【文章內(nèi)容簡介】 于慢掃描，可以在一段較長時間內(nèi)對此類請求數(shù)據(jù)包進(jìn)行聯(lián)合分析，若發(fā)現(xiàn)某特定時間段內(nèi)，主機(jī)較為均勻地接受到此類數(shù)據(jù)包請求，則判斷為慢速掃描。 網(wǎng)絡(luò)掃描的防范 防范掃描可行的方法是： （ 1） 關(guān)閉掉所有閑置的和有潛在威脅的端口 。 （ 2） 通過防火墻或其它安全系統(tǒng)檢查各端口 ， 如果有端口掃描的癥狀時 ， 就立即屏蔽該端口 。 （ 3） 利用特殊軟件在一些端口上欺騙黑客 ， 讓其掃描和攻擊 “ 陷阱 ” 端口 。 網(wǎng)絡(luò)監(jiān)聽 監(jiān)聽的概念 1． 什么是監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽也被稱作網(wǎng)絡(luò)嗅探（ Sniffer）。 它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用該技術(shù)來截取用戶口令的。 網(wǎng)絡(luò)監(jiān)聽是一種常用的被動式網(wǎng)絡(luò)攻擊方法，能幫助入侵者輕易獲得用其他方法很難獲得的信息，包括用戶口令、賬號、敏感數(shù)據(jù)、 IP地址、路由信息、 TCP套接字號等。 網(wǎng)絡(luò)監(jiān)聽通常在網(wǎng)絡(luò)接口處截獲計(jì)算機(jī)之間通信的數(shù)據(jù)流 ， 是進(jìn)行網(wǎng)絡(luò)攻擊最簡單 、 最有效的方法 。它具有以下特點(diǎn)： （ 1） 隱蔽性強(qiáng) 。 進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?， 沒有任何主動的行為 ， 既不修改在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包 ， 也不往鏈路中插入任何數(shù)據(jù) ， 很難被網(wǎng)絡(luò)管理員覺察到 。 （ 2） 手段靈活 。 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實(shí)施 ， 可以是網(wǎng)絡(luò)中的一臺主機(jī) 、 路由器 ， 也可以是調(diào)制解調(diào)器 。 其中 ， 網(wǎng)絡(luò)監(jiān)聽效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置 ， 如網(wǎng)關(guān) 、 路由器 、防火墻之類的設(shè)備或重要網(wǎng)段；而使用最方便的地方是在網(wǎng)絡(luò)中的一臺主機(jī)中 。 2．監(jiān)聽的特點(diǎn) 監(jiān)聽雖然沒有直接對系統(tǒng)發(fā)動破壞性攻擊 ，但是其依舊是危險的 ， 主要危害有： （ 1） 能夠捕獲口令 。 （ 2） 能夠捕獲專用的或者機(jī)密的信息 。 （ 3） 可以用來危害網(wǎng)絡(luò)鄰居的安全 ， 或者用來獲取更高級別的訪問權(quán)限 。 （ 4） 分析網(wǎng)絡(luò)結(jié)構(gòu) ， 進(jìn)行網(wǎng)絡(luò)滲透 。 3．監(jiān)聽的危害 監(jiān)聽的原理 正常情況下 ， 網(wǎng)卡只接收發(fā)給自己的信息 ， 但是如果將網(wǎng)卡模式設(shè)置為 Promiscuous（ 混雜模式 ） ，網(wǎng)卡進(jìn)行的數(shù)據(jù)包過濾將不同于普通模式 。 在普通模式下 ， 只有本地地址的數(shù)據(jù)包或者廣播才會被網(wǎng)卡提交給系統(tǒng)核心；否則這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄 。 混合模式讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被 Sniffer等程序利用 。 監(jiān)聽的原理 所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌笪?，無論其目的 MAC地址是否為該網(wǎng)卡的 MAC地址。 由于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動程序支持MAC地址的修改成為可能；否則，就算修改了 MAC地址，但是網(wǎng)卡根本無法接收相應(yīng)地址的報文，該網(wǎng)卡就變得只能發(fā)送，無法接收，通信也就無法正常進(jìn)行了。 要使機(jī)器成為一個嗅探器，需要一個特殊的軟件（以太網(wǎng)卡的廣播驅(qū)動程序）或者需要一種能使網(wǎng)絡(luò)處于混雜模式的網(wǎng)絡(luò)軟件。網(wǎng)絡(luò)監(jiān)聽器 Sniffer就是這樣的軟件。 1． 檢測網(wǎng)絡(luò)嗅探 網(wǎng)絡(luò)嗅探的檢測其實(shí)是很麻煩的 ， 由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作 ， 所以可以通過檢測混雜模式網(wǎng)卡的工具來發(fā)現(xiàn)網(wǎng)絡(luò)嗅探 。 還可以通過網(wǎng)絡(luò)帶寬出現(xiàn)反常來檢測嗅探 。通過某些帶寬控制器 ， 可以實(shí)時看到目前網(wǎng)絡(luò)帶寬的分布情況 ， 如果某臺機(jī)器長時間的占用了較大的帶寬 ， 這臺機(jī)器就有可能在監(jiān)聽 。 通過帶寬控制器也可以察覺出網(wǎng)絡(luò)通信速度的變化 。 監(jiān)聽的防范 1．檢測網(wǎng)絡(luò)嗅探 對于 SunOS和其他的 BSD Unix系統(tǒng)可以使用Lsof命令來檢測嗅探器的存在 。 