以下是小编帮大家整理的攻击技术概要:嗅探侦听法,本文共8篇,供大家参考借鉴,希望可以帮助到您。
篇1: 攻击技术概要:嗅探侦听法
一、写这篇文章的目的
我们论坛的朋友老是发帖问自己有没有中毒,被黑,或者装了某些软件或做了错误的系统设置之后系统出了稀奇古怪的错误,又怕重新装系统,
攻击技术概要:嗅探侦听法
。系统还原功能又有缺陷(有些木马和病毒就躲在系统还原点的文件夹里)。我从实际工作的经验中总结了一个比较“省事”的方案。即使中招也可以在2-3分钟之内恢复。
二、简要说明
1,个人觉得本贴属于“技术文章 ”范畴
2,有朋友说Ghost容易出问题。可以告诉大家,自己做好系统再Ghost仅供自己使用是没有任何问题的。(推荐版本:symantec ghost 8.2 )
3,本文涉及的细节较多,几乎都是经验总结。
三、步骤
方案主要分三步方便起见,分别称为Ghost 1,Ghost 2,和Ghost 3)
用实际经验说话,分三步是最好的方案。如果做的步骤太多,gho文件占的空间越大;如果步骤太少,什么都要重来,花的时间就越多。具体如下:
Ghost1 做一颗“后悔药”
拔掉网线(重要),Format要装系统的分区,装好系统,设好账户名密码。
然后什么系统选项都别改,什么软件都不装,驱动也不装。做一个GHOST镜像,存为XP1.gho。(如果你还不会用GHOST这个软件的话,先去baidu一下或者google一下) 这一步的原则:纯。可以称作是“后悔药”,即使是下面的任何一部分出了问题,你几分钟就可以Ghost到刚刚装好系统的情景,不用花几十分钟去重装系统(度日如年啊)
Ghost2 设置好系统
1,装好驱动程序,尽量使用原版驱动,而且最好是从 下载。
2,装输入法。喜欢拼音的建议在微软 去下载微软拼音,放心嘛。如果你用五笔或者其他的输入法就要注意了,因为有个比较好用的五笔安装包好像要改IE主页,里面还藏了广告软件。这些非微软官方的安装包还是等做好“无忧系统”之后再去安装吧。
3,调整桌面主题,以及桌面和任务栏的图标,开始菜单风格等等。
4,调整文件夹选项,包括是否显示隐藏文件,是否使用简单共享,是否自动检测网络文件夹和打印机等。
,调整虚拟内存,按自己的需求进行设置,玩大游戏的可以设稍大一些,否则可以少点。
6,修改系统特殊文件夹的位置,我一般把IE收藏夹和我的文档设在其他的盘下面,这样即使系统出问题也不会丢失收藏夹和存在“我的文档”里的东西。
7,修改OUTLOOK的邮件文件夹存放位置,导入以前存储过的邮件账号。
8,导入一些REG文件进行优化。包括关闭XP自带的医生,显示验证码,解决乱码问题(微软已经出补丁了),禁止MSN随Outlook启动,常见的IE垃圾插件免疫,去掉默认共享等。
9,修改网络相关,导入策略包。包括IP,网关之类的
10,调整系统服务。这里要注意,现在只是初步调整,自己不太清楚的服务就不要去动,把很明显要禁用的服务干掉,比如,对于我来说“Wireless Zero Configuration”和“Remote Registry”都是要禁用掉的。
11,打好事先保存好的系统在线更新补丁。为了方便日常维护,事先可以下载补丁包,或者用专门的软件找好系统补丁。
12,整理XP所在磁盘。 13,用vfloppy做一个DOS引导菜单。vfloppy是一个虚拟启动软盘的程序(各大软件站都有免费下载),也就是说可以在启动的时候选一下菜单来达到用软盘启动的效果。这是第二大步里面使用的唯一的一个第三方软件。
重启几次,看还有什么问题,然后就重新启动,选择用vfloppy做好的虚拟软盘启动进dos,进入GHOST程序的目录,做GHOST镜像,存为XP2.GHO,
(GHOST推荐用symantec 8.0之后的版本,8.2版的很好用,速度快)
这一步原则:不用第三方程序。好处在于如果Ghost 3这一步中的软件出了新版本但又卸载不干净的话可以在Ghost 2的基础上来做新的Ghost 3。
Ghost3 装常用程序
现在你放心了吧,即使下面的除了问题可以从XP2.gho弄回原样。
开始装第三方程序了。
这一步强烈建议不装杀毒软件,因为你可以做好GHO之后去试用各种各样的杀软和防火墙,觉得想换了又卸不干净(很多重量级的杀毒软件都卸载不干净)就GHOST回来,很方便。这样方便你选择一套适合自己的杀毒软件和防火墙。
当然,如果你看上了某个杀软,愿意追随他,那你装吧,留到Ghost 3的最后一步去装吧。
我一口气装了如下的程序(一些经常用到的软件):
(下面的软件建议装在系统所在的盘下面)
MSOffice系列,winrar,realplayer10,Alcohol 120% 1.9.5,Adobe Reader
(下面的软件建议不要装在系统所在的盘下,因为只要导入自己的注册信息就可以使用)
Kingsoft系列, Macromedia系列,AutoCAD,Maxthon,Winamp,flashget1.65,Bitcomet,msn
如果还要装一些其他的软件自己看着办。Windows优化大师之类软件的一定要装的话留到做完XP3.GHO再装(估计大家也听说了“恶意代码”之说,原作者也称“信则有,不信则无”,如果一定要用还是要用正版噢)。
