chapter2黑客常用的系統攻擊方法網絡監(jiān)聽

1、編輯ppt攻擊演練：口令攻擊攻擊演練：口令攻擊 通過猜測或獲取口令文件等方式獲得系統認證口令 從而進入系統 危險口令類型：用戶名用戶名變形生日常用英文單詞5位以下長度的口令【課堂實戰(zhàn)】口令破解smbcrack2 入侵系統psexec編輯ppt目標系統的探測方法 目的：了解目標主機的信息：IP地址、開放的端口和服務程序等，從而獲得系統有用的信息，發(fā)現網絡系統的漏洞。常用方法：網絡探測【實驗】whois（web網頁形式； 工具軟件形式如Smartwhois查詢工具）1.掃描器工具編輯ppt網絡監(jiān)聽技術網絡監(jiān)聽技術編輯pptSniffer原理原理 Sniffer，中文可以翻譯為嗅探器,也就是我們所說

2、的數據包捕獲器。 采用這種技術，我們可以監(jiān)視網絡的狀態(tài)、數據流動情況以及網絡上傳輸的信息等等。編輯ppt什么是 Sniffer ?網絡通信監(jiān)視軟件網絡故障診斷分析工具網絡性能優(yōu)化、管理系統它幫助你迅速隔離和解決網絡通訊問題、分析和優(yōu)化網絡性能和規(guī)劃網絡的發(fā)展。編輯pptSniffer的主要作用 快速解決網絡故障自動的問題識別、分析與診斷，可以節(jié)省故障診斷的時間。 最優(yōu)化投資利用性能降低的精確診斷，可以避免草率的資金投入。 檢驗新應用/技術的推廣分析新應用或技術對性能的影響，提供改進的建議。編輯pptSniffer的功能 網絡監(jiān)視與統計以表格或圖形的方式提供實時的網絡流量分析，主機表、流量距陣、

3、應用響應時間、協議分布、歷史流量統計、幀尺寸分布。協議解碼分析在網絡全部七層上可以對400多種協議進行解釋。 實時專家分析系統截獲幀的同時建立網絡對象數據庫，并利用知識庫檢測網絡異態(tài)。編輯ppt網卡工作原理 網卡先接收數據頭的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，認為該接收就在接收后產生中斷信號通知CPU，認為不該接收就丟棄不管。CPU得到中斷信號產生中斷，操作系統就根據網卡驅動程序中設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據后放入信號堆棧讓操作系統處理。編輯ppt網卡的工作模式 廣播方式：能夠接收網絡中的廣播信息。 組播方式：能夠接收組播數

4、據。 直接方式：只有目的網卡才能接收該數據。 混雜模式（promiscuous）：能夠接收到一切通過它的數據。編輯pptHUB工作原理編輯pptHUB工作原理編輯ppt交換環(huán)境下的SNIFF編輯ppt交換環(huán)境下的SNIFF編輯pptUsername: herma009Password: hiHKK234 以太網（以太網（HUB）v FTPv Loginv Mail普通用戶A服務器C嗅探者B網網絡絡監(jiān)監(jiān)聽聽原原理理Username: herma009Password: hiHKK234 編輯ppt網絡監(jiān)聽原理網絡監(jiān)聽原理一個sniffer需要作的：把網卡置于混雜模式。捕獲數據包。1. 分析數據包

5、編輯pptARP spoofUsername: herma009Password: hiHKK234 switchv FTP普通用戶AIP:MAC:20-53-52-43-00-02服務器CIP:MAC:20-53-52-43-00-01 Switch的MAC地址表：IP:（C的IP）MAC:20-53-52-43-00-03（B的MAC地址）router嗅探者B編輯ppt常用的常用的SNIFF （1）windows環(huán)境下 ：圖形界面的SNIFF netxray sniffer pro （2）UNUX環(huán)境下 ：UNUX環(huán)境下的sniff可以說是百

6、花齊放，他們都有一個好處就是發(fā)布源代碼，當然也都是免費的 。 如sniffit，snoop, tcpdump, dsniff Ettercap(交換環(huán)境下)編輯ppt常用的常用的SNIFF（1）Sniffer Pro（2）WireShark（06年夏天前稱為Ethereal）（3）Net monitor（4）EffTech HTTP Sniffer（5）Iris編輯ppt課堂演練 【例1】嗅探FTP過程 【例2】嗅探HTTP登錄郵箱的過程 【例3】嗅探POP郵箱密碼的過程 編輯ppt如何防止SNIFF 進行合理的網絡分段。 用SSH(Secure Shell )/SSL(Secure Sock

7、et Layer)建立加密連接，保證數據傳輸安全。 Sniffer往往是入侵系統后使用的，用來收集信息，因此防止系統被突破。 防止內部攻擊。 AntiSniff 工具用于檢測局域網中是否有機器處于混雜模式 （不是免費的）。編輯pptWireShark編輯pptCapture-capture options編輯ppt Capture 捕獲 Capture options 捕獲選項 Interface 接口 Capture packets in promiscuous mode 在混雜模式下捕獲分組 Limit each packet to N bytes 將每個分組限制在N個字節(jié)內 Filter

8、 過濾器可以指定捕獲目標的IP地址，協議類型等編輯ppt Capture file 捕獲文件 指定將捕獲的文件放到指定的位置 Display options 顯示選項 Stop Capture 捕獲限制 Name resolution 名字解析啟用MAC地址轉換 MAC廠商的名稱啟用網絡地址轉換 IP主機名啟用傳輸名字解析，熟知端口相應協議編輯ppt列表框協議框原始框編輯ppt第一次握手編輯ppt第二次握手編輯ppt第三次握手編輯ppt綜合演練 使用WireShark分析TCP/IP建立連接的三次握手過程的數據包 使用WireShark分析nmap各種掃描方式的數據包編輯ppt選中3號分組，在協議框中選中分組的Frame層，在原始框中突出顯示（每一對數字表示一個字節(jié)）70對數字編輯ppt以太網幀首部占用了14個字節(jié)，那