《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第一篇+網(wǎng)絡(luò)安全分析課件

《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)與實(shí)踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)

知識(shí)4流氓軟件“流氓軟件”通俗的講是指那些在人們使用電腦上網(wǎng)時(shí)，產(chǎn)生不受人控制，不斷跳出的與用戶打開的網(wǎng)頁(yè)不相干的奇怪畫面，或者是做各種廣告的軟件。知識(shí)4流氓軟件“流氓軟件”通俗的講是指那

知識(shí)4流氓軟件流氓軟件與正常軟件的區(qū)別“流氓軟件”是指介于病毒和正規(guī)軟件之間的一類軟件。計(jì)算機(jī)病毒是指那些自身具有或使其它程序具有破壞功能，能夠危害用戶數(shù)據(jù)，或具有其它惡意行為，而且能夠自我復(fù)制的程序。正規(guī)軟件指的是那些為方便用戶使用計(jì)算機(jī)工作、娛樂而開發(fā)的，面向社會(huì)公開發(fā)布的軟件?！傲髅ボ浖苯橛趦烧咧g，同時(shí)具備正常功能和惡意行為，給用戶帶來(lái)實(shí)質(zhì)危害。知識(shí)4流氓軟件流氓軟件與正常軟件的區(qū)別一、流氓軟件概述流氓軟件的起源

在國(guó)外最早稱為“Badware”，在著名的StopB網(wǎng)站上，對(duì)“Badware”的定義是：是一種跟蹤你上網(wǎng)行為并將你的個(gè)人信息反饋給“躲在陰暗處的”市場(chǎng)利益集團(tuán)的軟件，并且，他們可以通過(guò)該軟件能夠向你彈出廣告?！癇adware”可分為“間諜軟件（spyware）、惡意軟件（malware）和欺騙性廣告軟件（deceptiveadware）。一、流氓軟件概述流氓軟件的起源一、流氓軟件概述2.流氓軟件的特征強(qiáng)制性。流氓軟件一般總是強(qiáng)行或秘密侵入用戶電腦，不需要用戶容許其下載；強(qiáng)行彈出廣告。這是這種軟件存在的價(jià)值，借此獲取商業(yè)利益；偷偷監(jiān)視電腦用戶上網(wǎng)行為。記錄用戶上網(wǎng)行為習(xí)慣，或竊取用戶賬號(hào)密碼；強(qiáng)行劫持用戶瀏覽器或搜索引擎，妨害用戶瀏覽正常的網(wǎng)頁(yè)。一、流氓軟件概述2.流氓軟件的特征流氓軟件特點(diǎn)強(qiáng)制安裝指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝軟件的行為。難卸載指不提供卸載方式，或不受其他卸載軟件的影響，人為破壞比較困難，卸載后仍活動(dòng)。瀏覽器劫持指未經(jīng)許可，自動(dòng)修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)。廣告彈出指未明確提示或未經(jīng)用戶許可的情況下，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。惡意卸載指未明確提示用戶、未經(jīng)用戶許可，或誤導(dǎo)、欺騙用戶卸載非惡意軟件的行為。惡意捆綁指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。流氓軟件特點(diǎn)強(qiáng)制安裝指在未明確提示用戶或未經(jīng)用戶許可的情二、“流氓軟件”的類型廣告軟件（Adware）

廣告軟件是指未經(jīng)用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過(guò)彈出式廣告等形式牟取商業(yè)利益的程序。此類軟件往往會(huì)強(qiáng)制安裝并無(wú)法卸載，在后臺(tái)收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。例如：用戶安裝了某下載軟件后，會(huì)一直彈出帶有廣告內(nèi)容的窗口，干擾正常使用。還有一些軟件安裝后，會(huì)在IE瀏覽器的工具欄位置添加與其功能不相干的廣告圖標(biāo)，普通用戶很難清除。二、“流氓軟件”的類型廣告軟件（Adware）二、“流氓軟件”的類型間諜軟件(Spyware)間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。

間諜軟件透過(guò)“后門程序”捕獲用戶的隱私數(shù)據(jù)和重要信息，并發(fā)送給黑客、商業(yè)公司。甚至能使用戶的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”，這是目前網(wǎng)絡(luò)安全的重要隱患之一。

例如：某些軟件會(huì)獲取用戶的軟硬件配置，并發(fā)送出去用于商業(yè)目的。二、“流氓軟件”的類型間諜軟件(Spyware)二、“流氓軟件”的類型瀏覽器劫持軟件

瀏覽器劫持是一種惡意程序，通過(guò)瀏覽器插件、BHO（瀏覽器輔助對(duì)象）、WinsockLSP等形式對(duì)用戶的瀏覽器進(jìn)行篡改，使用戶的瀏覽器配置不正常，被強(qiáng)行引導(dǎo)到商業(yè)網(wǎng)站。

用戶在瀏覽網(wǎng)站時(shí)會(huì)被強(qiáng)行安裝此類插件，普通用戶根本無(wú)法將其卸載，被劫持后，用戶只要上網(wǎng)就會(huì)被強(qiáng)行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。二、“流氓軟件”的類型瀏覽器劫持軟件二、“流氓軟件”的類型行為記錄軟件（TrackWare）

行為記錄軟件指未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個(gè)人行為的軟件。行為記錄軟件會(huì)危及用戶隱私，可能被黑客利用來(lái)進(jìn)行網(wǎng)絡(luò)詐騙。

如：一些軟件會(huì)在后臺(tái)記錄用戶訪問(wèn)過(guò)的網(wǎng)站并加以分析，有的甚至?xí)l(fā)送給專門的商業(yè)公司或機(jī)構(gòu)，此類機(jī)構(gòu)會(huì)據(jù)此窺測(cè)用戶的愛好，并進(jìn)行相應(yīng)的廣告推廣或商業(yè)活動(dòng)。二、“流氓軟件”的類型行為記錄軟件（TrackWare）二、“流氓軟件”的類型

惡意共享軟件(maliciousshareware)

