【正文】 E0 E1 E2 E3 D C B A E0:MACA E1:MACB E2:MACC E3:MACD — E3:MACB 交換式網(wǎng)絡(luò)上的嗅探 ICMP重定向攻擊 1） ICMP重定向的概念 D 各種 ICMP數(shù)據(jù)報(bào) 7） 重定向 路由器和主機(jī)都必須使用路由表來(lái)引導(dǎo)數(shù)據(jù)報(bào)的發(fā)送和轉(zhuǎn)發(fā)。路由器的路由表是動(dòng)態(tài)更新的，而主機(jī)的路由表通常是靜態(tài)的（因?yàn)橹鳈C(jī)數(shù)量很多，動(dòng)態(tài)更新可能會(huì)嚴(yán)重占用帶寬），且其路由條數(shù)很有限。重定向報(bào)文由路由器發(fā)給主機(jī)，幫助主機(jī)更新路由表 交換式網(wǎng)絡(luò)上的嗅探 ICMP重定向攻擊 2）基于 ICMP重定向的數(shù)據(jù)監(jiān)聽(tīng) IPB： MACD IPA： MACD ICMP重定向報(bào)文 嗅探器的檢測(cè)與防范 1） ARP廣播地址探測(cè) ?正常的情況下，一個(gè)網(wǎng)卡只接收兩種類型的數(shù)據(jù)幀： ?發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀。 ?與自己硬件地址（ MAC）相匹配的數(shù)據(jù)幀。 ?工作在混雜模式下的網(wǎng)卡接收局域網(wǎng)內(nèi)所有的數(shù)據(jù)幀。 ?正常網(wǎng)卡檢測(cè)廣播地址： FFFFFFFFFFFF ?混雜模式的網(wǎng)卡檢測(cè)廣播地址：以太網(wǎng)址的第一個(gè)八位組是 0xFF —— 構(gòu)造一個(gè) ARP的請(qǐng)求包，設(shè)置它的目標(biāo) MAC地址為：FF0000000000 嗅探器的檢測(cè)與防范 2） PING方法 ?嗅探器一般運(yùn)行在安裝了 TCP/IP協(xié)議棧的主機(jī)上，它們都會(huì)響應(yīng) Ping命令； ?PING方法檢測(cè)嗅探器的原理：向一臺(tái)可疑主機(jī)發(fā)送包含正確 IP地址和錯(cuò)誤 MAC地址的 Ping數(shù)據(jù)報(bào)，觀察可以主機(jī)的響應(yīng)。 嗅探器的檢測(cè)與防范 2） PING方法 —— 假設(shè)，檢測(cè)者和可疑主機(jī)位于同一網(wǎng)段，可疑主機(jī)的 IP 地址為 ， MAC地址是 AABBCCDDEEEE。 IP目的地址： MAC地址 ： AABBCCDDEEEF 嗅探器的檢測(cè)與防范 3） DNS方法 —— 大部分嗅探器都會(huì)發(fā)送 DNS反向數(shù)據(jù)查詢數(shù)據(jù)報(bào)。 DNS正向查詢：域名 ?主機(jī)的 IP地址 DNS反向查詢 :IP地址 ?主機(jī)名。 —— DNS方法的原理：在局域網(wǎng)內(nèi) Ping一個(gè)不存在的主機(jī)，檢測(cè) DNS服務(wù)器接收的反向查詢請(qǐng)求 DNS ? Ping 反向 DNS查詢 嗅探器的檢測(cè)與防范 4）源路徑方法 ?嗅探器一般運(yùn)行在安裝了 TCP/IP協(xié)議棧 137 ? IPA IPC Ping 嗅探器的檢測(cè)與防范 5）等待時(shí)間方法 安裝了嗅探器的主機(jī)，在你發(fā)送大量垃圾數(shù)據(jù)報(bào)后，它的 CPU利用率一定會(huì)升高，對(duì) Ping命令的響應(yīng)肯定會(huì)變得遲鈍。 嗅探器的檢測(cè)與防范 6）其他的方法 檢測(cè)嗅探器還有很多其他的方法，例如 ?誘騙的方法。 ?檢測(cè)網(wǎng)絡(luò)帶寬利用率。 嗅探器的檢測(cè)與防范 6）其他的方法 檢測(cè)嗅探器還有很多其他的方法，例如 ?誘騙的方法。 ?檢測(cè)網(wǎng)絡(luò)帶寬利用率。 ?觀察網(wǎng)絡(luò)通訊的丟包率。 目標(biāo)系統(tǒng)信息收集技術(shù) 小結(jié) 1）信息收集是黑客入侵的第一步。黑客在入侵一個(gè)目標(biāo)主機(jī)前，必須收集哪些信息？ 2）黑客是如何完成信息收集的？ —— 怎么檢測(cè)主機(jī)開(kāi)放的端口、服務(wù)，主機(jī)的操作系統(tǒng)、主機(jī)存在的安全漏洞？ 3）了解常見(jiàn)的信息采集工具 —— 端口掃描器、漏洞掃描器、嗅探器等 4）交換式網(wǎng)絡(luò)上的嗅探技術(shù) 5）嗅探器的檢測(cè)與防范 附錄 Windows常用網(wǎng)絡(luò)命令 ipconfig 命令介紹 ipconfig 命令獲得主機(jī)配置信息，包括 IP 地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。 