信息收集與漏洞掃描

1、4 信息收集與漏洞掃描 攻擊的前奏1內(nèi)容踩點社會工程學搜索引擎網(wǎng)絡(luò)嗅探安全掃描21、踩點孫子兵法里指出：“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負；不知彼不知己，每戰(zhàn)必敗。” 對于黑客們來說，在開始真正肆虐之前，必須完成三個基本步驟。本章討論第一個步驟踩點（footprinting），這是收集目標信息的奇技淫巧。舉例來說，當盜賊決定搶劫一家銀行時，他們不會大搖大擺地走進去直接要錢（至少明智的賊不會）。相反，他們會狠下一番苦功夫收集關(guān)于這家銀行的相關(guān)信息，包括武裝押運車的路線和運送時間、攝像頭位置和攝像范圍、出納員人數(shù)、逃跑出口以及其他任何有助于行事的信息。3踩點攻擊者可以通過對某個組織進行有

2、計劃、有步驟的踩點，收集整理出一份關(guān)于該組織信息安防現(xiàn)狀的完整剖析圖。結(jié)合使用各種工具和技巧，攻擊者完全可以從對某個組織（比如XYZ公司）毫無所知變成知之甚詳，他們可以從公開渠道查出該組織具體使用的域名、網(wǎng)絡(luò)地址塊、與因特網(wǎng)直接相聯(lián)的各有關(guān)系統(tǒng)的IP地址以及與信息安防現(xiàn)狀有關(guān)的其他細節(jié)。有很多種技術(shù)可以用來進行踩點，但它們的主要目的不外乎發(fā)現(xiàn)和收集與以下幾種與網(wǎng)絡(luò)環(huán)境相關(guān)的信息：因特網(wǎng)、內(nèi)聯(lián)網(wǎng)（intranet）、遠程訪問和外聯(lián)網(wǎng)（extranet）。4網(wǎng)絡(luò)環(huán)境需要確認的信息因特網(wǎng)域名網(wǎng)絡(luò)地址塊可以直接從因特網(wǎng)進行訪問的各個系統(tǒng)的具體IP地址已被發(fā)現(xiàn)的各個系統(tǒng)上運行的TCP和UDP服務(wù)系統(tǒng)體系

3、結(jié)構(gòu)（例如SPARC或X86）訪問控制機制和相關(guān)的訪問控制表（access control list，ACL）入侵檢測系統(tǒng)（intrusion detection system，IDS）各有關(guān)系統(tǒng)的細節(jié)信息（用戶名和用戶組名、系統(tǒng)旗標、路由表、SNMP信息等等）DNS主機名外聯(lián)網(wǎng)連接的源地址和目標地址連接的類型訪問控制機制5網(wǎng)絡(luò)環(huán)境需要確認的信息內(nèi)聯(lián)網(wǎng)組網(wǎng)協(xié)議（比如說，IP、IPX、DecNET等等）內(nèi)部域名網(wǎng)絡(luò)地址塊可以直接從內(nèi)聯(lián)網(wǎng)進行訪問的各個系統(tǒng)的具體IP地址已被發(fā)現(xiàn)的各系統(tǒng)上運行的TCP和UDP服務(wù)已被發(fā)現(xiàn)的各系統(tǒng)的體系結(jié)構(gòu)（例如，SPARC還是X86）訪問控制機制和相關(guān)的訪問控制表（

4、access control list，ACL）入侵檢測系統(tǒng)（intrusion detection system，IDS）各有關(guān)系統(tǒng)的細節(jié)信息（用戶名和用戶組名、系統(tǒng)旗標、路由表、SNMP信息等等）遠程訪問模擬/數(shù)字電話號碼遠程系統(tǒng)的類型身份驗證機制VPN和相關(guān)的協(xié)議（IPSec和PPTP）6步驟1：確定踩點活動范圍首先要解決的問題是確定踩點活動的范圍。換句話說，是打算對目標組織做全面的踩點，還是把自己的踩點活動范圍控制在它的某個子公司或某個特定的地理位置？在許多場合，單是把與某個組織有關(guān)的的所有實體全都找出來就已經(jīng)是一項令人生畏的繁雜任務(wù)，若再想把它們都保護得面面俱到就更不容易了.7步驟2

