Sniffer 間生个阳面目,限楽天
摘要: 应用企业没法获知海外全新材料或定单;或是将电脑上病毒感染嵌入别人互联网内,使其互联网没法正 人内境入A用,全限、 S 2.6 Sniffer 間生个阳相貌,限楽天 互联网入耳的目地与我...
使用公司无法得知国外最新资料或订单;或者将电脑病毒植入他人网络内,使其网络无法正 人内境入A用,全限、
S 2.6 Sniffer 間生个阳面目,限楽天
网络中听的目的和我们目常生活中的一样;就是在你的通讯线路上设置一个叫做sr
e(探器),它既可以是硬件,也可以是软件,用来接收在网络上传输的信息。 Sniffe对网
的危害是不言而喻的。由于网络中进行传输的信息大多是明文,包括一般的邮件、口令等,过
样计算机系统的安全就可想而知了。让我们首先来大致了解一下嗅探器。
1. Sniffer简介。网络可以是运行在各种协议之下的,、 TCPAIP、ZPX等
(也可以是其中几种协议的联合)。放置 Sniffer的目的是使网络接口处于广播状态( Promise
ous Mode),从而可以截获网络上的内容。可容内害团,令的大弃容代
以太网( )是由Xeox的 Palo Aito研究中心(有时也称为PARC)发明的。以太网
也是局域网中最为常见的网络协议。下面简介一下信息在以太网上的传输形式:一个消息 要发送的时候,每一个网络节点或工作站都是一个接口,一个请求被发往所有的接口,寻找真
正的接收者。这个请求是以普通的广播形式发送的。网络上的机器都 听 到了那些不准备
接收这个消息的机器虽然听到了,但是忽略了。这个请求在没有工作站回答时,就会自动 死 亡 。那个要接收消息的工作站,把自己的硬件地址发送出去。这时,信息从发送的工作站被
送到电缆上(用包的形式)。向接收工作站发送,你可以想像在这种情况(自接收者明确之后开
始)其它的工作站都要忽略在发送者和接收者之间传递的信息。但是,它们并不是必须忽略这
任何在网上传输的信息都是可以 听 到的。意画速,能用用的网内 些数据,如果它们不忽略的话;它们是可以听到的。换盲之,对于这个网段上所有的接口来说
、广播是指网络上所有的工作站都在倾听所有传输的信息,而不仅仅是它自己的信息状态。
换一句话说,非广播状态是指工作站仅仅倾听那些直接指向它自己的地址信息的状态。在广
播状态中,工作站倾听所有的内容,而不管这些内容是送到哪一个地址去的。 Sniffer就是这样
的硬件或软件,能够 听 到(而不是忽略)在网上传输的所有信息。在这种意义上,每一个机
器,每一个路由器都是一个 Sniffer(或者至少可以说它们可以成为一个 Sniffer)这些信息就
被储存在介质上,以备日后检查时用。要使你的机器成为一个 Sniffer、你或者需要一个特殊的
软件( 卡的广播驱动程序)或者需要一种络软件使你的网络处于广播模式。 Sniffer
bug功能,或者就是一个真正的 Sniffer 可以是(而且通常是)软件和硬件的联合体,软件可以是普通的网络分析器带有比较强的De
是,一些有战略意义的位置可能今入侵者比较满意。其中一个地方就是任何与接收口令的 Sniffer必须是位于准备进行 Sniffer工作的网络上的,它可以放在网络段中的任何地方。
相联接的话,入者就可能想要截获你的网络与其它网络之间的身份验证过程。机器成与其它网络相邻的地方。尤其是日标为网关或者数据往来必经之地时,如果你的网络
2.str程序?最初,sife是被设计来诊断网络的联接情况的(和任何一个
2网安企底与意 还有许多入侵者将为自己开的后门设在一个非常高的端口上,这些不常用的端口,常常被 扫描程序忽略。入侵者通过这些端口可以任意使用系统的资源,也为他人非法访问这台主机 开了方便之门。在国内,许多不能直接出国的主机上的用户总爱将一些Poxy之类的程序,偷 测到这类活动,其中之一便是使用端口扫描程序。地安装在一些方便出国的主机上,将大笔的流量账单转嫁到他人身上。有许多方法可以检 2.7、2各种端口担描 接,如果可以建立连接,则说明该主机在那个端口监听。当然,这种端口扫描程序不能进一步 通常说来,最简单的端口扫描程序仅仅是检査一下目标主机有哪些端口可以建立TCP连 确定端口提供什么样的服务,也不能确定该服务是否有众所周知的那些缺陷。要想知道端口上具体是什么服务,则必须用相应的协议来验证。因为一个服务进程总是 为了完成某种具体的工作,比如说,文件传输服务有文件传输的一套协议,只有按照这个协议 各户提供正确的命令序列,才能完成正确的文件传输服务。远程终端服务在一开始总是要 交换许多关于终端的信息,才能在用户端实现正常的显示。因此,应用层协议是各不相同的。 一个专门在网络上搜寻代理的程序,总是试图连接一台主机的许多端口,如果能够通过这许多 端口之一,调来某一个WWW站点的网页,则可以认为在这个端口正在运行着一个代理程序。 机建立连接。而建立连接之后,便被目标主机记录下来。