ipconfig參數(shù)使用 1 ipconfig 當(dāng)使用 IPConfig時(shí)不帶任何參數(shù)選項(xiàng)，那么它為每個(gè)已經(jīng)配置了的接口顯 示 IP地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)值。 2 ipconfig /all 當(dāng)使用 all選項(xiàng)時(shí)， IPConfig能為 DNS和 WINS服務(wù)器顯示它已配置且所要 使用的附加信息（如 IP地址等），并且顯示內(nèi)置于本地網(wǎng)卡中的物理地址 （ MAC）。如果 IP地址是從 DHCP服務(wù)器租用的， IPConfig將顯示 DHCP 服務(wù)器的 IP地址和 租用地址預(yù)計(jì)失效的日期。 3 ipconfig /release和 ipconfig /renew 這是兩個(gè)附加選項(xiàng)，只能在向 DHCP服務(wù)器租用其 IP地址的計(jì)算機(jī)上起作用。 如果我們輸入 ipconfig /release，那么所有接口的租用 IP地址便重新交付給 DHCP服務(wù)器（歸還 IP地址）。如果我們輸入 ipconfig /renew，那么本地 計(jì)算機(jī)便設(shè)法與 DHCP服務(wù)器取得聯(lián)系，并租用一個(gè) IP地址。請(qǐng)注意， 大多數(shù)情況下網(wǎng)卡將被重新賦予和以前所賦予的相同的 IP地址。 ipconfig參數(shù)使用 ? 4 ipconfig/displaydns 顯示本機(jī)上的 DNS域名解析表 ? ipconfig/flushdns 刪除本機(jī)上 DNS域名解析列表 ? ipconfig/registerdns DNS客戶端手工向服務(wù)器進(jìn)行注冊(cè) Ping簡(jiǎn)介 ? 原理 : 源站點(diǎn)向目的站點(diǎn)發(fā)送 ICMP request報(bào)文 ,目的主機(jī)收到后回 icmp repaly 報(bào)文 .這樣就驗(yàn)證了兩個(gè)接點(diǎn)之間 IP的可達(dá)性 . ? 功能 : 用 ping 來(lái)判斷兩個(gè)接點(diǎn)在網(wǎng)絡(luò)層的連通性 . Ping使用方法 其他參數(shù) : Ping –n 連續(xù) ping N個(gè)包 Ping –t 持續(xù)地 Ping直到人為地中斷 ,ctrl+breack暫時(shí)終止 Ping命令 查看當(dāng)前的統(tǒng)計(jì)結(jié)果 ,而 ctrl+c則是中斷命令的執(zhí)行 Ping –l 指定每個(gè) ping 報(bào)文的所攜帶的數(shù)據(jù)部分字節(jié) 065500數(shù) Ping使用方法 ? Ping –a IP地址 將地址解析為計(jì)算機(jī)名 ? Ping –r count IP地址 在記錄路由字段中記錄傳出和返回?cái)?shù)據(jù)包的路由 Ping出錯(cuò)信息 unkonw host 主機(jī)名不可以解析為 IP地址，故障原因可能是 DNS server Network unreacheble 表示本地系統(tǒng)沒(méi)有到達(dá)遠(yuǎn)程主機(jī)的路由。檢查路由表的配置 stat –r或是 route print No answer 表示本地系統(tǒng)有到達(dá)遠(yuǎn)程主機(jī)的路由，但接受不到遠(yuǎn)程主機(jī) 返回報(bào)文 Request timed out 可能原因遠(yuǎn)程主機(jī)禁止了 ICMP報(bào)文或是硬件連接問(wèn)題 ARP 地址解析協(xié)議 ? 原理 :arp即地址解析協(xié)議 ,在常用以太網(wǎng)或令牌 LAN上 ,用于實(shí)現(xiàn)第三層到第二層地址的轉(zhuǎn)換 IP ? MAC ? 功能 :顯示和修改 IP地址與 MAC地址的之間映射 . 誰(shuí)知道 的 MAC地址 我知道 的 MAC地址是 :xxxxxx ARP使用方法 常用參數(shù) : Arp –a :顯示所有的 ARP表項(xiàng) . 例 ARP使用方法 其他參數(shù) : Arp s:在 ARP緩存中添加一條記錄 . C:\Arp s 02e0fcfe01b9 Arp d:在 ARP緩存中刪除一條記錄 . C:\Arp d Arp g:顯示所有的表項(xiàng) C:\Arp g Tracert 簡(jiǎn)介 ? 原理 :tracert 是為了探測(cè)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間數(shù)據(jù)報(bào)文經(jīng)過(guò)的路徑 .