6.殺手型。此種黑客以監(jiān)控方式將他人網(wǎng)址內(nèi)由國外傳來的資料迅速清除,使得原
使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網(wǎng)絡(luò)內(nèi),使其網(wǎng)絡(luò)無法正 人內(nèi)境入A用,全限、
運(yùn)行。
S 2.6 Sniffer 間生個陽面目,限楽天
網(wǎng)絡(luò)中聽的目的和我們目常生活中的一樣;就是在你的通訊線路上設(shè)置一個叫做sr
e(探器),它既可以是硬件,也可以是軟件,用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?Sniffe對網(wǎng)
的危害是不言而喻的。由于網(wǎng)絡(luò)中進(jìn)行傳輸?shù)男畔⒋蠖嗍敲魑?,包括一般的郵件、口令等,過
樣計(jì)算機(jī)系統(tǒng)的安全就可想而知了。讓我們首先來大致了解一下嗅探器。
1. Sniffer簡介。網(wǎng)絡(luò)可以是運(yùn)行在各種協(xié)議之下的,包括 Ethernet、 TCPAIP、ZPX等
(也可以是其中幾種協(xié)議的聯(lián)合)。放置 Sniffer的目的是使網(wǎng)絡(luò)接口處于廣播狀態(tài)( Promise
ous Mode),從而可以截獲網(wǎng)絡(luò)上的內(nèi)容。可容內(nèi)害團(tuán),令的大棄容代
以太網(wǎng)( Ethernet)是由Xeox的 Palo Aito研究中心(有時(shí)也稱為PARC)發(fā)明的。以太網(wǎng)
也是局域網(wǎng)中最為常見的網(wǎng)絡(luò)協(xié)議。下面簡介一下信息在以太網(wǎng)上的傳輸形式:一個消息 要發(fā)送的時(shí)候,每一個網(wǎng)絡(luò)節(jié)點(diǎn)或工作站都是一個接口,一個請求被發(fā)往所有的接口,尋找真
正的接收者。這個請求是以普通的廣播形式發(fā)送的。網(wǎng)絡(luò)上的機(jī)器都“聽”到了那些不準(zhǔn)備
接收這個消息的機(jī)器雖然聽到了,但是忽略了。這個請求在沒有工作站回答時(shí),就會自動”死 亡”。那個要接收消息的工作站,把自己的硬件地址發(fā)送出去。這時(shí),信息從發(fā)送的工作站被
送到電纜上(用包的形式)。向接收工作站發(fā)送,你可以想像在這種情況(自接收者明確之后開
始)其它的工作站都要忽略在發(fā)送者和接收者之間傳遞的信息。但是,它們并不是必須忽略這
任何在網(wǎng)上傳輸?shù)男畔⒍际强梢?quot;“聽”到的。意畫速,能用用的網(wǎng)內(nèi) 些數(shù)據(jù),如果它們不忽略的話;它們是可以聽到的。換盲之,對于這個網(wǎng)段上所有的接口來說
、廣播是指網(wǎng)絡(luò)上所有的工作站都在傾聽所有傳輸?shù)男畔?,而不僅僅是它自己的信息狀態(tài)。
換一句話說,非廣播狀態(tài)是指工作站僅僅傾聽那些直接指向它自己的地址信息的狀態(tài)。在廣
播狀態(tài)中,工作站傾聽所有的內(nèi)容,而不管這些內(nèi)容是送到哪一個地址去的。 Sniffer就是這樣
的硬件或軟件,能夠“聽”到(而不是忽略)在網(wǎng)上傳輸?shù)乃行畔ⅰT谶@種意義上,每一個機(jī)
器,每一個路由器都是一個 Sniffer(或者至少可以說它們可以成為一個 Sniffer)這些信息就
被儲存在介質(zhì)上,以備日后檢查時(shí)用。要使你的機(jī)器成為一個 Sniffer、你或者需要一個特殊的
軟件( Ethernet卡的廣播驅(qū)動程序)或者需要一種絡(luò)軟件使你的網(wǎng)絡(luò)處于廣播模式。 Sniffer
bug功能,或者就是一個真正的 Sniffer 可以是(而且通常是)軟件和硬件的聯(lián)合體,軟件可以是普通的網(wǎng)絡(luò)分析器帶有比較強(qiáng)的De
是,一些有戰(zhàn)略意義的位置可能今入侵者比較滿意。其中一個地方就是任何與接收口令的 Sniffer必須是位于準(zhǔn)備進(jìn)行 Sniffer工作的網(wǎng)絡(luò)上的,它可以放在網(wǎng)絡(luò)段中的任何地方。
與 Internet相聯(lián)接的話,入者就可能想要截獲你的網(wǎng)絡(luò)與其它網(wǎng)絡(luò)之間的身份驗(yàn)證過程。機(jī)器成與其它網(wǎng)絡(luò)相鄰的地方。尤其是日標(biāo)為網(wǎng)關(guān)或者數(shù)據(jù)往來必經(jīng)之地時(shí),如果你的網(wǎng)絡(luò)
