在網(wǎng)絡(luò)中�����,當(dāng)信息進(jìn)行傳播的時候����,可以利用工具�����,將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式�����,便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到,從而進(jìn)行攻擊����。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個位置模式下都可實施進(jìn)行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽來截取用戶口令�。比如當(dāng)有人占領(lǐng)了一臺主機(jī)之后,那么他要再想將戰(zhàn)果擴(kuò)大到這個主機(jī)所在的整個局域網(wǎng)話����,監(jiān)聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學(xué)的愛好者����,在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡單的。其實非也�����,進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情����。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑,當(dāng)然了,這個路徑的盡頭必須是有寫的權(quán)限了��。在這個時候����,運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽程序就會有大收效�����。不過卻是一件費(fèi)神的事情��,而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力����。
7 {0 Z: H; i0 ^9 @$ k& w8 _: T: M" z8 ^: T+ x
█網(wǎng)絡(luò)監(jiān)聽的原理9 s; v; _% m4 O$ ~, K1 ~+ [
4 g O2 o7 d2 x3 x- |! cEthernet(以太網(wǎng),它是由施樂公司發(fā)明的一種比較流行的局域網(wǎng)技術(shù)��,它包含一條所有計算機(jī)都連接到其上的一條電纜���,每臺計算機(jī)需要一種叫接口板的硬件才能連接到以太網(wǎng))協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)�。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址�����,因為只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收到信息包,但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么��,主機(jī)都將可以接收到���。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機(jī)是通過一個電纜��、一個集線器連接在一起的�,在協(xié)議的高層或者用戶來看�����,當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時候�����,源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)����,或者當(dāng)網(wǎng)絡(luò)中的一臺主機(jī)同外界的主機(jī)通信時,源主機(jī)將寫有目的的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)���。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去�����,要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口���,也就是所說的數(shù)據(jù)鏈路層�����。網(wǎng)絡(luò)接口不會識別IP地址的�。在網(wǎng)絡(luò)接口由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息���。在禎頭中,有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址這是一個48位的地址��,這個48位的地址是與IP地址相對應(yīng)的�,換句話說就是一個IP地址也會對應(yīng)一個物理地址。對于作為網(wǎng)關(guān)的主機(jī)�����,由于它連接了多個網(wǎng)絡(luò)�����,它也就同時具備有很多個IP地址���,在每個網(wǎng)絡(luò)中它都有一個����。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。
! g# i0 d4 [! X/ k2 V, K7 D" s; N
