【正文】 ar _ar_sip[4]。unsigned char _ar_tip[4]。 這是 linux 的 arp 協(xié)議報頭，其中 ar_hrd 是硬件地址的格式， ar_pro協(xié)議地址的格式， ar_hln是硬件地址的長度， ar_pln時協(xié)議地址的長度， ar_op是 arp協(xié)議的分類 0x001是 arp echo 0x0002 是 arp ，源 ip地址，目標地址的物理地址，目標 ip地址。 u_int16_t dest。 u_int32_t ack_seq。 u_int16_t doff:4。u_int16_t syn:1。u_int16_t psh:1。 u_int16_t urg:1。 (待續(xù) …) 計算機網(wǎng)絡監(jiān)聽的概述 elif _BYTE _ORDER == _BIG _ENDIANu_int16_t doff:4。u_int16_t res2:2。 u_int16_t ack:1。u_int16_t rst:1。u_int16_t fin:1。 u_int16_t check。}。 window是表示接受數(shù)據(jù)窗口大小， check是校驗碼， urg ptr是緊急指針。 u_int16_t dest。u_int16_t check。 Icmphdr 這是 ip協(xié)議的 icmp協(xié)議的報頭 (待續(xù) …) 計算機網(wǎng)絡監(jiān)聽的概述 struct icmphdr{u_int8_t type。u_int16_t checksum。u_int16_t sequence。u_int32_t gateway。u_int16_t mtu。} un。 這是 linux下的 ip協(xié)議中的 icmp的協(xié)議，這里面主要的是前兩項參數(shù)，其中type是 icmp協(xié)議的類型，而 code 則是對 type類型的再分析。 Igmphdr 這是 ip協(xié)議的 igmp協(xié)議報頭 struct igmphdr{ _u8 type。_u16 csum。}。 (完 …) 計算機網(wǎng)絡監(jiān)聽的概述 檢測網(wǎng)絡監(jiān)聽的手段 對發(fā)生在局域網(wǎng)的其他主機上的監(jiān)聽，一直以來，都缺乏很好的檢測方法。但目前網(wǎng)上已經(jīng)有了一些解決這個問題的思路和產(chǎn)品： 1．反應時間 向懷疑有網(wǎng)絡監(jiān)聽行為的網(wǎng)絡發(fā)送大量垃圾數(shù)據(jù)包，根據(jù)各個主機回應的情況進行判斷，正常的系統(tǒng)回應的時間應該沒有太明顯的變化，而處于混雜模式的系統(tǒng)由于對大量的垃圾信息照單全收，所以很有可能回應時間會發(fā)生較大的變化。 3．利用 ping模式進行監(jiān)測 上面我們說過：當一臺主機進入混雜模式時，以太網(wǎng)的網(wǎng)卡會將所有不屬于他的數(shù)據(jù)照單全收。這樣，一臺處于網(wǎng)絡監(jiān)聽模式的主機就被發(fā)現(xiàn)了?？蓞⒁姡? arp數(shù)據(jù)包進行監(jiān)測 除了使用 ping進行監(jiān)測外，目前比較成熟的有利用 arp方式進行監(jiān)測的。向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的 arp包，如果局域網(wǎng)內(nèi)的某個主機響應了這個 arp請求，那 么我們就可以判斷它很可能就是處于網(wǎng)絡監(jiān)聽模式了，這是目前相對而言比較好的監(jiān)測模式?？煞謩e參見： ； 。因為雖然理論上網(wǎng)卡處于混雜模式的系統(tǒng)應該接收所有的數(shù)據(jù)包，但實際上不同的操作系統(tǒng)甚至相同的操作系統(tǒng)的不同版本在 tcp/ip的實現(xiàn)上都有自己的一些特點，有可能不會接收這些理論上應該接收的數(shù)據(jù)包。 (完 …) —— Sniffer（嗅探器） sniffer就是能夠捕獲網(wǎng)絡報文的設備。例如，假設網(wǎng)絡的某一段運行得不是很好，報文的發(fā)送比較慢，而我們又不知道問題出在什么地方，此時就可以用嗅探器來作出精確的問題判斷。有些只能 分析 一種 協(xié)議 ，而另一些可能能夠 分析 幾百種協(xié)議 。專用的嗅探器價格非常昂貴。 嗅探器與一般的鍵盤捕獲程序不同。嗅探器通過將其置身于網(wǎng)絡接口來達到這個目的 ——例如將以太網(wǎng)卡設置成雜收模式。 數(shù)據(jù)在網(wǎng)絡上是以很小的稱為幀 (Ftame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。 以太網(wǎng) 幀的其他部分存放實際的用戶數(shù)據(jù)、 TCP/IP的報文頭或 IPX報文頭等等）。通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。就是在這個傳輸和接收的過程中，嗅探器會造成 安全 方面的問題。這些地址唯一地表示著網(wǎng)絡上的機器（這一點于 Inter地址系統(tǒng)比較相似）。 在一般情況下，網(wǎng)絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的報文則不予響應（換句話說，工作站 A不會捕獲屬于工作站 B的數(shù)據(jù)，而是簡單的忽略這些數(shù)據(jù)）。 