5、：獲得必要的授權(quán)從純粹的技術(shù)角度講，OSI網(wǎng)絡(luò)模型只有7個層次，但在討論信息安防問題的時候，都認為應該把政治因素和資金因素看做是OSI模型的第8層和第9層。這兩個層次對黑客來說無足輕重，但你們卻必須特別加以注意。這些層次對信息安防工作有著種種影響，其中又以授權(quán)方面的問題最不好解決。你的踩點或其他活動是否得到了授權(quán)？你獲得的授權(quán)都允許你從事哪些具體的活動？授權(quán)是否來自有權(quán)做出這種授權(quán)的人？授權(quán)是不是以書面形式下達的？目標IP地址是否正確無誤？8步驟3：可以從公開渠道獲得的信息可以從公開渠道獲得的信息 流行度：9簡單度：9影響力：2風險率：7如果把收集情報比作大海撈針的話，那么踩點活動要撈的“針”

6、都有哪些呢？公司的Web網(wǎng)頁相關(guān)組織地理位置細節(jié)電話號碼、聯(lián)系人名單、電子郵件地址、詳細的個人資料近期重大事件（合并、收購、裁員、快速增長等等）可以表明現(xiàn)有信息安防機制的隱私/安防策略和技術(shù)細節(jié)已歸檔的信息心懷不滿的員工搜索引擎、Usenet和個人簡歷讓人感興趣的其他信息9公司的Web網(wǎng)頁說到踩點，仔細研究目標組織的Web網(wǎng)頁通常是一個很好的出發(fā)點。在很多時候，目標組織的Web站點會向攻擊者提供大量有用的信息。我們曾親眼見過很多缺乏安防意識的組織就那么毫不掩飾地把它們的網(wǎng)絡(luò)或系統(tǒng)安防配置細節(jié)列在它們的因特網(wǎng)Web服務(wù)器上。此外，HTML源代碼里的注釋語句也是一個收集情報的好去處。在諸如“”、“

7、!”和“”之類的HTML注釋標記里往往會隱藏著一些你們在Web瀏覽器的窗口畫面里看不到的秘密。以脫機方式閱讀源代碼通常要比以在線方式查閱來得更快，所以把整個站點鏡像下來進行脫機瀏覽的好處很多。在你們自己的機器里保留一份目標站點的本地拷貝可以讓你們通過各種編程手段去查找你們感興趣的注釋或其他內(nèi)容，而這將使你們的踩點活動更有效率。至于鏡像整個Web站點的工具，UNIX操作系統(tǒng)下的Wget（）和Windows操作系統(tǒng)下的Teleport Pro（）都是非常不錯的選擇。10地理位置細節(jié)對目的明確的攻擊者來說，一個具體的地理地址往往非常有用。有了這個地址，攻擊者就可以去“翻垃圾”（從垃圾箱里尋找廢棄的敏

8、感文件）、盯梢、進行社交工程或者展開其他非技術(shù)性的攻擊。利用泄露的地理地址還可能非法侵入對方的辦公大樓、有線或無線網(wǎng)絡(luò)、計算機等。利用因特網(wǎng)上的各種資源，攻擊者甚至可以獲得目標建筑物的一份相當詳盡的衛(wèi)星圖像。就拿筆者最喜歡的站點來說吧，該站點的擁有者是Google公司的一家子公司，它可以讓你把全世界（至少是全世界的各主要都市）盡收眼底，并通過一個設(shè)計得非常優(yōu)秀的客戶端軟件以令人驚訝的清晰度和細節(jié)把某給定地址的周邊地理環(huán)境展示在你的面前（如圖1-1所示）。站點也是一個查看地理環(huán)境的流行資源。11電話號碼、聯(lián)系人名單、電子郵件地址和詳細的個人資料在得到你的電話號碼之后，攻擊者就可以通過、或之類的網(wǎng)

9、站查出你的地理地址。他們還可以根據(jù)你的電話號碼為他們的“密集撥號”攻擊設(shè)定一個攻擊范圍或是開展“社交工程”攻擊以獲得更多的信息和/或訪問權(quán)限。12已歸檔的信息在因特網(wǎng)上有一些專門歸檔保存過期信息的站點，你們可以從這類站點上輕而易舉地檢索出很多從其原始來源都無法查到的信息。由于這類站點的存在，很多因為安全原因而被特意刪除的信息還是可以被那些知道這一訣竅的人檢索出來。這類站點的例子有地址處的WayBack Machine網(wǎng)站（如圖1-3所示）、和通過Google搜索引擎的cached results（緩存結(jié)果）鏈接查看到的緩存結(jié)果（如圖1-4所示）。13在網(wǎng)站上檢索到的多年前的網(wǎng)頁 14搜索引擎的

