网络端口监听与端口技术课件

网 络 端 口 监 听 与 端 口 技 术 1 第4章网络端口监听与端口扫描技术 网 络 端 口 监 听 与 端 口 技 术 2 本 章 提 示 4.1 计 算 机 网 络 监 听 的 概 述 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.3 端 口 扫 描 技 术 网 络 端 口 监 听 与 端 口 技 术 3 4.1 计 算 机 网 络 监 听 的 概 述 随 着 计 算 机 技 术 的 发 展 ， 网 络 已 日 益 成 为 生 活 中 不 可 或 缺 的工 具 ， 但 伴 之 而 来 的 非 法 入 侵 也 一 直 威 胁 着 计 算 机 网 络 系统 的 安 全 。 由 于 局 域 网 中 采 用 广 播 方 式 ， 因 此 ， 在 某 个 广播 域 中 可 以 监 听 到 所 有 的 信 息 包 。 而 黑 客 通 过 对 信 息 包 进行 分 析 ， 就 能 获 取 局 域 网 上 传 输 的 一 些 重 要 信 息 。 事 实 上 ，很 多 黑 客 入 侵 时 都 把 局 域 网 扫 描 和 侦 听 作 为 其 最 基 本 的 步骤 和 手 段 ， 原 因 是 想 用 这 种 方 法 获 取 其 想 要 的 密 码 等 信 息 。但 另 一 方 面 ， 我 们 对 黑 客 入 侵 活 动 和 其 它 网 络 犯 罪 进 行 侦查 、 取 证 时 ， 也 可 以 使 用 网 络 监 听 技 术 来 获 取 必 要 的 信 息 。因 此 ， 了 解 以 太 网 监 听 技 术 的 原 理 、 实 现 方 法 和 防 范 措 施就 显 得 尤 为 重 要 。 所 谓 的 网 络 监 听 ， 是 指 主 机 网 络 进 程 接 受 到 IP数 据 包 后 ， 察看 其 的 目 标 端 口 是 不 是 自 己 的 端 口 号 ， 如 果 是 的 话 就 接 受该 数 据 包 进 行 处 理 。 进 行 网 络 通 讯 的 主 机 ， 既 要 发 送 数 据 ，也 要 接 受 数 据 ， 所 以 就 要 开 启 相 应 的 端 口 以 接 受 数 据 。 一个 网 络 上 的 主 机 有 可 能 开 启 多 个 网 络 进 程 （ 如 即 浏 览 网 页又 上 QQ） ， 也 就 是 监 听 了 多 个 端 口 。 网 络 端 口 监 听 与 端 口 技 术 4 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理 Ethernet协 议 的 工 作 方 式 是 将 要 发 送 的 数 据 包 发 往 连 接 在 一 起 的 所 有 主 机 。 在 包 头中 包 括 有 应 该 接 收 数 据 包 的 主 机 的 正 确 地 址 ， 因 为 只 有 与 数 据 包 中 目 标 地 址 一 致 的那 台 主 机 才 能 接 收 到 信 息 包 ， 但 是 当 主 机 工 作 在 监 听 模 式 下 的 话 不 管 数 据 包 中 的 目标 物 理 地 址 是 什 么 ， 主 机 都 将 可 以 接 收 到 。 许 多 局 域 网 内 有 十 几 台 甚 至 上 百 台 主 机是 通 过 一 个 电 缆 、 一 个 集 线 器 连 接 在 一 起 的 ， 在 协 议 的 高 层 或 者 用 户 来 看 ， 当 同 一网 络 中 的 两 台 主 机 通 信 的 时 候 ， 源 主 机 将 写 有 目 的 的 主 机 地 址 的 数 据 包 直 接 发 向 目的 主 机 ， 或 者 当 网 络 中 的 一 台 主 机 同 外 界 的 主 机 通 信 时 ， 源 主 机 将 写 有 目 的 的 主 机IP地 址 的 数 据 包 发 向 网 关 。 但 这 种 数 据 包 并 不 能 在 协 议 栈 的 高 层 直 接 发 送 出 去 ， 要发 送 的 数 据 包 必 须 从 TCP/IP协 议 的 IP层 交 给 网 络 接 口 ， 也 就 是 所 说 的 数 据 链 路 层 。