再重启几遍,观察一下,另外在事件查看器里看有没有重大的错误。没有问题了就重新启动由虚拟软盘引导到DOS,做XP3.gho了。
这一步的原则:只装口碑好的,安全的软件。
现在你可以插上网线去爽了,想去哪儿就去哪儿。
不过别太大意,并非什么都可以不顾及。你想想,如果别人把一个不常见的木马(就是说大多数杀毒软件都查不出的木马)绑在其他盘的应用程序上,比如你经常玩的游戏上面,估计你就要终生带毒了,因为杀毒软件也查不出,你发现有疑点用Ghost回来也没有用,你一玩游戏又会中招,很惨哦。另外,遇到伤害硬件的病毒(比如CIH变种)会更痛苦。
所以,防火墙还是要弄一个滴,毕竟现在“准 ”比较多。尽管个人用户平常会很注意,但是还有些是中毒了的机器拼命连接你,尤其是在局域网环境下,所以说杀毒软件也要装。
四、总结
这三个文件就可以满足你几方面的需要:
1,如果想Ghost回来马上投入工作,用XP3.gho,
2,如果想卸掉Ghost3中安装的一些软件,但是又不让那些垃圾信息留在你的系统里,用XP2.gho,
3,如果在试用中发现做Ghost2的时候出了问题,要从头再来,用XP1.gho
五、必须要提的细节
1,文中提到的软件:请先下载到硬盘,而且要解压,放在非系统分区,并且不要放在NTFS分区里面(DOS一般来说是找不到NTFS分区的)。 2,Ghost8.2:使用这个版本的时候不需要加载smartdrv.exe,因为我从实践得知不加载的时候比加载要快得多。(一般来讲,类似于win98启动光盘启动的时候是加载了smartdrv.exe的,用vfloppy程序包里自带的启动镜像做出来的虚拟启动是不加载smartdrv.exe的)
3,vfloppy:这是第二步中适用的唯一一个第三方软件,请确保你下载的文件是不带毒的。另外,做vfloppy菜单以后不能整理磁盘,否则不能虚拟启动到DOS,需要重新做一遍。
4,系统服务:网上有很多这方面的“教程”,我看过一些,有些写得很不负责任,要注意分辨。
5,备份:动手之前先准备好文中提到的相关文件,再备份硬盘的主引导记录及分区相关信息(一般的启动光盘上都有这样的工具),而且备份文件最好放在电子邮箱里不要放在硬盘上(为什么大家想想就明白了,我就不嗦了)。
篇2:网络嗅探攻击的原理及应用
一. 嗅探器(Sniffer)攻击原理 Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息,
网络嗅探攻击的原理及应用
,
网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。放置Sniffer的目的是使网络接口(在这个例子中是以太
篇3:网络嗅探器技术以及数据包
从事网络安全的技术人员和相当一部分准 (指那些使用现成的 软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(sniffer)感到陌生,网络嗅探器无论是在网络安全还是在 攻击方面均扮演了很重要的角色,
网络嗅探器技术以及数据包
,
通过使用网络嗅探器可以
篇4:局域网嗅探与监听技术
一. 网络日记并不安全
检察员小洁从小就有写日记的习惯,毕业后上了工作岗位也不曾改变,无论工作多忙多累,每天晚上临近睡觉前她总会把今日发生的事情记录进日记本里,例如一些工作问题、心情想法、同事和上级的事情等等,小洁使用的是一个网站提供的网络日记本服务,她很喜欢那个宁静简洁的文字界面,偶尔没任务要忙或者心情不好的时候,她就会用院里的网络上去看自己以前写的日记。
这天小洁和往常一样来到办公室,却发现气氛不同往常了:同事们面对她的时候笑容很不自然,有几个女同事还偷偷对她指指点点的,小洁看过去时她们却又不说话了,她只好竖起耳朵偷听,隐隐约约听到一句“……连别人还欠着50元没还她都写上去,这个人真……”,小洁的脸瞬间变得煞白:这不是她某天的日记内容吗?……
究竟是谁把小洁的日记偷看了呢?你正在使用的局域网,又能真的很安全吗?小洁不知道,大院的局域网里,有一双耳朵正在悄悄的记录着她的电脑上发送和接收的一切信息……
这双耳朵的名词被称为“网络嗅探”(Network Sniffing)或“网络监听”(Network Listening),它并不是最近才出现的技术,也并非专门用在黑道上的技术,监听技术作为一种辅助手段,在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用,因此一直倍受网络管理员的青睐并逐渐发展完善,所谓“监听”技术,就是在互相通讯的两台计算机之间通过技术手段插入一台可以接收并记录通讯内容的设备,最终实现对通讯双方的数据记录。一般都要求用作监听途径的设备不能造成通讯双方的行为异常或连接中断等,即是说,监听方不能参与通讯中任何一方的通讯行为,仅仅是“被动”的接收记录通讯数据而不能对其进行篡改,一旦监听方违反这个要求,这次行为就不是“监听”,而是“劫持”(Hijacking)了。
