精华内容
下载资源
问答
  • 网络监听扫描攻击

    2020-10-10 16:42:25
    Nmap 是一个免费开放的网络扫描和嗅探工具包,也叫网络映射器(Network Mapper)。 Nmap 工具可以用来扫描电脑上开放端口,确定哪些服务运行在哪些端口,并且推断出计算机运行操作系统。通过使用该工具,可以...

    原理简介

    Nmap 是一个免费开放的网络扫描和嗅探工具包,也叫网络映射器(Network Mapper)。
    Nmap 工具可以用来扫描电脑上开放的端口,确定哪些服务运行在哪些端口,并且推断出计算机运行的操作系统。通过使用该工具,可以评估网络系统安全。所以,Nmap 是大部分用户所必要的工具之一。
    Nmap 可以完成以下任务:主机探测、端口扫描、版本检测、系统检测。Nmap 使用 TCP/IP 协议栈指纹准确地判断目标主机的操作系统类型。首先,Nmap 通过对目标主机进行端口扫描,找出有哪些端口正在目标主机上监听。当侦测到目标主机上有多于一个开放的 TCP 端口、一个关闭的 TCP 端口和一个关闭的 UDP 端口时,Nmap 的探测能力是最好的。Nmap 对目标主机进行一系列测试。利用得出的测试结果建立相应目标主机的 Nmap 指纹。最后,将此 Nmap 指纹与指纹库中指纹进行查找匹配,从而得出目标主机的操作系统类型。
    nmap 默认发送一个 ARP 的 PING 数据包,来探测目标主机 1-10000 范围内所开放的所有端口。
    Nmap 基本命令参数(几个比较常用的参数):

    • nmap –iflist : 查看本地主机的接口信息和路由信息
    • A :选项用于使用进攻性方式扫描
    • T4: 指定扫描过程使用的时序,总有 6 个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或 IDS 检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用 T4
    • -sn : 只进行主机发现,不进行端口扫描
    • -O : 指定 Nmap 进行系统版本扫描
    • -sV: 指定让 Nmap 进行服务版本扫描
    • -p : 扫描指定的端口
    • -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans 的方式来对目标主机进行扫描
    • -sU: 指定使用 UDP 扫描方式确定目标主机的 UDP 端口状况
    • -script

    TCP 连接扫描:
    TCP connect 方式使用系统网络 API connect 向目标主机的端口发起连接,如果无法连接,说明该端口关闭。该方式扫描速度比较慢,而且由于建立完整的 TCP 连接会在目标主机上留下记录信息,不够隐蔽。所以,TCP connect 是 TCP SYN 无法使用才考虑使用的方式
    SYN 扫描:
    SYN 扫描作为默认的也是最受欢迎的扫描选项,是有充分理由的。 它执行得很快,在一个没有入侵防火墙的快速网络上,每秒钟可以扫描数千个 端口。 SYN 扫描相对来说不张扬,不易被注意到,因为它从来不完成 TCP 连接。 它也不像 Fin/Null/Xmas,Maimon 和 Idle 扫描依赖于特定平台,而可以应对任何兼容的 TCP 协议栈。 它还可以明确可靠地区分 open, closed,和 filtered状态,它常常被称为半开放扫描, 因为它不打开一个完全的 TCP 连接。它发送一个 SYN 报文, 就像您真的要打开一个连接,然后等待响应。 SYN/ACK 表示端口在监听,而 RST表示没有监听者。如果数次重发后仍没响应, 该端口就被标记为被过滤。如果收到 ICMP 不可到达错误,该端口也被标记为被过滤。
    UDP 扫描:
    UDP 扫描用于判断 UDP 端口的情况,向目标主机的 UDP 端口发送探测包,如果收到回复 ICMP port
    unreachable 就说明该端口是关闭的;如果没有收到回复,那说明该 UDP 端口可能是开放的或者屏蔽的。因此,通过反向排除法的方式来判断哪些 UDP 端口是可能处于开放状态的。
    Wireshark 是目前使用最为广泛的开源抓包软件,Wireshark 的核心功能是捕捉网络数据包,并尽可能地显示出数据包中的详细信息,底层需要 Winpcap 的支持。其基本工作原理是:当计算机上的网卡收到数据帧时,会查看数据帧的目的 MAC 和本网卡的 MAC 地址是否相同。如果不同就丢弃帧,如果相同就接收帧并交给上一层处理。对于广播帧或者组播帧,网卡也会接收下来,但在正常情况下,这些帧会被丢弃。当计算机上启动 Wireshark 后,网卡会被置为混杂模式,这时只要数据帧能达到网卡,不论帧的目的 MAC 和本网卡的 MAC 地址是否相同,网卡将全部接收并交给 Wireshark 处理。