惡意共享軟件指某些為了獲取利益，采用誘騙手段、試用陷阱等方式強(qiáng)迫用戶注冊(cè)，或在軟件體內(nèi)捆綁各類惡意插件，未經(jīng)允許即將其安裝到用戶機(jī)器里。惡意共享軟件通過(guò)使用“試用陷阱”強(qiáng)迫用戶進(jìn)行注冊(cè)，否則可能會(huì)丟失個(gè)人資料等數(shù)據(jù)。軟件集成的插件可能會(huì)造成用戶瀏覽器被劫持、隱私被竊取等。二、“流氓軟件”的類型惡意共享軟件(maliciou三、“流氓軟件”卸載方法卸載3721上網(wǎng)助手問(wèn)題：強(qiáng)制安裝，瀏覽器劫持（添加用戶不需要的按鈕、ie地址菜單項(xiàng)中添加非法內(nèi)容），干擾其他軟件運(yùn)行，無(wú)法徹底卸載。卸載方法：用附件程序卸載，附件已用卡巴斯基掃描過(guò)。三、“流氓軟件”卸載方法卸載3721上網(wǎng)助手三、“流氓軟件”卸載方法卸載淘寶網(wǎng)問(wèn)題：強(qiáng)行彈出過(guò)多廣告。卸載方法：卸載方法有四，最簡(jiǎn)單的如在MyIE或者M(jìn)axthon里面的“彈出窗口過(guò)濾”和“網(wǎng)頁(yè)內(nèi)容過(guò)濾”里面同時(shí)添加“unionsky、allyes、taobao”等過(guò)濾條目！更直接的方法是使用用世界之窗瀏覽器，不用任何設(shè)置，默認(rèn)即可屏蔽！對(duì)于沒有過(guò)濾功能的IE，如果系統(tǒng)是XP/2003，請(qǐng)?jiān)凇伴_始，運(yùn)行”中輸入：%SystemRoot\\system32\\notepad.exeC:\\WINDOWS\\system32\\drivers\\etc\\hosts。三、“流氓軟件”卸載方法卸載淘寶網(wǎng)三、“流氓軟件”卸載方法卸載ebay易趣問(wèn)題：強(qiáng)制安裝，瀏覽器劫持（自動(dòng)在ie中添加按鈕和菜單），無(wú)法卸載。卸載方法：對(duì)易趣廣告的屏蔽可以參考上面對(duì)淘寶網(wǎng)廣告的方法。但刪除易趣插件就比較繁瑣了。首先，易趣插件沒有提供卸載工具。第二，易趣插件不能通過(guò)如windows優(yōu)化大師這樣的軟件下載，因?yàn)橄到y(tǒng)文件已經(jīng)被替換到了不能識(shí)別的版本而失敗。

易趣清除程序UebayFOR暴風(fēng)和酷狗.rar，可以清除易趣廣告和幾個(gè)廣告鏈接。三、“流氓軟件”卸載方法卸載ebay易趣三、“流氓軟件”卸載方法中文上網(wǎng)問(wèn)題：強(qiáng)制安裝，無(wú)法徹底卸載。卸載方法：進(jìn)入“控制面板”的“添加/刪除程序”選項(xiàng)，找到“中文上網(wǎng)官方版軟件”，卸載。還需要以下步驟：1、刪除C:\\ProgramFiles\\下的CNNIC整個(gè)目錄。2、“開始菜單”>>“運(yùn)行”>>輸入“regedit”確定回車，查找路徑：HKEY_CURRENT_USER\\Software\\CNNIC和HKEY_LOCAL_MACHINE\\SOFTWARE\\CNNIC，將其全部刪除才算了結(jié)。三、“流氓軟件”卸載方法中文上網(wǎng)三、“流氓軟件”卸載方法青娛樂聊天軟件（qyule）問(wèn)題：強(qiáng)制安裝。卸載方法：青娛樂的關(guān)鍵可能是收費(fèi)和部分名過(guò)其實(shí)的內(nèi)容，有些網(wǎng)友指出，在花費(fèi)開通后得到的內(nèi)容可能會(huì)和名稱不符，而青娛樂也會(huì)和其它軟件捆綁而不請(qǐng)自來(lái)。清除青娛樂的方法并不復(fù)雜，但對(duì)已經(jīng)交費(fèi)的會(huì)員可能會(huì)涉及到申請(qǐng)停止服務(wù)的問(wèn)題。退訂前最好看清規(guī)則再操作，尤其是短信退訂需要避免字母O還是數(shù)字0這樣的誤會(huì)。至于卸載，你可以使用首先在Windows任務(wù)管理器中關(guān)掉該進(jìn)程，之后在本機(jī)中查找文件名為qyule.exe的青娛樂原程序,找到以后直接刪除就可以了。三、“流氓軟件”卸載方法青娛樂聊天軟件（qyule）三、“流氓軟件”卸載方法很棒小秘書問(wèn)題：強(qiáng)制安裝，無(wú)法徹底卸載。卸載方法：按照軟件中的說(shuō)明刪除軟件（點(diǎn)擊C:\\Widnows\\System32\\目錄下的uninstall.exe）；刪除掉注冊(cè)表中相關(guān)的自啟動(dòng)內(nèi)容；然后進(jìn)入C:\\Widnows\\System32\\目錄，刪除winup.exe、hap.dll、winhtp.dll和hda.ini文件（如果有henbangtemp這個(gè)文件夾的話，也刪掉）；檢查一次，把與之相關(guān)的文件夾也刪掉；打開IE瀏覽器，依次點(diǎn)擊：“工具，加載管理項(xiàng)”，然后將涉及到winhtp.dll的加載項(xiàng)禁用。三、“流氓軟件”卸載方法很棒小秘書三、“流氓軟件”卸載方法百度搜霸問(wèn)題：強(qiáng)制安裝。卸載方法：刪除百度搜霸的方法是，在IE瀏覽器的菜單中，依次進(jìn)入“工具，Internet選項(xiàng)，常規(guī)，Internet臨時(shí)文件，設(shè)置，查看對(duì)象”，然后找到對(duì)應(yīng)的插件名稱，用鼠標(biāo)選中后刪除即可。三、“流氓軟件”卸載方法百度搜霸三、“流氓軟件”卸載方法一搜工具條問(wèn)題：強(qiáng)制安裝卸載方法。刪除方法：?jiǎn)螕粢凰鸦諛?biāo)打開下拉菜單。選擇“幫助，卸載選項(xiàng)”。如果無(wú)法訪問(wèn)工具條上的一搜徽標(biāo)，也可以使用Windows控制面板中的添加/刪除程序卸載工具條：?jiǎn)螕鬢indows“開始”按鈕，然后選擇設(shè)置。打開控制面板文件夾，然后雙擊添加/刪除程序條目。瀏覽程序列表，選取“一搜工具條”。單擊添加/刪除按鈕。三、“流氓軟件”卸載方法一搜工具條三、“流氓軟件”卸載方法網(wǎng)絡(luò)豬問(wèn)題：強(qiáng)制安裝，無(wú)法徹底卸載。卸載方法：刪除網(wǎng)絡(luò)豬目前有兩種方法，在系統(tǒng)進(jìn)程中結(jié)束movesearch.exe，然后在C:\\ProgramFiles中進(jìn)入wsearch文件夾，然后執(zhí)行其中的卸載程序。最后返回上層文件夾，把wsearch文件夾刪除。手動(dòng)清除，就是直接在中止movesearch程序后，直接刪除ProgramFiles下的wsearch文件夾及其下文件，然后在注冊(cè)表中清除與movesearch有關(guān)的信息。(打開注冊(cè)表，搜索“movesearch”(可按F3)統(tǒng)統(tǒng)刪除即可)刪除劃詞搜索比較麻煩，因?yàn)榧幢阆刃遁d劃詞搜索再刪除wsearch文件夾也不能徹底將其清除，目前比較管用的方法是使用新版的超級(jí)兔子專業(yè)卸載功能。