利用 IP報(bào)文的 TTL域在每個(gè)經(jīng)過(guò)一個(gè)路由器的轉(zhuǎn)發(fā)后減一 ,如果此時(shí) TTL=0則向源節(jié)點(diǎn)報(bào)告 TTL超時(shí)這個(gè)特性 ,從一開(kāi)始逐一增加 TTL,直到到達(dá)目的站點(diǎn)或 TTL達(dá)到最大值 255. ? 功能 :探索兩個(gè)節(jié)點(diǎn)的路由 . TTL=1 TTL=2 TTL=3 Tracert使用方法 常用參數(shù) c:\tracert ip_adress Tracert使用方法 常用參數(shù) c:\tracert /d ip_adress 指定不將目標(biāo)結(jié)點(diǎn)解析為域名 Tracert使用方法 其他參數(shù) : Tracert h N 設(shè)置 TTL最大為 N. Netstat 命令介紹 stat 命令顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前的 TCP/IP 連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用 Netstat 參數(shù)使用 之一 Netstat [a] [e] [n] [s] [p protocol] [r] [interval] a 顯示所有連接和偵聽(tīng)端口。服務(wù)器連接通常不顯示。 Netstat 參數(shù)使用 之二 e 顯示以太網(wǎng)統(tǒng)計(jì)。該參數(shù)可以與 s 選項(xiàng)結(jié)合使用。 Netstat 參數(shù)使用 之三 n 以數(shù)字格式顯示 IP地址和端口號(hào)（而不是嘗試查找名稱）。 Netstat 參數(shù)使用 之四 r 顯示路由表的內(nèi)容。 interval 重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)， stat 將打印一次當(dāng)前的配置信息。 Netstat 參數(shù)使用 之五 s 顯示每個(gè)協(xié)議的統(tǒng)計(jì)。默認(rèn)情況下，顯示 TCP、 UDP、 ICMP 和 IP 的統(tǒng)計(jì)。 p 選項(xiàng)可以用來(lái)指定默認(rèn)的子集。 p protocol 顯示由 protocol 指定的協(xié)議的連接； protocol 可以是 tcp 或 udp。如果與 s 選項(xiàng)一同使用顯示每個(gè)協(xié)議的統(tǒng)計(jì)， protocol 可以是 tcp、 udp、icmp 或 ip。 Net 命令 ? 輸入 “ view 某機(jī)的 IP地址 ” 以顯示該機(jī)上的共享資源 ? 輸入 “ share”顯示本機(jī)共享資源 ? 輸入 “ share music=e:\music /users:1”增加一個(gè) music 共享，同時(shí)限制鏈接用戶數(shù)為 1人 ? 輸入 “ share music /d“以刪除共享 表 15 3 N E T 命令參數(shù)一覽表 命令 例子 作用 N E T A C C O U N T S N E T A C C O U N T S 查閱當(dāng)前賬號(hào)設(shè)置 N E T C O N F I G N E T C O N F I G S E R V E R 查閱本網(wǎng)絡(luò)配置信息統(tǒng)計(jì) N E T G R O U P N E T G R O U P 查閱域組（在域控制器上） N E T P R I N T N E T P R I N T \ \ pr i nt s e r v e r \ p r i n t e r 1 查閱或修改打印機(jī)映射 N E T S E N D N E T S E N D s e r v e r 1 “ t e s t m e s s a g e ” 向別的計(jì)算機(jī)發(fā)送消息或廣播消息 N E T S H A R E N E T S H A R E 查閱本地計(jì)算機(jī)上共享文件 N E T S T A R T N E T S T A R T M e s s e ng e r 啟動(dòng)服務(wù) N E T S T A T I S T I C S N E T S T A T I S T I C S S E R V E R 查閱網(wǎng)絡(luò)流量統(tǒng)計(jì)值 N E T S T O P N E T S T O P M e s s e ng e r 停止服務(wù) N E T U S E N E T U S E x: \ \ s e r v e r 1 \ a dm i n 將網(wǎng)絡(luò)共享文件映射到一個(gè)驅(qū)動(dòng)器字母 N E T U S E R N E T U S E R 查閱本地用戶賬號(hào) N E T V I E W N E T V I E W 查閱網(wǎng)絡(luò) 上可用計(jì)算機(jī)