网络安全技术及应用(第四章).PPTVIP

**4.3.2网络嗅探工具Winpcap提供了以下功能：(1)捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；(2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；(3)在网络上发送原始的数据报；(4)收集网络通信过程中的统计信息。**4.3.2网络嗅探工具SnifferSniffer原本是提供给管理员的一类管理工具，主要用途是进行数据包分析，通过网络监听软件，管理员可以观测分析实时经由的数据包，从而快速地进行网络故障定位。但是网络监听工具也是攻击者们常用的收集信息的工具。Sniffer网络监控主要包括：1)Monitor–Matrix（主机会话监控矩阵）2)Monitor–ProtocolDistribution(协议分布状态监控，**4.3.2网络嗅探工具3)Monitor–GlobalStatistics（全局统计数据查看，4)Capture–definefilter（过滤器的定制）NetXrayNetXRay是由CiscoNetworks公司开发的，用于监视网络状态，并为优化网络性能提供数据的软件。通过长时间的捕获，依据统计数值分析网络性能。网络中包的捕捉和解码，用于故障分析。**4.3.2网络嗅探工具4、TcpdumpTcpdump是一个非常经典的网络包监听分析工具，它最初是由美国加州大学伯克利分校劳伦斯伯克利国家实验室的网络研究小组开发，现在由“TheTcpdumpGroup”来更新和维护。Tcpdump(基于Libpcap)支持Solaris、HP-UX、Irix、BSD等多种操作系统平台。针对不同的平台，在具体安装时各有不同。**4.4缓冲区溢出技术4.4.1缓冲区溢出原理缓冲区是指内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置时，如果没有足够的空间，就会发生缓冲区溢出。**4.4.1缓冲区溢出原理下面是一段简单的C程序：voidSayHello(char*name){chartmpName[80];strcpy(tmpNname,name);printf(Hello%s\n,tmpName);}intmain(intargc,char**argv){if(argc!=2){printf(Usage:helloname.\n);return1;}SayHello(argv[1]);return0}**4.4.1缓冲区溢出原理上面的例子中，如果输入的字符串长度超过80，则会造成name超出分配内存区，发生错误。在C语言中类似的函数还有：sprintf()、gets()、scanf()等。黑客要利用缓冲区溢出这个漏洞攻击系统，通常要完成两个任务，一是在程序的地址空间里安排适当的代码，二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。**4.4.1缓冲区溢出原理进程在内存的空间分成三个区：一是代码区：存储程序的可执行代码和只读数据；二是数据区：又分为未初始化数据区(BSS)，存储静态分配的变量；初始化数据区，存储程序的初始化数据；三是堆栈区：其中堆用于存储程序运行过程中动态分配的数据块；栈用于存储函数调用所传递的参数、函数的返回地址、函数的局部变量等。**4.4.1缓冲区溢出原理每一次过程或函数调用，在堆栈中必须保存传递给函数的参数、函数返回后下一条指令的地址、函数中分配的局部变量、恢复前一个栈帧需要的数据(基地址寄存器的值)等数据。**4.4.1缓冲区溢出原理程序执行后，如果输入长度不超过80个字符的字符串，内存情况如图4-10(a)所示，如果输入的字符串长度超过80，由于C语言不检查字符串越界，字符串溢出给它分配的缓冲区，写到相邻的单元中去，把原来函数的返回地址改写了，致使函数无法正确返回。**4.4.2对缓冲区溢出漏洞攻击的分析1、代码放置的方法有两种在被攻击程序地址中间放置代码的方法：植入法和利用已存在的代码。1)植入法：攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里。攻击者在这个字符串中包含可以在这个被攻击的硬件平台上运行的指令序列。2)利用已存在代码：有时攻击者想要的代码已经在被攻击的程序中，攻击者所要做的只是对代码传递—些参数，然后使用程序跳转到选定的目标。例如，攻击代码要求执行exec(“/bin/sh”)，而在libc库中的代码执行exec(arg)，其中arg是