三、“流氓軟件”卸載方法網(wǎng)絡(luò)豬

項(xiàng)目二

網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)的安全掃描是指使用網(wǎng)絡(luò)安全掃描工具對(duì)于本地或者遠(yuǎn)程的計(jì)算機(jī)系統(tǒng)進(jìn)行掃描，掃描的范圍包括工作站、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)與路由交換設(shè)備等，目的是發(fā)現(xiàn)安全漏洞。根據(jù)發(fā)現(xiàn)系統(tǒng)缺少的補(bǔ)丁或異常開放的端口與服務(wù)，撰寫網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告，提出網(wǎng)絡(luò)安全整改方案，為網(wǎng)絡(luò)安全的后續(xù)課程，如網(wǎng)絡(luò)邊界安全，內(nèi)網(wǎng)安全以及網(wǎng)絡(luò)安全是設(shè)計(jì)打下良好的基礎(chǔ)。項(xiàng)目二網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)的安全掃描是指使用網(wǎng)絡(luò)安全項(xiàng)目二網(wǎng)絡(luò)安全掃描項(xiàng)目二網(wǎng)絡(luò)安全掃描【項(xiàng)目背景】隨著網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多，人們更加重視網(wǎng)絡(luò)安全。有一家企業(yè)邀請(qǐng)網(wǎng)絡(luò)安全專家，對(duì)于公司的網(wǎng)絡(luò)進(jìn)行安全性檢查，希望能夠發(fā)現(xiàn)公司內(nèi)部網(wǎng)絡(luò)存在的問(wèn)題。公司現(xiàn)有上千臺(tái)計(jì)算機(jī)主機(jī)與幾十臺(tái)服務(wù)器，有公司自己網(wǎng)頁(yè)和OA辦公系統(tǒng)，公司除了有財(cái)務(wù)部、人事部、銷售部，還有安全要求比較高的技術(shù)研發(fā)中心?！卷?xiàng)目背景】隨著網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多，人們更加重視網(wǎng)絡(luò)安全?！拘枨蠓治觥烤W(wǎng)絡(luò)安全檢測(cè)是網(wǎng)絡(luò)安全技術(shù)人員的基本職責(zé)。一般的安全檢測(cè)主要包括計(jì)算機(jī)主機(jī)與服務(wù)器的系統(tǒng)的安全檢測(cè)。檢測(cè)的內(nèi)容除了常規(guī)的網(wǎng)絡(luò)病毒檢測(cè)外，重點(diǎn)是檢測(cè)主機(jī)的安全漏洞、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)的安全威脅與網(wǎng)絡(luò)的安全漏洞。當(dāng)然，網(wǎng)絡(luò)是否受到攻擊，網(wǎng)絡(luò)的流量也是檢測(cè)的內(nèi)容。

一般的檢測(cè)需要使用常規(guī)的安全檢測(cè)、掃描與探測(cè)工具，對(duì)于要求較高的環(huán)境則需要用到專業(yè)的安全檢查系統(tǒng)一定時(shí)間的實(shí)時(shí)監(jiān)控，才能發(fā)現(xiàn)和分析網(wǎng)絡(luò)存在的安全問(wèn)題?！拘枨蠓治觥烤W(wǎng)絡(luò)安全檢測(cè)是網(wǎng)絡(luò)安全技術(shù)人員的基本職責(zé)。一般的知識(shí)1網(wǎng)絡(luò)端口掃描端口掃描端口掃描是指用端口掃描軟件對(duì)需要掃描目標(biāo)主機(jī)的端口發(fā)送探測(cè)數(shù)據(jù)包，根據(jù)返回的端口狀態(tài)信息，分析主機(jī)的端口是否打開，是否可用的過(guò)程。端口掃描是通過(guò)與目標(biāo)主機(jī)的TCP/IP端口建立連接，并請(qǐng)求某些服務(wù)，記錄目標(biāo)主機(jī)的應(yīng)答，收集目標(biāo)主機(jī)相關(guān)信息，確定端口的什么服務(wù)正在進(jìn)行，獲取該服務(wù)的信息，發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全弱點(diǎn)。端口掃描的主要作用就是檢測(cè)電腦開了什么端口，比如電腦開了80端口說(shuō)明該可以瀏覽器上網(wǎng)，開了1433端口說(shuō)明安裝了sql，開了3389端口說(shuō)明此電腦可以被遠(yuǎn)程控制。不同端口有不同用處，黑客利用端口入侵的電腦，網(wǎng)絡(luò)統(tǒng)管理員和網(wǎng)絡(luò)安全顧問(wèn)則通過(guò)掃描找出系統(tǒng)的缺陷或漏洞，進(jìn)行網(wǎng)絡(luò)系統(tǒng)的加固。知識(shí)1網(wǎng)絡(luò)端口掃描端口掃描知識(shí)1網(wǎng)絡(luò)端口掃描端口掃描技術(shù)

