【正文】 ther expression例子ftp Passive Ip == Xor Protocol 協(xié)議：我們可以使用位于 TCP/IP 協(xié)議簇的所有協(xié)議，如 ARP 、 TCP 、 ICMP 、DHCP 等的協(xié)議。點(diǎn)擊工具欄的 Expression 即可以查看所支持的協(xié)議類型。如下圖 44。String 1 ，String 2 可選項(xiàng)：父類 Protocol 協(xié)議的子類，可以點(diǎn)擊父類協(xié)議旁邊的“+” ，然后進(jìn)行選擇需要的子類。圖 44 過濾器可以使用的子協(xié)議 畢業(yè)論文（設(shè)計(jì)） 第 24 頁Comparison operators 比較運(yùn)算符：經(jīng)常使用的有六種比較運(yùn)算符，如表 43 所示。表 43 六種常用的比較運(yùn)算符英文寫法 C 語言寫法 含義eq == 等于Ne ! 不等于Gt 大于It 小于Ge = 大于等于Le = 小于等于Logical Expressions 邏輯運(yùn)算符：邏輯運(yùn)算符是被程序員們熟知的一種運(yùn)算符，在現(xiàn)實(shí)生活中不會(huì)經(jīng)常用到，但是也是一種十分重要的運(yùn)算方法。其中的邏輯異或是一種排除性的或。當(dāng)其被使用在過濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足是，這樣的結(jié)果才會(huì)被顯示出來。表 44 四種常見的邏輯運(yùn)算符英文寫法 C 語言寫法 含義And amp。amp。 邏輯與Or || 邏輯或Xor ^^ 邏輯異或Nor ! 邏輯非例子：tcp dst port 80 xor tcp dst port 1025只有當(dāng)目的 TCP 端口為 80 或者源于端口 1025，但又不會(huì)同時(shí)滿足這兩點(diǎn)時(shí)，這樣的封包才會(huì)被顯示出來。例子 1：snmp || dns || icmp 顯示的是 SNMP 或 DNS 或 ICMP 的數(shù)據(jù)包。例子 2：Ip addr == 顯示來源或目的 IP 地址為 的封包。例子 3：ip src != or ip dst != 畢業(yè)論文（設(shè)計(jì)） 第 25 頁顯示來源不為 或者目的不為 的封包。換句話說，顯示的封包將會(huì)為：來源 IP 除了 以外任意目的 IP 任意以及來源 IP：任意目的 IP，除了 以外任意。例子 4：ip src != and ip dst != 顯示來源不為 并且目的 IP 不為 的封包。換句話說，顯示的封包將會(huì)為：來源 IP 除了 以外任意同時(shí)須滿足，目的 IP 除了 以外任意 IP。例子 5：Tcp port ==25顯示來源或目的的 TCP 端口為 25 的數(shù)據(jù)包。例子 6：tcp dst port==25顯示目的 TCP 端口號為 25 的數(shù)據(jù)包。例子 7：Tcp flags顯示包含 TCP 標(biāo)志的數(shù)據(jù)包例子 8：Tcp glags syn ==0x02顯示包含 TCP SYN 標(biāo)志的數(shù)據(jù)包 嗅探 ICMP 數(shù)據(jù)包前面已經(jīng)探究如何使用 Wireshark 的過濾器的使用方法來得到我們想要的數(shù)據(jù)包，現(xiàn)在我們嘗試使用本機(jī)來具體嗅探 ICMP 數(shù)據(jù)包，來驗(yàn)證 WIreshark的可用性。具體的嗅探方法如下：打開 Wireshark 軟件，選取好適宜的網(wǎng)卡，點(diǎn)擊 Start，開始抓包。如圖 45. 畢業(yè)論文（設(shè)計(jì)） 第 26 頁圖 45 Wireshark 的初始界面打開 Wireshark 的工具欄 Capture，選擇子菜單 Options，在彈出的捕捉過濾器中找到 Capture Filter 子項(xiàng)，在后面填上我們想要的數(shù)據(jù)包的屬性?