Ethernet中填寫了物理地址的禎從網(wǎng)絡(luò)接口中�����,也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上��。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的����,那么數(shù)字信號在電纜上傳輸信號就能夠到達(dá)線路上的每一臺主機(jī)。再當(dāng)使用集線器的時候�����,發(fā)送出去的信號到達(dá)集線器�,由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達(dá)連接在集線器上的每個主機(jī)了����。當(dāng)數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時,正常狀態(tài)下網(wǎng)絡(luò)接口對讀入數(shù)據(jù)禎進(jìn)行檢查���,如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址����,那么就會將數(shù)據(jù)禎交給IP層軟件。對于每個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)禎都要進(jìn)行這個過程的�����。但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話��,所有的數(shù)據(jù)禎都將被交給上層協(xié)議軟件處理���。
( V9 g3 r5 r: d( g: [* V m" x
* E; D7 G! ^# }- i. ~$ z當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)的時候�����,那么要是有一臺主機(jī)處于監(jiān)聽模式,它還將可以接收到發(fā)向與自己不在同一個子網(wǎng)(使用了不同的掩碼����、IP地址和網(wǎng)關(guān))的主機(jī)的數(shù)據(jù)包,在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?font class="jammer">7 o2 M4 Q1 r5 i* G* T6 w" T2 c0 j8 Q( B
! |2 B# ]; U! w! z' [在UNIX系統(tǒng)上����,當(dāng)擁有超級權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式�����,只需要向Interface(網(wǎng)絡(luò)接口)發(fā)送I/O控制命令�,就可以使主機(jī)設(shè)置成監(jiān)聽模式了���。而在Windows9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運(yùn)行監(jiān)聽工具就可以實現(xiàn)了��。6 f6 r( }) R0 W6 p7 X- X: i4 O
0 r9 I9 h8 z3 p8 n1 Y( g在網(wǎng)絡(luò)監(jiān)聽時�����,常常要保存大量的信息(也包含很多的垃圾信息)���,并將對收集的信息進(jìn)行大量的整理,這樣就會使正在監(jiān)聽的機(jī)器對其它用戶的請求響應(yīng)變的很慢����。同時監(jiān)聽程序在運(yùn)行的時候需要消耗大量的處理器時間,如果在這個時候就詳細(xì)的分析包中的內(nèi)容�,許多包就會來不及接收而被漏走。所以監(jiān)聽程序很多時候就會將監(jiān)聽得到的包存放在文件中等待以后分析�。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。因為網(wǎng)絡(luò)中的數(shù)據(jù)包都非常之復(fù)雜���。兩臺主機(jī)之間連續(xù)發(fā)送和接收數(shù)據(jù)包�����,在監(jiān)聽到的結(jié)果中必然會加一些別的主機(jī)交互的數(shù)據(jù)包��。監(jiān)聽程序?qū)⑼籘CP會話的包整理到一起就相當(dāng)不容易了�����,如果你還期望將用戶詳細(xì)信息整理出來就需要根據(jù)協(xié)議對包進(jìn)行大量的分析�。Internet上那么多的協(xié)議,運(yùn)行進(jìn)起的話這個監(jiān)聽程序?qū)值拇笈丁?font class="jammer">$ K' [5 R3 Y: B
% r4 c( _3 O- y2 ]4 f* u
現(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計的���,許多協(xié)議的實現(xiàn)都是基于一種非常友好的���,通信的雙方充分信任的基礎(chǔ)。在通常的網(wǎng)絡(luò)環(huán)境之下�,用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?���,因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件難點事情,只要掌握有初步的TCP/IP協(xié)議知識就可以輕松的監(jiān)聽到你想要的信息的��。前些時間美籍華人China-babble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中,但這個想法很快就被否定了���。如果真是這樣的話我想網(wǎng)絡(luò)必將天下大亂了�����。而事實上現(xiàn)在在廣域網(wǎng)里也可以監(jiān)聽和截獲到一些用戶信息����。只是還不夠明顯而已��。在整個Internet中就更顯得微不足道了��。
/ p1 D& {2 N( y% W, x
0 k6 ~) w/ L, m) A; L6 @下面是一些系統(tǒng)中的著名的監(jiān)聽程序�����,你可以自己嘗試一下的�。# t: B1 n) O5 I! ?: ]