Lsof的最初的設(shè)計(jì)目的并非為了防止嗅探器入侵 ， 但因?yàn)樵谛崽狡魅肭值南到y(tǒng)中 ， 嗅探器會打開 Lsof來輸出文件 ， 并不斷傳送信息給該文件 ，這樣該文件的內(nèi)容就會越來越大 。 如果利用 Lsof發(fā)現(xiàn)有文件的內(nèi)容不斷地增大 ，就可以懷疑系統(tǒng)被嗅探 。 最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果 ， 使嗅探價值降低 ， 可以使用的方法包括： （ 1） 采用安全的拓?fù)浣Y(jié)構(gòu) ， 如 ， 網(wǎng)絡(luò)分段越細(xì) ， 嗅探器收集到的信息就越少 。 （ 2） 加密通信會話 ， 如采用 SSH將傳輸?shù)臄?shù)據(jù)進(jìn)行加密 。 （ 3） 采用靜態(tài)的 ARP或者 IPMAC對應(yīng)表 ， 可防止利用 ARP欺騙進(jìn)行的嗅探 。 2．主動防御網(wǎng)絡(luò)嗅探 Web欺騙 Web欺騙的概念 Web欺騙是指攻擊者建立一個使人相信的 Web站點(diǎn)的“拷貝”，這個 Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁面幾乎所有頁面元素。 然而，攻擊者控制了這個 Web站點(diǎn)的“拷貝”，被攻擊對象和真的 Web站點(diǎn)之間的所有信息流動都被攻擊者所控制了。 Web攻擊的原理 Web欺騙攻擊的原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。 雖然這種攻擊并不會直接造成被攻擊者主機(jī)的軟、硬件損壞，但是它所帶來的危害也是不能忽視的。 Web攻擊的原理 ? 改寫 URL：攻擊者改寫某個頁面上的 URL，使這些連接都指向攻擊者機(jī)器，而不是真正的服務(wù)器。 ? 開始攻擊：誘惑被攻擊對象連接到攻擊者的假的 Web頁面上。 ? 制造假象：消除所有可能會留下的攻擊線索。 Web欺騙的防范 1． 短期的解決辦法 （ 1） 上網(wǎng)瀏覽時 ， 最好關(guān)掉瀏覽器的 JavaScript，只有當(dāng)訪問熟悉的網(wǎng)站時才打開它 ， 目的是使攻擊者不能隱藏攻擊的跡象 。 （ 2） 不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站 ，特別是鏈接那些需要輸入個人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站 。 （ 3） 要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣 。 2．長期的方法 （ 1） IP地址 、 子網(wǎng) 、 域的限制：它可以保護(hù)單個的文檔 ， 也可以保護(hù)整個的目錄 。 如果瀏覽器的 IP不在授權(quán)的 IP地址之列 ， 則它是無法與該文檔進(jìn)行連接的 ， 即通過授權(quán)的方式對 IP地址 、 子網(wǎng)和域進(jìn)行保護(hù) 。 （ 2） 用戶名和密碼：為獲取對文檔或目錄的訪問 ，需輸入用戶名和密碼 。 （ 3）加密：這是通過公開密鑰技術(shù)實(shí)現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無人可以讀懂。 IP地址欺騙 IP地址欺騙的概念 1． IP地址盜用 IP地址盜用是指一臺主機(jī)有目的地使用他人合法的 IP地址，而不用自己的 IP地址的行為。 帶有假冒的 IP地址的 IP包既可能來自同一網(wǎng)段內(nèi)部，也可能來自網(wǎng)段外部。不同的情況有不同的結(jié)果。 2． IP地址欺騙 ? 所謂 IP地址欺騙 ， 就是偽造某臺主機(jī)的 IP地址的技術(shù) 。 ? 其實(shí)質(zhì)就是讓一臺機(jī)器來扮演另一臺機(jī)器 ， 以達(dá)到蒙混過關(guān)的目的 。 ? 被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任 。 ? 由于 IP協(xié)議不對數(shù)據(jù)包中的 IP地址進(jìn)行認(rèn)證 ， 因此任何人不經(jīng)授權(quán)就可偽造 IP包的源地址 。 ? IP地址欺騙通常通過編程來實(shí)現(xiàn) 。 IP欺騙的原理 ? IP欺騙是利用主機(jī)之間的正常的信任關(guān)系來發(fā)動的 ， 這種信任是有別于用戶間的信任和應(yīng)用層的信任的 。 ? 黑客可以通過命令方式或掃描技術(shù) 、 監(jiān)聽技術(shù)來確定主機(jī)之間的信任關(guān)系 。 IP欺騙的原理 假如一個局域網(wǎng)內(nèi)的主機(jī)間存在著某種信任關(guān)系 ， 如果主機(jī) A信任主機(jī) B， 主機(jī) B信任主機(jī) C， 為了侵入該網(wǎng)絡(luò) ， 黑客可以采用以下方法： （ 1） 通過假冒主機(jī) B來欺騙主機(jī) A和主機(jī) C； （ 2） 通過假冒主機(jī) A和主機(jī) C來欺騙主機(jī) B。 為了假冒 C去欺騙主機(jī) B， 首要的任務(wù)是攻擊主機(jī)C， 使其癱瘓 ， 即先實(shí)施拒絕服務(wù)攻擊 。 值得注意的是 ， 并不是在任何情況下都要使被假冒的主機(jī)癱瘓 ，但在 Ether網(wǎng)上的 IP欺騙必須要這么做 ， 否則會引起網(wǎng)絡(luò)掛起 。 IP欺騙的防范 （ 1） 放棄基于地址的信任策略 IP欺騙是建立在信任的基礎(chǔ)之上的 ， 防止 IP欺騙的最好的方法就是放棄以地址為基礎(chǔ)的驗(yàn)證 。 當(dāng)然 ，