嗅探器可能造成的危害： 1．嗅探器能夠捕獲口令 2．能夠捕獲專用的或者機密的信息 3．或者用來獲取更高級別的訪問權(quán)限 事實上，如果你在網(wǎng)絡上存在非授權(quán)的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。用戶名和口令都包含在這一部分中，這是我們關(guān)心的真正部分。將嗅探器放置于被攻擊機器或網(wǎng)絡附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網(wǎng)關(guān)上。這樣的方式將成倍地增加我們能夠攻擊的 范圍。（代表所有的接口地址），在正常情況下，一個合法的網(wǎng)絡接口應該只響應這樣的兩種數(shù)據(jù)幀： 1．幀的目標區(qū)域具有和本地網(wǎng)絡接口相匹配的硬件地址。 在接受到上面兩種情況的數(shù)據(jù)包時， nc通過 cpu產(chǎn)生一個硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理。（絕大多數(shù)的 nc具備置成 promiscuous方式的能力） 可見， sniffer工作在網(wǎng)絡環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件處理，可以實時 分析 這些數(shù)據(jù)的內(nèi)容，進而 分析 所處的網(wǎng)絡狀態(tài)和整體布局。 通常 sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類： (待續(xù) …) —— Sniffer（嗅探器） 網(wǎng)絡監(jiān)聽 Sniffer的工作原理 1．口令 我想這是絕大多數(shù)非法使用 sniffer的理由， sniffer可以記錄到明文傳送的 userid和， sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。 4．窺探低級的 協(xié)議 信息。這些信息由非法入侵的人掌握后將對網(wǎng)絡 安全 構(gòu)成極大的危害，通常有人用 sniffer收集這些信息只有一個原因：他正在進行一次欺詐，（通常的 ip地址欺詐就要求你準確插入 tcp連接的字節(jié)順序號，這將在以后整理的文章中指出）如果某人很關(guān)心這個問題，那么sniffer對他來說只是前奏，今后的問題要大得多（對于高級的 hacker而言，我想這是使用 sniffer的唯一理由吧）。sniffer是如此囂張又安靜，如何知道有沒有 sniffer存在，這也是一個很難說明的問題，比較有說服力的理由證明你的網(wǎng)絡有 sniffer目前有以下現(xiàn)象： 1．網(wǎng)絡通訊掉包率反常的高 通過一些網(wǎng)絡軟件，可以看到信息包傳送情況（不是 sniffer），向 ping這樣的命令會告訴你掉了百分幾的包。（這是由于 sniffer攔截每個包導致的） 2．網(wǎng)絡帶寬出現(xiàn)反常 通過某些帶寬控制器（通常是防火墻所帶），可以實時看到目前網(wǎng)絡帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬，這臺機器就有可能在監(jiān)聽。 還有一個辦法是看看計算機上當前正在運行的所有程序。 在 Unix系統(tǒng)下使用下面的命令： ps aux 或： ps augx。 Windows系統(tǒng)下，按下 Ctrl+Alt+Del，看一下任務列表。 另一個方法就是在系統(tǒng)中搜索，查找可疑的文件。 還有許多工具，能用來看看你的系統(tǒng)會不會在雜收模式。 —— Sniffer（嗅探器） 怎樣防止被 sniffer 對于嗅探器如此強大的‘靈敏度’，我們力求作到： 1．檢測和消滅嗅探器 2．會話加密 3．將數(shù)據(jù)隱藏，使嗅探器無法發(fā)現(xiàn) 4．加密 你最關(guān)心的可能是傳輸一些比較敏感的數(shù)據(jù)，如用戶 ID或口令等等。解決這些問題的辦法是加密。 SSH是一個在應用程序中提供安全通信的協(xié)議。 SSH服務器的分配的端口是 22。在授權(quán)完成后，接下來的通信數(shù)據(jù)是用 IDEA技術(shù)來加密的。 SH后來發(fā)展成為 FSSH，提供了高層次的，軍方級別的對通信過程的加密。如果某個站點使用 FSSH，用戶名和口令成為不是很重要的一點。即使是 sniffer，收集到的信息將不再有價值。 其他的方法 另一個比較容易接受的是使用安全拓撲結(jié)構(gòu)。在我們小的時候也許都玩過一種智力游戲，它通常由一系列數(shù)字組成。當處理網(wǎng)絡拓撲時，就和玩這個游戲一樣。網(wǎng)絡段應該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設計，而不是硬件需要。通常它們在同一個房間里，或在同一個辦公室里。 注意每臺機器是通過硬連接線接到 Hub的。由于網(wǎng)絡分段了，數(shù)據(jù)包只能在這個網(wǎng)段上被 sniffer。 所有的問題都歸結(jié)到信任上面。作為系統(tǒng)管理員，你的工作是決定一個方法，使得計算機之間的信任關(guān)系很小。 如果你的局域網(wǎng)要和 INTERNET相連，僅僅使用防火