看了以上对于“监听”概念的描述,有人也许已经跃跃欲试了:我有网络,也有电脑,还有网络嗅探工具,那我能不能把某个收费电影站甚至国防部网站的账号密码记录下来呢?当然这也不是不可能,但是前提是你有足够能力在相关站点实体服务器的网关或路由设备上接入一个监听设备,否则凭一台你自己家里的计算机是无法实现的。这就是“监听”的弱点:它要求监听设备的物理传输介质与被监听设备的物理传输介质存在直接联系或者数据包能经过路由选择到达对方,即一个逻辑上的三方连接。能实现这个条件的只有以下情况:
1. 监听方与通讯方位于同一物理网络,如局域网
2. 监听方与通讯方存在路由或接口关系,例如通讯双方的同一网关、连接通讯双方的路由设备等
因此,直接用自己家里的计算机去嗅探国防部网站的数据是不可能的,你看到的只能是属于你自己领域的数据包,那些害怕自己在家里上网被远方的入侵者监听的朋友大可以松口气了(你机器上有安全的情况除外),除非入侵者控制了你的网关设备,但这需要入侵者具有高级的入侵技术,而一个有高级技术的入侵者会稀罕普通家庭用户是的一台计算机吗?
不可否认,“监听”行为是会对通讯方造成损失的,一个典型例子是在1994年的美国网络 事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令,引发了重大损失,而“监听”技术,就是在那次事件以后才从地下走向公开化的,
下面,我们来更深入一层了解如今最常见的网络监听。
二. 活跃在局域网里的“耳朵”们
由于前面说过的原因,嗅探技术不太能在公共网络设备上使用(仅指入侵行为的安装方式,因为网络管理员要在某个路由设备上设置监听是简单的事情),所以当今最普遍的嗅探行为并不是发生在Internet上的,而是各个或大或小的局域网,因为它很显然满足监听技术需要的条件:监听方与通讯方位于同一物理网络。
1.写在前面:局域网内计算机通讯的概念和寻址
要发生监听事件,就必须有至少两台计算机处于通讯状态,而监听的实质也是数据的传输,这就要求 者自身也处于通讯网络中,而实现局域网通讯的基础是以太网模型(Ethernet),它包括物理上的数据传输设备如网卡、集线器和交换机等,除此之外还需要逻辑上的软件、网络协议和操作系统支持,如网卡驱动程序、TCP/IP协议、NetBIOS协议、多种寻址和底层协议等,具备了这些条件,计算机才可以实现完整的通讯过程。
那么局域网内的计算机通讯是怎么进行的呢?计算机系统要传输数据时,是严格按照IEEE802.3标准的局域网协议进行的,而且还要结合TCP/IP和OSI模型7层规范实施,所以数据是经过打包封装的,从高层到低层被分别加上相关数据头和地址,直至物理层把其转化为电平信号传送出去,而另一台计算机则是通过逆向操作把数据还原的,这就引发了一个问题:寻址问题。
在局域网里,计算机要查找彼此并不是通过IP进行的,而是通过网卡MAC地址(也被称为以太网地址),它是一组在生产时就固化的全球唯一标识号,根据协议规范,当一台计算机要查找另一台计算机时,它必须把目标计算机的IP通过ARP协议(地址解析协议)在物理网络中广播出去,“广播”是一种让任意一台计算机都能收到数据的数据发送方式,计算机收到数据后就会判断这条信息是不是发给自己的,如果是,就会返回应答,在这里,它会返回自身地址,这一步被称为“ARP寻址”。当源计算机收到有效的回应时,它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里,下次传输数据时就不需要再次发送广播了,这个地址缓冲池会定时刷新重建,以免造成数据老旧和错误。当前活动的ARP表可以使用arp –a命令查看。
话题回到数据被打包成为比特流的最后两层,在这里有一个关键部分被称为“数据链路层”,数据在网络层形成IP数据报,再向下到达数据链路层,由数据链路层将IP数据报分割为数据帧,增加以太网包头,再向下一层发送。以太网包头中包含着本机和目标设备的MAC地址,也就是说,链路层的数据帧发送时,是依靠以太网地址而非IP地址来确认的,网卡驱动程序不会关心IP数据报中的目标地址,它所需要的仅仅是MAC地址,而MAC地址就是通过前面提到的ARP寻址获得的。简单的说,数据在局域网内的最终传输目标地址是对方网卡的MAC地址,而不是IP地址,IP地址在局域网里只是为了协助系统找到MAC地址而已。
篇5:无线局域网防范策略 无线局域网嗅探技术
如何学习无线局域网嗅探技术,网络上有不少的方法,下面是学习方法的一个集锦,希望对广大爱好者有帮助,都是比较常用的方式,借机提供给大家。
无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用,但由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题。
在网络上窃取数据就叫嗅探,它是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层,可以在不易被察觉的情况下将网络传输的全部数据记录下来,从而捕获账号和口令、专用的或机密的信息,甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。
WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性,运行监听程序的主机在 的过程中只是被动的接收网络中传输的信息,它不会跟其它的主机交换信息,也不修改在网络中传输的信息包,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。
尽管它没有对网络进行主动攻击和破坏的危害明显,但由它造成的损失也是不可估量的。只有通过分析网络嗅探的原理与本质,才能更有效地防患于未然,增强无线局域网的安全防护能力。
无线局域网嗅探技术原理
要理解网络嗅探的实质,首先要清楚数据在网络中封装、传输的过程。根据TCP/IP协议,数据包是经过层层封装后,再被发送的。假设客户机A、B和FTP服务器C通过接入点(AP)或其他无线连接设备连接,主机A通过使用一个FTP命令向主机C进行远程登录,进行文件下载。
那么首先在主机A上输入登录主机C的FTP口令,FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层包裹,最后送到了物理层,再通过无线的方式播发出去。
主机C接收到数据帧,并在比较之后发现是发给自己的,接下来它就对此数据帧进行分析处理。这时主机B也同样接收到主机A播发的数据帧,随后就检查在数据帧中的地址是否和自己的地址相匹配,发现不匹配就把数据帧丢弃。这就是基于TCP/IP协议通信的一般过程。
无线局域网嗅探技术就是从通信中捕获和解析信息。假设主机B想知道登陆服务器C的FTP口令是什么,那么它要做的就是捕获主机A播发的数据帧,对数据帧进行解析,依次剥离出以太帧头、IP包头、TCP包头等,然后对报头部分和数据部分进行相应的分析处理,从而得到包含在数据帧中的有用信息。
在实现嗅探时,首先设置用于无线局域网嗅探技术的计算机,即在嗅探机上装好无线网卡,并把网卡设置为混杂模式,
在混杂模式下,网卡能够接收一切通过它的数据包,进而对数据包解析,实现数据 。其次实现循环抓取数据包,并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析,依次提取出以太帧头、IP包头、TCP包头等,然后对各个报头部分和数据部分进行相应的分析处理。
无线局域网嗅探技术相应防范策略
尽管嗅探隐蔽而不易被察觉,但并不是没有防范方法,下面的策略都能够防范无线局域网嗅探技术。
◆加强网络访问控制。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,通过强大的网络访问控制可以减少无线网络配置的风险。同时配置勘测工具也可以测量和增强AP覆盖范围的安全性。虽然确知信号覆盖范围可以为WLAN安全提供一些有利条件,但这并不能成为一种完全的网络安全解决方案。攻击者使用高性能天线仍有可能在无线网络上嗅探到传输的数据。
◆网络设置为封闭系统。为了避免网络被NetStumbler之类的工具发现,应把网络设置为封闭系统。封闭系统是对SSID标为“any”的客户端不进行响应,并且关闭网络身份识别的广播功能的系统。它能够禁止非授权访问,但不能完全防止被无线局域网嗅探技术。
◆采用可靠的协议进行加密。如果用户的无线网络是用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像电子邮件连接的SSL方式。它是一个介于HTTP协议与TCP协议之间的可选层,SSL是在TCP之上建立了一个加密通道,对通过这一层的数据进行加密,从而达到保密的效果。
使用安全Shell而不是Telnet也是必不可少的。SSH是一个在应用程序中提供安全通信的协议。连接是通过使用一种来自RSA的算法建立的。在授权完成后,接下来的通信数据是用IDEA技术来加密的。
SSH后来发展成为F-SSH,提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP网络通信提供了通用的最强的加密。目前,还没有人突破过这种加密方法。无线局域网嗅探技术到的信息自然将不再有任何价值。此外,使用安全拷贝而不是用文件传输协议也可以加强数据的安全性。
一次性口令技术。通常的计算机口令是静态的,极易被网上嗅探窃取。采用S/key一次性口令技术或其它一次性口令技术,能使 账号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输)。
当用户连接时会获得一个“质询”信息,用户将这个信息和口令经过某个算法运算,产生一个正确的“响应”信息(如果通信双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的“质询/响应信息”也不会出现两次。
无线局域网嗅探技术实现起来比较简单,特别是借助良好的开发环境,可以通过编程轻松实现预期目的,但防范嗅探却相当困难。目前还没有一个切实可行、一劳永逸的方法。在尽量实现上面提到的安全措施外,还应注重不断提高网管人员的安全意识,做到多注意、勤检查。
篇6:端口截听实现端口隐藏嗅探与攻击
在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
saddr.sin_family=AF_INET;