端口掃描的方法有很多，可以是手工掃描也可以用端口掃描軟件。典型的掃描技術(shù)有TCPconnect()掃描、TCPSYN掃描、TCPFIN掃描、IP段掃描、TCP反向ident掃描、UDPICMP端口不能到達(dá)掃描與UDPrecvfrom()和write()掃描等，下面將作簡(jiǎn)單介紹。知識(shí)1網(wǎng)絡(luò)端口掃描端口掃描技術(shù)端口掃描技術(shù)1．TCPconnect()掃描TCPconnect()掃描是最基本的TCP掃描。connect()是操作系統(tǒng)提供的系統(tǒng)調(diào)用，可以用connect()向感興趣的目標(biāo)計(jì)算機(jī)的端口發(fā)送請(qǐng)求數(shù)據(jù)包（SYN）建立連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回應(yīng)答數(shù)據(jù)包（ACK+SYN）。否則，返回（ACK＋RST），表示這個(gè)端口是不可用的，即沒有提供服務(wù)。這個(gè)技術(shù)的一個(gè)最大的優(yōu)點(diǎn)是，掃描不需要任何權(quán)限。這種掃描的另一個(gè)好處就是速度比較快，使用者可以通過(guò)同時(shí)打開多個(gè)套接字來(lái)加速掃描，使用非阻塞I/O允許你設(shè)置一個(gè)低的時(shí)間用盡周期，同時(shí)觀察多個(gè)套接字。這種方法的缺點(diǎn)是很容易被察覺，被防火墻將掃描信息包過(guò)濾掉，致使目標(biāo)主機(jī)的logs文件顯示一連串連接出錯(cuò)消息，導(dǎo)致其很快關(guān)閉。端口掃描技術(shù)1．TCPconnect()掃描端口掃描技術(shù)2．TCPSYN掃描TCPSYN掃描因?yàn)椴槐厝看蜷_一個(gè)TCP連接，因此稱為半開掃描。這種掃描程序發(fā)送一個(gè)SYN數(shù)據(jù)包，如果獲得一個(gè)SYN＋ACK的返回信息，表示端口處于偵聽狀態(tài)；如果返回ACK＋RST則表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個(gè)SYN＋ACK，掃描程序會(huì)發(fā)送一個(gè)RST信號(hào)，來(lái)關(guān)閉這個(gè)連接過(guò)程。這種掃描技術(shù)的優(yōu)點(diǎn)是不會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄，這種方法的缺點(diǎn)是必須要有root權(quán)限才能建立自己的SYN數(shù)據(jù)包。端口掃描技術(shù)2．TCPSYN掃描端口掃描技術(shù)3.TCPFIN掃描SYN掃描雖然是“半開放”方式掃描，隱蔽性比TCPconnect()掃描好，但在某些時(shí)候也不能完全隱藏其動(dòng)作，被一些防火墻和包過(guò)濾器檢測(cè)到。FIN掃描利用暴露的FIN數(shù)據(jù)包進(jìn)行探測(cè)，這種數(shù)據(jù)包在掃描過(guò)程中通常不會(huì)遇到過(guò)多問(wèn)題，這種掃描方法的思路是關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來(lái)回FIN數(shù)據(jù)包，而打開的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系，有的系統(tǒng)不管端口是否打開都會(huì)回復(fù)RST，在這種情況下此種掃描就不適用了。另外，這種掃描方法可以非常容易的區(qū)分服務(wù)器是運(yùn)行Unix系統(tǒng)還是NT系統(tǒng)。端口掃描技術(shù)3.TCPFIN掃描端口掃描技術(shù)4．IP段掃描這種掃描方式并不是新技術(shù)，它并不是直接發(fā)送TCP探測(cè)數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探測(cè)到。但必須小心：一些程序在處理這些小數(shù)據(jù)包時(shí)會(huì)有些麻煩。端口掃描技術(shù)4．IP段掃描端口掃描技術(shù)5．TCP反向ident掃描ident協(xié)議允許(rfc1413)看到通過(guò)TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個(gè)連接不是由這個(gè)進(jìn)程開始的。例如掃描者可以連接到http端口，然后用ident來(lái)發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運(yùn)行。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連接后才能看到。端口掃描技術(shù)5．TCP反向ident掃描端口掃描技術(shù)6．FTP返回攻擊FTP協(xié)議的一個(gè)有趣的特點(diǎn)是它支持代理（proxy）FTP連接，即入侵者可以從自己的計(jì)算機(jī)和目標(biāo)主機(jī)的FTPserver-PI(協(xié)議解釋器)連接，建立一個(gè)控制通信連接。然后請(qǐng)求這個(gè)server-PI激活一個(gè)有效的server-DTP(數(shù)據(jù)傳輸進(jìn)程)來(lái)給Internet上任何地方發(fā)送文件。對(duì)于一個(gè)User-DTP，盡管RFC明確地定義請(qǐng)求一個(gè)服務(wù)器發(fā)送文件到另一個(gè)服務(wù)器是可以的，但現(xiàn)在這個(gè)方法并不是非常有效。這個(gè)協(xié)議的缺點(diǎn)是“能用來(lái)發(fā)送不能跟蹤的郵件和新聞，給許多服務(wù)器造成打擊，用盡磁盤，企圖越過(guò)防火墻”。端口掃描技術(shù)6．FTP返回攻擊端口掃描技術(shù)7．UDPICMP端口不能到達(dá)掃描這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議，而非TCP/IP協(xié)議。由于UDP協(xié)議很簡(jiǎn)單，所以掃描變得相對(duì)比較困難。這是由于打開的端口對(duì)掃描探測(cè)并不發(fā)送確認(rèn)信息，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。幸運(yùn)的是許多主機(jī)在向一個(gè)未打開的UDP端口發(fā)送數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤，這樣掃描者就能知道哪個(gè)端口是關(guān)閉的。UDP和ICMP錯(cuò)誤都不保證能到達(dá)，因此這種掃描器必須還實(shí)現(xiàn)在一個(gè)包看上去是丟失的時(shí)候能重新傳輸。這種掃描方法是很慢的，因?yàn)镽FC對(duì)ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。同樣這種掃描方法也需要具有root權(quán)限。端口掃描技術(shù)7．UDPICMP端口不能到達(dá)掃描端口掃描技術(shù)8．UDPrecvfrom()和write()掃描當(dāng)非root用戶不能直接讀到端口不能到達(dá)錯(cuò)誤時(shí)，Linux能間接地在它們到達(dá)時(shí)通知用戶。比如，對(duì)一個(gè)關(guān)閉的端口的第二個(gè)write()調(diào)用將失敗。在非阻塞的UDP套接字上調(diào)用recvfrom()時(shí)，如果ICMP出錯(cuò)還沒有到達(dá)時(shí)回返回EAGAIN-重試。如果ICMP到達(dá)時(shí)，返回ECONNREFUSED-連接被拒絕。這就是用來(lái)查看端口是否打開的技術(shù)。端口掃描技術(shù)8．UDPrecvfrom()和write()典型的端口掃描工具SuperscanSuperscan是由大名鼎鼎的foundstone開發(fā)的基于Windows的閉源TCP/UDP端口功能強(qiáng)大掃描工具，它包括許多的網(wǎng)絡(luò)探測(cè)功能，如通過(guò)Ping來(lái)檢驗(yàn)IP是否在線，使用traceroute檢驗(yàn)一定范圍目標(biāo)計(jì)算機(jī)的是否在線和端口開放情況，通過(guò)IP查找主機(jī)名，通過(guò)ICMP實(shí)現(xiàn)路由跟蹤，可使用httphead，whois命令請(qǐng)求等。它包含三個(gè)版本：SlackwarePackage-Unicornscan0.4.2、FedoraRPM-Unicornscan0.4.2、FreeBSDPort-Unicornscan0.4.2，這款工具非常適合入門者使用。典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具HostScan網(wǎng)絡(luò)主機(jī)掃描[HostScan]是一款比較最強(qiáng)大的網(wǎng)絡(luò)掃描軟件，包括IP掃描，端口掃描和網(wǎng)絡(luò)服務(wù)掃描。IP掃描可以掃描任意范圍的IP地址(到55)，找到正在使用中的網(wǎng)絡(luò)主機(jī)；端口掃描可以掃描已發(fā)現(xiàn)網(wǎng)上主機(jī)的端口，范圍可以從1到65535，獲得已經(jīng)打開的端口的信息，對(duì)端口分析可以知道是否有人在你的電腦上留下了后門；網(wǎng)絡(luò)服務(wù)掃描可以掃描打開的端口，返回端口后臺(tái)運(yùn)行的網(wǎng)絡(luò)服務(wù)信息，例如,通常情況下，端口80運(yùn)行的是HTTP服務(wù)。典型的端口掃描工具HostScan典型的端口掃描工具NmapNmap是一款針對(duì)大型網(wǎng)絡(luò)的端口掃描工具，在不同情況下，你可能需要隱藏掃描、越過(guò)防火墻掃描或者使用不同的協(xié)議進(jìn)行掃描，比如：UDP、TCP、ICMP等。它支持：VanillaTCPconnect掃描、TCPSYN（半開式）掃描、TCPFIN、Xmas、或NULL（隱藏）掃描、TCPftp代理（跳板）掃描、SYN/FINIP碎片掃描（穿越部分?jǐn)?shù)據(jù)包過(guò)濾器）、TCPACK和窗口掃描、UDP監(jiān)聽I(yíng)CMP端口無(wú)法送達(dá)掃描、ICMP掃描（狂ping）、TCPPing掃描、直接RPC掃描（無(wú)端口映射）、TCP/IP指紋識(shí)別遠(yuǎn)程操作系統(tǒng)，以及相反身份認(rèn)證掃描等。Namp同時(shí)支持性能和可靠性統(tǒng)計(jì)，例如：動(dòng)態(tài)延時(shí)計(jì)算，數(shù)據(jù)包超時(shí)和轉(zhuǎn)發(fā)，并行端口掃描，通過(guò)并行ping偵測(cè)下層主機(jī)。典型的端口掃描工具Nmap典型的端口掃描工具X-Scanner采用多線程方式對(duì)指定IP地址段或單機(jī)進(jìn)行安全漏洞掃描，掃描內(nèi)容包括：標(biāo)準(zhǔn)端口狀態(tài)及端口banner信息、CGI漏洞、RPC漏洞、FTP弱口令，NT主機(jī)共享信息、用戶信息、組信息、NT主機(jī)弱口令用戶等。掃描結(jié)果保存在/log/目錄中，index.htm為掃描結(jié)果索引文件。對(duì)于一些已知的CGI和RPC漏洞，該工具可以給出相應(yīng)的漏洞描述。X-Scanner掃描的內(nèi)容是絕大多數(shù)的服務(wù)器容易出現(xiàn)的漏洞和安全設(shè)置問(wèn)題。最常用的還是其中的SQL默認(rèn)帳戶、FTP弱口令和共享掃描，他們能揭示出許多麻痹大意的網(wǎng)管犯的一些低級(jí)錯(cuò)誤?！?/p>

