chapter2黑客常用的系統(tǒng)攻擊方法網(wǎng)絡(luò)監(jiān)聽

1、編輯ppt攻擊演練：口令攻擊攻擊演練：口令攻擊 通過猜測或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令 從而進(jìn)入系統(tǒng) 危險(xiǎn)口令類型：用戶名用戶名變形生日常用英文單詞5位以下長度的口令【課堂實(shí)戰(zhàn)】口令破解smbcrack2 入侵系統(tǒng)psexec編輯ppt目標(biāo)系統(tǒng)的探測方法 目的：了解目標(biāo)主機(jī)的信息：IP地址、開放的端口和服務(wù)程序等，從而獲得系統(tǒng)有用的信息，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的漏洞。常用方法：網(wǎng)絡(luò)探測【實(shí)驗(yàn)】whois（web網(wǎng)頁形式； 工具軟件形式如Smartwhois查詢工具）1.掃描器工具編輯ppt網(wǎng)絡(luò)監(jiān)聽技術(shù)網(wǎng)絡(luò)監(jiān)聽技術(shù)編輯pptSniffer原理原理 Sniffer，中文可以翻譯為嗅探器,也就是我們所說

2、的數(shù)據(jù)包捕獲器。 采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊取＞庉媝pt什么是 Sniffer ?網(wǎng)絡(luò)通信監(jiān)視軟件網(wǎng)絡(luò)故障診斷分析工具網(wǎng)絡(luò)性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡(luò)通訊問題、分析和優(yōu)化網(wǎng)絡(luò)性能和規(guī)劃網(wǎng)絡(luò)的發(fā)展。編輯pptSniffer的主要作用 快速解決網(wǎng)絡(luò)故障自動(dòng)的問題識別、分析與診斷，可以節(jié)省故障診斷的時(shí)間。 最優(yōu)化投資利用性能降低的精確診斷，可以避免草率的資金投入。 檢驗(yàn)新應(yīng)用/技術(shù)的推廣分析新應(yīng)用或技術(shù)對性能的影響，提供改進(jìn)的建議。編輯pptSniffer的功能 網(wǎng)絡(luò)監(jiān)視與統(tǒng)計(jì)以表格或圖形的方式提供實(shí)時(shí)的網(wǎng)絡(luò)流量分析，主機(jī)表、流量距陣、

3、應(yīng)用響應(yīng)時(shí)間、協(xié)議分布、歷史流量統(tǒng)計(jì)、幀尺寸分布。協(xié)議解碼分析在網(wǎng)絡(luò)全部七層上可以對400多種協(xié)議進(jìn)行解釋。 實(shí)時(shí)專家分析系統(tǒng)截獲幀的同時(shí)建立網(wǎng)絡(luò)對象數(shù)據(jù)庫，并利用知識庫檢測網(wǎng)絡(luò)異態(tài)。編輯ppt網(wǎng)卡工作原理 網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就在接收后產(chǎn)生中斷信號通知CPU，認(rèn)為不該接收就丟棄不管。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動(dòng)程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。編輯ppt網(wǎng)卡的工作模式 廣播方式：能夠接收網(wǎng)絡(luò)中的廣播信息。 組播方式：能夠接收組播數(shù)

4、據(jù)。 直接方式：只有目的網(wǎng)卡才能接收該數(shù)據(jù)。 混雜模式（promiscuous）：能夠接收到一切通過它的數(shù)據(jù)。編輯pptHUB工作原理編輯pptHUB工作原理編輯ppt交換環(huán)境下的SNIFF編輯ppt交換環(huán)境下的SNIFF編輯pptUsername: herma009Password: hiHKK234 以太網(wǎng)（以太網(wǎng)（HUB）v FTPv Loginv Mail普通用戶A服務(wù)器C嗅探者B網(wǎng)網(wǎng)絡(luò)絡(luò)監(jiān)監(jiān)聽聽原原理理Username: herma009Password: hiHKK234 編輯ppt網(wǎng)絡(luò)監(jiān)聽原理網(wǎng)絡(luò)監(jiān)聽原理一個(gè)sniffer需要作的：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。1. 分析數(shù)據(jù)包

5、編輯pptARP spoofUsername: herma009Password: hiHKK234 switchv FTP普通用戶AIP:MAC:20-53-52-43-00-02服務(wù)器CIP:MAC:20-53-52-43-00-01 Switch的MAC地址表：IP:（C的IP）MAC:20-53-52-43-00-03（B的MAC地址）router嗅探者B編輯ppt常用的常用的SNIFF （1）windows環(huán)境下 ：圖形界面的SNIFF netxray sniffer pro （2）UNUX環(huán)境下 ：UNUX環(huán)境下的sniff可以說是百

6、花齊放，他們都有一個(gè)好處就是發(fā)布源代碼，當(dāng)然也都是免費(fèi)的 。 如sniffit，snoop, tcpdump, dsniff Ettercap(交換環(huán)境下)編輯ppt常用的常用的SNIFF（1）Sniffer Pro（2）WireShark（06年夏天前稱為Ethereal）（3）Net monitor（4）EffTech HTTP Sniffer（5）Iris編輯ppt課堂演練 【例1】嗅探FTP過程 【例2】嗅探HTTP登錄郵箱的過程 【例3】嗅探POP郵箱密碼的過程 編輯ppt如何防止SNIFF 進(jìn)行合理的網(wǎng)絡(luò)分段。 用SSH(Secure Shell )/SSL(Secure Sock

7、et Layer)建立加密連接，保證數(shù)據(jù)傳輸安全。 Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。 防止內(nèi)部攻擊。 AntiSniff 工具用于檢測局域網(wǎng)中是否有機(jī)器處于混雜模式 （不是免費(fèi)的）。編輯pptWireShark編輯pptCapture-capture options編輯ppt Capture 捕獲 Capture options 捕獲選項(xiàng) Interface 接口 Capture packets in promiscuous mode 在混雜模式下捕獲分組 Limit each packet to N bytes 將每個(gè)分組限制在N個(gè)字節(jié)內(nèi) Filter

8、 過濾器可以指定捕獲目標(biāo)的IP地址，協(xié)議類型等編輯ppt Capture file 捕獲文件 指定將捕獲的文件放到指定的位置 Display options 顯示選項(xiàng) Stop Capture 捕獲限制 Name resolution 名字解析啟用MAC地址轉(zhuǎn)換 MAC廠商的名稱啟用網(wǎng)絡(luò)地址轉(zhuǎn)換 IP主機(jī)名啟用傳輸名字解析，熟知端口相應(yīng)協(xié)議編輯ppt列表框協(xié)議框原始框編輯ppt第一次握手編輯ppt第二次握手編輯ppt第三次握手編輯ppt綜合演練 使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包 使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包編輯ppt選中3號分組，在協(xié)議框中選中分組的Frame層，在原始框中突出顯示（每一對數(shù)字表示一個(gè)字節(jié)）70對數(shù)字編輯ppt以太網(wǎng)幀首部占用了14個(gè)字節(jié)，那