【正文】 E0 E1 E2 E3 D C B A E0:MACA E1:MACB E2:MACC E3:MACD — E3:MACB 交換式網(wǎng)絡(luò)上的嗅探 ICMP重定向攻擊 1） ICMP重定向的概念 D 各種 ICMP數(shù)據(jù)報 7） 重定向 路由器和主機都必須使用路由表來引導(dǎo)數(shù)據(jù)報的發(fā)送和轉(zhuǎn)發(fā)。路由器的路由表是動態(tài)更新的，而主機的路由表通常是靜態(tài)的（因為主機數(shù)量很多，動態(tài)更新可能會嚴重占用帶寬），且其路由條數(shù)很有限。重定向報文由路由器發(fā)給主機，幫助主機更新路由表 交換式網(wǎng)絡(luò)上的嗅探 ICMP重定向攻擊 2）基于 ICMP重定向的數(shù)據(jù)監(jiān)聽 IPB： MACD IPA： MACD ICMP重定向報文 嗅探器的檢測與防范 1） ARP廣播地址探測 ?正常的情況下，一個網(wǎng)卡只接收兩種類型的數(shù)據(jù)幀： ?發(fā)向所有機器的廣播數(shù)據(jù)幀。 ?與自己硬件地址（ MAC）相匹配的數(shù)據(jù)幀。 ?工作在混雜模式下的網(wǎng)卡接收局域網(wǎng)內(nèi)所有的數(shù)據(jù)幀。 ?正常網(wǎng)卡檢測廣播地址： FFFFFFFFFFFF ?混雜模式的網(wǎng)卡檢測廣播地址：以太網(wǎng)址的第一個八位組是 0xFF —— 構(gòu)造一個 ARP的請求包，設(shè)置它的目標(biāo) MAC地址為：FF0000000000 嗅探器的檢測與防范 2） PING方法 ?嗅探器一般運行在安裝了 TCP/IP協(xié)議棧的主機上，它們都會響應(yīng) Ping命令； ?PING方法檢測嗅探器的原理：向一臺可疑主機發(fā)送包含正確 IP地址和錯誤 MAC地址的 Ping數(shù)據(jù)報，觀察可以主機的響應(yīng)。 嗅探器的檢測與防范 2） PING方法 —— 假設(shè)，檢測者和可疑主機位于同一網(wǎng)段，可疑主機的 IP 地址為 ， MAC地址是 AABBCCDDEEEE。 IP目的地址： MAC地址 ： AABBCCDDEEEF 嗅探器的檢測與防范 3） DNS方法 —— 大部分嗅探器都會發(fā)送 DNS反向數(shù)據(jù)查詢數(shù)據(jù)報。 DNS正向查詢：域名 ?主機的 IP地址 DNS反向查詢 :IP地址 ?主機名。 —— DNS方法的原理：在局域網(wǎng)內(nèi) Ping一個不存在的主機，檢測 DNS服務(wù)器接收的反向查詢請求 DNS ? Ping 反向 DNS查詢 嗅探器的檢測與防范 4）源路徑方法 ?嗅探器一般運行在安裝了 TCP/IP協(xié)議棧 137 ? IPA IPC Ping 嗅探器的檢測與防范 5）等待時間方法 安裝了嗅探器的主機，在你發(fā)送大量垃圾數(shù)據(jù)報后，它的 CPU利用率一定會升高，對 Ping命令的響應(yīng)肯定會變得遲鈍。 嗅探器的檢測與防范 6）其他的方法 檢測嗅探器還有很多其他的方法，例如 ?誘騙的方法。 ?檢測網(wǎng)絡(luò)帶寬利用率。 嗅探器的檢測與防范 6）其他的方法 檢測嗅探器還有很多其他的方法，例如 ?誘騙的方法。 ?檢測網(wǎng)絡(luò)帶寬利用率。 ?觀察網(wǎng)絡(luò)通訊的丟包率。 目標(biāo)系統(tǒng)信息收集技術(shù) 小結(jié) 1）信息收集是黑客入侵的第一步。黑客在入侵一個目標(biāo)主機前，必須收集哪些信息？ 2）黑客是如何完成信息收集的？ —— 怎么檢測主機開放的端口、服務(wù)，主機的操作系統(tǒng)、主機存在的安全漏洞？ 3）了解常見的信息采集工具 —— 端口掃描器、漏洞掃描器、嗅探器等 4）交換式網(wǎng)絡(luò)上的嗅探技術(shù) 5）嗅探器的檢測與防范 附錄 Windows常用網(wǎng)絡(luò)命令 ipconfig 命令介紹 ipconfig 命令獲得主機配置信息，包括 IP 地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)。 