saddr.sin_addr.s_addr=htonl(INADDR_ANY);
bind(s,(SOCKADDR*)
篇7:嗅探原理与反嗅探技术详解WEB安全
一.嗅探器的基础知识
1.1 什么是嗅探器?
嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的 设备它可以用来 计算机在网络上所产生的众多的信息,简单一点解释:一部电话的 装置, 可以用来 双方通话的内容,而计算机网络嗅探器则可以 计算机程序在网络上发送和接收到的数据。
可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络 程序必须也使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出那个协议对应于这个数据片断,只有这样才能够进行正确的解码。
计算机的嗅探器比起电话 器,有他独特的优势: 很多的计算机网络采用的是“共享媒体“。 也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在任何连接着的网络上直接 到你同一掩码范围内的计算机网络数据。我们称这种 方式为“基于混杂模式的嗅探”(promiscuous mode) 。 尽管如此,这种“共享” 的技术发展的很快,慢慢转向“交换” 技术,这种技术会长期内会继续使用下去, 它可以实现有目的选择的收发数据。
1.2嗅探器是如何工作的
1.2.1如何 网络上的信息
刚才说了,以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。
正是因为这样的原因,以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。
嗅探程序正是利用了这个特点,它主动的关闭了这个嗅探器,也就是前面提到的设置网卡“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据了信息了。
1.2.2什么是以太网的MAC地址
MAC:Media Access Control.
由于大量的计算机在以太网内“共享“数据流,所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。这种问题不会发生在拨号用户身上,因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。可是,当你发送数据到以太网上的时候,你必须弄清楚,哪台计算机是你发送数据的对象。的确,现在有大量的双向通讯程序出现了,看上去,他们好像只会在两台机器内交换信息,可是你要明白,以太网的信息是共享的,其他用户,其实一样接收到了你发送的数据,只不过是被过滤器给忽略掉了。
MAC地址是由一组6个16进制数组成的,它存在于每一块以太网卡中。后面的章节将告诉你如何查看自己计算机的MAC地址。
如果你对网络结构不太熟悉,建议参考一下OSI 7-Layer Model,这将有助于你理解后面的东西以太网所使用的协议主要是TCP/IP,并且TCP/IP也用于其他的网络模型(比如拨号用户,他们并不是处于一个以太网环境中)。举例一下,很多的小团体计算机用户都为实现文件和打印共享,安装了“NetBEUI” 因为它不是基于TCP/IP协议的, 所以来自于网络的 一样无法得知他们的设备情况。
基于Raw协议,传输和接收都在以太网里起着支配作用。你不能直接发送一个Raw数据给以太网,你必须先做一些事情,让以太网能够理解你的意思。这有点类似于邮寄信件的方法,你不可能直接把一封信投递出去,你必须先装信封,写地址,贴邮票,网络上的传输也是这样的。
下面给出一个简单的图示,有助于你理解数据传送的原理:
_________
/.........
/..Internet.
+-----+ +----+.............+-----+
|UserA|-----|路由|.............|UserB|
+-----+ ^ +----+.............+-----+
| .........../
| ---------/
+------+
|嗅探器|
+------+
UserA IP 地址: 10.0.0.23
UserB IP 地址: 192.168.100.54
现在知道UserA要于UserB进行计算机通讯,UserA需要为10.0.0.23到192.168.100.54的通讯建立一个IP包
这个IP包在网络上传输,它必须能够穿透路由器。因此, UserA必须首先提交这个包给路由器。由每个路由器考查目地IP地址然后决定传送路径。
UserA 所知道的只是本地与路由的连接,和UserB的IP地址。UserA并不清楚网络的结构情况和路由走向。
UserA必须告诉路由预备发送的数据包的情况,以太网数据传输结构大概是这样的:
+--+--+--+--+--+--+
| 目标 MAC |
+--+--+--+--+--+--+
| 源 MAC |
+--+--+--+--+--+--+
|08 00|
+--+--+-----------+
| |
. .
