典型黑客攻击之网络监听攻防可编辑.doc

典型黑客攻击之网络监听攻防 第11讲 典型黑客攻击之 三 网络监听攻防 111 网络监听概述 112 网络监听原理 113 网络监听攻防 111 网络监听概述 随着计算机技术的发展网络已日益成为生活中不可或缺的工具但伴之而来的非法入侵也一直威胁着计算机网络系统的安全由于局域网中采用广播方式因此在某个广播域中可以监听到所有的信息包而黑客通过对信息包进行分析就能获取局域网上传输的一些重要信息事实上很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段原因是想用这种方法获取其想要的密码等信息但另一方面我们对黑客入侵活动和其它网络犯罪进行侦查取证时也可以使用网络监听技术来获取必要的信息因此了解以太网监听技术的原理实现方法和防范措施就显得尤为重要 所谓的网络监听是指主机网络进程接受到IP数据包后察看其的目标端口是不是自己的端口号如果是的话就接受该数据包进行处理进行网络通讯的主机既要发送数据也要接受数据所以就要开启相应的端口以接受数据一个网络上的主机有可能开启多个网络进程如即浏览网页又上也就是监听了多个端口 协议分析攻击 协议分析器通过捕获网络上的数据包来获取网络上的有关信息以监视网络的运行从而发现网络中出现的问题 网络监听是黑客们常用的一种方法当成功地登录进一台网络上的主机并取得了这台主机的超级用户的权限之后往往要扩大战果尝试登录或者夺取网络中其他主机的控制友 网络监听则是一种最简单而且最有效的方法它常常能轻易地获得用其他方法很难获得的信息 网络监听可以在网上的任何一个位置实施如局域网中的一台主机网关上或远程网的调制解调器之间等 但在网络中监听效果最好的地方是在网关路由器防火墙一类的设备处通常由网络管理员来操作 对于一个施行网络攻击的人来说能攻破网关路由器防火墙的情况极为少见在这里完全可以由安全管理员安装一些设备对网络进行监控或者使用一些专门的设备运行专门的监听软件并防止任何非法访关 然而潜入一台不引人注意的计算机中悄悄地运行一个监听程序一个黑客是完全可以做到的也是大多数黑客的做法 协议分析器的功能 捕获数据包 监视某个网络实体捕获所有流经该实体的数据高端协议分析器还可以制定捕获的计划和触发条件 数据包统计 对捕获到的数据包进行统计和分析根据时间协议类型和错误率等进行分析可打印出各种直观的图表和报表 过滤数据 通过过滤有选择地捕获数据包或对所捕获的数据有选择地加以显示以避免捕获大量数据包造成系统资源的太多消耗 数据包解码 从捕获的01比特流表示的数据包中识别出封装的头部信息净负荷并且要能适合多种协议的数据包解码 读取其他协议分析器的数据包格式 利用其他协议分析器获得的数据提高工作效率扩大工作能力 112 网络监听原理 被监听的网络通常包括以下几种 以太网当主机工作在监听模式下无论数据包中的目标物理地址是什么主机都将接收 FDDIToken-ring数据包沿环传送高的传输率使监听变得困难 搭线监听可以被一些与电话公司协作的人或有机会在物理上访问到线路的人利用电话线监听通过有线电视信道传送IP被监听的可能性高会被一些可以物理上访问到TV电缆的人截获 微波无线电波属广播型传输媒介任何人都可利用接收器截获信息 以太网中可以监听的原因 网卡的工作模式 广播模式该模式下的网卡能够接收网络中的广播信息 组播模式设置在该模式下的网卡能够接收组播数据 直接模式只有目的网卡才能接收该数据 混杂模式在这种模式下的网卡能够接收一切通过它的数据而无论该数据是否是传给它的 前三种是默认模式正常情况下一个网络接口应该只响应以下两种数据帧 与自己硬件地址相匹配的数据帧 发向所有机器的广播数据帧 以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机在包头中包含着应该接收数据包的主机的正确地址只有与数据包中目标地址一致的那台主机才能接收信包 但是当主机工在监听模式下无论数据包中的目标物理地址是什么主机都将接收 在协议的高层或用户看来当同一网络中的两台主机通信时源主机将写有目的主机IP地址的数据包发向网关 但是这种数据包并不能在协议栈的高层直接发送出去要发送的数据包必须从TCPIP协议的IP层交给网络接口即数据链路层 但是网络接口不能识别IP地址在网络接口带有IP地址的数据包又被封装以太帧的帧头在帧头中包含了网络接口能识别源主机和目的主机的物理地址物理地址与IP地址对应一个IP地址对应一个物理地址 发向局域网之外的帧中携带的是网关的物理地址由网关决定向何处发送对于作为网关的主机由于它连接了多个网络因此它同时具有多个IP地址在每个网络中它都有一个 在以太网中填写了物理地址的帧从网络接口即网卡中发送出去传送到物理线路上 在Internet