(wǎng)店中購物，給同學(xué)家人聊天，給老友發(fā)送 EMAIL。因?yàn)閮H僅依賴網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)和簡單傳統(tǒng)的排查方法，在時(shí)間和準(zhǔn)確性上面都存在很大的誤差，同時(shí)也影響了網(wǎng)吧的工作效率和正常業(yè)務(wù)的運(yùn)行。網(wǎng)絡(luò)管理員可以用嗅探器進(jìn)行網(wǎng)絡(luò)情況的分析，監(jiān)測網(wǎng)絡(luò)流量是使用情況。而通過交換機(jī)連接起來的子網(wǎng)稱為交換局域網(wǎng)，由交換機(jī)構(gòu)造一個“Mac地址 端口 ”映射表，交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，只發(fā)送到特定的端口上，也可以通過交換機(jī)的端口鏡像功能把所有的數(shù)據(jù)包全都經(jīng)過某一個端口轉(zhuǎn)發(fā)出去。而處于混雜模式的以太網(wǎng)卡，會接收不屬于自己的任何數(shù)據(jù)幀。表面上看，嗅探攻擊的危害不大，但被動攻擊具有很強(qiáng)的隱蔽性，可以長期在局域網(wǎng)環(huán)境中偵聽而不被發(fā)現(xiàn)，所以具有很大的危害性。在交換式局域網(wǎng)中，經(jīng)常發(fā)生各種事故，很多事故的發(fā)生大多是 ARP 攻擊造成的。通過圖 22 可以更加直觀的了解 ARP 欺騙的攻擊原理。這就需要我們了解在物理設(shè)備鏈路中的傳輸過程。由于僅僅在路由過程中才需要三層處理，絕大部分?jǐn)?shù)據(jù)都通過二層交換轉(zhuǎn)發(fā)，因此三層交換機(jī)的速度很快，接近二層交換機(jī)的速度，同時(shí)比相同路由器的價(jià) 畢業(yè)論文（設(shè)計(jì)） 第 11 頁格低很多。如果一個端口只連接一個結(jié)點(diǎn)，那么這個結(jié)點(diǎn)就可以獨(dú)占整個帶寬，這類端口通常被稱作專用端口；如果一個端口連接一個與端口帶寬相同的以太網(wǎng)，那么這個端口將被以太網(wǎng)中的所有結(jié)點(diǎn)所共享，這類端口被稱為共享端口。地址表項(xiàng)每次被使用或者被查找時(shí)，表項(xiàng)的時(shí)間標(biāo)記就會被更新。當(dāng)?shù)玫?MAC 地址與端口的對應(yīng)關(guān)系后，交換機(jī)將檢查 MAC 地址表中是否已經(jīng)存在該對應(yīng)關(guān)系。這種交換方式交換延遲時(shí)間短，但缺乏差錯檢測能力，不支持不同輸入/輸出速率的端口之間的數(shù)據(jù)轉(zhuǎn)發(fā)。如圖 33 所示為兩個以太網(wǎng)和三臺計(jì)算機(jī)通過以太網(wǎng)交換機(jī)相互連接的示意圖。 嗅探數(shù)據(jù)包的轉(zhuǎn)發(fā)過程關(guān)于嗅探與 ARP 欺騙的原理，需要深刻的了解數(shù)據(jù)在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)過程。其實(shí)在這背后就隱藏著 ARP 的秘密。請求和應(yīng)答過程就結(jié)束了。（3）路由器 R1 收到數(shù)據(jù)報(bào)文后查看源目的 IP。注意：通常情況下，網(wǎng)卡都是工作在非混雜模式，也就是說即使收到數(shù)據(jù)報(bào)文，網(wǎng)卡會判斷目的 MAC是否和自己的一樣，不一樣的話代表數(shù)據(jù)包不是給自己的，因此會丟棄，只接收那些目的 MAC 和自己一樣的數(shù)據(jù)報(bào)文。權(quán)衡利弊，有必要對網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)原理進(jìn)行深入的了解。Wireshark 是開源軟件項(xiàng)目，用 GPL 協(xié)議發(fā)行。