【正文】 的參數(shù)設(shè)置，下面就是有關(guān)的程序部分： AF_INET=2 表示 inter ip protocol SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層，既不作處理。相應(yīng)的數(shù)據(jù)結(jié)構(gòu)： (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 struct arphdr {unsigned short int ar_hrd。 u_int16_t doff:4。u_int16_t fin:1。u_int16_t sequence。 (完 …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 檢測網(wǎng)絡(luò)監(jiān)聽的手段 對發(fā)生在局域網(wǎng)的其他主機上的監(jiān)聽，一直以來，都缺乏很好的檢測方法。 (完 …) —— Sniffer（嗅探器） sniffer就是能夠捕獲網(wǎng)絡(luò)報文的設(shè)備。通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。（代表所有的接口地址），在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀： 1．幀的目標區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。 還有一個辦法是看看計算機上當前正在運行的所有程序。 SSH服務(wù)器的分配的端口是 22。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計，而不是硬件需要。舉個例子，假設(shè)你的 WEB服務(wù)器對某一計算機 A是信任的。端口掃描也可以通過捕獲本地主機或服務(wù)器的流入流出 IP數(shù)據(jù)包來監(jiān)視本地主機的運行情況，它僅能對接收到的數(shù)據(jù)進行分析，幫助我們發(fā)現(xiàn)目標主機的某些內(nèi)在的弱點，而不會提供進入一個系統(tǒng)的詳細步驟。有很多的秘密掃描技術(shù)能夠越過這個問題。相反，開啟的端口會忽略所有查詢的包。 IRC聊天服務(wù)器經(jīng)常掃描客戶端以檢查 SOCKS服務(wù)是否打開。如果我們的目標主機正在監(jiān)聽指定的端口，該傳送就會成功 (產(chǎn)生一個 250和一個 226回應(yīng) )。 UDP的應(yīng)答有著不同的方式，為了發(fā)現(xiàn) UDP端口，攻擊者們通常發(fā)送空的 UDP數(shù)據(jù)包，如果該端口正處于監(jiān)聽狀態(tài)，將發(fā)回一個錯誤消息或不理睬流入的數(shù)據(jù)包；如果該端口是關(guān)閉的，大多數(shù)的操作系統(tǒng)將發(fā)回 ICMP 端口不可到達 的消息，這樣，你可以發(fā)現(xiàn)一個端口到底有沒有打開，通過排除方法確定哪些端口是打開的。數(shù)據(jù)正確，系統(tǒng)有同樣的回應(yīng)，但一般都不對錯誤的數(shù)據(jù)作出同樣的回應(yīng)。但是，端口掃描有時會泄漏其它的信息，通過這些信息，可以得到一些欺騙地址掃描的真實來源。偵察隱藏掃描得在內(nèi)核層進行。但是它?？梢杂脕韕ing網(wǎng)內(nèi)的機器以確定哪臺機器是連網(wǎng)的。對 HTTP代理的試探在今天很常見。因此你可以在防火墻后與 FTP服務(wù)建立連接，然后掃描那些很可能被封鎖的端口 (如： 139)。所有其它在內(nèi)網(wǎng)的機器連接 Inter都要通過這臺機器上運行的 WinGate。 FIN掃描：典型的 TCP掃描是試圖建立連接 (以最少的步驟 )。 Ident協(xié)議允許那些通過 TCP連接到計算機上的任何進程來窺視計算機的用戶名，即便是那個進程并沒有被初始化。事實上，端口的掃描是向每個端口一次發(fā)送一個消息的過程。 如果你的局域網(wǎng)要和 INTERNET相連，僅僅使用防火墻是不夠的。在我們小的時候也許都玩過一種智力游戲，它通常由一系列數(shù)字組成。解決這些問題的辦法是加密。sniffer是如此囂張又安靜，如何知道有沒有 sniffer存在，這也是一個很難說明的問題，比較有說服力的理由證明你的網(wǎng)絡(luò)有 sniffer目前有以下現(xiàn)象： 1．網(wǎng)絡(luò)通訊掉包率反常的高 通過一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況（不是 sniffer），向 ping這樣的命令會告訴你掉了百分幾的包。將嗅探器放置于被攻擊機器或網(wǎng)絡(luò)附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網(wǎng)關(guān)上。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀 (Ftame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能?？煞謩e參見： ； 。_u16 csum。 Icmphdr 這是 ip協(xié)議的 icmp協(xié)議的報頭 (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 struct icmphdr{u_int8_t type。 