ipconfig參數(shù)使用 1 ipconfig 當(dāng)使用 IPConfig時不帶任何參數(shù)選項，那么它為每個已經(jīng)配置了的接口顯 示 IP地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)值。 2 ipconfig /all 當(dāng)使用 all選項時， IPConfig能為 DNS和 WINS服務(wù)器顯示它已配置且所要 使用的附加信息（如 IP地址等），并且顯示內(nèi)置于本地網(wǎng)卡中的物理地址 （ MAC）。如果 IP地址是從 DHCP服務(wù)器租用的， IPConfig將顯示 DHCP 服務(wù)器的 IP地址和 租用地址預(yù)計失效的日期。 3 ipconfig /release和 ipconfig /renew 這是兩個附加選項，只能在向 DHCP服務(wù)器租用其 IP地址的計算機上起作用。 如果我們輸入 ipconfig /release，那么所有接口的租用 IP地址便重新交付給 DHCP服務(wù)器（歸還 IP地址）。如果我們輸入 ipconfig /renew，那么本地 計算機便設(shè)法與 DHCP服務(wù)器取得聯(lián)系，并租用一個 IP地址。請注意， 大多數(shù)情況下網(wǎng)卡將被重新賦予和以前所賦予的相同的 IP地址。 ipconfig參數(shù)使用 ? 4 ipconfig/displaydns 顯示本機上的 DNS域名解析表 ? ipconfig/flushdns 刪除本機上 DNS域名解析列表 ? ipconfig/registerdns DNS客戶端手工向服務(wù)器進行注冊 Ping簡介 ? 原理 : 源站點向目的站點發(fā)送 ICMP request報文 ,目的主機收到后回 icmp repaly 報文 .這樣就驗證了兩個接點之間 IP的可達性 . ? 功能 : 用 ping 來判斷兩個接點在網(wǎng)絡(luò)層的連通性 . Ping使用方法 其他參數(shù) : Ping –n 連續(xù) ping N個包 Ping –t 持續(xù)地 Ping直到人為地中斷 ,ctrl+breack暫時終止 Ping命令 查看當(dāng)前的統(tǒng)計結(jié)果 ,而 ctrl+c則是中斷命令的執(zhí)行 Ping –l 指定每個 ping 報文的所攜帶的數(shù)據(jù)部分字節(jié) 065500數(shù) Ping使用方法 ? Ping –a IP地址 將地址解析為計算機名 ? Ping –r count IP地址 在記錄路由字段中記錄傳出和返回數(shù)據(jù)包的路由 Ping出錯信息 unkonw host 主機名不可以解析為 IP地址，故障原因可能是 DNS server Network unreacheble 表示本地系統(tǒng)沒有到達遠程主機的路由。檢查路由表的配置 stat –r或是 route print No answer 表示本地系統(tǒng)有到達遠程主機的路由，但接受不到遠程主機 返回報文 Request timed out 可能原因遠程主機禁止了 ICMP報文或是硬件連接問題 ARP 地址解析協(xié)議 ? 原理 :arp即地址解析協(xié)議 ,在常用以太網(wǎng)或令牌 LAN上 ,用于實現(xiàn)第三層到第二層地址的轉(zhuǎn)換 IP ? MAC ? 功能 :顯示和修改 IP地址與 MAC地址的之間映射 . 誰知道 的 MAC地址 我知道 的 MAC地址是 :xxxxxx ARP使用方法 常用參數(shù) : Arp –a :顯示所有的 ARP表項 . 例 ARP使用方法 其他參數(shù) : Arp s:在 ARP緩存中添加一條記錄 . C:\Arp s 02e0fcfe01b9 Arp d:在 ARP緩存中刪除一條記錄 . C:\Arp d Arp g:顯示所有的表項 C:\Arp g Tracert 簡介 ? 原理 :tracert 是為了探測源節(jié)點到目的節(jié)點之間數(shù)據(jù)報文經(jīng)過的路徑 .利用 IP報文的 TTL域在每個經(jīng)過一個路由器的轉(zhuǎn)發(fā)后減一 ,如果此時 TTL=0則向源節(jié)點報告 TTL超時這個特性 ,從一開始逐一增加 TTL,直到到達目的站點或 TTL達到最大值 255. ? 