網(wǎng)絡(luò)管理員使用 Wireshark 來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark 來檢查資訊安全相關(guān)問題，開發(fā)者使用 Wireshark 來為新的通訊協(xié)定除錯，普通使用者使用 Wireshark 來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。使用 畢業(yè)論文（設(shè)計(jì)） 第 20 頁Wireshark 時(shí)最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會得到大量冗余信息，以至于很難找到自己需要的部分。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。通過表 41 來具體講解捕捉過濾器的語法結(jié)構(gòu)。Logical Operations（邏輯運(yùn)算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級。（src host or src ）and tcp dst portrange 20010000 and dst 顯示來源 IP 為 或者來源網(wǎng)絡(luò)為 ，目的地 TCP 端口號在 200至 10000 之間，并且目的位于網(wǎng)絡(luò) 。點(diǎn)擊工具欄的 Expression 即可以查看所支持的協(xié)議類型。amp。例子 5：Tcp port ==25顯示來源或目的的 TCP 端口為 25 的數(shù)據(jù)包。圖 47 命令提示符界面顯示轉(zhuǎn)到 Wireshark 界面，可以看到本來沒有抓到數(shù)據(jù)包的窗口，顯示有 8 個數(shù)據(jù)包被抓取。74 字節(jié)中有 32 字節(jié)是數(shù)據(jù)，其他為 ICMP 報(bào)文的類型、代碼、校驗(yàn)和、Identifier、序列號等。 畢業(yè)論文（設(shè)計(jì)） 第 29 頁圖 410Wireshark 抓取數(shù)據(jù)包信息圖 411 本機(jī)以太網(wǎng) MAC 地址對比圖第三部分是網(wǎng)絡(luò)協(xié)議的版本號（Version 4）以及網(wǎng)絡(luò) IP 地址，包含源 IP地址和目的 IP 地址，這部分一共占了 20 字節(jié)。嗅探和掃描操作可以利用專業(yè)的軟件工作來實(shí)現(xiàn)，例如 Xscan、Wireshark 等。圖 51 局域網(wǎng)嗅探工具 畢業(yè)論文（設(shè)計(jì)） 第 31 頁下面重點(diǎn)探究如何得到 Inter 中的主機(jī) IP。一般來說 程序采用的是 80 或者是 8080 號端口來進(jìn)行建立通信。 認(rèn)識端口掃描的原理端口掃描，簡單的說就是利用數(shù)據(jù)包來分析目標(biāo)計(jì)算機(jī)的響應(yīng)，從而得到目標(biāo)計(jì)算機(jī)的端口開放信息和系統(tǒng)內(nèi)存在的弱點(diǎn)信息。SuperScan 支持 IP 地址范圍掃描，可以輸入起始 IP 和結(jié)束 IP 如圖 53。 加密傳輸?shù)臄?shù)據(jù)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密是指在傳輸數(shù)據(jù)前對數(shù)據(jù)進(jìn)行加密，待到對方接受數(shù)據(jù)后再進(jìn)行解密。從最下面可以看到計(jì)算機(jī)掃描的最終結(jié)果。目前最常見的是利用掃描軟件來掃描端口，這些軟件又被統(tǒng)一稱為“端口掃描器” 。 根據(jù) IP 地址查看物理地址Inter 中所有的計(jì)算機(jī) IP 地址都是全球統(tǒng)一分配的，因此可以同伙其中某些計(jì)算機(jī)的外網(wǎng) IP 地址查看其對應(yīng)的物理位置。這里以騰訊 為例，探究如何獲取 Inter 中計(jì)算機(jī) IP 地址的操作方法。 搜集目標(biāo)計(jì)算機(jī)的重要信息搜索目標(biāo)主機(jī)信息是黑客入侵前必須要做的準(zhǔn)備工作，而該準(zhǔn)備工作則需要花費(fèi)大量的時(shí)間。其中包括部分我們可以找到，比如源主機(jī)的 MAC 和 IP 地址、目的主機(jī)的 MA