    在Windows或Linux(如Kali 2)上配置Telnet、FTP服务器

    在 FTP 服务器上创建一个以自己姓名拼音为账户名的账户,设置密码,同时将用户下次登录时需修改密码复选框去掉,步骤右键单击【我的电脑】—【管理】 —【用户与组】—【用户】,空白处选择右键,选择【新用户】

    在这里插入图片描述
    在这里插入图片描述
    在 C 盘创建文件夹 FTPServer。 然后创建 localuser 文件夹,在 localuser 文件夹下创建以刚才创建的用户名为文件名的文件夹,即twl,在该文件夹下放置若干文件。
    在这里插入图片描述
    安装 FTP 服务,开始–设置–控制面板–添加或删除程序–添加/删除 windows 组件,双击应用程序服务器–internet 信息服务–文件传输协议 ftp 服务.
    在这里插入图片描述
    确认完已经安装 FTP 服务后,对 FTP 站点进行设置,开始–管理工具–internet 信息服务管理器.
    在这里插入图片描述
    输入IP地址为192.168.30.138,tcp端口为21
    在这里插入图片描述
    单击【下一步】,选择用户隔离方法,选择【隔离用户】单选按钮,
    在这里插入图片描述
    单击【下一步】,配置 FTP 服务器主目录为刚才创建的文件夹路径
    在这里插入图片描述
    单击【下一步】,配置 FTP 站点访问权限为读取
    在这里插入图片描述
    给新添加的用户设置权限:打开 FTP 站点–右键权限
    在这里插入图片描述
    重启 FTP 站点,并通过 kali 进行访问测试,ftp://192.168.30.138:21,只能访问public文件夹下的文件,ftp:twl:root@192.168.30.138:21,可以访问twl文件夹下的文件
    在这里插入图片描述
    在这里插入图片描述
    配置telnet服务器:我的电脑–右键–管理–服务和应用程序,找到telnet,双击打开属性,打开telnet服务。
    在这里插入图片描述
    在计算机管理中打开本地用户和组–组--telnetclients,双击打开属性,在telnetclients中添加用户。
    在这里插入图片描述
    在这里插入图片描述
    kali访问测试,telnet 192.168.30.138,输入用户名和密码,成功访问。
    在这里插入图片描述

    使用Wireshark捕获Telnet、FTP用户名和密码等敏感信息

    开启wireshark,同时使用telnet远程访问win2003进行抓包,按protocol进行排序,可看到捕获到了telnet数据包。
    在这里插入图片描述
    在分析中,打开追踪tcp流,可以看到捕获的用户名和密码,用户名:twl,密码:root。
    在这里插入图片描述
    点开单个telnet数据包进行分析,第一个包显示“t”,即用户名的第一个字母,可以看出一次只抓取一个字母,然后向下对照,遇见“/r”或“/n”的时候即为换行和回车,继续向下查看数据包就可以看到密码了。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在kali访问链接ftp://twl:root@192.168.30.138,同时开启Wireshark数据包抓取,在数据包可以看到用户名和密码。
    在这里插入图片描述
    查看追踪tcp流也可以发现,捕获的账户名为twl,密码为root。
    在这里插入图片描述