功能 :探索兩個節(jié)點的路由 . TTL=1 TTL=2 TTL=3 Tracert使用方法 常用參數(shù) c:\tracert ip_adress Tracert使用方法 常用參數(shù) c:\tracert /d ip_adress 指定不將目標(biāo)結(jié)點解析為域名 Tracert使用方法 其他參數(shù) : Tracert h N 設(shè)置 TTL最大為 N. Netstat 命令介紹 stat 命令顯示協(xié)議統(tǒng)計信息和當(dāng)前的 TCP/IP 連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用 Netstat 參數(shù)使用 之一 Netstat [a] [e] [n] [s] [p protocol] [r] [interval] a 顯示所有連接和偵聽端口。服務(wù)器連接通常不顯示。 Netstat 參數(shù)使用 之二 e 顯示以太網(wǎng)統(tǒng)計。該參數(shù)可以與 s 選項結(jié)合使用。 Netstat 參數(shù)使用 之三 n 以數(shù)字格式顯示 IP地址和端口號（而不是嘗試查找名稱）。 Netstat 參數(shù)使用 之四 r 顯示路由表的內(nèi)容。 interval 重新顯示所選的統(tǒng)計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)計。如果省略該參數(shù)， stat 將打印一次當(dāng)前的配置信息。 Netstat 參數(shù)使用 之五 s 顯示每個協(xié)議的統(tǒng)計。默認情況下，顯示 TCP、 UDP、 ICMP 和 IP 的統(tǒng)計。 p 選項可以用來指定默認的子集。 p protocol 顯示由 protocol 指定的協(xié)議的連接； protocol 可以是 tcp 或 udp。如果與 s 選項一同使用顯示每個協(xié)議的統(tǒng)計， protocol 可以是 tcp、 udp、icmp 或 ip。 Net 命令 ? 輸入 “ view 某機的 IP地址 ” 以顯示該機上的共享資源 ? 輸入 “ share”顯示本機共享資源 ? 輸入 “ share music=e:\music /users:1”增加一個 music 共享，同時限制鏈接用戶數(shù)為 1人 ? 輸入 “ share music /d“以刪除共享 表 15 3 N E T 命令參數(shù)一覽表 命令 例子 作用 N E T A C C O U N T S N E T A C C O U N T S 查閱當(dāng)前賬號設(shè)置 N E T C O N F I G N E T C O N F I G S E R V E R 查閱本網(wǎng)絡(luò)配置信息統(tǒng)計 N E T G R O U P N E T G R O U P 查閱域組（在域控制器上） N E T P R I N T N E T P R I N T \ \ pr i nt s e r v e r \ p r i n t e r 1 查閱或修改打印機映射 N E T S E N D N E T S E N D s e r v e r 1 “ t e s t m e s s a g e ” 向別的計算機發(fā)送消息或廣播消息 N E T S H A R E N E T S H A R E 查閱本地計算機上共享文件 N E T S T A R T N E T S T A R T M e s s e ng e r 啟動服務(wù) N E T S T A T I S T I C S N E T S T A T I S T I C S S E R V E R 查閱網(wǎng)絡(luò)流量統(tǒng)計值 N E T S T O P N E T S T O P M e s s e ng e r 停止服務(wù) N E T U S E N E T U S E x: \ \ s e r v e r 1 \ a dm i n 將網(wǎng)絡(luò)共享文件映射到一個驅(qū)動器字母 N E T U S E R N E T U S E R 查閱本地用戶賬號 N E T V I E W N E T V I E W 查閱網(wǎng)絡(luò) 上可用計算機