在網(wǎng)絡(luò)中,當(dāng)信息進(jìn)行傳播的時(shí)候����,可以利用工具,將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式�,便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到,從而進(jìn)行攻擊��。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施進(jìn)行�����。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽來截取用戶口令���。比如當(dāng)有人占領(lǐng)了一臺主機(jī)之后�����,那么他要再想將戰(zhàn)果擴(kuò)大到這個(gè)主機(jī)所在的整個(gè)局域網(wǎng)話�����,監(jiān)聽往往是他們選擇的捷徑���。很多時(shí)候我在各類安全論壇上看到一些初學(xué)的愛好者,在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡單的����。其實(shí)非也,進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情�����。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對路徑���,當(dāng)然了���,這個(gè)路徑的盡頭必須是有寫的權(quán)限了。在這個(gè)時(shí)候�����,運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽程序就會(huì)有大收效。不過卻是一件費(fèi)神的事情����,而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。6 F, {5 Y" J7 r/ b; s! A
( x, H. Z5 W1 h
█網(wǎng)絡(luò)監(jiān)聽的原理
9 w" A. C8 P: K) ^% Z7 U
* }' X) H) ~" [7 REthernet(以太網(wǎng)��,它是由施樂公司發(fā)明的一種比較流行的局域網(wǎng)技術(shù)��,它包含一條所有計(jì)算機(jī)都連接到其上的一條電纜�����,每臺計(jì)算機(jī)需要一種叫接口板的硬件才能連接到以太網(wǎng))協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)�����。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址�,因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收到信息包,但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么���,主機(jī)都將可以接收到�。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機(jī)是通過一個(gè)電纜���、一個(gè)集線器連接在一起的����,在協(xié)議的高層或者用戶來看,當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時(shí)候��,源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)�����,或者當(dāng)網(wǎng)絡(luò)中的一臺主機(jī)同外界的主機(jī)通信時(shí)��,源主機(jī)將寫有目的的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)��。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去���,要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口,也就是所說的數(shù)據(jù)鏈路層�����。網(wǎng)絡(luò)接口不會(huì)識別IP地址的�。在網(wǎng)絡(luò)接口由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。在禎頭中����,有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址這是一個(gè)48位的地址��,這個(gè)48位的地址是與IP地址相對應(yīng)的��,換句話說就是一個(gè)IP地址也會(huì)對應(yīng)一個(gè)物理地址��。對于作為網(wǎng)關(guān)的主機(jī)�,由于它連接了多個(gè)網(wǎng)絡(luò)����,它也就同時(shí)具備有很多個(gè)IP地址,在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)����。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。: F _' x( s5 W" X7 A) Q& w
0 p/ t+ j a- c9 U! s. a# z9 \, p
Ethernet中填寫了物理地址的禎從網(wǎng)絡(luò)接口中�����,也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上����。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的,那么數(shù)字信號在電纜上傳輸信號就能夠到達(dá)線路上的每一臺主機(jī)�。再當(dāng)使用集線器的時(shí)候,發(fā)送出去的信號到達(dá)集線器�����,由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達(dá)連接在集線器上的每個(gè)主機(jī)了���。當(dāng)數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時(shí)�����,正常狀態(tài)下網(wǎng)絡(luò)接口對讀入數(shù)據(jù)禎進(jìn)行檢查���,如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會(huì)將數(shù)據(jù)禎交給IP層軟件�。對于每個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)禎都要進(jìn)行這個(gè)過程的。但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話����,所有的數(shù)據(jù)禎都將被交給上層協(xié)議軟件處理�。* }( L( I# h( B! a# z8 x# L) ?
