第5章网络攻击与防范-1.ppt

Reply from 6: bytes=32 time=641ms TTL=42 我们还可以利用Whois查询得到目标主机的IP地址分配、机构地址位置和接入服务商等重要信息。 Whois查询就是查询域名和IP地址的注册信息。国际域名由设在美国的Internet信息管理中心（InterNIC）和它设在世界各地的认证注册商管理，国内域名由中国互联网络信息中心（CNNIC）管理。 2.分析目标网络信息 使用专用的工具，如VisualRoute等。这些软件的主要功能包括：快速分析和辨别Internet连接的来源，标识某个IP地址的地理位置，目标网络Whois查询等。 3.分析目标网络路由 了解信息从一台计算机到达互联网另一端的另一台计算机传播路径是非常重要的，目前最常见的检测工具为Traceroute，它是集成在CyberKit软件包中。 5.4 网络监听 网络监听技术本来是提供给网络安全管理人员进行网络管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等，黑客也可以利用网络监听来截取主机口令等。 5.4.1 网络监听原理 以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有主机，在包头中包含有接收数据包的主机的正确地址，因为只有与数据包中目的地址一致的那台主机才能接收到信息包。 因此，不管数据包中的目标物理地址是什么，主机都将接收，这就是实现网络监听的基础。 如果主机工作在监听模式下，所有的数据包都将被交给上层协议软件处理。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么只要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机数据包，也就是在同一个物理信道上传输的所有信息都可以被接收到。 5.4.2 网络监听检测与防范 1．网络监听检测 （l）用正确的IP地址和错误的物理地址的ICMP数据包去 Ping它，这样运行监听程序的机器就会有响应。 （2）向怀疑有网络监听行为的网络发送大量不存在的物理地址包，由于监听程序要分析和处理大量的数据包，会占用大量的CPU资源，这将导致性能下降。正常系统的反应时间不会有什么变化。 （3）许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS系统上看到有没有明显增多的解析请求。 （4）向局域网内的主机发送非广播方式的ARP包，如果局域网内的某个主机响应了这个ARP请求，那么我们就可以判断它很可能就是处于网络监听模式了，这是目前相对而言比较好的监测模式。 （5）可以利用一些工具软件来发现网络监听，如AntiSniffer等软件。 2．防范网络监听 （1）从逻辑或物理上对网络分段。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 （2）以交换式集线器代替共享式集线器。交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。 （3）使用加密技术。 （4）运用VLAN。运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。 5.4.3 嗅探器Sniffer介绍 1．什么是Sniffer Sniffer中文翻译为嗅探器，它是利用计算机网络接口截获数据报文的一种工具。主要功能有：能够分析网络协议、定位网络故障；查找网络漏洞和检测网络性能；分析网络的流量；用来收集有用数据，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等。 黑客要想迅速获得他感兴趣的信息，最为有效的手段之一就是使用Sniffer程序。 嗅探器可分为软件、硬件两种。 2．Sniffer工作原理 以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址，一般情况下只有具有该地址的主机会接受这个数据包。如果使一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”（promiscuous）模式。 在一个实际的系统中，数据的收发是由网卡来完成的。 对于网卡来说一般有四种接收模式： （1）广播方式，该