10、特性使得任何人都可以輕而易舉地查看到它們曾標引過的緩存內(nèi)容。圖中是通過Google搜索引擎的cached results（緩存結(jié)果）鏈接檢索出來的主頁的緩存版本 15Google與黑客1、 index of /admin2、index of /passwd /passwd目錄3、index of /password 4、index of /mail /電子郵件目錄5、“index of /config”/查詢config 目錄利用index of可以瀏覽一些隱藏在互聯(lián)網(wǎng)背后的開放了目錄瀏覽的網(wǎng)站服務(wù)器的目錄，并能夠下載本無法看到的密碼等有用文件16Google與黑客inurl: inurl:

11、是駭客重要的搜尋方法，可搜到網(wǎng)址包括的關(guān)鍵字， 例如填上 allinurl:login password 作搜尋，便會很易找到有 login 和 password 的網(wǎng)頁。 17搜索引擎、Usenet和個人簡歷現(xiàn)如今的搜索引擎已經(jīng)發(fā)展到了一種不可思議的地步。只需幾秒鐘的時間，你就可以查到想知道的任何問題的答案?，F(xiàn)在，許多流行的搜索引擎都提供了這樣或那樣的高級搜索功能，這些功能可以幫助你把最細枝末節(jié)的信息輕而易舉地查找出來。搜索引擎:、和（它會把你的搜索請求同時發(fā)送給多個搜索引擎）。18步驟4：WHOIS和DNS查點whois 流行度：9簡單度：9影響力：5風險率：8為了確保因特網(wǎng)上的各類系統(tǒng)可

12、以互聯(lián)互通、防止IP地址發(fā)生沖突、確保地理邊界和政治因素不會給名字解析帶來干擾，因特網(wǎng)的幾種基礎(chǔ)性功能必須由某個中央機構(gòu)統(tǒng)一管理起來。這意味著有人在管理著數(shù)量十分龐大的信息。如果你們了解這一點是如何做到的，就可以有效地利用好這個信息寶庫！因特網(wǎng)的這些核心功能是由一家名為Internet Corporation for Assigned Names and Numbers（ICANN；）的非贏利組織負責管理的。19ICANN有很多下屬分支機構(gòu)，我們此時最感興趣的是以下三個：Address Supporting Organization（ASO，地址支持組織）Generic Name Suppor

13、ting Organization（GNSO，基本名稱支持組織）Country Code Domain Name Supporting Organization（CNNSO，國家代碼域名支持組織） 20ASO負責聽取、審查與IP地址分配政策有關(guān)的意見并就這些問題向ICANN董事會提出建議。ASO負責把IP地址塊統(tǒng)一分配給幾個在各自的轄區(qū)內(nèi)負責公共因特網(wǎng)號碼資源的管理、分配和注冊事務(wù)的洲際因特網(wǎng)注冊局（Regional Internet Registry，RIR；如下圖所示）。這些RIR再把IP地址分配給企事業(yè)單位、因特網(wǎng)接入服務(wù)提供商（Internet service provider，ISP

14、）或者根據(jù)當?shù)卣ㄖ饕且恍┕伯a(chǎn)主義國家和集權(quán)統(tǒng)治國家）的有關(guān)規(guī)定國家因特網(wǎng)注冊局（National Internet Registry，NIR）或地區(qū)因特網(wǎng)注冊局（Local Internet Registry，LIR）：APNIC（） 亞太地區(qū)ARIN（） 南美洲、北美洲和非洲下撒哈拉地區(qū)LACNIC（） 拉丁美洲和加勒比海地區(qū)RIPE（） 歐洲、亞洲部分地區(qū)、赤道以北的非洲地區(qū)和中東地區(qū)AfriNIC（；目前仍是“觀察員身份”） 南非和北非地區(qū)目前分別由ARIN和RIPE負責，但最終將會交給AfriNIC來管轄21GNSO負責聽取、審查與通用頂級域域名分配政策有關(guān)的各種意見，并就這些問