2.str程序?最初,sife是被設(shè)計(jì)來診斷網(wǎng)絡(luò)的聯(lián)接情況的(和任何一個
2網(wǎng)安企底與意
還有許多入侵者將為自己開的后門設(shè)在一個非常高的端口上,這些不常用的端口,常常被
掃描程序忽略。入侵者通過這些端口可以任意使用系統(tǒng)的資源,也為他人非法訪問這臺主機(jī)
開了方便之門。在國內(nèi),許多不能直接出國的主機(jī)上的用戶總愛將一些Poxy之類的程序,偷
測到這類活動,其中之一便是使用端口掃描程序。地安裝在一些方便出國的主機(jī)上,將大筆的流量賬單轉(zhuǎn)嫁到他人身上。有許多方法可以檢
2.7、2各種端口擔(dān)描
接,如果可以建立連接,則說明該主機(jī)在那個端口監(jiān)聽。當(dāng)然,這種端口掃描程序不能進(jìn)一步 通常說來,最簡單的端口掃描程序僅僅是檢査一下目標(biāo)主機(jī)有哪些端口可以建立TCP連
確定端口提供什么樣的服務(wù),也不能確定該服務(wù)是否有眾所周知的那些缺陷。要想知道端口上具體是什么服務(wù),則必須用相應(yīng)的協(xié)議來驗(yàn)證。因?yàn)橐粋€服務(wù)進(jìn)程總是
為了完成某種具體的工作,比如說,文件傳輸服務(wù)有文件傳輸?shù)囊惶讌f(xié)議,只有按照這個協(xié)議 各戶提供正確的命令序列,才能完成正確的文件傳輸服務(wù)。遠(yuǎn)程終端服務(wù)在一開始總是要
交換許多關(guān)于終端的信息,才能在用戶端實(shí)現(xiàn)正常的顯示。因此,應(yīng)用層協(xié)議是各不相同的。
一個專門在網(wǎng)絡(luò)上搜尋代理的程序,總是試圖連接一臺主機(jī)的許多端口,如果能夠通過這許多
端口之一,調(diào)來某一個WWW站點(diǎn)的網(wǎng)頁,則可以認(rèn)為在這個端口正在運(yùn)行著一個代理程序。
機(jī)建立連接。而建立連接之后,便被目標(biāo)主機(jī)記錄下來。另外,可以被防火墻之類的系統(tǒng)過濾 這種方法可以被目標(biāo)主機(jī)檢測到,并被記錄下來。因?yàn)檫@種方法總是要主動去與目標(biāo)主
掉。當(dāng)防火墻檢査通過的IP包時(shí),對于這種來自未知的源IP地址的包總是非常警惕的。因
此,人侵者為了有效地隱蔽自己,又能進(jìn)行端口掃描,需要尋找更有效的方法。有許多利用
堂防火墻有很大的幫助。一些防火墻已提供這方面的過濾功能?,F(xiàn)在,讓我們先來溫習(xí)ー下 TCP1P協(xié)議的本身特征,實(shí)現(xiàn)隱身的技巧可供入侵者利用。了解這些知識對于管理員和配
IP數(shù)據(jù)包中的一些字段的含義吧。內(nèi) 一在TCP數(shù)據(jù)包的報(bào)頭中有六個位,分別表示FIN、SYN、RST、PSH、ACK和URG。的
其中,ACK被置1,表明確認(rèn)號是有效的;如果這一位被清零,數(shù)據(jù)包中不包含一個確認(rèn),
確認(rèn)號域?qū)⒈缓雎浴?/div>
PSH提示數(shù)據(jù)的接收者將收到的數(shù)據(jù)直接交給應(yīng)用程序,而不是將它放在緩沖區(qū),直到
緩沖區(qū)滿才交給應(yīng)用程序。它常用一些實(shí)時(shí)的通信。個本は的D
RST用來重置一個連接;用于一臺主機(jī)崩遺或一些其它原因而引起的通信混亂。它也被
用來拒絕接收一個無效的TCP數(shù)據(jù)包,或者用來拒絕一個建立連接的企圖。當(dāng)?shù)玫揭粋€重置
了RST的TCP數(shù)據(jù)包,通常說明本機(jī)有一些問題。
SYN用來建立一個連接。在連接請求數(shù)據(jù)包中,SYN=1、ACK=0指明確認(rèn)域沒有使
用,對連接請求需要應(yīng)答,所以,在應(yīng)答的TCP數(shù)據(jù)包中,SYN=1、ACK=1,SYN通常用來指
明連接請求和連接請求被接收,而用ACK來區(qū)分這兩種情況
FIN用來釋放一個連接。它指出發(fā)送者已經(jīng)沒有數(shù)據(jù)要發(fā)送。然而,當(dāng)關(guān)閉一個連接之
后,一個進(jìn)程還可以繼續(xù)接收數(shù)據(jù)。SUN和FIN的TCP數(shù)據(jù)包都有順序號。因此,可保證數(shù)
據(jù)按照正確的順序被處理。網(wǎng)站設(shè)計(jì)
本文地址:http://m.cdrpkj.cn//article/3741.html
上一篇:HTTP和瑞口21的FTP
下一篇:同塔安全與防