，F(xiàn)在我們想要抓取 ICMP 數(shù)據(jù)包，則直接填上“icmp”即可。如下圖 46 所示。圖 46 捕捉過濾器 畢業(yè)論文（設(shè)計(jì)） 第 27 頁組合鍵“win+R ”打開 win7 的運(yùn)行窗口，輸入 cmd，打開命令提示符界面，輸入 ping ，嘗試 ping 局域網(wǎng)中的一個(gè)主機(jī)，如下圖 47 命令提示符顯示的數(shù)據(jù)，可以看到 ping 通了主機(jī) 。圖 47 命令提示符界面顯示轉(zhuǎn)到 Wireshark 界面，可以看到本來沒有抓到數(shù)據(jù)包的窗口，顯示有 8 個(gè)數(shù)據(jù)包被抓取。如圖 48 Wireshark 抓取 ICMP 的數(shù)據(jù)包。圖 48 Wireshark 抓取 ICMP 包圖 畢業(yè)論文（設(shè)計(jì)） 第 28 頁其中四個(gè)數(shù)據(jù)是 ping 請求包，另外四個(gè)是 ping 應(yīng)答包。從圖 48 中可看到ICMP 包的序列號 NO.、時(shí)間 Time、源地址 Source、目的地址 Destination、協(xié)議 Protocol、長度 Length、信息內(nèi)容 Info。圖 49 ICMP 數(shù)據(jù)包詳圖圖 49 中可以看到 ICMP 數(shù)據(jù)包的 Source 是 和，其中 是本機(jī) IP 地址， 是 ping 的電腦的 IP 地址。這說明這正是本機(jī)剛才在命令提示符中輸入的 ping 命令所產(chǎn)生的 8 個(gè)數(shù)據(jù)包，也間接的說明我的數(shù)據(jù)被 Wireshark 所捕獲。證明了軟件可正確性和可用性，同時(shí)也間接的說明我們電腦信息的不確定性和所處的不安全環(huán)境。再分析其他的數(shù)據(jù)可以看到，ping 包的長度是 74，則說明包的大小是 74字節(jié)。74 字節(jié)中有 32 字節(jié)是數(shù)據(jù)，其他為 ICMP 報(bào)文的類型、代碼、校驗(yàn)和、Identifier、序列號等。再從生存周期 ttl=64，可以知道數(shù)據(jù)沒有經(jīng)過路由器，應(yīng)為每經(jīng)過一個(gè)路由器生存周期 ttl 就會(huì)自減，以防止數(shù)據(jù)包一直在網(wǎng)絡(luò)中無休止的轉(zhuǎn)發(fā)下去，當(dāng) ttl=0 時(shí)，路由器就會(huì)把這個(gè)數(shù)據(jù)包丟棄。同時(shí)我們從 ttl 的值也可以看出對方主機(jī)的操作系統(tǒng)類型，可以判斷對方主機(jī)的操作系統(tǒng)是 win7。接下來在分析一下數(shù)據(jù)包的具體內(nèi)容?？梢钥吹秸麄€(gè)數(shù)據(jù)包被分為四個(gè)部分。第一部分是數(shù)據(jù)包的整個(gè)框架構(gòu)圖，包含了數(shù)據(jù)包中的所有內(nèi)容。第二部分是以太網(wǎng)的物理地址，這部分占了 14 個(gè)字節(jié)，從圖中可以看到，本地主機(jī)的Mac 地址是 04:7d:7b:42:42:d1:d1，而遠(yuǎn)端的 Mac 地址是 2c:27:d7:eb:19:56，經(jīng)過證明也是正確的。如圖 411 以太網(wǎng)顯示的本機(jī) MAC 地址。 畢業(yè)論文（設(shè)計(jì)） 第 29 頁圖 410Wireshark 抓取數(shù)據(jù)包信息圖 411 本機(jī)以太網(wǎng) MAC 地址對比圖第三部分是網(wǎng)絡(luò)協(xié)議的版本號（Version 4）以及網(wǎng)絡(luò) IP 地址，包含源 IP地址和目的 IP 地址，這部分一共占了 20 字節(jié)。從上圖 410 中還可以看到 ICMP 數(shù)據(jù)包的十六進(jìn)制和十進(jìn)制的數(shù)據(jù)。其中包括部分我們可以找到，比如源主機(jī)的 MAC 和 IP 地址、目的主機(jī)的 MAC 和IP 地址。