\( s" c. C9 H! L% M$ |7 N當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候,那么要是有一臺主機(jī)處于監(jiān)聽模式�����,它還將可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)(使用了不同的掩碼��、IP地址和網(wǎng)關(guān))的主機(jī)的數(shù)據(jù)包,在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?font class="jammer">; h. i g5 P# L! z# N
2 b( f% q+ t. U+ H2 S
在UNIX系統(tǒng)上��,當(dāng)擁有超級權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式�,只需要向Interface(網(wǎng)絡(luò)接口)發(fā)送I/O控制命令,就可以使主機(jī)設(shè)置成監(jiān)聽模式了�����。而在Windows9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運(yùn)行監(jiān)聽工具就可以實(shí)現(xiàn)了�。8 n( Z# S* e% W& k
9 H& x! ^; b3 e7 n2 S' p在網(wǎng)絡(luò)監(jiān)聽時(shí),常常要保存大量的信息(也包含很多的垃圾信息)���,并將對收集的信息進(jìn)行大量的整理�����,這樣就會(huì)使正在監(jiān)聽的機(jī)器對其它用戶的請求響應(yīng)變的很慢��。同時(shí)監(jiān)聽程序在運(yùn)行的時(shí)候需要消耗大量的處理器時(shí)間���,如果在這個(gè)時(shí)候就詳細(xì)的分析包中的內(nèi)容,許多包就會(huì)來不及接收而被漏走�。所以監(jiān)聽程序很多時(shí)候就會(huì)將監(jiān)聽得到的包存放在文件中等待以后分析。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。因?yàn)榫W(wǎng)絡(luò)中的數(shù)據(jù)包都非常之復(fù)雜��。兩臺主機(jī)之間連續(xù)發(fā)送和接收數(shù)據(jù)包����,在監(jiān)聽到的結(jié)果中必然會(huì)加一些別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽程序?qū)⑼籘CP會(huì)話的包整理到一起就相當(dāng)不容易了��,如果你還期望將用戶詳細(xì)信息整理出來就需要根據(jù)協(xié)議對包進(jìn)行大量的分析����。Internet上那么多的協(xié)議,運(yùn)行進(jìn)起的話這個(gè)監(jiān)聽程序?qū)?huì)十分的大哦����。7 g6 i& o! H' ` V! p4 D
6 I( X3 c T! y- j6 H" z; t5 D現(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計(jì)的,許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的����,通信的雙方充分信任的基礎(chǔ)。在通常的網(wǎng)絡(luò)環(huán)境之下�����,用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?����,因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件難點(diǎn)事情��,只要掌握有初步的TCP/IP協(xié)議知識就可以輕松的監(jiān)聽到你想要的信息的��。前些時(shí)間美籍華人China-babble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中����,但這個(gè)想法很快就被否定了。如果真是這樣的話我想網(wǎng)絡(luò)必將天下大亂了��。而事實(shí)上現(xiàn)在在廣域網(wǎng)里也可以監(jiān)聽和截獲到一些用戶信息�����。只是還不夠明顯而已����。在整個(gè)Internet中就更顯得微不足道了。- j0 S6 b# y6 x7 X$ @
2 A) v) v$ x" l2 K# M) A( u
下面是一些系統(tǒng)中的著名的監(jiān)聽程序���,你可以自己嘗試一下的��。
/ w% m! P( `1 @; v- K n" B1 }. p J2 P2 V& K# v+ p4 T
Windows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip
( u: ^6 B: L! B+ |) p* _6 o- W1 U* m
DEC Unix/Linux Tcpdump http://semxa.kstar.com/hacking/management.zip3 N$ g; y- n+ S2 W" F
) P N' M! Q$ O3 {: q8 l3 I
Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip
$ v) H4 d8 o4 \0 M: e
0 E! J Q: P4 Y9 H) P/ \1 ESunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip$ l- C2 D* v7 \
. X' u& E! E9 x. Z2 w
( B/ N% t2 ^$ H0 T8 o
* @9 }5 x4 c4 i, A
█檢測網(wǎng)絡(luò)監(jiān)聽的方法
5 u X1 r' M3 s8 F
7 C9 |6 q/ e8 N+ i s7 G; w網(wǎng)絡(luò)監(jiān)聽在上述中已經(jīng)說明了���。它是為了系統(tǒng)管理員管理網(wǎng)絡(luò)�����,監(jiān)視網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)流動(dòng)而設(shè)計(jì)的��。但是由于它有著截獲網(wǎng)絡(luò)數(shù)據(jù)的功能所以也是黑客所慣用的伎倆之一���。
8 [) _, s! h% D1 f# q9 v6 g% ]; N; `/ Q' v; C
一般檢測網(wǎng)絡(luò)監(jiān)聽的方法通過以下來進(jìn)行:
. t9 C& E) p) M' ^( P7 l9 ^5 i5 O: M2 X1 T9 w
?網(wǎng)絡(luò)監(jiān)聽說真的,是很難被發(fā)現(xiàn)的��。當(dāng)運(yùn)行監(jiān)聽程序的主機(jī)在進(jìn)聽的過程中只是被動(dòng)的接收在以太網(wǎng)中傳輸?shù)男畔?,它不?huì)跟其它的主機(jī)交換信息的,也不能修改在網(wǎng)絡(luò)中傳輸?shù)男畔?�。這就說明了網(wǎng)絡(luò)監(jiān)聽的檢測是比較麻煩的事情�����。9 E& e: \( }: x; t5 ?
