【正文】 的參數(shù)設(shè)置，下面就是有關(guān)的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層，既不作處理。相應(yīng)的數(shù)據(jù)結(jié)構(gòu)： (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 struct arphdr {unsigned short int ar_hrd。 u_int16_t doff:4。u_int16_t fin:1。u_int16_t sequence。 (完 …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 檢測(cè)網(wǎng)絡(luò)監(jiān)聽的手段 對(duì)發(fā)生在局域網(wǎng)的其他主機(jī)上的監(jiān)聽，一直以來，都缺乏很好的檢測(cè)方法。 (完 …) —— Sniffer（嗅探器） sniffer就是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備。通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。（代表所有的接口地址），在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀： 1．幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。 還有一個(gè)辦法是看看計(jì)算機(jī)上當(dāng)前正在運(yùn)行的所有程序。 SSH服務(wù)器的分配的端口是 22。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計(jì)，而不是硬件需要。舉個(gè)例子，假設(shè)你的 WEB服務(wù)器對(duì)某一計(jì)算機(jī) A是信任的。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出 IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。有很多的秘密掃描技術(shù)能夠越過這個(gè)問題。相反，開啟的端口會(huì)忽略所有查詢的包。 IRC聊天服務(wù)器經(jīng)常掃描客戶端以檢查 SOCKS服務(wù)是否打開。如果我們的目標(biāo)主機(jī)正在監(jiān)聽指定的端口，該傳送就會(huì)成功 (產(chǎn)生一個(gè) 250和一個(gè) 226回應(yīng) )。 UDP的應(yīng)答有著不同的方式，為了發(fā)現(xiàn) UDP端口，攻擊者們通常發(fā)送空的 UDP數(shù)據(jù)包，如果該端口正處于監(jiān)聽狀態(tài)，將發(fā)回一個(gè)錯(cuò)誤消息或不理睬流入的數(shù)據(jù)包；如果該端口是關(guān)閉的，大多數(shù)的操作系統(tǒng)將發(fā)回 ICMP 端口不可到達(dá) 的消息，這樣，你可以發(fā)現(xiàn)一個(gè)端口到底有沒有打開，通過排除方法確定哪些端口是打開的。數(shù)據(jù)正確，系統(tǒng)有同樣的回應(yīng)，但一般都不對(duì)錯(cuò)誤的數(shù)據(jù)作出同樣的回應(yīng)。但是，端口掃描有時(shí)會(huì)泄漏其它的信息，通過這些信息，可以得到一些欺騙地址掃描的真實(shí)來源。偵察隱藏掃描得在內(nèi)核層進(jìn)行。但是它?？梢杂脕韕ing網(wǎng)內(nèi)的機(jī)器以確定哪臺(tái)機(jī)器是連網(wǎng)的。對(duì) HTTP代理的試探在今天很常見。因此你可以在防火墻后與 FTP服務(wù)建立連接，然后掃描那些很可能被封鎖的端口 (如： 139)。所有其它在內(nèi)網(wǎng)的機(jī)器連接 Inter都要通過這臺(tái)機(jī)器上運(yùn)行的 WinGate。 FIN掃描：典型的 TCP掃描是試圖建立連接 (以最少的步驟 )。 Ident協(xié)議允許那些通過 TCP連接到計(jì)算機(jī)上的任何進(jìn)程來窺視計(jì)算機(jī)的用戶名，即便是那個(gè)進(jìn)程并沒有被初始化。事實(shí)上，端口的掃描是向每個(gè)端口一次發(fā)送一個(gè)消息的過程。 如果你的局域網(wǎng)要和 INTERNET相連，僅僅使用防火墻是不夠的。在我們小的時(shí)候也許都玩過一種智力游戲，它通常由一系列數(shù)字組成。解決這些問題的辦法是加密。sniffer是如此囂張又安靜，如何知道有沒有 sniffer存在，這也是一個(gè)很難說明的問題，比較有說服力的理由證明你的網(wǎng)絡(luò)有 sniffer目前有以下現(xiàn)象： 1．網(wǎng)絡(luò)通訊掉包率反常的高 通過一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況（不是 sniffer），向 ping這樣的命令會(huì)告訴你掉了百分幾的包。將嗅探器放置于被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣將捕獲到很多口令，還有一個(gè)比較好的方法就是放在網(wǎng)關(guān)上。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀 (Ftame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。可分別參見： ； 。_u16 csum。 Icmphdr 這是 ip協(xié)議的 icmp協(xié)議的報(bào)頭 (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 struct icmphdr{u_int8_t type。 u_int16_t ack:1。 u_int16_t dest。 