    使用Nmap对1中服务器平台进行TCP连接扫描、SYN扫描、UDP扫描、Xmas扫描及Null等扫描,并对扫描报告进行解释;

    tcp连接扫描
    命令:nmap -sT -T4 -A -v 192.168.30.138
    扫描结果可以看出,在192.168.30.138主机进行dns解析并扫描端口
    开放tcp端口:135、1025、445、139、21、23、1026
    在这里插入图片描述
    SYN扫描
    命令:nmap -sS 192.1.9.128
    扫描结果可以看出,192.168.30.138主机开放的端口以及服务
    包括:21端口ftp服务、23端口telnet服务、135端口msrpc、139端口netbios-ssn、445端口mocrosoft-ds、1025端口NFS-or-IIS、1026端口LSA-or-nterm。
    在这里插入图片描述
    UDP扫描
    nmap -sU 192.168.30.138
    扫描结果可以看出192.168.30.138主机开放的UDP端口及服务。
    123端口ntp服务、137端口netbios-ns、138端口netbois-dgm、455端口microcoft-ds、500端口isakmp、1027端口、1032端口iad3、3456端口IISrpc-or-vat、4500端口nat-t-ike。
    在这里插入图片描述
    Xmas 扫描
    命令:Nmap -sX 192.1.30.138,扫描到192.168.30.138的mac地址:00:0C:29:71:1B:0A。
    在这里插入图片描述
    NULL 扫描
    命令:nmap -sN 192.168.30.138,扫描到192.168.30.138的mac地址:00:0C:29:71:1B:0A。
    在这里插入图片描述

    Nessus或OpenVAS对1中服务器平台进行扫描攻击,并根据结果报告,查阅资料解释存在的漏洞、危害及可能的利用方式。

    安装openvas并启动
    命令:Apt-get update (更新)
    Apt-get upgade
    Apt-get dist-upgrade
    apt-get install openvas (安装 openvas)
    openvas-setup
    Openvas-stop (关闭 openvas)
    Openvas-start (开启 openvas)
    在这里插入图片描述
    在浏览器输入:https://127.0.0.1:9392/,并进行登录。
    在这里插入图片描述
    (3)点击Scans下的targets,Task Winzard模式只需添加ip地址或域名即可新建扫描任务。win2003的IP地址为192.168.30.138.
    在这里插入图片描述
    新建任务之后默认会开启任务扫描。
    在这里插入图片描述
    查看详细信息
    在这里插入图片描述
    扫描报告部分分析
    ①Windows SMB服务器NTLM多重漏洞(971468)
    在处理SMB请求时存在输入验证错误,并且可以通过特殊制作的SMB包被利用以导致缓冲区溢出。
    在SMB实现中解析SMB数据包时出现错误通过一个特制的SMB包导致内存损坏的协商阶段。
    SMB在验证“共享”时存在空指针解引用错误和’servername’字段在SMB包导致拒绝服务。
    在SMB NTLM身份验证期间,可以绕过身份验证机制。
    在这里插入图片描述
    CVE-2010-0020: SMB实现在服务器服务在Microsoft Windows 2000 SP4, Windows XP SP2和SP3, Windows Server 2003 SP2, Windows Vista黄金,SP1, SP2, Windows Server 2008黄金,SP2, R2,和Windows 7字段不正确验证请求,远程经过身份验证的用户可以执行任意代码通过一个畸形的请求,又名“SMB路径名溢出漏洞。”

    CVE-2010-0021: SMB中的多个竞争条件实现在服务器服务在微软Windows Vista黄金,SP1, SP2, Windows Server 2008黄金,SP2, R2,和Windows 7允许远程攻击者造成拒绝服务(系统挂)通过精心设计(1)或(2)SMBv2 SMBv1包谈判,又名“SMB内存腐败漏洞。”

    CVE-2010-0022:SMB实现在服务器服务在Microsoft Windows 2000 SP4, Windows XP SP2和SP3, Windows Server 2003 SP2, Windows Vista黄金,SP1, SP2, Windows Server 2008黄金,SP2, R2,和Windows 7不正确验证共享和servername领域SMB包,它允许远程攻击者造成拒绝服务(系统挂)通过一个精心包,又名“SMB空指针的弱点。”