另外,可以被防火墙之类的系统过滤 这种方法可以被目标主机检测到,并被记录下来。因为这种方法总是要主动去与目标主 掉。当防火墙检査通过的IP包时,对于这种来自未知的源IP地址的包总是非常警惕的。因 此,人侵者为了有效地隐蔽自己,又能进行端口扫描,需要寻找更有效的方法。有许多利用 堂防火墙有很大的帮助。一些防火墙已提供这方面的过滤功能。现在,让我们先来温习ー下 TCP1P协议的本身特征,实现隐身的技巧可供入侵者利用。了解这些知识对于管理员和配 IP数据包中的一些字段的含义吧。内 一在TCP数据包的报头中有六个位,分别表示FIN、SYN、RST、凡科抠图H、ACK和URG。的 其中,ACK被置1,表明确认号是有效的;如果这一位被清零,数据包中不包含一个确认, 确认号域将被忽略。 凡科抠图H提示数据的接收者将收到的数据直接交给应用程序,而不是将它放在缓冲区,直到 缓冲区满才交给应用程序。它常用一些实时的通信。个本は的D RST用来重置一个连接;用于一台主机崩遗或一些其它原因而引起的通信混乱。它也被 用来拒绝接收一个无效的TCP数据包,或者用来拒绝一个建立连接的企图。当得到一个重置 了RST的TCP数据包,通常说明本机有一些问题。 SYN用来建立一个连接。在连接请求数据包中,SYN=1、ACK=0指明确认域没有使 用,对连接请求需要应答,所以,在应答的TCP数据包中,SYN=1、ACK=1,SYN通常用来指 明连接请求和连接请求被接收,而用ACK来区分这两种情况 FIN用来释放一个连接。它指出发送者已经没有数据要发送。然而,当关闭一个连接之 后,一个进程还可以继续接收数据。SUN和FIN的TCP数据包都有顺序号。因此,可保证数 据按照正确的顺序被处理。网站设计
2网安企底与意 还有许多入侵者将为自己开的后门设在一个非常高的端口上,这些不常用的端口,常常被 扫描程序忽略。入侵者通过这些端口可以任意使用系统的资源,也为他人非法访问这台主机 开了方便之门。在国内,许多不能直接出国的主机上的用户总爱将一些Poxy之类的程序,偷 测到这类活动,其中之一便是使用端口扫描程序。地安装在一些方便出国的主机上,将大笔的流量账单转嫁到他人身上。有许多方法可以检 2.7、2各种端口担描 接,如果可以建立连接,则说明该主机在那个端口监听。当然,这种端口扫描程序不能进一步 通常说来,最简单的端口扫描程序仅仅是检査一下目标主机有哪些端口可以建立TCP连 确定端口提供什么样的服务,也不能确定该服务是否有众所周知的那些缺陷。要想知道端口上具体是什么服务,则必须用相应的协议来验证。因为一个服务进程总是 为了完成某种具体的工作,比如说,文件传输服务有文件传输的一套协议,只有按照这个协议 各户提供正确的命令序列,才能完成正确的文件传输服务。远程终端服务在一开始总是要 交换许多关于终端的信息,才能在用户端实现正常的显示。因此,应用层协议是各不相同的。 一个专门在网络上搜寻代理的程序,总是试图连接一台主机的许多端口,如果能够通过这许多 端口之一,调来某一个WWW站点的网页,则可以认为在这个端口正在运行着一个代理程序。 机建立连接。而建立连接之后,便被目标主机记录下来。另外,可以被防火墙之类的系统过滤 这种方法可以被目标主机检测到,并被记录下来。因为这种方法总是要主动去与目标主 掉。当防火墙检査通过的IP包时,对于这种来自未知的源IP地址的包总是非常警惕的。因 此,人侵者为了有效地隐蔽自己,又能进行端口扫描,需要寻找更有效的方法。有许多利用 堂防火墙有很大的帮助。一些防火墙已提供这方面的过滤功能。现在,让我们先来温习ー下 TCP1P协议的本身特征,实现隐身的技巧可供入侵者利用。了解这些知识对于管理员和配 IP数据包中的一些字段的含义吧。内 一在TCP数据包的报头中有六个位,分别表示FIN、SYN、RST、凡科抠图H、ACK和URG。的 其中,ACK被置1,表明确认号是有效的;如果这一位被清零,数据包中不包含一个确认, 确认号域将被忽略。 凡科抠图H提示数据的接收者将收到的数据直接交给应用程序,而不是将它放在缓冲区,直到 缓冲区满才交给应用程序。它常用一些实时的通信。个本は的D RST用来重置一个连接;用于一台主机崩遗或一些其它原因而引起的通信混乱。它也被 用来拒绝接收一个无效的TCP数据包,或者用来拒绝一个建立连接的企图。当得到一个重置 了RST的TCP数据包,通常说明本机有一些问题。 SYN用来建立一个连接。在连接请求数据包中,SYN=1、ACK=0指明确认域没有使 用,对连接请求需要应答,所以,在应答的TCP数据包中,SYN=1、ACK=1,SYN通常用来指 明连接请求和连接请求被接收,而用ACK来区分这两种情况 FIN用来释放一个连接。它指出发送者已经没有数据要发送。然而,当关闭一个连接之 后,一个进程还可以继续接收数据。SUN和FIN的TCP数据包都有顺序号。因此,可保证数 据按照正确的顺序被处理。网站设计