15、題向ICANN董事會提出建議（如右圖所示）。請注意，GNSO不負責具體的域名注冊事務(wù)，它只負責頂級域（比如.com、.net、.edu、.org和.info等），通用頂級域的完整清單可以在主頁上查到。22CCNSO負責聽取、審查與國家代碼頂級域域名分配政策有關(guān)的各種意見，并就這些問題向ICANN董事會提出建議。請注意，CCNSO也不負責具體的域名注冊事務(wù)。國家代碼頂級域的完整清單可以在主頁上查到（如右圖所示）。23雖然上述信息的管理工作相當集中化，但實際數(shù)據(jù)卻因為技術(shù)和政治方面的原因分別存儲在全球各地的許多WHOIS服務(wù)器上。使事情變得更加復雜的是，WHOIS查詢的語法、允許的查詢類型、可供查

16、詢的數(shù)據(jù)和查詢結(jié)果的格式在不同的服務(wù)器間往往有著很大的差異。此外，出于防范垃圾郵件制造者、黑客和資源過載問題的考慮，許多注冊服務(wù)商都會限制人們進行某些查詢；出于國家安全方面的考慮，.mil和.gov域的信息完全不允許普通大眾進行查詢。只要有合適的工具、再加上一些技巧和足夠的耐心，就應該可以把這個星球上幾乎所有曾經(jīng)注冊過的單位和個人的域注冊信息和IP注冊信息查詢出來！24域注冊信息的查詢域注冊信息（比如）和IP注冊信息（比如IP地址塊、BGP自主系統(tǒng)號碼、等等）需要分別向兩個機構(gòu)注冊，這意味著我們需要沿著兩條不同的路徑去查找這些細節(jié)。先來看一個查找域注冊信息的例子，例子中的目標組織是。首先，我們

17、需要確定想要查找的信息到底存儲在哪個WHOIS服務(wù)器上。這一查詢的基本思路是這樣的：先通過某個給定TLD（top-level domain，頂級域）的官方注冊局查出目標組織是向哪家注冊商進行注冊，再從那家注冊商那里查出查找的目標組織的域名注冊細節(jié)。因為官方注冊局（Registry）、注冊商（Registrar）和注冊人（Registrant，也就是目標組織）的英文名稱都以字母“R”打頭，所以我們把它們統(tǒng)稱為WHOIS查詢的三個“R”。25首先，我們需要從站點查出所有.com域的最終注冊機構(gòu)。這個搜索（如下圖所示）告訴我們，.com域的官方注冊機構(gòu)是Verisign Global Registr

18、y Services（ ）26在Verisign Global Registry Services的站點上（見下圖），我們用“”作為關(guān)鍵字查出該域名是通過為的域名注冊商進行的注冊。27如果我們再去那個站點（如下圖所示），就可以通過它們的Web界面查詢這家注冊商的WHOIS服務(wù)器查找到域名的注冊細節(jié)信息大功告成！28注冊人細節(jié)信息可以告訴我們目標組織的地理地址、電話號碼、聯(lián)系人名字、電子郵件地址、DNS服務(wù)器名字、IP地址等很多有用的信息。此外，下面這些網(wǎng)站可以自動完成這種WHOIS查詢：最后，還有其他一些GUI界面的工具可以幫助你們進行這類查詢：SamSpade：SuperScan：NetSc

19、an Tools Pro：29IP注冊信息的查詢現(xiàn)在，你們已經(jīng)知道如何查詢域注冊信息了，可是IP注冊信息又該如何查詢呢？我們前面講過，IP注冊事務(wù)是由屬于ICANN的ASO的幾家RIR具體負責的。下面，我們就一起去看看如何查詢這些信息吧。與TLD的情況不同，ICANN（IANA）的WHOIS服務(wù)器目前并不是所有RIR的最終注冊機構(gòu)，但每家RIR都知道自己都管轄著哪些個IP地址范圍。我們只須從它們當中隨便挑選一個作為IP注冊信息查詢的出發(fā)點，它就會告訴我們應該去往哪一個RIR才能找到需要的信息。30我們不妨假設(shè)你希望了解源IP地址是的記錄項，你想知道這個IP地址到底來自哪里。從ARIN（http

20、:/）開始這次追蹤，于是把這個IP地址作為關(guān)鍵字輸入到了ARIN網(wǎng)站的WHOIS查詢提示框里（如下圖所示），但它卻告訴你說這個IP地址范圍的實際管理者是APNIC。31在APNIC的站點繼續(xù)進行這次搜索（如下圖所示）。在那里，就可發(fā)現(xiàn)這個IP地址是由印度的National Internet Backbone公司負責管理的。32機制資源適用平臺Web界面安裝有Web客戶程序的任何一種平臺Whois客戶程序大多數(shù)UNIX版本自帶的whois查詢工具UNIXChris Cappuccio（）編寫的Fwhois程序WS_Ping ProPackWindows 95/NT/2000/XPSam Spad

