chapter2黑客常用的系统攻击方法网络监听.pptxVIP

攻击演练：口令攻击通过猜测或获取口令文件等方式获得系统认证口令从而进入系统危险口令类型：用户名用户名变形生日常用英文单词5位以下长度的口令【课堂实战】口令破解smbcrack2入侵系统psexec

目标系统的探测方法目的：了解目标主机的信息：IP地址、开放的端口和服务程序等，从而获得系统有用的信息，发现网络系统的漏洞。常用方法：网络探测【实验】whois（web网页形式；工具软件形式——如Smartwhois查询工具）扫描器工具

网络监听技术

Sniffer原理Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。

什么是Sniffer?网络通信监视软件网络故障诊断分析工具网络性能优化、管理系统它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。

Sniffer的主要作用快速解决网络故障自动的问题识别、分析与诊断，可以节省故障诊断的时间。最优化投资利用性能降低的精确诊断，可以避免草率的资金投入。检验新应用/技术的推广分析新应用或技术对性能的影响，提供改进的建议。

网卡的工作模式广播方式：能够接收网络中的广播信息。组播方式：能够接收组播数据。直接方式：只有目的网卡才能接收该数据。混杂模式（promiscuous）：能够接收到一切通过它的数据。

HUB工作原理

HUB工作原理

交换环境下的SNIFF

交换环境下的SNIFF

Username:herma009crPassword:hiHKK234cr以太网（HUB）FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009crPassword:hiHKK234cr

网络监听原理一个sniffer需要作的：把网卡置于混杂模式。捕获数据包。分析数据包

ARPspoofUsername:herma009crPassword:hiHKK234crswitchFTP普通用户AIP:MAC:20-53-52-43-00-02服务器CIP:MAC:20-53-52-43-00-01Switch的MAC地址表：IP:（C的IP）MAC:20-53-52-43-00-03（B的MAC地址）router嗅探者B

常用的SNIFF（1）windows环境下：图形界面的SNIFFnetxraysnifferpro（2）UNUX环境下：UNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit，snoop,tcpdump,dsniffEttercap(交换环境下)

常用的SNIFF（1）SnifferPro（2）WireShark（06年夏天前称为Ethereal）（3）Netmonitor（4）EffTechHTTPSniffer（5）Iris

课堂演练【例1】嗅探FTP过程【例2】嗅探HTTP登录邮箱的过程【例3】嗅探POP邮箱密码的过程

如何防止SNIFF进行合理的网络分段。用SSH(Secure??Shell)/SSL(SecureSocketLayer)建立加密连接，保证数据传输安全。Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。防止内部攻击。AntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）。

WireShark

Capture----captureoptions

Capture捕获Captureoptions捕获选项Interface接口Capturepacketsinpromiscuousmode在混杂模式下捕获分组LimiteachpackettoNbytes将每个分组限制在N个字节内Filter过滤器可以指定捕获目标的IP地址，协议类型等

Capturefile捕获文件指定将捕获的文件放到指定的位置Displayoptions显示选项StopCapture捕获限制Nameresolution名字解析启用MAC地址转换MAC——厂商的名称启用网络地址转换IP——主机名启用传输名字解析，熟知端口——相应协议

列表框协议框原始框

第一次握手

第二次握手

第三次握手

综合演练使用WireShark分析TCP/IP建立连接的三次握手过程的数据包使用WireShark分析nmap各种扫描方式的数据包

选中3号分组，在协议