( ^9 ` b; H7 X2 d% m: h一般情況下可以通過ps-ef或者ps-aux來檢測�����。但大多實(shí)施監(jiān)聽程序的人都會(huì)通過修改ps的命令來防止被ps-ef的�。修改ps只需要幾個(gè)shell把監(jiān)聽程序的名稱過濾掉就OK了。一能做到啟動(dòng)監(jiān)聽程序的人也絕對不是個(gè)菜的連這個(gè)都不懂的人了����,除非是他懶。
8 Q3 Y3 m3 r/ a; N" \& s# [$ m! p: V; B0 W3 T ?
上邊提到過�。當(dāng)運(yùn)行監(jiān)聽程序的時(shí)候主機(jī)響應(yīng)一般會(huì)受到影響變的會(huì)慢,所以也就有人提出來通過響應(yīng)的速率來判斷是否受到監(jiān)聽����。如果真是這樣判斷的話我想世界真的會(huì)大亂了,說不準(zhǔn)一個(gè)時(shí)間段內(nèi)會(huì)發(fā)現(xiàn)無數(shù)個(gè)監(jiān)聽程序在運(yùn)行呢���。呵呵���。; t% L& U9 u z/ b: Q
! @% Y- o4 M% w6 ? u/ U8 O( |) j; K如果說當(dāng)你懷疑網(wǎng)內(nèi)某太機(jī)器正在實(shí)施監(jiān)聽程序的話(怎么個(gè)懷疑?那要看你自己了)����,可以用正確的IP地址和錯(cuò)誤的物理地址去ping它,這樣正在運(yùn)行的監(jiān)聽程序就會(huì)做出響應(yīng)的�。這是因?yàn)檎5臋C(jī)器一般不接收錯(cuò)誤的物理地址的ping信息的。但正在進(jìn)聽的機(jī)器就可以接收����,要是它的IP stack不再次反向檢查的話就會(huì)響應(yīng)的����。不過這種方法對很多系統(tǒng)是沒效果的�,因?yàn)樗蕾囉谙到y(tǒng)的IP stack。5 D, q% R" t$ c+ k( r
* L8 u6 ^) y2 k/ A另一種就是向網(wǎng)上發(fā)大量不存在的物理地址的包��,而監(jiān)聽程序往往就會(huì)將這些包進(jìn)行處理��,這樣就會(huì)導(dǎo)致機(jī)器性能下降��,你可以用icmp echo delay來判斷和比較它��。還可以通過搜索網(wǎng)內(nèi)所有主機(jī)上運(yùn)行的程序��,但這樣做其的難度可想而知����,因?yàn)檫@樣不但是大的工作量,而且還不能完全同時(shí)檢查所有主機(jī)上的進(jìn)程����。可是如果管理員這樣做也會(huì)有很大的必要性�,那就是可以確定是否有一個(gè)進(jìn)程是從管理員機(jī)器上啟動(dòng)的。! I( a- I9 w8 Z
5 m4 T4 V4 X2 q2 T2 ^' y+ G在Unix中可以通過ps –aun或ps –augx命令產(chǎn)生一個(gè)包括所有進(jìn)程的清單:進(jìn)程的屬主和這些進(jìn)程占用的處理器時(shí)間和內(nèi)存等��。這些以標(biāo)準(zhǔn)表的形式輸出在STDOUT上。如果某一個(gè)進(jìn)程正在運(yùn)行��,那么它將會(huì)列在這張清單之中���。但很多黑客在運(yùn)行監(jiān)聽程序的時(shí)候會(huì)毫不客氣的把ps或其它運(yùn)行中的程序修改成Trojan Horse程序,因?yàn)樗耆梢宰龅竭@一點(diǎn)的���。如果真是這樣那么上述辦法就不會(huì)有結(jié)果的�����。但這樣做在一定程度上還是有所作為的�����。在Unix和Windows NT上很容易就能得到當(dāng)前進(jìn)程的清單了�����。但DOS�、Windows9x好象很難做到哦��,具體是不是我沒測試過不得而知�。
+ x( V4 \8 E, o3 `8 }* ?8 J; \& E. n. k2 E% S0 |1 \7 H B6 D
還有一種方式�,這種方式要靠足夠的運(yùn)氣��。因?yàn)橥诳退玫谋O(jiān)聽程序大都是免費(fèi)在網(wǎng)上得到的��,他并非專業(yè)監(jiān)聽�。所以做為管理員用來搜索監(jiān)聽程序也可以檢測。使用Unix可以寫這么一個(gè)搜索的小工具了�����,不然的話要累死人的��。呵呵�����。8 t7 m9 ?- T1 _" W