21、eWindows 95/NT/2000/XPSam Spade工具的Web界面安裝有Web客戶端程序的任何一種平臺Netscan工具Windows 95/NT/2000/XPXwhoisnr/xwhois/安裝有X和GTK+GUI開發(fā)工具包的UNIX系統(tǒng)JwhoisUNIXWHOIS查詢工具/數(shù)據(jù)源的下載地址和適用平臺 33步驟5：DNS查詢確認了所有關(guān)聯(lián)的域名后，就可以開始查詢DNS了。DNS是一個把主機名映射為IP地址或者把IP地址映射為主機名的分布式數(shù)據(jù)庫系統(tǒng)。如果DNS配置得不夠安全，就有可能泄露有關(guān)組織的敏感信息。34區(qū)域傳送流行度：9簡單度：9影響力：3風險率：7對一名系統(tǒng)管理員來

22、說，允許不受信任的因特網(wǎng)用戶執(zhí)行DNS區(qū)域傳送（zone transfer）操作是后果最為嚴重的錯誤配置之一。區(qū)域傳送操作指的是一臺后備服務(wù)器使用來自主服務(wù)器的數(shù)據(jù)刷新自己的zone數(shù)據(jù)庫。這為運行中的DNS服務(wù)提供了一定的冗余度，其目的是為了防止主域名服務(wù)器因意外故障變得不可用時影響到全局。一般來說，DNS區(qū)域傳送操作只在網(wǎng)絡(luò)里真的有后備域名DNS服務(wù)器時才有必要執(zhí)行，但許多DNS服務(wù)器卻被錯誤地配置成只要有人發(fā)出請求，就會向?qū)Ψ教峁┮粋€zone數(shù)據(jù)庫的拷貝。如果所提供的信息只是與連到因特網(wǎng)上且具備有效主機名的系統(tǒng)相關(guān)，那么這種錯誤配置不一定是壞事，盡管這使得攻擊者發(fā)現(xiàn)潛在目標要容易得多。真

23、正的問題發(fā)生在一個單位沒有使用公用/私用DNS機制來分割外部公用DNS信息和內(nèi)部私用DNS信息的時候，此時內(nèi)部主機名和IP地址都暴露給了攻擊者。把內(nèi)部IP地址信息提供給因特網(wǎng)上不受信任的用戶，就像是把一個單位的內(nèi)部網(wǎng)絡(luò)完整藍圖或?qū)Ш綀D奉送給了別人。35使用大多數(shù)UNIX和Windows上通常提供的nslookup客戶程序是執(zhí)行區(qū)域傳送的一個簡單辦法。我們可以以交互模式使用nslookup：bash$ nslookupDefault Server: Address: Server: Address: Name: Address: set type=any ls -d T. /tmp/zone_o

24、ut36運行nslookup程序。將回顯它當前使用的名字服務(wù)器，它通常是本單位的本地DNS服務(wù)器或者某ISP提供的DNS服務(wù)器。以手動方式告訴nslookup去查詢哪一個DNS服務(wù)器。具體到上面的例子，我們使用Tellurian Networks的主DNS服務(wù)器。接下來，我們把記錄類型設(shè)置為“any”，這允許你取得任何可能的DNS記錄（使用man nslookup命令查看），從而構(gòu)成一個完整的清單。最后，我們使用“l(fā)s”選項列出所有與目標域名有關(guān)的記錄，其中“-d”開關(guān)用于列出該域名的所有記錄。我們在域名后面添了一個點號“.”以強調(diào)這是一個完全限定域名。另外，我們把輸出內(nèi)容重定向到文件 /tm

25、p/zone_out里去，以便稍后對它操作。完成區(qū)域傳送后，查看輸出文件，找一找是否存在有助于確認特定系統(tǒng)的讓人感興趣的信息。因為Tellurian Network網(wǎng)站不允許進行區(qū)域傳送操作，我們這里只能給出一個示例性的輸出結(jié)果：37bash$ more zone_outacct18 1D IN A 1D IN HINFO Gateway2000 WinWKGRPS1D IN MX 0 tellurianadmin-smtp1D IN RP bsmith.rci bsmith.who1D IN TXT Location:Telephone Roomau 1D IN A 1D IN HINFO