unsigned short h_proto。在整個(gè) Inter中就更顯得微不足道了。 ? 在 UNIX系統(tǒng)上，當(dāng)擁有超級(jí)權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機(jī)設(shè)置成監(jiān)聽模式了。網(wǎng)絡(luò)接口不會(huì)識(shí)別 IP地址的。而黑客通過對(duì)信息包進(jìn)行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰ? (待續(xù) …) 計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的概述 Ether中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。 Htons(0x0003)表示 截取的數(shù)據(jù)幀的類型為不確定，既接受所有的包。 unsigned short int ar_pro。u_int16_t fin:1。 elseerror Adjust your definesendifu_int16_t window。} echo。這是由于產(chǎn)生網(wǎng)絡(luò)監(jiān)聽行為的主機(jī)在工作時(shí)總是不做聲的收集數(shù)據(jù)包，幾乎不會(huì)主動(dòng)發(fā)出任何信息。嗅探器的正當(dāng)用處在于 分析 網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。 2．幀的目標(biāo)區(qū)域具有 廣播地址 。但這通常并不可靠，但你可以控制哪個(gè)程序可以在你的計(jì)算機(jī)上運(yùn)行。連接是通過使用一種來自RSA的算法建立的。 讓我們開始處理這個(gè)網(wǎng)絡(luò)拓?fù)?，來看看? (待續(xù) …) —— Sniffer（嗅探器） 怎樣防止被 sniffer 一個(gè)網(wǎng)絡(luò)段是僅由能互相信任的計(jì)算機(jī)組成的。那么有多少計(jì)算機(jī)是 A信任的呢。 端口號(hào) 1．常用端口 所有的操作系統(tǒng)都遵循傳統(tǒng)的通行僅當(dāng)超級(jí)用戶打開從 0到 1023號(hào)端口。秘密掃描工具是一種不會(huì)被審核工具發(fā)現(xiàn)到的掃描方法。這在 TCP中是要求這樣的。他們將通過發(fā)送一個(gè)消息給那些不知道如何解決這個(gè)問題的人而把他們剔出去。否則將得到 425消息：不能建立數(shù)據(jù)連接：連接被拒絕 ，然后我們?cè)傧蚰繕?biāo)主機(jī)的下一個(gè)端口發(fā)送其它的 PORT命令。 ICMP和UDP包都不是可靠的通信，所以這種 UDP掃描器當(dāng)出現(xiàn)丟包時(shí) (或者你得到了一堆錯(cuò)誤的位置 )必須執(zhí)行包重法。 端口掃描工具 這里列出三種安全審計(jì)工具 : SAINT， nmap，和 nessus. 在這三種之中， nmap是明顯的和主要的端口掃描工具 。例如 :如果我們終端接收到的包有 IP TTL 255標(biāo)記，實(shí)際上我們就知道他們發(fā)送的包來自于我們本地網(wǎng)絡(luò)而不去管他們是什么信息，例如我們只能說攻擊者在 5跳之內(nèi)，我們不能準(zhǔn)確說出他距我們有多遠(yuǎn)。 端口掃描技術(shù) 端口掃描偵察工具 在 Unix下，寫一個(gè)非隱藏掃描偵察器很簡(jiǎn)單，你可以打開 SOCK_RAW，使協(xié)議為IPPROTO_IP協(xié)議，然后調(diào)用 recvfrom()，捕獲數(shù)據(jù)包并分析它們。 (完 …) 端口掃描技術(shù) ICMP掃描 ICMP掃描并不是真正的端口掃描，因?yàn)?ICMP并沒有一個(gè)確切的端口。但有許多這種服務(wù)都配置錯(cuò)誤以至于允許 Inter上的任何請(qǐng)求，允許攻擊者通過第三方轉(zhuǎn)發(fā)攻擊。 一種端口掃描技術(shù)就是使用這種方法從 ftp代理服務(wù)器來掃描 tcp端口。 許多產(chǎn)品都支持 SOCKS，一個(gè)典型的用戶產(chǎn)品就是 WinGate， WinGate是一個(gè)安裝在個(gè)別的機(jī)器上軟件用來和 Inter連接。 TCP層并不會(huì)通知服務(wù)進(jìn)程，因?yàn)檫B接并沒有完成。閘門這個(gè)名字來源于一個(gè)原始的 TCP掃描程序，而現(xiàn)在已成為所有掃描工具的共同特征。攻擊者通過端口掃描發(fā)現(xiàn)可用的端口 (正處于監(jiān)聽狀態(tài)的端口 )。這樣，就建立了一種框架，可以告訴你什么時(shí)候放置了一個(gè) sniffer，它放在那里了，是誰放的等等。這聽上去很簡(jiǎn)單，但實(shí)現(xiàn)起來花銷是很大的。有些數(shù)據(jù)是沒有經(jīng)過處理的，一旦被 sniffer，就能獲得這些信息。 (完 …) —— Sniffer（嗅探器） 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer？簡(jiǎn)單的一個(gè)回答是你發(fā)現(xiàn)不了，因?yàn)樗麄兏揪蜎]有留下任何痕跡。工人，也可以嗅探給定接口上的所有報(bào)文，如果有足夠的空間進(jìn)行存儲(chǔ)，有足夠的那里進(jìn)行處理的話，將會(huì)發(fā)現(xiàn)另一些非常有趣的東西 …… 簡(jiǎn)單的放置一個(gè)嗅探器賓將其放到隨便什么地方將不會(huì)起到什么作用。（為了理解雜收模式是怎么回事，先解釋局域網(wǎng)是怎么工作的）。 這種方式，在 neped和 PromiScan這兩個(gè)產(chǎn)品中有所體現(xiàn)。_u8 code。} 這是 Linux下 ip協(xié)議中 udp協(xié)議的一部分，結(jié)構(gòu)很明