    CVE-2010-0231:SMB实现在服务器服务在Microsoft Windows 2000 SP4, Windows XP SP2和SP3, Windows Server 2003 SP2, Windows Vista黄金,SP1, SP2, Windows Server 2008黄金,SP2, R2,和Windows 7不使用足够源的熵,它允许远程攻击者获得访问文件和其他SMB资源通过大量的身份验证请求,与注册服务器生成的挑战,某些重复的值,和欺骗的身份验证令牌,又名“SMB NTLM认证缺乏熵漏洞”。
    在这里插入图片描述
    ②匿名FTP登录报告
    报告远程FTP服务器是否允许匿名登录,可以通过以下匿名帐户登录到远程FTP服务:
    anonymous@example.com
    ftp: anonymous@example.com
    基于此匿名FTP登录可访问的文件和权限
    这个帐户的攻击者可能能够:获取敏感文件、上传或删除文件。
    在这里插入图片描述

    展开全文
  • 局域网监听的原理与实现

    千次阅读 2013-10-08 15:11:26
    局域网监听的原理与实现  随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到...

    局域网监听的原理与实现

      随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息。事实上,很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息。但另一方面,我们对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。

    二、局域网监听的基本原理

      根据IEEE的描述,局域网技术是"把分散在一个建筑物或相邻几个建筑物中的计算机、终端、大容量存储器的外围设备、控制器、显示器、以及为连接其它网络而使用的网络连接器等相互连接起来,以很高的速度进行通讯的手段"。

      局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。

    1. 网络监听

      网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。

    2. 在局域网实现监听的基本原理

      对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。

      在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。

      传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。

      然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。
    三、局域网监听的简单实现

      要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在Unix系统中,发送这些命令需要超级用户的权限。在Windows系列操作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。

    四、如何检测并防范网络监听

      网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域局上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。

    1. 对可能存在的网络监听的检测

      (1)对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack不再次反向检查的话,就会响应。

      (2)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。

      (3)使用反监听工具如antisniffer等进行检测

    2. 对网络监听的防范措施

      (1)从逻辑或物理上对网络分段

      网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

      (2)以交换式集线器代替共享式集线器

      对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。

      因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息,要远远少于单播包。

      (3)使用加密技术

      数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

      (4)划分VLAN

      运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。

    五、结束语

      网络监听技术作为一种工具,总是扮演着正反两方面的角色。对于入侵者来说,最喜欢的莫过于用户的口令,通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说,网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状,我们应该进一步挖掘网络监听技术的细节,从技术基础上掌握先机,才能在与入侵者的斗争中取得胜利。


    展开全文
  • 局域网监听的原理、实现与防范

    千次阅读 2013-09-11 20:19:49
    局域网监听的原理、实现与防范 一、引言 随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但随之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中...
    局域网监听的原理、实现与防范 

    一、引言


    随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但随之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息。事实上,很多黑客入侵时都把局域网扫描和监听作为其最基本的步骤和手段,原因是想用这种方法获取想要的密码等信息。但另一方面,我们对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。

    二、局域网监听的基本原理


    根据IEEE的描述,局域网技术是"把分散在一个建筑物或相邻几个建筑物中的计算机、终端、大容量存储器的外围设备、控制器、显示器、以及为连接其它网络而使用的网络连接器等相互连接起来,以很高的速度进行通讯的手段"。
    局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。

    1. 网络监听
    网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。

    2. 在局域网实现监听的基本原理

    对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。

    在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给数据链路层(网络接口),而数据链路层是不会识别IP地址的。——这是局域网监听的基本原理

    因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。


    传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。

    然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。

    三、局域网监听的简单实现


    要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在Unix系统中,发送这些命令需要超级用户的权限。在Windows系列*作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。

    四、如何检测并防范网络监听


    网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域局上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。

    1. 对可能存在的网络监听的检测

    (1)对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack不再次反向检查的话,就会响应。

    (2)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。

    (3)使用反监听工具如antisniffer等进行检测

    2. 对网络监听的防范措施


    (1)从逻辑或物理上对网络分段

    网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

    (2)以交换式集线器代替共享式集线器

    对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。

    因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息,要远远少于单播包。

    (3)使用加密技术

    数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

    (4)划分VLAN

    运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。

    五、结束语


    网络监听技术作为一种工具,总是扮演着正反两方面的角色。对于入侵者来说,最喜欢的莫过于用户的口令,通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说,网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状,我们应该进一步挖掘网络监听技术的细节,从技术基础上掌握先机,才能在与入侵者的斗争中取得胜利。
     
     

    展开全文
  • 信息来源:网络一、引言 随着计算机技术发展,网络已日益成为生活中不可或缺工具,但伴之而来非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有...