7 Z f) S9 C# E8 h! N2 ]& l; zWindows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip
& O2 t4 C6 ^9 @6 T
; O7 k: R8 {! w) uDEC Unix/Linux Tcpdump http://semxa.kstar.com/hacking/management.zip
. x: ~' s) s- t9 a5 {$ Z1 S8 A, i/ ?+ w& B: W9 J
Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip
' `, X. y( @. I, l9 U
1 a) T# y* g7 y3 A4 KSunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip7 a+ s9 J! Q; i2 `" g8 F. C) b
8 S, D% F, J7 v& H# A: l+ d$ Q; R; i1 h0 ~" Z
/ ^4 t( E; E; J' {0 R$ K█檢測網(wǎng)絡(luò)監(jiān)聽的方法
/ H; Z' u, F: h1 {, @3 Q
: r, _. O3 X0 B9 {網(wǎng)絡(luò)監(jiān)聽在上述中已經(jīng)說明了。它是為了系統(tǒng)管理員管理網(wǎng)絡(luò)�,監(jiān)視網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)流動而設(shè)計的。但是由于它有著截獲網(wǎng)絡(luò)數(shù)據(jù)的功能所以也是黑客所慣用的伎倆之一���。
C1 Y4 K+ i8 R _: W- m1 B5 {6 @
一般檢測網(wǎng)絡(luò)監(jiān)聽的方法通過以下來進(jìn)行:) \2 r2 K$ E* a
Q4 g! ^/ d; `?網(wǎng)絡(luò)監(jiān)聽說真的�,是很難被發(fā)現(xiàn)的。當(dāng)運(yùn)行監(jiān)聽程序的主機(jī)在進(jìn)聽的過程中只是被動的接收在以太網(wǎng)中傳輸?shù)男畔?���,它不會跟其它的主機(jī)交換信息的,也不能修改在網(wǎng)絡(luò)中傳輸?shù)男畔?��。這就說明了網(wǎng)絡(luò)監(jiān)聽的檢測是比較麻煩的事情���。$ y# n5 g# z8 |" |
4 r8 a, W2 h/ J
一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監(jiān)聽程序的人都會通過修改ps的命令來防止被ps-ef的����。修改ps只需要幾個shell把監(jiān)聽程序的名稱過濾掉就OK了。一能做到啟動監(jiān)聽程序的人也絕對不是個菜的連這個都不懂的人了�����,除非是他懶���。
+ p9 O& J! C# r3 v4 ~, |9 L
/ C1 j# }' @- a9 Y( s上邊提到過��。當(dāng)運(yùn)行監(jiān)聽程序的時候主機(jī)響應(yīng)一般會受到影響變的會慢,所以也就有人提出來通過響應(yīng)的速率來判斷是否受到監(jiān)聽��。如果真是這樣判斷的話我想世界真的會大亂了,說不準(zhǔn)一個時間段內(nèi)會發(fā)現(xiàn)無數(shù)個監(jiān)聽程序在運(yùn)行呢���。呵呵���。; f, g" C: h* f, M4 Q3 N
2 N) ]. z; o2 r; P) N如果說當(dāng)你懷疑網(wǎng)內(nèi)某太機(jī)器正在實施監(jiān)聽程序的話(怎么個懷疑?那要看你自己了)�����,可以用正確的IP地址和錯誤的物理地址去ping它���,這樣正在運(yùn)行的監(jiān)聽程序就會做出響應(yīng)的���。這是因為正常的機(jī)器一般不接收錯誤的物理地址的ping信息的。但正在進(jìn)聽的機(jī)器就可以接收�,要是它的IP stack不再次反向檢查的話就會響應(yīng)的。不過這種方法對很多系統(tǒng)是沒效果的���,因為它依賴于系統(tǒng)的IP stack�����。: x7 k+ L, F5 P( A' C
, e' ~ x3 ?2 \4 Y9 p& Q$ v
另一種就是向網(wǎng)上發(fā)大量不存在的物理地址的包����,而監(jiān)聽程序往往就會將這些包進(jìn)行處理,這樣就會導(dǎo)致機(jī)器性能下降�����,你可以用icmp echo delay來判斷和比較它��。還可以通過搜索網(wǎng)內(nèi)所有主機(jī)上運(yùn)行的程序���,但這樣做其的難度可想而知���,因為這樣不但是大的工作量,而且還不能完全同時檢查所有主機(jī)上的進(jìn)程�。可是如果管理員這樣做也會有很大的必要性����,那就是可以確定是否有一個進(jìn)程是從管理員機(jī)器上啟動的。
7 N. H+ C6 l. \" X1 T3 w) P/ o! T5 Z# Y# J* r
