6.殺手型。此種黑客以監(jiān)控方式將他人網址內由國外傳來的資料迅速清除,使得原
使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網絡內,使其網絡無法正 人內境入A用,全限、
運行。
S 2.6 Sniffer 間生個陽面目,限楽天
網絡中聽的目的和我們目常生活中的一樣;就是在你的通訊線路上設置一個叫做sr
e(探器),它既可以是硬件,也可以是軟件,用來接收在網絡上傳輸的信息。 Sniffe對網
的危害是不言而喻的。由于網絡中進行傳輸的信息大多是明文,包括一般的郵件、口令等,過
樣計算機系統(tǒng)的安全就可想而知了。讓我們首先來大致了解一下嗅探器。
1. Sniffer簡介。網絡可以是運行在各種協(xié)議之下的,包括 Ethernet、 TCPAIP、ZPX等
(也可以是其中幾種協(xié)議的聯合)。放置 Sniffer的目的是使網絡接口處于廣播狀態(tài)( Promise
ous Mode),從而可以截獲網絡上的內容。可容內害團,令的大棄容代
以太網( Ethernet)是由Xeox的 Palo Aito研究中心(有時也稱為PARC)發(fā)明的。以太網
也是局域網中最為常見的網絡協(xié)議。下面簡介一下信息在以太網上的傳輸形式:一個消息 要發(fā)送的時候,每一個網絡節(jié)點或工作站都是一個接口,一個請求被發(fā)往所有的接口,尋找真
正的接收者。這個請求是以普通的廣播形式發(fā)送的。網絡上的機器都“聽”到了那些不準備
接收這個消息的機器雖然聽到了,但是忽略了。這個請求在沒有工作站回答時,就會自動”死 亡”。那個要接收消息的工作站,把自己的硬件地址發(fā)送出去。這時,信息從發(fā)送的工作站被
送到電纜上(用包的形式)。向接收工作站發(fā)送,你可以想像在這種情況(自接收者明確之后開
始)其它的工作站都要忽略在發(fā)送者和接收者之間傳遞的信息。但是,它們并不是必須忽略這
任何在網上傳輸的信息都是可以"“聽”到的。意畫速,能用用的網內 些數據,如果它們不忽略的話;它們是可以聽到的。換盲之,對于這個網段上所有的接口來說
、廣播是指網絡上所有的工作站都在傾聽所有傳輸的信息,而不僅僅是它自己的信息狀態(tài)。
換一句話說,非廣播狀態(tài)是指工作站僅僅傾聽那些直接指向它自己的地址信息的狀態(tài)。在廣
播狀態(tài)中,工作站傾聽所有的內容,而不管這些內容是送到哪一個地址去的。 Sniffer就是這樣
的硬件或軟件,能夠“聽”到(而不是忽略)在網上傳輸的所有信息。在這種意義上,每一個機
器,每一個路由器都是一個 Sniffer(或者至少可以說它們可以成為一個 Sniffer)這些信息就
被儲存在介質上,以備日后檢查時用。要使你的機器成為一個 Sniffer、你或者需要一個特殊的
軟件( Ethernet卡的廣播驅動程序)或者需要一種絡軟件使你的網絡處于廣播模式。 Sniffer
bug功能,或者就是一個真正的 Sniffer 可以是(而且通常是)軟件和硬件的聯合體,軟件可以是普通的網絡分析器帶有比較強的De
是,一些有戰(zhàn)略意義的位置可能今入侵者比較滿意。其中一個地方就是任何與接收口令的 Sniffer必須是位于準備進行 Sniffer工作的網絡上的,它可以放在網絡段中的任何地方。
與 Internet相聯接的話,入者就可能想要截獲你的網絡與其它網絡之間的身份驗證過程。機器成與其它網絡相鄰的地方。尤其是日標為網關或者數據往來必經之地時,如果你的網絡
2.str程序?最初,sife是被設計來診斷網絡的聯接情況的(和任何一個
2網安企底與意
還有許多入侵者將為自己開的后門設在一個非常高的端口上,這些不常用的端口,常常被
掃描程序忽略。入侵者通過這些端口可以任意使用系統(tǒng)的資源,也為他人非法訪問這臺主機
開了方便之門。在國內,許多不能直接出國的主機上的用戶總愛將一些Poxy之類的程序,偷
測到這類活動,其中之一便是使用端口掃描程序。地安裝在一些方便出國的主機上,將大筆的流量賬單轉嫁到他人身上。有許多方法可以檢
2.7、2各種端口擔描
接,如果可以建立連接,則說明該主機在那個端口監(jiān)聽。當然,這種端口掃描程序不能進一步 通常說來,最簡單的端口掃描程序僅僅是檢査一下目標主機有哪些端口可以建立TCP連
確定端口提供什么樣的服務,也不能確定該服務是否有眾所周知的那些缺陷。要想知道端口上具體是什么服務,則必須用相應的協(xié)議來驗證。因為一個服務進程總是
為了完成某種具體的工作,比如說,文件傳輸服務有文件傳輸的一套協(xié)議,只有按照這個協(xié)議 各戶提供正確的命令序列,才能完成正確的文件傳輸服務。遠程終端服務在一開始總是要
交換許多關于終端的信息,才能在用戶端實現正常的顯示。因此,應用層協(xié)議是各不相同的。
一個專門在網絡上搜尋代理的程序,總是試圖連接一臺主機的許多端口,如果能夠通過這許多
端口之一,調來某一個WWW站點的網頁,則可以認為在這個端口正在運行著一個代理程序。
機建立連接。而建立連接之后,便被目標主機記錄下來。另外,可以被防火墻之類的系統(tǒng)過濾 這種方法可以被目標主機檢測到,并被記錄下來。因為這種方法總是要主動去與目標主
掉。當防火墻檢査通過的IP包時,對于這種來自未知的源IP地址的包總是非常警惕的。因
此,人侵者為了有效地隱蔽自己,又能進行端口掃描,需要尋找更有效的方法。有許多利用
堂防火墻有很大的幫助。一些防火墻已提供這方面的過濾功能?,F在,讓我們先來溫習ー下 TCP1P協(xié)議的本身特征,實現隱身的技巧可供入侵者利用。了解這些知識對于管理員和配
IP數據包中的一些字段的含義吧。內 一在TCP數據包的報頭中有六個位,分別表示FIN、SYN、RST、PSH、ACK和URG。的
其中,ACK被置1,表明確認號是有效的;如果這一位被清零,數據包中不包含一個確認,
確認號域將被忽略。
PSH提示數據的接收者將收到的數據直接交給應用程序,而不是將它放在緩沖區(qū),直到
緩沖區(qū)滿才交給應用程序。它常用一些實時的通信。個本は的D
RST用來重置一個連接;用于一臺主機崩遺或一些其它原因而引起的通信混亂。它也被
用來拒絕接收一個無效的TCP數據包,或者用來拒絕一個建立連接的企圖。當得到一個重置
了RST的TCP數據包,通常說明本機有一些問題。
SYN用來建立一個連接。在連接請求數據包中,SYN=1、ACK=0指明確認域沒有使
用,對連接請求需要應答,所以,在應答的TCP數據包中,SYN=1、ACK=1,SYN通常用來指
明連接請求和連接請求被接收,而用ACK來區(qū)分這兩種情況
FIN用來釋放一個連接。它指出發(fā)送者已經沒有數據要發(fā)送。然而,當關閉一個連接之
后,一個進程還可以繼續(xù)接收數據。SUN和FIN的TCP數據包都有順序號。因此,可保證數
據按照正確的順序被處理。網站設計
本文地址:http://blackside-inc.com//article/3741.html