典型的端口掃描工具X-Scanner典型的端口掃描工具StrobeStrobe是一個(gè)TCP端口掃描器，它可以記錄指定機(jī)器的所有開放端口。strobe運(yùn)行速度快（其作者聲稱在很短時(shí)間內(nèi)，便可掃描一個(gè)國(guó)家的全部機(jī)器。strobe的主要特點(diǎn)是，它能快速識(shí)別指定機(jī)器上正在運(yùn)行什么服務(wù)。strobe的主要不足是這類獲得的信息很有限，strobe攻擊充其量只能提供給“入侵者”一個(gè)粗略的指南，告訴什么服務(wù)可以被攻擊。但strobe用擴(kuò)展的行命令選項(xiàng)彌補(bǔ)了這個(gè)不足。比如，在用大量指定端口掃描主機(jī)時(shí)，可以禁止所有重復(fù)的端口描述。其他特殊選項(xiàng)包括：可定義使用的socket號(hào)碼，定義strobe要捕捉的目標(biāo)主機(jī)的文件。典型的端口掃描工具Strobe典型的端口掃描工具NetcatNetcat在網(wǎng)絡(luò)工具中有“瑞士軍刀”的美譽(yù)。這個(gè)簡(jiǎn)單的小工具可以讀和寫經(jīng)過(guò)TCP或UDP網(wǎng)絡(luò)連接的數(shù)據(jù)。它被設(shè)計(jì)成一個(gè)可靠的可以被其它程序或腳本直接和簡(jiǎn)單調(diào)用的后臺(tái)工具。同時(shí)，它也是一個(gè)功能多樣的網(wǎng)絡(luò)調(diào)試和檢查工具，因?yàn)樗梢陨蓭缀跛邢胍木W(wǎng)絡(luò)連接，包括通過(guò)端口綁定來(lái)接受輸入連接。典型的端口掃描工具四、端口掃描器的應(yīng)用端口掃描器被用來(lái)檢測(cè)目標(biāo)系統(tǒng)上哪些TCP和UDP端口正在監(jiān)聽。網(wǎng)絡(luò)安全管理人員要做的第一件事是在客戶端和服務(wù)器端定期或者不定期的進(jìn)行端口掃描，找出那些不必打開的通訊端口。端口掃描工具非常容易在Internet上找到，選擇是不困難的。四、端口掃描器的應(yīng)用端口掃描器被用來(lái)檢測(cè)目標(biāo)系統(tǒng)上哪些TCP端口掃描器的應(yīng)用端口掃描器通常主要做如下幾件事：掃描共享資源掃描端口獲取主機(jī)的系統(tǒng)信息發(fā)現(xiàn)目標(biāo)主機(jī)的弱點(diǎn)端口掃描器的應(yīng)用端口掃描器通常主要做如下幾件事：五、端口掃描的防護(hù)