在Unix中可以通過ps –aun或ps –augx命令產(chǎn)生一個包括所有進(jìn)程的清單:進(jìn)程的屬主和這些進(jìn)程占用的處理器時間和內(nèi)存等��。這些以標(biāo)準(zhǔn)表的形式輸出在STDOUT上�。如果某一個進(jìn)程正在運(yùn)行��,那么它將會列在這張清單之中���。但很多黑客在運(yùn)行監(jiān)聽程序的時候會毫不客氣的把ps或其它運(yùn)行中的程序修改成Trojan Horse程序����,因為他完全可以做到這一點的。如果真是這樣那么上述辦法就不會有結(jié)果的�����。但這樣做在一定程度上還是有所作為的���。在Unix和Windows NT上很容易就能得到當(dāng)前進(jìn)程的清單了����。但DOS��、Windows9x好象很難做到哦���,具體是不是我沒測試過不得而知�。' H6 U2 N" R# b: S, m/ m9 \# X `
2 K. \* a; j2 o- ?還有一種方式�,這種方式要靠足夠的運(yùn)氣。因為往往黑客所用的監(jiān)聽程序大都是免費(fèi)在網(wǎng)上得到的,他并非專業(yè)監(jiān)聽��。所以做為管理員用來搜索監(jiān)聽程序也可以檢測��。使用Unix可以寫這么一個搜索的小工具了�,不然的話要累死人的。呵呵�����。 H: D8 R$ G# z# O9 V& [- w
# r F; h1 t7 b# U& [
有個叫Ifstatus的運(yùn)行在Unix下的工具�����,它可以識別出網(wǎng)絡(luò)接口是否正處于調(diào)試狀態(tài)下或者是在進(jìn)聽裝下����。要是網(wǎng)絡(luò)接口運(yùn)行這樣的模式之下,那么很有可能正在受到監(jiān)聽程序的攻擊��。Ifstatus一般情況下不會產(chǎn)生任何輸出的�,當(dāng)它檢測到網(wǎng)絡(luò)的接口處于監(jiān)聽模式下的時候才回輸出。管理員可以將系統(tǒng)的cron參數(shù)設(shè)置成定期運(yùn)行Ifstatus�,如果有好的cron進(jìn)程的話可以將它產(chǎn)生的輸出用mail發(fā)送給正在執(zhí)行cron任務(wù)的人,要實現(xiàn)可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數(shù)�。這樣不行的話還可以用一個腳本程序在crontab下00****/usr/local/etc/run-ifstatus����。
. T% i9 T3 R+ o' |) J( r& X
9 `! q0 c% [6 F) \4 A抵御監(jiān)聽其實要看哪個方面了����。一般情況下監(jiān)聽只是對用戶口令信息比較敏感一點(沒有無聊的黑客去監(jiān)聽兩臺機(jī)器間的聊天信息的那是個浪費(fèi)時間的事情)。所以對用戶信息和口令信息進(jìn)行加密是完全有必要的����。防止以明文傳輸而被監(jiān)聽到?�,F(xiàn)代網(wǎng)絡(luò)中��,SSH(一種在應(yīng)用環(huán)境中提供保密通信的協(xié)議)通信協(xié)議一直都被沿用�,SSH所使用的端口是22,它排除了在不安全信道上通信的信息�����,被監(jiān)聽的可能性使用到了RAS算法��,在授權(quán)過程結(jié)束后�,所有的傳輸都用IDEA技術(shù)加密。但SSH并不就是完全安全的����。至少現(xiàn)在我們可以這么大膽評論了���。. S! {( n5 |& ^$ l$ I
# c% r0 G% ^3 P6 B/ ~( H B% x█著名的Sniffer監(jiān)聽工具: {# H/ ^6 {% q( g( M( ]6 v9 D
! i& f; M# U7 ~
Sniffer之所以著名,權(quán)因它在很多方面都做的很好��,它可以監(jiān)聽到(甚至是聽����、看到)網(wǎng)上傳輸?shù)乃行畔ⅰniffer可以是硬件也可以是軟件����。主要用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ>W(wǎng)絡(luò)是可以運(yùn)行在各種協(xié)議之下的��,包括以太網(wǎng)Ethernet��、TCP/IP�、ZPX等等,也可以是集中協(xié)議的聯(lián)合體系�。7 H9 O% p7 P/ @" Y6 K/ {% X
1 _. t/ `3 F6 aSniffer是個非常之危險的東西,它可以截獲口令���,可以截獲到本來是秘密的或者專用信道內(nèi)的信息�����,截獲到信用卡號�,經(jīng)濟(jì)數(shù)據(jù),E-mail等等�。更加可以用來攻擊與己相臨的網(wǎng)絡(luò)。
8 Q2 u% y( Y8 W
: S5 s1 e+ C' p F/ U0 wSniffer可以使用在任何一種平臺之中�。而現(xiàn)在使用Sniffer也不可能別發(fā)現(xiàn),這個足夠是對網(wǎng)絡(luò)安全的最嚴(yán)重的挑戰(zhàn)�。
7 e. K; K* v. N1 j) h
: F& X6 w$ n+ S8 I( A- A P* C在Sniffer中,還有“熱心人”編寫了它的Plugin�,稱為TOD殺手��,可以將TCP的連接完全切斷�。總之Sniffer應(yīng)該引起人們的重視��,否則安全永遠(yuǎn)做不到最好���。
( X) c% E/ v- Q$ M5 Q3 Z; d
) X5 h/ D' E2 D+ V) q5 R如果你只是想用來研究的話可以在這里http://semxa.kstar.com/hacking/sniffer260.zip找到一個經(jīng)過我漢化的Sniffer程序工具��。) ~6 f q/ _9 i) C9 t2 n
$ t( x3 G* h; t; i
|
發(fā)表于 2011-1-13 17:08:55
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