. IP 包 .
. .
| |
+--+--+--+--+-----+
| CRC校验 |
+--+--+--+--+
理解一下这个结构,UserA的计算机建立了一个包假设它由100个字节的长度(我们假设一下,20 个字节是IP信息,20个字节是TCP信息,还有60个字节为传送的数据)。现在把这个包发给以太网,放14个字节在目地MAC地址之前,源MAC地址,还要置一个0x0800的标记,他指示出了TCP/IP栈后的数据结构。同时,也附加了4个字节用于做CRC校验 (CRC校验用来检查传输数据的正确性)。
现在发送数据到网络。
所有在网内的计算机通过适配器都能够发现这个数据片,其中也包括路由适配器,嗅探器和其他一些机器。通常,适配器都具有一块芯片用来做结构比较的,检查结构中的目地MAC地址和自己的MAC地址,如果不相同,则适配器会丢弃这个结构。这个操作会由硬件来完成,所以,对于计算机内的程序来说,整个过程时毫无察觉的。
当路由器的以太网适配器发现这个结构后,它会读取网络信息,并且去掉前14个字节,跟踪4个字节。查找0x8000标记,然后对这个结构进行处理(它将根据网络状况推测出下一个最快路由节点,从而最快传送数据到预定的目标地址)。
设想,只有路由机器能够检查这个结构,并且所有其他的机器都忽略这个 结构,则嗅探器无论如何也无法检测到这个结构的。
1.3.1 MAC地址的格式是什么?
以太网卡的MAC地址是一组48比特的数字,这48比特分为两个部分组成,前面的24比特用于表示以太网卡的寄主,后面的24比特是一组序列号,是由寄主进行支派的。这样可以担保没有任何两块网卡的MAC地址是相同的(当然可以通过特殊的方法实现)。如果出现相同的地址,将发生问题,所有这一点是非常重要的。这24比特被称之为OUI(Organizationally Unique Identifier)。
可是,OUI的真实长度只有22比特,还有两个比特用于其他:一个比特用来校验是否是广播或者多播地址,另一个比特用来分配本地执行地址(一些网络允许管理员针对具体情况再分配MAC地址)。
举个例子,你的MAC地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为00000011。 可以看到,最后两个比特都被置为真值。他指定了一个多播模式,向所有的计算机进行广播,使用了“NetBEUI”协议(一般的,在Windows计算机的网络中,文件共享传输等是不使用TCP/IP协议的)。.
1.3.2 我如何得到自己计算机的MAC地址?
Win9x
Win9x自带的这个程序将告诉你答案:“winipcfg.exe”
WinNT
在命令行的状态下运行这个命令:”ipconfig /all“
它会显示出你的MAC网卡地址,下面是一个例子:
Windows IP Configuration
Host Name . . . . . . . . . . . . : bigball
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Legend/D-Link DFE-530TX PCI Fast Eth
ernet Adapter (Rev B)
Physical Address. . . . . . . . . : 00-50-BA-25-5D-E8
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.10.254
Subnet Mask . . . . . . . . . . . : 255.255.128.0
Default Gateway . . . . . . . . . : 192.168.10.3
Ethernet adapter SC1:
Description . . . . . . . . : DEC DC21140 PCI Fast Ethernet
Linux
运行“ifconfig”,
结果如下:
eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E
inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1137249 errors:0 dropped:0 overruns:0
TX packets:994976 errors:0 dropped:0 overruns:0
Interrupt:5 Base address:0x300
Solaris
用 “arp” 或者 “netstat -p” 命令
1.3.3我如何才能知道有那些计算机和我的MAC地址直接关联?
对于WinNT和Unix机器,可以直接使用“arp -a”查看。
1.3.4我能够改变我的MAC地址吗?
可以。简单的说一下:
第一种方法,你要做地址欺骗,因为MAC地址是数据包结构的一部分, 因此,当你向以太网发送一个数据包的时候,你可以覆盖源始的MAC信息。
第二种方法,很多网卡允许在一定的时间内修改内部的MAC地址。
第的三种方法, 你可以通过重新烧录EEPROM来实现MAC地址的修改。但是这种方法要求你必须有特定的硬件设备和适用的芯片才能修改,而且这种方法将永远的修改你的MAC地址。
二.反嗅探技术
2.1我如何才能检测网内是否存在有嗅探程序?