人工防護(hù)

一般的操作系統(tǒng)，默認(rèn)情況下有許多端口是開放的，這個(gè)容易驗(yàn)證。假如是Windows-XP系統(tǒng)，進(jìn)入“開始—運(yùn)行”，輸入cmd回車，在DOS顯示界面上輸入命令netstat-an–o，從顯示系統(tǒng)端口的狀態(tài)，可發(fā)現(xiàn)Windows-XP有很多端口是開放的，見右圖。五、端口掃描的防護(hù)人工防護(hù)人工防護(hù)人工防護(hù)第一步，點(diǎn)擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP安全策略，在本地計(jì)算機(jī)”，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建IP安全策略”，于是彈出一個(gè)向?qū)АＴ谙驅(qū)е悬c(diǎn)擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請(qǐng)求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點(diǎn)擊“完成”按鈕就創(chuàng)建了一個(gè)新的IP安全策略。

人工防護(hù)第一步，點(diǎn)擊“開始”菜單/設(shè)置/控制面板/管理工具，人工防護(hù)第二步，右擊該IP安全策略，在“屬性”對(duì)話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對(duì)話框，在畫面上點(diǎn)擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向?qū)А弊筮叺你^去掉，然后再點(diǎn)擊右邊的“添加”按鈕添加新的篩選器。

人工防護(hù)第二步，右擊該IP安全策略，在“屬性”對(duì)話框中，把“第三步，進(jìn)入“篩選器屬性”對(duì)話框，首先看到的是尋址，源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”；點(diǎn)擊“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽TCP135（RPC）端口的篩選器，它可以防止外界通過(guò)135端口連上你的電腦。點(diǎn)擊“確定”后回到篩選器列表的對(duì)話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加TCP137、139、445、593端口和UDP135、139、445端口，為它們建立相應(yīng)的篩選器。重復(fù)以上步驟添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的篩選器，最后點(diǎn)擊“確定”按鈕。