u_int16_t ack:1。 u_int16_t dest。 unsigned short h_proto。在整個 Inter中就更顯得微不足道了。 ? 在 UNIX系統(tǒng)上，當擁有超級權(quán)限的用戶要想使自己所控制的主機進入監(jiān)聽模式，只需要向 Interface（網(wǎng)絡(luò)接口）發(fā)送 I/O控制命令，就可以使主機設(shè)置成監(jiān)聽模式了。網(wǎng)絡(luò)接口不會識別 IP地址的。而黑客通過對信息包進行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰ? (待續(xù) …) 計算機網(wǎng)絡(luò)監(jiān)聽的概述 Ether中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。 Htons(0x0003)表示 截取的數(shù)據(jù)幀的類型為不確定，既接受所有的包。 unsigned short int ar_pro。u_int16_t fin:1。 elseerror Adjust your definesendifu_int16_t window。} echo。這是由于產(chǎn)生網(wǎng)絡(luò)監(jiān)聽行為的主機在工作時總是不做聲的收集數(shù)據(jù)包，幾乎不會主動發(fā)出任何信息。嗅探器的正當用處在于 分析 網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達，然后對其進行存儲。 2．幀的目標區(qū)域具有 廣播地址 。但這通常并不可靠，但你可以控制哪個程序可以在你的計算機上運行。連接是通過使用一種來自RSA的算法建立的。 讓我們開始處理這個網(wǎng)絡(luò)拓撲，來看看： (待續(xù) …) —— Sniffer（嗅探器） 怎樣防止被 sniffer 一個網(wǎng)絡(luò)段是僅由能互相信任的計算機組成的。那么有多少計算機是 A信任的呢。 端口號 1．常用端口 所有的操作系統(tǒng)都遵循傳統(tǒng)的通行僅當超級用戶打開從 0到 1023號端口。秘密掃描工具是一種不會被審核工具發(fā)現(xiàn)到的掃描方法。這在 TCP中是要求這樣的。他們將通過發(fā)送一個消息給那些不知道如何解決這個問題的人而把他們剔出去。否則將得到 425消息：不能建立數(shù)據(jù)連接：連接被拒絕 ，然后我們再向目標主機的下一個端口發(fā)送其它的 PORT命令。 ICMP和UDP包都不是可靠的通信，所以這種 UDP掃描器當出現(xiàn)丟包時 (或者你得到了一堆錯誤的位置 )必須執(zhí)行包重法。 端口掃描工具 這里列出三種安全審計工具 : SAINT， nmap，和 nessus. 在這三種之中， nmap是明顯的和主要的端口掃描工具 。例如 :如果我們終端接收到的包有 IP TTL 255標記，實際上我們就知道他們發(fā)送的包來自于我們本地網(wǎng)絡(luò)而不去管他們是什么信息，例如我們只能說攻擊者在 5跳之內(nèi)，我們不能準確說出他距我們有多遠。 端口掃描技術(shù) 端口掃描偵察工具 在 Unix下，寫一個非隱藏掃描偵察器很簡單，你可以打開 SOCK_RAW，使協(xié)議為IPPROTO_IP協(xié)議，然后調(diào)用 recvfrom()，捕獲數(shù)據(jù)包并分析它們。 (完 …) 端口掃描技術(shù) ICMP掃描 ICMP掃描并不是真正的端口掃描，因為 ICMP并沒有一個確切的端口。但有許多這種服務(wù)都配置錯誤以至于允許 Inter上的任何請求，允許攻擊者通過第三方轉(zhuǎn)發(fā)攻擊。 一種端口掃描技術(shù)就是使用這種方法從 ftp代理服務(wù)器來掃描 tcp端口。 許多產(chǎn)品都支持 SOCKS，一個典型的用戶產(chǎn)品就是 WinGate， WinGate是一個安裝在個別的機器上軟件用來和 Inter連接。 TCP層并不會通知服務(wù)進程，因為連接并沒有完成。閘門這個名字來源于一個原始的 TCP掃描程序，而現(xiàn)在已成為所有掃描工具的共同特征。攻擊者通過端口掃描發(fā)現(xiàn)可用的端口 (正處于監(jiān)聽狀態(tài)的端口 )。這樣，就建立了一種框架，可以告訴你什么時候放置了一個 sniffer，它放在那里了，是誰放的等等。這聽上去很簡單，但實現(xiàn)起來花銷是很大的。有些數(shù)據(jù)是沒有經(jīng)過處理的，一旦被 sniffer，就能獲得這些信息。 (完 …) —— Sniffer（嗅探器） 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer？簡單的一個回答是你發(fā)現(xiàn)不了，因為他們根本就沒有留下任何痕跡。工人，也可以嗅探給定接口上的所有報文，如果有足夠的空間進行存儲，有足夠的那里進行處理的話，將會發(fā)現(xiàn)另一些非常有趣的東西 …… 簡單的放置一個嗅探器賓將其放到隨便什么地方將不會起到什么作用。（為了理解雜收模式是怎么回事，先解釋局域網(wǎng)是怎么工作的）。 這種方式，在 neped和 PromiScan這兩個產(chǎn)品中有所體現(xiàn)。_u8 code。} 這是 Linux下 ip協(xié)議中 udp協(xié)議的一部分，結(jié)構(gòu)很明