26、Aspect MS-DOS1D IN MX 0 andromeda1D IN RP jcoy.erebus jcoy.who1D IN TXT Location: Library在上面的輸出清單里，列在右邊的每個主機系統(tǒng)名欄都對應一個“A”類型記錄，它指出了該系統(tǒng)的IP地址。另外，每臺主機都對應一個HINFO記錄，標識其平臺或所運行的操作系統(tǒng)類型。38步驟6：網(wǎng)絡(luò)偵察找到可以作為潛在攻擊目標的網(wǎng)絡(luò)之后，攻擊者就可以去嘗試確定那些網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和可能存在的網(wǎng)絡(luò)訪問路徑了。路由追蹤：流行度：9簡單度：9影響力：2風險率：7為了完成這一任務(wù)，我們可以使用大多數(shù)UNIX版本和Windows NT都

27、提供的traceroute程序（下載地址：）。在Windows操作系統(tǒng)里，因為需要與早期的8.3文件命名規(guī)則保持兼容，所以這個工具的程序名是“tracert”。39例如：bash$ traceroute traceroute to (), 30 hops max, 38 byte packets1 (3) 4.264 ms 4.245 ms 4.226 ms2 () 9.155 ms 9.181 ms 9.180 ms3 (0) 9.224 ms 9.183 ms 9.145 ms4 (3) 9.660 ms 9.771 ms 9.737 ms5 (17) 12.654 ms 10.145 m

28、s 9.945 ms6 (73) 10.235 ms 9.968 ms 10.024 ms7 (7) 133.128 ms 77.520 ms 218.464 ms8 (8) 65.065 ms 65.189 ms 65.168 ms9 (52) 64.998 ms 65.021 ms 65.301 ms10 (30) 82.511 ms 66.022 ms 66.17011 () 82.355 ms 81.644 ms 84.238 ms4010/1/2022412、Sniffer(嗅探器)簡介嗅探器是能夠捕獲網(wǎng)絡(luò)報文的設(shè)備（軟件或硬件），嗅探器這個術(shù)語源于通用網(wǎng)絡(luò)公司(Network Ge

29、neral)開發(fā)的捕獲網(wǎng)絡(luò)數(shù)據(jù)包軟件Sniffer。以后的協(xié)議分析軟件都被稱為Sniffer。4110/1/202242Sniffer的用途Sniffer的正當用處是分析網(wǎng)絡(luò)流量，確定網(wǎng)絡(luò)故障原因。比如：網(wǎng)絡(luò)的某一段出現(xiàn)問題，報文傳輸非常慢，而管理員又不知道那里出了問題。這時，就可以利用sniffer來確定網(wǎng)絡(luò)故障原因。另外，利用sniffer還可以統(tǒng)計網(wǎng)絡(luò)流量。而黑客利用sniffer軟件來捕獲網(wǎng)絡(luò)流量，從中發(fā)現(xiàn)用戶的各種服務(wù)的帳號和口令或是信用卡賬號。42網(wǎng)卡接收模式( 1) 廣播模式: 該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。( 2) 組播模式: 該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。( 3)

30、 直接模式: 在這種模式下, 只有匹配目的MAC 地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。( 4) 混雜模式: 在這種模式下, 網(wǎng)卡能夠接收一切監(jiān)聽到的數(shù)據(jù)幀, 而無論其目的MAC 地址是什么。10/1/2022434310/1/202244Sniffer工作原理正常模式：網(wǎng)卡只接收目的地址為本機的網(wǎng)絡(luò)數(shù)據(jù)?；祀s模式(promiscuous)：是指網(wǎng)卡接收網(wǎng)絡(luò)上傳輸?shù)乃芯W(wǎng)絡(luò)數(shù)據(jù)，而不僅僅只接收它們自己的數(shù)據(jù)。 Sniffer就是將主機的網(wǎng)絡(luò)接口(網(wǎng)卡)設(shè)置成混雜模式(promiscuous)，那么它就能夠接收到網(wǎng)絡(luò)中所有的報文和數(shù)據(jù)幀。Linux下設(shè)置網(wǎng)卡混雜模式需要root權(quán)限：ifconfig et