理论上,嗅探程序是不可能被检测出来的,因为嗅探程序是一种被动的接收程序,属于被动触发的,它只会收集数据包,而不发送出任何数据,尽管如此,嗅探程序有时候还是能够被检测出来的。
一个嗅探程序,不会发送任何数据,但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。举个例子,它能发出一个请求,始DNS根据IP地址进行反相序列查找。
下面一种简单的检测方法:
ping 方法
很多的嗅探器程序,如果你发送一个请求给哪台有嗅探程序的机器,它将作出应答
说明:
1. 怀疑IP地址为10.0.0.1的机器装有嗅探程序,它的MAC地址确定为00-40-05-A4-79-32.
2. 确保机器是在这个局域网中间。
3. 现在修改MAC地址为00-40-05-A4-79-33.
4. 现在用ping命令ping这个IP地址。
5. 没有任何人能够看到发送的数据包,因为每台计算机的MAC地址无法与这个数据包中的目地MAC不符,所以,这个包应该会被丢弃。
6. 如果你看到了应答,说明这个MAC包没有被丢弃,也就是说,很有可能有嗅探器存在。
现在,这种方法已经得到了广泛的推崇和宣扬,新一代的 们也学会了在他们的代码中加入虚拟的MAC地址过滤器很多的计算机操作系统(比如Windows)都支持MAC过滤器(很多过虑器只检查MAC的第一个字节,这样一来,MAC地址FF-00-00-00-00-00和FF-FF-FF-FF-FF-FF就没有区别了。(广播地址消息会被所有的计算机所接收)。这种技术通常会用在交换模型的以太网中。当交换机发现一个未知的MAC地址的时候,它会执行类似“flood”的操作,把这个包发送给每个节点。
2.2本机嗅探程序的检测
本机嗅探的程序检测方法比较简单,只要检查一下网卡是否处于混杂模式就可以了,在Linux下,这个比较容易实现,而在Windows平台上,并没有现成的函数可供我们实现这个功能,我们来用一点小技巧:
#include
#define MAX_PACK_LEN 65535
#define MAX_HOSTNAME_LAN 255
#pragma comment (lib , ”ws2_32.lib“)
int main
{
SOCKET SockRaw,Sock;
WSADATA wsaData;
int ret=0;
struct sockaddr_in sAddr,addr;
char RecvBuf[MAX_PACK_LEN];
char FAR name[MAX_HOSTNAME_LAN];
struct hostent FAR * pHostent;
char *Buf=(char *)malloc(128);
int settimeout=1000;//这里我们设置了一秒钟超时
printf(”UNSniffer for Win2k v1.0nPower by BigBallnHomePage:http://www.patching.net/liumynEmail:liumy@patching.netnOicq:9388920nnChecking your system ,wait a moment please...n“);
WSAStartup(MAKEWORD(2,2),&wsaData);
//建立一条RawSocket
SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);
再建立一条UDP
Sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP);
memset(&sAddr,0,sizeof(sAddr));
memset(&addr,0,sizeof(addr));
sAddr.sin_family=AF_INET;
sAddr.sin_port=htons(5257);
addr.sin_family=AF_INET;
addr.sin_port=htons(5258);
//把IP地址指向本机
addr.sin_addr.S_un.S_addr=inet_addr(”127.0.0.1“);
memset(RecvBuf,0, sizeof(RecvBuf));
pHostent=malloc(sizeof(struct hostent));
gethostname(name, MAX_HOSTNAME_LAN);
pHostent=gethostbyname(name);
//取得自己的IP地址
memcpy(&sAddr.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
free(pHostent);
//绑定一个本机的接收端口
bind(SockRaw, (struct sockaddr *)&sAddr, sizeof(sAddr));
//虚连接到本机的一个未打开的端口
connect(Sock,(struct sockaddr *)&addr,sizeof(addr));
Buf=”$%“>1234567890!@#$%^&*”;
//设置超时
setsockopt(SockRaw,SOL_SOCKET,SO_RCVTIMEO,(char *)&settimeout,sizeof(int));
//向虚连接端口发送一个数据包
send(Sock,Buf,strlen(Buf),0);
//使用SockRaw尝试接收这个数据包
ret=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0);
if(ret==SOCKET_ERROR || ret==0)
printf(“No found any sniffer in your system!n”);
else
{
//进行ChkSum
if(Buf==“$%”>1234567890!@#$%^&*“)
printf(”Warning!!! Found sniffer!!!n");