其他數(shù)據(jù)由于認(rèn)知深度有限，還暫不能對其進(jìn)行很好的解析。希望以后可以進(jìn)行更加深入的探究。至此，我們已經(jīng)把 Wireshark 的嗅探網(wǎng)絡(luò)中的 ICMP 數(shù)據(jù)包的過程進(jìn)行了一次長足的探究，對其具體的使用方法有了一定的認(rèn)知。對于其獨(dú)特的過濾器更是進(jìn)行了一次詳盡的解析，從而知道其嗅探數(shù)據(jù)包的顯示過濾方式，方便我們更加快捷的得到需要的數(shù)據(jù)包。 畢業(yè)論文（設(shè)計(jì)） 第 30 頁5 嗅探攻防黑客若要發(fā)起入侵攻擊，需要做好充足的準(zhǔn)備工作，首先是通過嗅探和掃描等操作來搜索信息，從而確定目標(biāo)計(jì)算機(jī)，以便于準(zhǔn)確的發(fā)動(dòng)攻擊。嗅探和掃描操作可以利用專業(yè)的軟件工作來實(shí)現(xiàn)，例如 Xscan、Wireshark 等。對于用戶而言，不僅僅需要了解黑客掃描和嗅探的原理和操作，還需要了解防范掃描和嗅探的操作方法。 搜集目標(biāo)計(jì)算機(jī)的重要信息搜索目標(biāo)主機(jī)信息是黑客入侵前必須要做的準(zhǔn)備工作，而該準(zhǔn)備工作則需要花費(fèi)大量的時(shí)間。搜索目標(biāo)主機(jī)信息包括獲取目標(biāo)主機(jī)的 IP 地址、查看目標(biāo)主機(jī)的物理位置等信息，除此之外，黑客還可以通過了解網(wǎng)站備案信息來進(jìn)行入侵網(wǎng)站的準(zhǔn)備工作。 獲取目標(biāo)計(jì)算機(jī)的 IP 地址獲取目標(biāo)計(jì)算機(jī)的 IP 地址包括三種，第一種是獲取局域網(wǎng)中其他計(jì)算機(jī)的IP 地址，第二種是獲取 Inter 中其他計(jì)算機(jī)的 IP 地址，第三章則是獲取指定網(wǎng)站的 IP 地址。其中獲取局域網(wǎng)中的 IP 地址可以通過“ping+計(jì)算機(jī)名”來獲取。當(dāng)然也可以使用局域網(wǎng)嗅探工具，可以看到局域網(wǎng)中所有計(jì)算機(jī)的 IP 地址和 Mac 地址，方便快捷。如圖 51 可知。圖 51 局域網(wǎng)嗅探工具 畢業(yè)論文（設(shè)計(jì)） 第 31 頁下面重點(diǎn)探究如何得到 Inter 中的主機(jī) IP。要獲取目標(biāo)計(jì)算機(jī)的 IP，需要首先與其建立通信，然后使用 NETSTAT –N 命令來查看目標(biāo)計(jì)算機(jī)的 IP 地址。這里以騰訊 為例，探究如何獲取 Inter 中計(jì)算機(jī) IP 地址的操作方法。（1） 啟動(dòng) 程序，輸入賬號和密碼進(jìn)行登錄。（2） 選擇通信好友，與其進(jìn)行聊天交流。注意此時(shí)對方必須是電腦 登錄，方便入侵。（3） 打開命令提示符窗口，輸入 stat –n，確定之后可以查看到ESTABLISHED 狀態(tài)的對應(yīng)的外部 IP 地址，該地址就是目標(biāo)計(jì)算機(jī)的 IP地址。注意：我們可能會(huì)看到許多已經(jīng)建立連接狀態(tài)的 IP 地址信息，但是可以從端口上來確定哪個(gè)端口是我們的 程序所需要的端口。一般來說 程序采用的是 80 或者是 8080 號端口來進(jìn)行建立通信。所以當(dāng)“外部地址”一欄中顯示的是 80 或 8080 字樣時(shí)，該地址就是我們所需要的目標(biāo) IP 地址。 根據(jù) IP 地址查看物理地址Inter 中所有的計(jì)算機(jī) IP 地址都是全球統(tǒng)一分配的，因此可以同伙其中某些計(jì)算機(jī)的外網(wǎng) IP 地址查看其對應(yīng)的物理位置。 Inter 中有不少網(wǎng)站服務(wù)器收集了 IP 地址的數(shù)據(jù)庫，利用這些網(wǎng)站可以輕松查詢指定 IP 地址對應(yīng)的物理位置 [9]，如圖 52 可知。 