31、h0 promisc4410/1/202245Sniffer工作的必要條件sniffer工作在共享式以太網(wǎng)，也就是說使用Hub來組成局域網(wǎng)。本機的網(wǎng)卡需要設(shè)置成混雜模式。本機上安裝處理數(shù)據(jù)包的嗅探軟件需要系統(tǒng)管理員權(quán)限來運行sniffer軟件。4510/1/202246交換機工作原理交換機(switch)比集線器(HUB)更聰明，它知道每臺計算機的MAC地址信息和與之相連的特定端口，發(fā)給某個主機的數(shù)據(jù)包會被SWITCH從特定的端口送出，而不是象HUB那樣，廣播給網(wǎng)絡(luò)上所有的機器。 4610/1/202247被動嗅探 vs 主動嗅探共享式以太網(wǎng)的嗅探：由集線器（HUB）組建的以太網(wǎng)叫做共享式以太

32、網(wǎng)，采取數(shù)據(jù)廣播方式。Sniffer可以正常工作。交換式以太網(wǎng)的嗅探：由交換機（switch）組建的以太網(wǎng)，采取點對點數(shù)據(jù)傳輸方式。 sniffer在交換網(wǎng)絡(luò)環(huán)境中只能捕獲本機網(wǎng)絡(luò)流量。4710/1/202248交換網(wǎng)絡(luò)中的嗅探攻擊Arpspoof攻擊交換環(huán)境下的sniffer需要進行arp欺騙攻擊（arpspoof），實際上是中間人攻擊。通過欺騙網(wǎng)關(guān)和被攻擊主機，感染它們的arp緩存來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的嗅探。MAC FLOOD（MAC地址泛濫） 向LAN中發(fā)送大量的隨機MAC地址，由于交換機把每個鏈路上使用的MAC地址都保存在它的內(nèi)存中，當交換機的內(nèi)存被耗盡時，交換機就會將數(shù)據(jù)包發(fā)送到所有的鏈

33、路上，這時交換機變成了集線器。而sniffer在共享式網(wǎng)絡(luò)中可以嗅探到網(wǎng)絡(luò)中的所有數(shù)據(jù)包。48ARP協(xié)議及ARP欺騙ARP協(xié)議實現(xiàn)IP地址解析為MAC地址；RARP協(xié)議實現(xiàn)MAC地址解析為IP地址.Windows操作系統(tǒng)在接受到ARP REPLY的信息時，立刻更新緩存的ARP信息。因此，當接收到假冒的ARP信息時， ARP緩存就被污染了。ARP協(xié)議不進行驗證和確認。因此，ARP欺騙是很難防御的。49ARP欺騙(ARP spoof)向被欺騙主機發(fā)送包含欺騙內(nèi)容的ARP響應包，來改變被欺騙主機的ARP緩沖。ARP欺騙攻擊是屬于局域網(wǎng)內(nèi)部的欺騙攻擊，即攻擊主機與被欺騙主機都必須在同一個網(wǎng)段內(nèi)。下面的

34、ARP欺騙攻擊實驗所使用的攻擊工具是Dug Song的工具集Dsniff中的arpspoof。Arpsoof的限制是只能使用本機的MAC地址，而不能任意指定MAC地址。50在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包ARP重定向技術(shù)，一種中間人攻擊,可使用dsniff中的arpspoof實現(xiàn)。ABGW1 B打開IP轉(zhuǎn)發(fā)功能2 B發(fā)送假冒的arp包給A,聲稱自己是GW的IP地址3 A給外部發(fā)送數(shù)據(jù)，首先發(fā)給B4 B再轉(zhuǎn)發(fā)給GW51ARP欺騙GATE網(wǎng)關(guān)，被冒名的主機 00-00-00-00-00-00 C目標機，被攻擊對象 00-00-e2-52-c3-38 13 B跳板機，被控制，用于偽造包的直接發(fā)送00-50-

35、56-40-5b-93 32 A發(fā)動欺騙的主機 00-0d-87-61-a9-81 34 主機代號主機用途主機MAC地址主機IP52被欺騙主機的arp緩沖1step1:使用arp a 命令顯示C的arp緩存內(nèi)容為: Interface: 13 on Interface 0 x1000003 Internet Address Physical Address Type 00-00-00-00-00-00 dynamicstep2: A遠程登陸B(tài)后，從B ping向C，這時C的arp緩存中加入了B的信息：Interface: 13 on Interface 0 x1000003Internet A