}
closesocket(Sock);
closesocket(SockRaw);
free(pHostent);
free(Buf);
WSACleanup();
return 0;
}
篇8:保护你的数据 堤防无线局域网嗅探技术
无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用,但由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题。
在网络上窃取数据就叫嗅探,它是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层,可以在不易被察觉的情况下将网络传输的全部数据记录下来,从而捕获账号和口令、专用的或机密的信息,甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。
WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性,运行监听程序的主机在 的过程中只是被动的接收网络中传输的信息,它不会跟其它的主机交换信息,也不修改在网络中传输的信息包,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。
尽管它没有对网络进行主动攻击和破坏的危害明显,但由它造成的损失也是不可估量的。只有通过分析网络嗅探的原理与本质,才能更有效地防患于未然,增强无线局域网的安全防护能力。
无线局域网嗅探技术原理
要理解网络嗅探的实质,首先要清楚数据在网络中封装、传输的过程。根据TCP/IP协议,数据包是经过层层封装后,再被发送的。假设客户机A、B和FTP服务器C通过接入点(AP)或其他无线连接设备连接,主机A通过使用一个FTP命令向主机C进行远程登录,进行文件下载。
那么首先在主机A上输入登录主机C的FTP口令,FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层包裹,最后送到了物理层,再通过无线的方式播发出去。
主机C接收到数据帧,并在比较之后发现是发给自己的,接下来它就对此数据帧进行分析处理。这时主机B也同样接收到主机A播发的数据帧,随后就检查在数据帧中的地址是否和自己的地址相匹配,发现不匹配就把数据帧丢弃。这就是基于TCP/IP协议通信的一般过程。
无线局域网嗅探技术就是从通信中捕获和解析信息。假设主机B想知道登陆服务器C的FTP口令是什么,那么它要做的就是捕获主机A播发的数据帧,对数据帧进行解析,依次剥离出以太帧头、IP包头、TCP包头等,然后对报头部分和数据部分进行相应的分析处理,从而得到包含在数据帧中的有用信息。
在实现嗅探时,首先设置用于无线局域网嗅探技术的计算机,即在嗅探机上装好无线网卡,并把网卡设置为混杂模式,
在混杂模式下,网卡能够接收一切通过它的数据包,进而对数据包解析,实现数据 。其次实现循环抓取数据包,并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析,依次提取出以太帧头、IP包头、TCP包头等,然后对各个报头部分和数据部分进行相应的分析处理。
无线局域网嗅探技术相应防范策略
尽管嗅探隐蔽而不易被察觉,但并不是没有防范方法,下面的策略都能够防范无线局域网嗅探技术。
◆加强网络访问控制。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,通过强大的网络访问控制可以减少无线网络配置的风险。同时配置勘测工具也可以测量和增强AP覆盖范围的安全性。虽然确知信号覆盖范围可以为WLAN安全提供一些有利条件,但这并不能成为一种完全的网络安全解决方案。攻击者使用高性能天线仍有可能在无线网络上嗅探到传输的数据。
◆网络设置为封闭系统。为了避免网络被NetStumbler之类的工具发现,应把网络设置为封闭系统。封闭系统是对SSID标为“any”的客户端不进行响应,并且关闭网络身份识别的广播功能的系统。它能够禁止非授权访问,但不能完全防范无线局域网嗅探技术。
◆采用可靠的协议进行加密。如果用户的无线网络是用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像电子邮件连接的SSL方式。它是一个介于HTTP协议与TCP协议之间的可选层,SSL是在TCP之上建立了一个加密通道,对通过这一层的数据进行加密,从而达到保密的效果。
使用安全Shell而不是Telnet也是必不可少的。SSH是一个在应用程序中提供安全通信的协议。连接是通过使用一种来自RSA的算法建立的。在授权完成后,接下来的通信数据是用IDEA技术来加密的。
SSH后来发展成为F-SSH,提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP网络通信提供了通用的最强的加密。目前,还没有人突破过这种加密方法。无线局域网嗅探技术到的信息自然将不再有任何价值。此外,使用安全拷贝而不是用文件传输协议也可以加强数据的安全性。
一次性口令技术。通常的计算机口令是静态的,极易被网上嗅探窃取。采用S/key一次性口令技术或其它一次性口令技术,能使 账号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输)。
当用户连接时会获得一个“质询”信息,用户将这个信息和口令经过某个算法运算,产生一个正确的“响应”信息(如果通信双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的“质询/响应信息”也不会出现两次。
无线局域网嗅探技术实现起来比较简单,特别是借助良好的开发环境,可以通过编程轻松实现预期目的,但防范嗅探却相当困难。目前还没有一个切实可行、一劳永逸的方法。在尽量实现上面提到的安全措施外,还应注重不断提高网管人员的安全意识,做到多注意、勤检查。
文档为doc格式