【正文】 被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。 (待續(xù) …) —— Sniffer（嗅探器） 幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。另一方面，免費(fèi)的嗅探器雖然不需要花什么錢，但得不到什么支持。 除了上述幾種方式外，還有一些其他的方式，如：檢測(cè) hub燈，但相比局限性就更大了，只能作為上述模式的補(bǔ)充。 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 檢測(cè)網(wǎng)絡(luò)監(jiān)聽的手段 這種方法，在 10pht這個(gè)黑客組織的 antisniff產(chǎn)品中有很好的體現(xiàn)。 這是 Linux下的 ip協(xié)議中的 igmp協(xié)議，協(xié)議中主要是前面兩個(gè)屬性， Type表示igmp 協(xié)議的信息類型， code表示 routing code. 然后，將截取的數(shù)據(jù)幀的地址賦值給定義的結(jié)構(gòu) .由此可根據(jù)不同的結(jié)構(gòu)分析數(shù)據(jù)，得到我們需要的信息。}。union{struct {u_int16_t id。 Udphdr 這是 udp協(xié)議報(bào)頭 struct udphdr {u_int16_t source。 u_int16_t syn:1。u_int16_t res2:2。 if _BYTE_ORDER == _LITTLE _ENDIANu_int16_t resl:4。unsigned char _ar_tha[ETH_ALEN]。 Iphdr 這是 ip協(xié)議的報(bào)頭 : 由此可以定義其結(jié)構(gòu)如下： 這是 Linux 的 ip協(xié)議報(bào)頭，針對(duì)版本的不同它可以有不同的定義，我們國(guó)內(nèi)一般用 BIG的定義，其中 version 是 ip的版本， protocol是 ip的協(xié)議分類主要有 0x06 udp， 0x01 icmp， 0x02 igmp等， saddr是 32位的源 ip地址， daddr是 32位的目標(biāo) ip地址。 char buff[8192]。 由于各種協(xié)議的數(shù)據(jù)幀個(gè)不相同，所以涉及很多的數(shù)據(jù)幀頭格式分析，接下來將一一描述 . (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 在 linux 下監(jiān)聽網(wǎng)絡(luò)，應(yīng)先設(shè)置網(wǎng)卡狀態(tài)，使其處于雜混模式以便監(jiān)聽網(wǎng)絡(luò)上的所有數(shù)據(jù)幀。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件難點(diǎn)事情，只要掌握有初步的 TCP/IP協(xié)議知識(shí)就可以輕松的監(jiān)聽到你想要的信息的。同時(shí)監(jiān)聽程序在運(yùn)行的時(shí)候需要消耗大量的處理器時(shí)間，如果在這個(gè)時(shí)候就詳細(xì)的分析包中的內(nèi)容，許多包就會(huì)來不及接收而被漏走。但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話，所有的數(shù)據(jù)禎都將被交給上層協(xié)議軟件處理。對(duì)于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，它也就同時(shí)具備有很多個(gè) IP地址，在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。一個(gè)網(wǎng)絡(luò)上的主機(jī)有可能開啟多個(gè)網(wǎng)絡(luò)進(jìn)程（如即瀏覽網(wǎng)頁(yè)又上 ），也就是監(jiān)聽了多個(gè)端口。第 4章 網(wǎng)絡(luò)端口監(jiān)聽與端口掃描技術(shù) ? 本章提示 – 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 – ——Sniffer（嗅探器） – 端口掃描技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。進(jìn)行網(wǎng)絡(luò)通訊的主機(jī)，既要發(fā)送數(shù)據(jù)，也要接受數(shù)據(jù)，所以就要開啟相應(yīng)的端口以接受數(shù)據(jù)。在禎頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址這是一個(gè) 48位的地址，這個(gè) 48位的地址是與 IP地址相對(duì)應(yīng)的，換句話說就是一個(gè) IP地址也會(huì)對(duì)應(yīng)一個(gè)物理地址。對(duì)于每個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)禎都要進(jìn)行這個(gè)過程的。 ? 在網(wǎng)絡(luò)監(jiān)聽時(shí)，常常要保存大量的信息（也包含很多的垃圾信息），并將對(duì)收集的信息進(jìn)行大量的整理，這樣就會(huì)使正在監(jiān)聽的機(jī)器對(duì)其它用戶的請(qǐng)求響應(yīng)變的很慢。 (待續(xù) …) 現(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎(chǔ)。 以太網(wǎng)上數(shù)據(jù)幀的監(jiān)聽剖析 以太網(wǎng)上的數(shù)據(jù)幀主要涉及 Tcp/ip協(xié)議，針對(duì)以下幾個(gè)協(xié)議的分析： IP， ARP，RARP， IPX，其中重點(diǎn)在于 ip和 arp協(xié)議，這兩個(gè)協(xié)議是多數(shù)網(wǎng)絡(luò)協(xié)議的基礎(chǔ)，因此把他們研究徹底，就對(duì)大多數(shù)的協(xié)議的原理和特性比較清楚了。 