计算机安全Sniffer、黑客和网络管理.docVIP

《计算机安全》课程论文 Sniffer、黑客和网络管理 摘 要 Sniffer是一种强大的网络分析工具，它集成了很多可以有力解决网络问题的功能。Sniffer可以实时地列出流经多个网卡（包括Modem，ISDN，ADSL）的数据包，它还支持基于某些应用的数据包捕捉。通过它，你可以获得你所感兴趣的某个应用的所有网络流量。 Abstract A sniffer pro can be regarded as a sniffer software that represents the capabilities of the father, he is not lost to other pay-per-tools, he is by NAI Corporation may be the best one of the network protocol analysis software, support a variety of platforms performance. KEYWORDS: sniffer Cracker 一．Sniffer的应用 在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 sniffer 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，并且要求要以root用户登陆，运行成功，就能够监听到本以太网段上的数据流。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。大多数 ethernet sniffer程序在后台运行，将结果输出到硬盘存储上的某个记录文件中。 Internet是由众多的局域网所组成，这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的，帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式，物理上是广播的，同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时，网卡收到传输来的数据帧，网卡内的芯片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，如果认为是目的地址为本机地址的数据帧或是广播帧，则接收并在接收后产生中断信号通知CPU,否则就丢弃不管，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式，称之为混杂模式(Promiscuous Mode). Sniffer就是通过将网卡设置为混杂模式，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。 另外，Sniffer一个更重要的作用就是进行网络监控。Sniffer通过捕捉流经本主机的所有数据包，然后对这些捕捉的数据包进行上层分析，进而得出关于网络流量等信息，为网络管理员做出某些决策提供证据。一般用户管理员会在服务器上运行一个Sniffer，通过捕捉数据包，然后进行详尽分析，就可以得到一些信息，例如，哪些主机在和服务器网络通信，这些主机分别在服务器上做了哪些操作。得到这些信息后，系统管理员就可以做一些决策，使得本服务器更加安全。 一般来说，snifer可以截获的不仅仅是用户的ID和口令，它还可以截获敏感的经济数据(如信用卡号)、秘密的信息(E—mail)和专有信息。基于入侵者可利用的资源，一个Sniffer可能截获网络上所有的信息。从sniffer上可以得到所有的信息，只要你有足够的存储空间。近年来．sniffer技术出现了新的重要特征。传统的sniffer技术是被动地监听网络通信、用户名和口令。新的snifer技术出现了主动地控制通信数据的特点．把sniffer技术扩展到了一个新的领域。sniffer既可以作为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具。sniffer技术除了目前在传统的网络侦测管理外，也开始被应用在资讯保全的领域。可以这样说，snifer技术是一把双刃剑，如何更好地利用它，了解它的一些特性，这将为我们带来便利。 Sniffer）攻击原理 Sniffer既可以是硬件，也可以是软件，它用来接收在网络上传输的信息。网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等（也可以是其中几种