36、ddress Physical Address Type 00-00-00-00-00-00 dynamic 32 00-50-56-40-5b-93 dynamic53被欺騙主機的arp緩沖2step3：A控制B，以B的mac，網(wǎng)關(guān)的名義（ip），向C發(fā)arp響應數(shù)據(jù)包，那么C中原來正確的網(wǎng)關(guān)mac信息將被替換成B的mac，這時C所有發(fā)向網(wǎng)關(guān)的包都會被送到B上，這樣B就可以捕獲所有C的網(wǎng)絡(luò)流量。Interface: 13 on Interface 0 x1000003 Internet Address Physical Address Type 32 00-50-56-40-5b-93 dy

37、namic 00-50-56-40-5b-93 dynamic5410/1/202255Sniffer工具介紹SnifferPro Tcpdump，WindumpDsniffSnifferProEthereal5510/1/202256tcpdump & windumptcpdump是由berkeley大學洛侖茲伯克利國家實驗室開發(fā)的一個非常著名的sniffer軟件，同時也是一個網(wǎng)絡(luò)報文分析程序。它的報文過濾能力非常強大，它由很多個選項來設(shè)置過濾條件，并且通過布爾表達式來生成報文過濾器。windump是tcpdump的windows版本。安裝windump之前需要安裝winpcap庫。5610

38、/1/202257SnifferProNAI公司開發(fā)的功能強大的圖形界面的嗅探器SnifferPro，它是目前最好，功能最強大的Sniffer軟件，通用協(xié)議分析工具,占到網(wǎng)絡(luò)分析市場的76% 。. 作者（美）西蒙斯基（Shimonski，R.J.） 等著，陳逸 等譯. 電子工業(yè)出版社,ISBN 7121000075.5710/1/202258Dsniffdsniff是由Dug Song開發(fā)的，可以從 處下載。dsniff安裝需要其他幾個軟件包：OpenSSLlibpcapBerkeley DBlinnids5810/1/202259Ethereal最優(yōu)秀的跨平臺開源嗅探工具，有圖形化界面和命令

39、行兩種版本。目前支持windows和linux等多種操作系統(tǒng)。下載地址: 圖形化的報文過濾器： ethereal通過display filter對話框來創(chuàng)建報文過濾器，用戶可以通過指定不同協(xié)議的不同字段值來生成報文過濾規(guī)則，并且可以使用布爾表達式AND和OR來組合這些過濾規(guī)則。TCP會話流重組： ethereal通過follow TCP Stream來重組同一TCP會話的所有數(shù)據(jù)包。59選此開始設(shè)置捕獲包的參數(shù)選擇網(wǎng)絡(luò)接口選擇混雜模式設(shè)置過濾器點此開始捕獲60捕獲到的包列表數(shù)據(jù)包頭解析選此開始捕獲包原始數(shù)據(jù)包字節(jié)選此進行分析設(shè)置顯示過濾條件選此進行統(tǒng)計6110/1/202262display

40、filter62捕獲HTTP數(shù)據(jù)包3. 輸入網(wǎng)址1. 設(shè)置捕獲過濾器僅捕獲TCP包，端口802. 開始捕獲6310/1/202264Follow TCP Stream64Wireshark 65Sniffer ProSniffer應用性能管理深入的協(xié)議分析報表實時故障診斷66SnifferPortable Wireless PDA Option67 Sniffer的產(chǎn)品組成 廣域網(wǎng)硬件(SnifferBook)兩種Portable平臺:Dolch NotebookPOS硬件(SnifferBook Ultra)Gigabit SplitterATM硬件(ATMBook)分布式Sniffer A

41、gent(DSS/RMON)68Sniffer Pro69黑客工具Cain & AbelGoogle Hack V2.070Cain & AbelCain & Abel是一個可以破 解屏保、PWL密碼、共享密碼、緩存口令、遠程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive

42、 Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠程桌面口令解碼等綜合工具，還可以遠程破 解，可以掛字典以及暴力破解，其sniffer功能極其強大，幾乎可以明文捕獲一切帳號口令，包括、IMAP、POP3、SMB、TELNET、VNC、TDS、 SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。71Cain & Abel 7273Google-Hack V2.074757610/1/202277Sniffer攻擊的預防和檢測利用交換機、路由器、網(wǎng)橋等設(shè)備對網(wǎng)絡(luò)合理分段。盡量避免使用Hub來連接網(wǎng)絡(luò)。配置地址綁定來防止ARP欺騙。采用加密會話，比如：SSH