    信息来源:网络

    一、引言

       随着计算机技术的发展,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息。事实上,很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息。但另一方面,我们对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。

    二、局域网监听的基本原理

      根据IEEE的描述,局域网技术是"把分散在一个建筑物或相邻几个建筑物中的计算机、终端、大容量存储器的外围设备、控制器、显示器、以及为连接其它网络而使用的网络连接器等相互连接起来,以很高的速度进行通讯的手段"。

      局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。

    1. 网络监听

      网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。

    2. 在局域网实现监听的基本原理

       对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。

      在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。

      传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。

      然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。

    三、局域网监听的简单实现

      要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在Unix系统中,发送这些命令需要超级用户的权限。在Windows系列操作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。

    四、如何检测并防范网络监听

      网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域局上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。

    1. 对可能存在的网络监听的检测

    (1)对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack不再次反向检查的话,就会响应。

    (2)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。

    (3)使用反监听工具如antisniffer等进行检测

    2. 对网络监听的防范措施

    (1)从逻辑或物理上对网络分段

      网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

    (2)以交换式集线器代替共享式集线器

      对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。

      因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息,要远远少于单播包。

    (3)使用加密技术

      数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

    (4)划分VLAN

      运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。

    五、结束语

      网络监听技术作为一种工具,总是扮演着正反两方面的角色。对于入侵者来说,最喜欢的莫过于用户的口令,通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说,网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状,我们应该进一步挖掘网络监听技术的细节,从技术基础上掌握先机,才能在与入侵者的斗争中取得胜利。
     

    展开全文
  • 1、了解网络端口扫描的作用端口扫描的原理。 2、熟悉各种常用服务监听端口号。 3、具体要求: 1)使用Nmap工具进行端口扫描。 2)使用Nmap工具进行网络服务及其版本探测。 二、实验设备与环境: 环境如图1.1...
  • 一、引言  随着计算机技术发展,网络已日益成为生活中不可或缺工具,但...事实上,很多黑客入侵时都把局域网扫描和侦听作为其最基本步骤和手段,原因是想用这种方法获取其想要密码等信息。但另一方面,我...
  • 随着计算机技术发展,网络已日益成为生活中不可或缺工具,但伴之而来非法***也一直威胁着计算机网络系统的安全。由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有信息包。而***通过对信息包...
  • 网络安全威胁类别网络内部威胁,网络滥用,没有安全意识员工,黑客,骇客。木马攻击原理C/S 架构,服务器端被植入目标...分为扫描攻击和网络监听扫描攻击有端口扫描,主机扫描,漏洞扫描。网络监听:主要指...
  • NMapZMap

    千次阅读 2016-10-12 18:31:34
    NMap(Network Mapper):最初是Linux下的网络扫描和嗅探工具包,它通过扫描网上电脑开放的网络连接端,确定哪些服务运行在哪些连接端,并可以推断出电脑运行在操作系统类型,还可以评估网络系统的安全性。...
  • [Oracle.11g权威指南(第2版)].谷长勇.扫描版.pdf

    千次下载 热门讨论 2013-06-23 21:16:09
    3.6.4 在Linux环境下启动关闭Oracle监听进程 49 3.7 本章小结 50 第4章 Oracle数据库结构 51 本章将介绍Oracle数据库体系结构、服务器结构、Oracle数据库文件及后台进程。 4.1 Oracle体系结构 51 4.1.1 基本术语...
  • 网络特工 2.2.7.7.rar

    2011-06-13 02:54:35
    $ 使用虚拟IP地址和MAC物理地址扫描和管理网段, 其隐蔽性真正体现"特工"本色 $ 独有自我保护功能, 保护您不被其它软件管理, 保证您数据安全 $ 网址映射功能可强制被管理主机访问您本地网站、访问指定互联网...
  • 调用nmap_nmap插件编写

    2021-01-08 15:06:20
    0x01 nmap简介Nmap(网络映射器)是一款用于网络发现和安全审计的网络安全工具,它是自由软件。--维基百科nmap执行原理如下:nmap目录结构如下:扫描的端口状态如下:•Open(开放): 应用程序正在这个端口上...
  • Linux防火墙技术探秘