struct tcphdr tcp。 H_proto是 16位的以太網(wǎng)協(xié)議，其中主要有 0x0800 ip， 0x8137 ipx， 0x88630x8864 pppoe(這是 Linux的 ppp)， 0x0600 ether _loop_back ， 0x02000x0201 pup等。unsigned char _ar_sip[4]。 u_int32_t ack_seq。 u_int16_t urg:1。u_int16_t rst:1。 window是表示接受數(shù)據(jù)窗口大小， check是校驗(yàn)碼， urg ptr是緊急指針。u_int16_t checksum。} un。}。這樣，一臺(tái)處于網(wǎng)絡(luò)監(jiān)聽模式的主機(jī)就被發(fā)現(xiàn)了。因?yàn)殡m然理論上網(wǎng)卡處于混雜模式的系統(tǒng)應(yīng)該接收所有的數(shù)據(jù)包，但實(shí)際上不同的操作系統(tǒng)甚至相同的操作系統(tǒng)的不同版本在 tcp/ip的實(shí)現(xiàn)上都有自己的一些特點(diǎn)，有可能不會(huì)接收這些理論上應(yīng)該接收的數(shù)據(jù)包。專用的嗅探器價(jià)格非常昂貴。 以太網(wǎng) 幀的其他部分存放實(shí)際的用戶數(shù)據(jù)、 TCP/IP的報(bào)文頭或 IPX報(bào)文頭等等）。 在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)（換句話說，工作站 A不會(huì)捕獲屬于工作站 B的數(shù)據(jù)，而是簡(jiǎn)單的忽略這些數(shù)據(jù)）。這樣的方式將成倍地增加我們能夠攻擊的 范圍。 通常 sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類： (待續(xù) …) —— Sniffer（嗅探器） 網(wǎng)絡(luò)監(jiān)聽 Sniffer的工作原理 1．口令 我想這是絕大多數(shù)非法使用 sniffer的理由， sniffer可以記錄到明文傳送的 userid和， sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。（這是由于 sniffer攔截每個(gè)包導(dǎo)致的） 2．網(wǎng)絡(luò)帶寬出現(xiàn)反常 通過某些帶寬控制器（通常是防火墻所帶），可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽。 另一個(gè)方法就是在系統(tǒng)中搜索，查找可疑的文件。 SSH是一個(gè)在應(yīng)用程序中提供安全通信的協(xié)議。如果某個(gè)站點(diǎn)使用 FSSH，用戶名和口令成為不是很重要的一點(diǎn)。當(dāng)處理網(wǎng)絡(luò)拓?fù)鋾r(shí)，就和玩這個(gè)游戲一樣。由于網(wǎng)絡(luò)分段了，數(shù)據(jù)包只能在這個(gè)網(wǎng)段上被 sniffer。你要關(guān)心的是一旦入侵者進(jìn)入系統(tǒng)，他能得到些什么。系統(tǒng)安全管理員要定期的對(duì)所管理的網(wǎng)絡(luò)進(jìn)行安全測(cè)試，防止安全隱患。 端口掃描技術(shù)的原理 端口掃描向目標(biāo)主機(jī)的 TCP/IP服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。事實(shí)上在此范圍內(nèi)的端口號(hào)中，也有一些 標(biāo)準(zhǔn) 的端口，例如 : wins 1512/tcp Microsoft Windows Inter Name Service radius 1812/udp RADIUS authentication protocol yahoo 5010 Yahoo! Messenger x11 60006063/tcp X Window System 一些惡意的程序常常散布很廣，它們到處搜尋，收集到了這些常用的端口號(hào)碼。 端口掃描技術(shù) 從攻擊者的角度來看通過端口掃描存在的一個(gè)問題是，它很容易被在此端口監(jiān)聽的服務(wù)所記錄在訪問日志里。 IP包分片：掃描器從 IP分片中劈開 TCP頭。掃描器發(fā)送一個(gè) FIN包，這將使打開的端口關(guān)閉。 在 XMAS掃描中用到了一些其他的技術(shù)，它是把 TCP包中的所有標(biāo)志都設(shè)置好了。就像是允許內(nèi)部的機(jī)器訪問Inter一樣，外面的機(jī)器也可以訪問內(nèi)部的機(jī)器。因此，攻擊者快速搜索 Inter，查找他們可以的攻擊系統(tǒng)。我們的技術(shù)是利用端口 (FTP)命令來發(fā)現(xiàn)和記錄一些雖然被動(dòng)但卻在監(jiān)聽目標(biāo)機(jī)器特定的端口 userDTP用戶。 Email：發(fā)送垃圾郵件的人試圖通過 SMTP服務(wù)器轉(zhuǎn)發(fā)他們的垃圾郵件。一個(gè)叫 BNC 的很特別的程序就是用了這種方式危及到機(jī)器的安全。但是你能發(fā)現(xiàn)高于 30， 000以上的端口是處于監(jiān)聽狀態(tài)的嗎？有了 UDP掃描器，你可以做到！ UDP recvfrom()和 write()掃描：非 root用戶不能直接讀取 ICMP Port Unreach消息， Linux提供了一種方法可以間接通知到用戶。 指紋識(shí)別操作系統(tǒng) 指紋識(shí)別是一種解析系統(tǒng)回應(yīng)，來確定到底是出什么問題的技術(shù)。讓我產(chǎn)生開發(fā) nmap的思想是 TMTOWTDI (There39。顯然，還有很多種其它方法可以偵察端口掃描。 6．端口掃描技術(shù)的原理是什么？ 7．簡(jiǎn)述常見的端口掃描技術(shù)有哪些？