黑　客　技　术——协议分析攻击.pptVIP

黑　客　技　术 　　　 ——协议分析攻击 协议分析攻击 协议分析器通过捕获网络上的数据包来获取网络上的有关信息，以监视网络的运行，从而发现网络中出现的问题。 网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。 网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。 但在网络中，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。 对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。 然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的，也是大多数黑客的做法。 协议分析器的功能 捕获数据包： 监视某个网络实体，捕获所有流经该实体的数据。高端协议分析器还可以制定捕获的计划和触发条件。 数据包统计： 对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，可打印出各种直观的图表和报表。 过滤数据 通过过滤，有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗。 数据包解码 从捕获的0/1比特流表示的数据包中识别出封装的头部信息、净负荷，并且要能适合多种协议的数据包解码。 读取其他协议分析器的数据包格式 利用其他协议分析器获得的数据，提高工作效率，扩大工作能力。 被监听的网络通常包括以下几种： 以太网：当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 FDDI、Token-ring：数据包沿环传送，高的传输率使监听变得困难。 搭线监听：可以被一些与电话公司协作的人或有机会在物理上访问到线路的人利用电话线监听。通过有线电视信道传送IP被监听的可能性高，会被一些可以物理上访问到TV电缆的人截获。 微波、无线电波：属广播型传输媒介，任何人都可利用接收器截获信息。 以太网中可以监听的原因 网卡的工作模式： 广播模式：该模式下的网卡能够接收网络中的广播信息。 组播模式：设置在该模式下的网卡能够接收组播数据。 直接模式：只有目的网卡才能接收该数据。 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而无论该数据是否是传给它的。 前三种是默认模式，正常情况下，一个网络接口应该只响应以下两种数据帧： 与自己硬件地址相匹配的数据帧 发向所有机器的广播数据帧 以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收信包。 但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。 但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。 但是，网络接口不能识别IP地址。在网络接口，带有IP地址的数据包又被封装以太帧的帧头。在帧头中，包含了网络接口能识别源主机和目的主机的物理地址。物理地址与IP地址对应，一个IP地址对应一个物理地址。 发向局域网之外的帧中携带的是网关的物理地址，由网关决定向何处发送。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。 在以太网中，填写了物理地址的帧从网络接口（即网卡）中发送出去，传送到物理线路上。 在Internet上，有许多这样的局域网，几台甚至十几台主机通过一条电缆或一个集线器连在一起。 如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能到达线路上每一台主机。 当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。 数字信号到达一台主机的网络接口时，在正常情况下，对于每一个到达网络接口的数据帧，都要进行检查： 如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，即IP层软件。否则，就将这个帧丢弃。 然而，当主机工作在混杂模式下，则所有的数据帧都将被交给上层协议软件处理。 可见，协议分析器工作在网络环境中的底层，它会“嗅”到所有在网络上传输的数据。 由于在一个以太网中，账号和口令都是以明文形式传输的，因此一旦入侵者获取了其中一