1、目标系统的探测方法 目的:了解目标主机的信息:IP地址、开放的端口和服务程序等,从而获得系统有用的信息,发现网络系统的漏洞。常用方法:1.网络探测【实验】whois(web网页形式; 工具软件形式如Smartwhois查询工具)2.扫描器工具网络监听技术网络监听技术Sniffer原理原理 Sniffer,中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 采用这种技术,我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。什么是 Sniffer ?网络通信监视软件网络故障诊断分析工具网络性能优化、管理系统它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。Snif
2、fer的主要作用 快速解决网络故障自动的问题识别、分析与诊断,可以节省故障诊断的时间。 最优化投资利用性能降低的精确诊断,可以避免草率的资金投入。 检验新应用/技术的推广分析新应用或技术对性能的影响,提供改进的建议。Sniffer的功能 网络监视与统计以表格或图形的方式提供实时的网络流量分析,主机表、流量距阵、应用响应时间、协议分布、历史流量统计、帧尺寸分布。协议解码分析在网络全部七层上可以对400多种协议进行解释。 实时专家分析系统截获帧的同时建立网络对象数据库,并利用知识库检测网络异态。网卡工作原理 网卡先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,
3、认为该接收就在接收后产生中断信号通知CPU,认为不该接收就丢弃不管。CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。网卡的工作模式 广播方式:能够接收网络中的广播信息。 组播方式:能够接收组播数据。 直接方式:只有目的网卡才能接收该数据。 混杂模式(promiscuous):能够接收到一切通过它的数据。HUB工作原理HUB工作原理交换环境下的SNIFF交换环境下的SNIFFUsername: herma009Password: hiHKK234 以太网(以太网(HUB)v FTPv Loginv
4、Mail普通用户A服务器C嗅探者B网网络络监监听听原原理理Username: herma009Password: hiHKK234 网络监听原理网络监听原理一个sniffer需要作的:1. 把网卡置于混杂模式。2. 捕获数据包。3. 分析数据包ARP spoofUsername: herma009Password: hiHKK234 switchv FTP普通用户AIP:10.1.1.2MAC:20-53-52-43-00-02服务器CIP:10.1.1.1MAC:20-53-52-43-00-01 Switch的MAC地址表:IP:10.1.1.1(C的IP)MAC:20-53-52-43-
5、00-03(B的MAC地址)router嗅探者B常用的常用的SNIFF (1)windows环境下 :图形界面的SNIFF netxray sniffer pro (2)UNUX环境下 :UNUX环境下的sniff可以说是百花齐放,他们都有一个好处就是发布源代码,当然也都是免费的 。 如sniffit,snoop, tcpdump, dsniff Ettercap(交换环境下)常用的常用的SNIFF(1)Sniffer Pro(2)WireShark(06年夏天前称为Ethereal)(3)Net monitor(4)EffTech HTTP Sniffer(5)Iris课堂演练 【例1】嗅探
6、FTP过程 【例2】嗅探HTTP登录邮箱的过程 【例3】嗅探POP邮箱密码的过程 如何防止SNIFF 进行合理的网络分段。 用SSH(Secure Shell )/SSL(Secure Socket Layer)建立加密连接,保证数据传输安全。 Sniffer往往是入侵系统后使用的,用来收集信息,因此防止系统被突破。 防止内部攻击。 AntiSniff 工具用于检测局域网中是否有机器处于混杂模式 (不是免费的)。WireSharkCapture-capture options Capture 捕获 Capture options 捕获选项 Interface 接口 Capture packet
7、s in promiscuous mode 在混杂模式下捕获分组 Limit each packet to N bytes 将每个分组限制在N个字节内 Filter 过滤器可以指定捕获目标的IP地址,协议类型等 Capture file 捕获文件 指定将捕获的文件放到指定的位置 Display options 显示选项 Stop Capture 捕获限制 Name resolution 名字解析启用MAC地址转换 MAC厂商的名称启用网络地址转换 IP主机名启用传输名字解析,熟知端口相应协议列表框协议框原始框第一次握手第二次握手第三次握手综合演练 使用WireShark分析TCP/IP建立连接的三次握手过程的数据包 使用WireShark分析nmap各种扫描方式的数据包选中3号分组,在协议框中选中分组的Frame层,在原始框中突出显示(每一对数字表示一个字节)70对数字以太网帧首部占用了14个字节,那么分组中另外56个字节(包括IP和TCP的首部)是以太网帧的数据。1 分析TCP三次握手的第一个分组,以太网帧首部是多大?整个以太网帧又有多大?IP首部有多大?IP报文呢?TCP首部呢?TCP报文段呢?2 网络监听是如何实现的?如何防范网络被监听?