畢業(yè)論文（設(shè)計(jì)） 第 32 頁圖 52 獲取目的主機(jī)物理地址示意圖只需要把目標(biāo)計(jì)算機(jī)的 IP 地址輸入就可以知道其對應(yīng)的物理位置和信號來源。需要注意的是，該網(wǎng)站每日只提供 100 次查詢的機(jī)會(huì)。 掃描目標(biāo)計(jì)算機(jī)的端口由于端口是當(dāng)前計(jì)算機(jī)與外界的通道，因此黑客一旦鎖定目標(biāo)計(jì)算機(jī)，便會(huì)掃描計(jì)算機(jī)中已經(jīng)開放的端口，從而得到更多有用的信息。掃描目標(biāo)主機(jī)的端口通常采用一些特定的軟件，例如 Xscan 和 SuperScan，它們都是比較有名的端口掃描軟件。 認(rèn)識(shí)端口掃描的原理端口掃描，簡單的說就是利用數(shù)據(jù)包來分析目標(biāo)計(jì)算機(jī)的響應(yīng)，從而得到目標(biāo)計(jì)算機(jī)的端口開放信息和系統(tǒng)內(nèi)存在的弱點(diǎn)信息。端口掃描是指本地計(jì)算機(jī)向目標(biāo)計(jì)算機(jī)所有的端口發(fā)送同一信息，然后根據(jù)返回的響應(yīng)狀態(tài)來判斷目標(biāo)計(jì)算機(jī)哪些端口已經(jīng)開放，哪些端口可以被使用。目前最常見的是利用掃描軟件來掃描端口，這些軟件又被統(tǒng)一稱為“端口掃描器” 。端口掃描器向目標(biāo)計(jì)算機(jī)的 TCP/IP 服務(wù)端口發(fā)送探測數(shù)據(jù)包，同時(shí)記錄下計(jì)算機(jī)的響應(yīng)情況，從而收集到大量關(guān)于目標(biāo)計(jì)算機(jī)的各種有用信息，包括是否端口處于監(jiān)聽功能、是否允許匿名登錄、是否有可寫的 FTP 目錄以及是否能用 Tel 等。 使用 SuperScan 掃描計(jì)算機(jī)的端口SuperScan 是由 Foundstone 開發(fā)的一款免費(fèi)的端口掃描軟件，該軟件的功能十分強(qiáng)大，與許多同類軟件相比，該軟件既是一款入侵軟件，又是一款網(wǎng)絡(luò)安全軟件。利用該軟件可以隨意的掃描指定端口，并附帶有簡單的端口信息說明。（1） 打開 SuperScan 程序，以管理員身份運(yùn)行。（2） 輸入想要掃描的主機(jī) IP 地址。SuperScan 支持 IP 地址范圍掃描，可以輸入起始 IP 和結(jié)束 IP 如圖 53。 畢業(yè)論文（設(shè)計(jì)） 第 33 頁圖 53 SuperScan 端口掃面軟件界面（3） 點(diǎn)擊開始，即可看到 SuperScan 開始掃描計(jì)算機(jī)的端口信息了。從最下面可以看到計(jì)算機(jī)掃描的最終結(jié)果。在掃描結(jié)果中可以看到本機(jī)開放的端口有 5 個(gè)，有 23 號、135 號、139 號、443 號和 445 號。在端口號后面 SuperScan 還附有簡單的端口說明。比如說 23號是遠(yuǎn)程連接 Tel 功能的端口。 畢業(yè)論文（設(shè)計(jì)） 第 34 頁6 網(wǎng)絡(luò)嗅探技術(shù)的防范實(shí)際上，在局域網(wǎng)中很難發(fā)現(xiàn)嗅探，因?yàn)樾崽礁揪筒粫?huì)留下任何痕跡，因此用戶就有必要了解防范嗅探常用的措施。防范嗅探常用的措施有三種：第一種是對傳輸?shù)臄?shù)據(jù)加密；第二種是采用安全的拓?fù)浣Y(jié)構(gòu) [11]；第三種是進(jìn)行網(wǎng)絡(luò)安全綁定。 加密傳輸?shù)臄?shù)據(jù)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密是指在傳輸數(shù)據(jù)前對數(shù)據(jù)進(jìn)行加密，待到對方接受數(shù)據(jù)后再進(jìn)行解密。這樣一來，及時(shí)該數(shù)據(jù)被他人嗅探，由于不知道解密密碼也無法得到可以