第三步，進(jìn)入“篩選器屬性”對(duì)話框，首先看到的是尋址，源地址選人工防護(hù)第四步，在“新規(guī)則屬性”對(duì)話框中，選擇“新IP篩選器列表”，然后點(diǎn)擊其左邊的圓圈上加一個(gè)點(diǎn)，表示已經(jīng)激活，最后點(diǎn)擊“篩選器操作”選項(xiàng)卡。在“篩選器操作”選項(xiàng)卡中，把“使用添加向?qū)А弊筮叺你^去掉，點(diǎn)擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項(xiàng)卡中，選擇“阻止”，然后點(diǎn)擊“確定”按鈕。人工防護(hù)第四步，在“新規(guī)則屬性”對(duì)話框中，選擇“新IP篩人工防護(hù)第五步、進(jìn)入“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“新篩選器操作”，其左邊的圓圈會(huì)加了一個(gè)點(diǎn)，表示已經(jīng)激活，點(diǎn)擊“關(guān)閉”按鈕，關(guān)閉對(duì)話框；最后回到“新IP安全策略屬性”對(duì)話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對(duì)話框。在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的IP安全策略，然后選擇“指派”。于是重新啟動(dòng)后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了。人工防護(hù)第五步、進(jìn)入“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“新篩選器操作2.工具防護(hù)手工的端口關(guān)閉方法雖然可行，但是還是比較麻煩。不過(guò)不用擔(dān)心，一般的殺毒軟件可以擋住90%以上的端口攻擊，如果用360安全衛(wèi)士的話，可以嘗試開啟局域網(wǎng)防護(hù)模式。當(dāng)然，也可利用專業(yè)的軟件關(guān)閉端口，如：WINROUTE、優(yōu)化大師等，建議先了解各個(gè)端口的用途（優(yōu)化大師在的系統(tǒng)安全優(yōu)化--附加工具--端口說(shuō)明），以免導(dǎo)致一些軟件或程序不能用。每種病毒都有不同的端口，有的甚至有好幾個(gè)。正常使用的軟件也一樣，如QQ可通過(guò)UDP8000、TCP8000、TCP80、TCP443四個(gè)端口上線，而TCP80對(duì)于局域網(wǎng)各種服務(wù)的應(yīng)用很重要的，關(guān)掉它可謂得不償失！2.工具防護(hù)手工的端口關(guān)閉方法雖然可行，但是還是比較麻煩。不知識(shí)2網(wǎng)絡(luò)嗅探嗅探（Sniffer）技術(shù)是網(wǎng)絡(luò)安全檢測(cè)技術(shù)中很重要的一種，它是一種可以捕獲網(wǎng)絡(luò)報(bào)文的軟件工具或者設(shè)備，網(wǎng)絡(luò)安全管理人員會(huì)經(jīng)常借助此類工具對(duì)網(wǎng)絡(luò)的各種活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。與主動(dòng)掃描相比，嗅探的行為更難察覺，因此，黑客也會(huì)利用具有很強(qiáng)非常隱蔽性的嗅探技術(shù)攫取網(wǎng)絡(luò)中的敏感信息。知識(shí)2網(wǎng)絡(luò)嗅探嗅探（Sniffer）技術(shù)是網(wǎng)絡(luò)安全檢測(cè)技一、嗅探原理嗅探器（Sniffer）最初是作為網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具，它既可以是軟件，也可以是一個(gè)硬件。軟件工具使用方便，而且價(jià)格便宜，有些甚至是免費(fèi)的，因此人們常常選用。目前，針對(duì)不同的操作系統(tǒng)平臺(tái)都有各自的嗅探軟件。硬件嗅探器習(xí)慣被稱作協(xié)議分析儀，其價(jià)格一般都很貴，一些知名行業(yè)企業(yè)如fluk公司就有這類產(chǎn)品。一、嗅探原理嗅探器（Sniffer）最初是作為網(wǎng)絡(luò)管理員檢測(cè)一、嗅探原理在局域網(wǎng)中，嗅探之所以能夠成功是由于以太網(wǎng)的共享式特性決定的。因?yàn)橐蕴W(wǎng)是基于廣播方式傳送數(shù)據(jù)的，這就意味著每個(gè)節(jié)點(diǎn)都能夠接收到網(wǎng)段內(nèi)所有的物理信號(hào)，而網(wǎng)卡可以被設(shè)置成混雜接收模式(Promiscuous)，在這種模式下，網(wǎng)卡完全能接收監(jiān)聽到與自己地址無(wú)關(guān)的的所有數(shù)據(jù)，而TCP/IP協(xié)議棧中的應(yīng)用協(xié)議中大多數(shù)數(shù)據(jù)信息在網(wǎng)絡(luò)上是明文傳輸?shù)?，?wèn)題是這些明文包含一些敏感的信息（如個(gè)人密碼和賬號(hào)信息等）。因此，使用Sniffer意味著可以監(jiān)聽得到這些敏感信息。一、嗅探原理在局域網(wǎng)中，嗅探之所以能夠成功是由于以太網(wǎng)的共享一、嗅探原理在交換網(wǎng)絡(luò)中，雖然避免了利用網(wǎng)卡混雜模式進(jìn)行的嗅探，但交換機(jī)并不能解決所有的問(wèn)題。在一個(gè)完全由交換機(jī)連接的局域網(wǎng)內(nèi)，同樣可以進(jìn)行網(wǎng)絡(luò)嗅探，下面介紹三種嗅探方法，包括：MAC洪水（MACFlooding）、MAC復(fù)制（MACDuplicating）和ARP欺騙，其中最常用的是ARP欺騙。一、嗅探原理在交換網(wǎng)絡(luò)中，雖然避免了利用網(wǎng)卡混雜模式進(jìn)行的嗅一、嗅探原理1.MAC洪水

交換機(jī)要負(fù)責(zé)建立兩個(gè)節(jié)點(diǎn)間的“虛電路”，就必須維護(hù)一個(gè)交換機(jī)端口與MAC地址的映射表，這個(gè)映射表是放在交換機(jī)內(nèi)存中的，但由于內(nèi)存數(shù)量的有限，地址映射表可以存儲(chǔ)的映射表項(xiàng)也有限。如果惡意攻擊者向交換機(jī)發(fā)送大量的虛假M(fèi)AC地址數(shù)據(jù),有些交換機(jī)在應(yīng)接不暇的情況下，就會(huì)像一臺(tái)普通的Hub那樣只是簡(jiǎn)單地向所有端口廣播數(shù)據(jù)，嗅探者就可以借機(jī)達(dá)到竊聽的目的。當(dāng)然，并不是所有交換機(jī)都采用這樣的處理方式，況且，如果交換機(jī)使用靜態(tài)地址映射表，這種方法就失靈了。一、嗅探原理1.MAC洪水一、嗅探原理2.MAC復(fù)制

MAC復(fù)制實(shí)際上就是修改本地的MAC地址，使其與欲嗅探主機(jī)的MAC地址相同，這樣，交換機(jī)將會(huì)發(fā)現(xiàn)，有兩個(gè)端口對(duì)應(yīng)相同的MAC地址，于是到該MAC地址的數(shù)據(jù)包將同時(shí)從這兩個(gè)交換機(jī)端口發(fā)送出去。這種方法與后面將要提到ARP欺騙有本質(zhì)的不同，前者是欺騙交換機(jī)，后者是毒害主機(jī)的ARP緩存而與交換機(jī)沒有關(guān)系。但是，只要簡(jiǎn)單設(shè)置交換機(jī)使用靜態(tài)地址映射表，這種欺騙方式也就失效了。一、嗅探原理2.MAC復(fù)制如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信，他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)給黑客所在的中轉(zhuǎn)主機(jī)的。3.ARP欺騙如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信，他會(huì)分別給這兩臺(tái)二、嗅探造成的危害

網(wǎng)絡(luò)嗅探器嗅探的是網(wǎng)絡(luò)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。所以，應(yīng)該說(shuō)Sniffer的危害是相當(dāng)之大的。通常，使用Sniffer是在網(wǎng)絡(luò)中進(jìn)行欺騙的開始，它可能造成的危害有下面幾個(gè)方面。二、嗅探造成的危害網(wǎng)絡(luò)嗅探器嗅探的是網(wǎng)絡(luò)結(jié)構(gòu)的底層。通常情二、嗅探造成的危害

1.捕獲口令Sniffer可以記錄到明文傳送的userid和passwd，即使網(wǎng)絡(luò)傳送過(guò)程中使用了加密的數(shù)據(jù)，Sniffer記錄的數(shù)據(jù)一樣有可能使入侵者想辦法算出你的算法。一般Sniffer只嗅探每個(gè)報(bào)文的前200到300個(gè)字節(jié)，而用戶名和口令都包含在這一部分中。二、嗅探造成的危害1.捕獲口令二、嗅探造成的危害

能夠捕獲專用的或者機(jī)密的信息。比如金融帳號(hào)，許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào)，然而Sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和pin，比如偷窺機(jī)密或敏感的信息數(shù)據(jù)，通過(guò)攔截?cái)?shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送,或者干脆攔截整個(gè)的email會(huì)話過(guò)程。

