火龙果第五章网络攻击步骤和常用工具创新.pptVIP

一次针对Windows 2000的入侵过程(六) 6. 清除痕迹 我们留下了痕迹了吗 用event viewer看一看 没有成功 看看它的日志文件 无安全日志记录 监听软件 通过集线器进行监听：被动监听 典型工具 Snort和Sniffit 通过交换机进行监听：主动监听 攻击者发明了很多工具，这些工具向交换型LAN发送数据，以达到截获原本不会发送到安装了嗅探器的机器的流量的目的。 Dsniff 由Dug Song编写，它是个工具集，可在LAN中以多种灵活的方式截取信息。 功能： 分析大量应用程序的数据包 能分析解释众多的协议类型。基本上每个嗅探器都能截获原始比特位，然而光这些原始比特位是没用的，除非攻击者能精确的分析并解释应用程序所规定的各个域的信息。例如，除非你能将FTP会话的用户ID、密码、单个命令和文本本身分离开来，否则这些原始比特位一点用都没有用。Dsniff能自动的辨认并解释大量的应用层协议（比如FTP，telnet,NNTP,SNMP,LDAP等），这对攻击者和安全人员来说是非常有用的。 用洪泛对付交换机 向LAN上发送大量的随机MAC地址以造成洪泛。随着网络上明显被使用的MAC地址的增多，交换机忠实的将其上每一链路所使用的MAC地址保存起来。最后，交换机内存耗尽，里面填充的都是假的MAC地址。由于无法再读到流量的地 址，无法转发流量，因而会