0 C/ n; A( y" `' ]5 w r. r有個(gè)叫Ifstatus的運(yùn)行在Unix下的工具�,它可以識別出網(wǎng)絡(luò)接口是否正處于調(diào)試狀態(tài)下或者是在進(jìn)聽裝下。要是網(wǎng)絡(luò)接口運(yùn)行這樣的模式之下��,那么很有可能正在受到監(jiān)聽程序的攻擊����。Ifstatus一般情況下不會(huì)產(chǎn)生任何輸出的,當(dāng)它檢測到網(wǎng)絡(luò)的接口處于監(jiān)聽模式下的時(shí)候才回輸出��。管理員可以將系統(tǒng)的cron參數(shù)設(shè)置成定期運(yùn)行Ifstatus,如果有好的cron進(jìn)程的話可以將它產(chǎn)生的輸出用mail發(fā)送給正在執(zhí)行cron任務(wù)的人����,要實(shí)現(xiàn)可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數(shù)。這樣不行的話還可以用一個(gè)腳本程序在crontab下00****/usr/local/etc/run-ifstatus���。
# f5 ^+ T9 ]( B+ Q
4 o) N( o9 |: g1 r, @抵御監(jiān)聽其實(shí)要看哪個(gè)方面了����。一般情況下監(jiān)聽只是對用戶口令信息比較敏感一點(diǎn)(沒有無聊的黑客去監(jiān)聽兩臺機(jī)器間的聊天信息的那是個(gè)浪費(fèi)時(shí)間的事情)�����。所以對用戶信息和口令信息進(jìn)行加密是完全有必要的�。防止以明文傳輸而被監(jiān)聽到?,F(xiàn)代網(wǎng)絡(luò)中,SSH(一種在應(yīng)用環(huán)境中提供保密通信的協(xié)議)通信協(xié)議一直都被沿用�,SSH所使用的端口是22,它排除了在不安全信道上通信的信息�����,被監(jiān)聽的可能性使用到了RAS算法���,在授權(quán)過程結(jié)束后����,所有的傳輸都用IDEA技術(shù)加密。但SSH并不就是完全安全的���。至少現(xiàn)在我們可以這么大膽評論了�����。
. ?% P" ~- V( L7 B$ p6 B" T
7 r8 T$ v! I8 b: D, f; U/ S█著名的Sniffer監(jiān)聽工具
# t1 E1 O, F6 A6 f% L
- Q6 w- r3 I: J) PSniffer之所以著名�����,權(quán)因它在很多方面都做的很好���,它可以監(jiān)聽到(甚至是聽、看到)網(wǎng)上傳輸?shù)乃行畔?��。Sniffer可以是硬件也可以是軟件�����。主要用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)是可以運(yùn)行在各種協(xié)議之下的,包括以太網(wǎng)Ethernet���、TCP/IP����、ZPX等等���,也可以是集中協(xié)議的聯(lián)合體系���。
4 T* H4 }0 ]: [9 t* _& j2 d' w1 Z$ y0 G/ f
Sniffer是個(gè)非常之危險(xiǎn)的東西�,它可以截獲口令,可以截獲到本來是秘密的或者專用信道內(nèi)的信息���,截獲到信用卡號�,經(jīng)濟(jì)數(shù)據(jù)�����,E-mail等等�����。更加可以用來攻擊與己相臨的網(wǎng)絡(luò)。
- S2 ]0 `8 }4 i4 u8 h$ X" Q- t
) F3 h6 ]* ^; nSniffer可以使用在任何一種平臺之中��。而現(xiàn)在使用Sniffer也不可能別發(fā)現(xiàn)�����,這個(gè)足夠是對網(wǎng)絡(luò)安全的最嚴(yán)重的挑戰(zhàn)����。/ G: S1 Z, Q4 S# T2 k! p0 ]8 V
2 i2 _3 t, v7 W4 J" C) ]* X% f
在Sniffer中,還有“熱心人”編寫了它的Plugin�,稱為TOD殺手,可以將TCP的連接完全切斷���?���?傊甋niffer應(yīng)該引起人們的重視�,否則安全永遠(yuǎn)做不到最好。* Q5 o0 X6 s6 O
& }. x8 `/ t0 D0 e; r
如果你只是想用來研究的話可以在這里http://semxa.kstar.com/hacking/sniffer260.zip找到一個(gè)經(jīng)過我漢化的Sniffer程序工具��。
& a4 s# f, a0 [9 j
' q8 `# c4 u( L |
發(fā)表于 2011-1-13 17:08:55
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