二、嗅探造成的危害能夠捕獲專用的或者機(jī)密的信息。二、嗅探造成的危害

可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全Sniffer還可用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限。一旦入侵者得到用戶名和口令，必然可以通過(guò)信任關(guān)系危害網(wǎng)絡(luò)鄰居的安全,既而獲取更高級(jí)別的訪問(wèn)權(quán)限。二、嗅探造成的危害可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全二、嗅探造成的危害

窺探低級(jí)的協(xié)議信息

通過(guò)對(duì)底層的信息協(xié)議記錄，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址，遠(yuǎn)程網(wǎng)絡(luò)接口IP地址，IP路由信息和TCP連接的字節(jié)順序號(hào)碼等。這些信息由入侵者掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害，例如通常的IP地址欺騙就是要求準(zhǔn)確插入TCP連接的字節(jié)順序號(hào)。二、嗅探造成的危害窺探低級(jí)的協(xié)議信息

當(dāng)然，簡(jiǎn)單的放置一個(gè)嗅探器并將其隨便放置將不會(huì)起到什么作用。如果將嗅探器放置于被攻擊機(jī)器，網(wǎng)關(guān)或網(wǎng)絡(luò)附近,可以捕獲到很多口令。如果將Sniffer運(yùn)行在路由器,或有路由器功能的主機(jī)上，可以對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。Sniffer屬第二層次的攻擊，通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過(guò)程。當(dāng)然，簡(jiǎn)單的放置一個(gè)嗅探器并將其隨便放置將不會(huì)起到什三、常見的嗅探器Tcpdump/WindumpTcpdump是一個(gè)非常經(jīng)典的網(wǎng)絡(luò)包監(jiān)聽分析工具，它最初是由美國(guó)加州大學(xué)伯克利分校勞倫斯伯克利國(guó)家實(shí)驗(yàn)室的網(wǎng)絡(luò)研究小組開發(fā)的，現(xiàn)在由“TheTcpdumpGroup”來(lái)更新和維護(hù)()。

三、常見的嗅探器Tcpdump/Windump三、常見的嗅探器EttercapEttercap是一個(gè)很著名的交換網(wǎng)絡(luò)嗅探器，作者是AlbertoOrnaghi和MarcoValleri。除了包含常規(guī)的混雜模式嗅探外，Ettercap還包含ARP欺騙方式的嗅探功能,可以對(duì)交換環(huán)境中的網(wǎng)絡(luò)通信進(jìn)行監(jiān)聽。此外，Ettercap的最新版還包括許多更強(qiáng)大的功能，例如：數(shù)據(jù)包生成器，SSL和SSH會(huì)話劫持，會(huì)話內(nèi)容注射,被動(dòng)探測(cè)操作系統(tǒng)類型，端口掃描以及各種口令的采集等。Ettercap有基于IP，基于MAC地址，ARP模式和PubilcARP模式四種嗅探。三、常見的嗅探器Etter三、常見的嗅探器SnarpSnarp是一個(gè)運(yùn)行在WindowsNT上的交換網(wǎng)絡(luò)嗅探器。其實(shí)，嚴(yán)格說(shuō)，它并不具備嗅探功能，因?yàn)樗皇菍?duì)目標(biāo)主機(jī)ARP欺騙，并以中間人的身份對(duì)收到的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，真正的抓包分析工作，還要借助于其他工具,例如Windump,Ngrep等。Snarp的運(yùn)行需要LibnetNT(Windows系統(tǒng)中的Libnet庫(kù))和Winpcap的支持。三、常見的嗅探器Snarp三、常見的嗅探器SniffitSniffit是由lawrenceBerkeleyLaboratory開發(fā)的一個(gè)非常優(yōu)秀的嗅探器，它可以運(yùn)行在Solaris，Iris，F(xiàn)reeBSD和Linux等眾多系統(tǒng)平臺(tái)。不同于Tcpdump的是,它可以提供完全的數(shù)據(jù)包內(nèi)容輸出，使用者可以選擇源地址和目的地址或地址集合，選擇監(jiān)聽的端口,協(xié)議和網(wǎng)絡(luò)接口等，由此方便地捕獲網(wǎng)絡(luò)數(shù)據(jù)包。Sniffit也是基于Libpcap開發(fā)的，除了適用于UNIX類型操作系統(tǒng)的版本外，也有可運(yùn)行于Windows平臺(tái)的相同版本，當(dāng)然，后者需要Winpcap的支持。

三、常見的嗅探器Sniffit四、嗅探對(duì)策網(wǎng)絡(luò)嗅探的檢測(cè)方法

嗅探程序是一種被動(dòng)的接收和觸發(fā)程序，它只會(huì)收集數(shù)據(jù)包，而不發(fā)送出任何數(shù)據(jù)，因此，嗅探器在理論上是不可能被檢測(cè)出來(lái)的。但由于當(dāng)它安裝在一臺(tái)正常局域網(wǎng)內(nèi)的計(jì)算機(jī)上，工作時(shí)會(huì)產(chǎn)生一些數(shù)據(jù)流量，網(wǎng)絡(luò)也會(huì)出現(xiàn)一些典型的特征，還是可以發(fā)現(xiàn)網(wǎng)絡(luò)中存Sniffer的行跡的。四、嗅探對(duì)策網(wǎng)絡(luò)嗅探的檢測(cè)方法網(wǎng)絡(luò)嗅探的檢測(cè)方法

網(wǎng)絡(luò)通訊掉包率反常的高

通過(guò)一些網(wǎng)絡(luò)軟件，你可以看到你的信息包傳送情況（不是Sniffer），向ping這樣的命令會(huì)告訴你掉了百分幾的包。如果網(wǎng)絡(luò)中有人在聽，由于Sniffer攔截每個(gè)包，你的信息包傳送將無(wú)法每次都順暢的流到你的目的地。

網(wǎng)絡(luò)嗅探的檢測(cè)方法網(wǎng)絡(luò)通訊掉包率反常的高網(wǎng)絡(luò)嗅探的檢測(cè)方法

網(wǎng)絡(luò)帶寬出現(xiàn)反常

通過(guò)某些