    2013-02-28 16:20:09
    4配置网卡和网络地址 3.?4Linux系统结构 3.?4.?1Linux内核系统组成 3.?4.?2系统数据结构 3.?4.?3Linux具体结构 3.?4.?4Linux内核源代码 3.?4.?5Linux内核源代码结构 3.?4.?6阅读源代码 3.?5makefile文件 3.?5.?1...
  • Wireshark数据包分析实战(第二版)

    千次下载 热门讨论 2014-06-29 14:24:16
    第2章 监听网络线路 2.1混杂模式 2.2在集线器连接的网络中进行嗅探 2.3在交换式网络中进行嗅探 2.3.1端口镜像 2.3.2集线器输出 2.3.3使用网络分流器 2.3.4ARP欺骗 2.4在路由网络环境中进行嗅探 2.5部署嗅探器实践...
  • 58页过滤器和监听器 30页HTTP xxxx页Redis:待更新...(最新首发公众号,导航更新可能有延迟) Hibernate AJAX ...... :coffee:Java基础 初学者学Java常遇到问题,我都给你回答了! Java学习路线 学完SSM,...
  • 黑马安卓52期视频教程

    热门讨论 2015-06-24 22:15:48
    05_多线程下载的原理和过程 06_多线程下载的实现 07_断点续传的原理&进度临时文件的生成 08_断点续传的实现 09_把多线程断点续传移植至手机 10_添加进度条 11_文本进度 12_xUtils day06_Android应用开发-页面跳转...
  • 4.2.1 反射的原理,反射创建类实例的三种方式是什么。 4.2.2 反射中,Class.forNameClassLoader区别 。 4.2.3 描述动态代理的几种实现方式,分别说出相应的优缺点。 4.2.4 动态代理与cglib实现的区别。 4.2.5 ...
  •  本书还提供了dba完成本职工作必备基本uniix、sql、pl/sql数据建模知识,也给出了许多富有趣味性例子,通过这些实例详细、循序渐进地说明了oracle database 11g数据库各个概念特性。 作译者  Sam...
  • 4.2.5 OEM的原理和工作方式 137 4.2.6 Agent的工作方式 137 4.3 部署OEM Grid Control 138 4.3.1 部署OEM 139 4.3.2 OracleAS、OMS、OC4J的关系 145 4.3.3 OEM的目录结构 147 4.4 部署Agent 148 ...
  • 本书共分3篇共11章,系统地介绍了入侵全部过程,以及相应防御措施方法。其中包括信息搜集、基于认证入侵及防御、基于漏洞入侵及防御、基于木马入侵及防御、入侵中隐藏技术、入侵后留后门以及清...
  • 本书共分3篇共11章,系统地介绍了入侵全部过程,以及相应防御措施方法。其中包括信息搜集、基于认证入侵及防御、基于漏洞入侵及防御、基于木马入侵及防御、入侵中隐藏技术、入侵后留后门以及清...
  • 本书共分3篇共11章,系统地介绍了入侵全部过程,以及相应防御措施方法。其中包括信息搜集、基于认证入侵及防御、基于漏洞入侵及防御、基于木马入侵及防御、入侵中隐藏技术、入侵后留后门以及清...
  • 2个目标文件 摘要:Java源码,网络相关,UDP 基于JAVA的UDP服务器模型源代码,内含UDP服务器端模型UDP客户端模型两个小程序,向JAVA初学者演示UDP C/S结构的原理。 简单聊天软件CS模式 2个目标文件 一个简单的CS模式...
  • JAVA上百实例源码以及开源项目

    千次下载 热门讨论 2016-01-03 17:37:40
     基于JAVA的UDP服务器模型源代码,内含UDP服务器端模型UDP客户端模型两个小程序,向JAVA初学者演示UDP C/S结构的原理。 简单聊天软件CS模式 2个目标文件 一个简单的CS模式的聊天软件,用socket实现,比较简单。 ...

空空如也

空空如也

1 2
收藏数 35
精华内容 14
关键字:

安全扫描和网络监听的原理