典型黑客攻击之网络监听攻防.ppt

第11讲 典型黑客攻击之(三)网络监听攻防 11.1 网络监听概述 11.2 网络监听原理 11.3 网络监听攻防 11.1 网络监听概述 随着计算机技术的发展，网络已日益成为生活中不可或缺的工具，但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息。事实上，很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息。因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 所谓的网络监听，是指主机网络进程接受到IP数据包后，察看其的目标端口是不是自己的端口号，如果是的话就接受该数据包进行处理。进行网络通讯的主机，既要发送数据，也要接受数据，所以就要开启相应的端口以接受数据。一个网络上的主机有可能开启多个网络进程（如即浏览网页又上QQ），也就是监听了多个端口。 协议分析攻击 协议分析器通过捕获网络上的数据包来获取网络上的有关信息，以监视网络的运行，从而发现网络中出现的问题。 网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。 网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。 但在网络中，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。 对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。 然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的，也是大多数黑客的做法。 协议分析器的功能 捕获数据包： 监视某个网络实体，捕获所有流经该实体的数据。高端协议分析器还可以制定捕获的计划和触发条件。 数据包统计： 对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，可打印出各种直观的图表和报表。 过滤数据 通过过滤，有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗。 数据包解码 从捕获的0/1比特流表示的数据包中识别出封装的头部信息、净负荷，并且要能适合多种协议的数据包解码。 读取其他协议分析器的数据包格式 利用其他协议分析器获得的数据，提高工作效率，扩大工作能力。 11.2 网络监听原理 被监听的网络通常包括以下几种： 以太网：当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 FDDI、Token-ring：数据包沿环传送，高的传输率使监听变得困难。 搭线监听：可以被一些与电话公司协作的人或有机会在物理上访问到线路的人利用电话线监听。通过有线电视信道传送IP被监听的可能性高，会被一些可以物理上访问到TV电缆的人截获。 微波、无线电波：属广播型传输媒介，任何人都可利用接收器截获信息。 以太网中可以监听的原因 网卡的工作模式： 广播模式：该模式下的网卡能够接收网络中的广播信息。 组播模式：设置在该模式下的网卡能够接收组播数据。 直接模式：只有目的网卡才能接收该数据。 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而无论该数据是否是传给它的。 前三种是默认模式，正常情况下，一个网络接口应该只响应以下两种数据帧： 与自己硬件地址相匹配的数据帧 发向所有机器的广播数据帧 以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收信包。 但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。 但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。 但是，网络接口不能识别IP地址。在网络接口，带有IP地址的数据包又被封装以太帧的帧头。在帧头中，包含了网络接口能识别源主机和目的主机的物理地址。物理地址与IP地址对应，一个IP地址对应一个物理地址。 发向局域网之外的帧中携带的是网