网 络 接 口 不 会 识 别 IP地 址 的 。 在 网 络 接 口 由 IP层 来 的 带 有 IP地 址 的 数 据 包 又 增 加 了 一 部 分 以 太 祯 的 祯 头 的 信 息 。 在 祯 头 中 ， 有 两 个 域 分 别 为 只 有 网 络 接 口 才 能 识 别 的源 主 机 和 目 的 主 机 的 物 理 地 址 这 是 一 个 48位 的 地 址 ， 这 个 48位 的 地 址 是 与 IP地 址 相对 应 的 ， 换 句 话 说 就 是 一 个 IP地 址 也 会 对 应 一 个 物 理 地 址 。 对 于 作 为 网 关 的 主 机 ，由 于 它 连 接 了 多 个 网 络 ， 它 也 就 同 时 具 备 有 很 多 个 IP地 址 ， 在 每 个 网 络 中 它 都 有 一个 。 而 发 向 网 络 外 的 祯 中 继 携 带 的 就 是 网 关 的 物 理 地 址 。 (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 5 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理Ethernet中 填 写 了 物 理 地 址 的 祯 从 网 络 接 口 中 ， 也 就 是 从 网 卡 中 发 送 出 去 传 送 到 物理 的 线 路 上 。 如 果 局 域 网 是 由 一 条 粗 网 或 细 网 连 接 成 的 ， 那 么 数 字 信 号 在 电 缆 上 传 输信 号 就 能 够 到 达 线 路 上 的 每 一 台 主 机 。 再 当 使 用 集 线 器 的 时 候 ， 发 送 出 去 的 信 号 到 达集 线 器 ， 由 集 线 器 再 发 向 连 接 在 集 线 器 上 的 每 一 条 线 路 。 这 样 在 物 理 线 路 上 传 输 的 数字 信 号 也 就 能 到 达 连 接 在 集 线 器 上 的 每 个 主 机 了 。 当 数 字 信 号 到 达 一 台 主 机 的 网 络 接口 时 ， 正 常 状 态 下 网 络 接 口 对 读 入 数 据 祯 进 行 检 查 ， 如 果 数 据 祯 中 携 带 的 物 理 地 址 是自 己 的 或 者 物 理 地 址 是 广 播 地 址 ， 那 么 就 会 将 数 据 祯 交 给 IP层 软 件 。 对 于 每 个 到 达 网络 接 口 的 数 据 祯 都 要 进 行 这 个 过 程 的 。 但 是 当 主 机 工 作 在 监 听 模 式 下 的 话 ， 所 有 的 数据 祯 都 将 被 交 给 上 层 协 议 软 件 处理 。 当 连 接 在 同 一 条 电 缆 或 集 线 器 上 的 主 机 被 逻 辑 地 分 为 几 个 子 网 的 时 候 ， 那 么 要 是 有 一 台 主 机 处 于 监 听 模 式 ， 它 还 将 可 以 接 收 到 发 向 与 自 己 不 在 同 一 个 子 网 （ 使 用 了 不 同的 掩 码 、 IP地 址 和 网 关 ） 的 主 机 的 数 据 包 ， 在 同 一 个 物 理 信 道 上 传 输 的 所 有 信 息 都 可以 被 接 收 到 。 在 UNIX系 统 上 ， 当 拥 有 超 级 权 限 的 用 户 要 想 使 自 己 所 控 制 的 主 机 进 入 监 听 模 式 ，只 需 要 向 Interface（ 网 络 接 口 ） 发 送 I/O控 制 命 令 ， 就 可 以 使 主 机 设 置 成 监 听 模 式 了 。而 在 Windows 9x的 系 统 中 则 不 论 用 户 是 否 有 权 限 都 将 可 以 通 过 直 接 运 行 监 听 工 具 就 可以 实 现 了 。 (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 6 4.1 计 算 机 网 络 监 听 的 概 述 当 连 接 在 同 一 条 电 缆 或 集 线 器 上 的 主 机 被 逻 辑 地 分 为 几 个 子 网 的 时 候 ， 那么 要 是 有 一 台 主 机 处 于 监 听 模 式 ， 它 还 将 可 以 接 收 到 发 向 与 自 己 不 在 同 一个 子 网 （ 使 用 了 不 同 的 掩 码 、 IP地 址 和 网 关 ） 的 主 机 的 数 据 包 ， 在 同 一 个物 理 信 道 上 传 输 的 所 有 信 息 都 可 以 被 接 收 到 。 在 UNIX系 统 上 ， 当 拥 有 超 级 权 限 的 用 户 要 想 使 自 己 所 控 制 的 主 机 进 入 监 听模 式 ， 只 需 要 向 Interface（ 网 络 接 口 ） 发 送 I/O控 制 命 令 ， 就 可 以 使 主 机设 置 成 监 听 模 式 了 。 而 在 Windows 9x的 系 统 中 则 不 论 用 户 是 否 有 权 限 都 将可 以 通 过 直 接 运 行 监 听 工 具 就 可 以 实 现 了 。 在 网 络 监 听 时 ， 常 常 要 保 存 大 量 的 信 息 （ 也 包 含 很 多 的 垃 圾 信 息 ） ， 并 将对 收 集 的 信 息 进 行 大 量 的 整 理 ， 这 样 就 会 使 正 在 监 听 的 机 器 对 其 它 用 户 的请 求 响 应 变 的 很 慢 。 同 时 监 听 程 序 在 运 行 的 时 候 需 要 消 耗 大 量 的 处 理 器 时间 ， 如 果 在 这 个 时 候 就 详 细 的 分 析 包 中 的 内 容 ， 许 多 包 就 会 来 不 及 接 收 而被 漏 走 。 所 以 监 听 程 序 很 多 时 候 就 会 将 监 听 得 到 的 包 存 放 在 文 件 中 等 待 以后 分 析 。 分 析 监 听 到 的 数 据 包 是 很 头 疼 的 事 情 。 因 为 网 络 中 的 数 据 包 都 非 常 之 复 杂 。 两 台 主 机 之 间 连 续 发 送 和 接 收 数 据 包 ， 在 监 听 到 的 结 果 中 必 然会 加 一 些 别 的 主 机 交 互 的 数 据 包 。 监 听 程 序 将 同 一 TCP会 话 的 包 整 理 到 一 起就 相 当 不 容 易 了 ， 如 果 你 还 期 望 将 用 户 详 细 信 息 整 理 出 来 就 需 要 根 据 协 议对 包 进 行 大 量 的 分 析 。 Internet上 那 么 多 的 协 议 ， 运 行 进 起 的 话 这 个 监 听程 序 将 会 十 分 的 大 哦 。 (待 续 ) 4.1.1网 络 监 听 的 原 理 网 络 端 口 监 听 与 端 口 技 术 7 现 在 网 络 中 所 使 用 的 协 议 都 是 较 早 前 设 计 的 ， 许 多 协 议 的 实 现 都 是 基 于 一 种 非 常友 好 的 ， 通 信 的 双 方 充 分 信 任 的 基 础 。 在 通 常 的 网 络 环 境 之 下 ， 用 户 的 信 息包 括 口 令 都 是 以 明 文 的 方 式 在 网 上 传 输 的 ， 因 此 进 行 网 络 监 听 从 而 获 得 用 户信 息 并 不 是 一 件 难 点 事 情 ， 只 要 掌 握 有 初 步 的 TCP/IP协 议 知 识 就 可 以 轻 松 的监 听 到 你 想 要 的 信 息 的 。 前 些 时 间 美 籍 华 人 China-babble曾 提 出 将 望 路 监 听从 局 域 网 延 伸 到 广 域 网 中 ， 但 这 个 想 法 很 快 就 被 否 定 了 。 如 果 真 是 这 样 的 话我 想 网 络 必 将 天 下 大 乱 了 。 而 事 实 上 现 在 在 广 域 网 里 也 可 以 监 听 和 截 获 到 一些 用 户 信 息 。 只 是 还 不 够 明 显 而 已 。 在 整 个 Internet中 就 更 显 得 微 不 足 道 了 。监 听 的 协 议 分 析 我 们 的 研 究 从 监 听 程 序 的 编 写 开 始 ， 用 Linux C语 言 设 计 实 现 。以 太 网 上 数 据 帧 的 监 听 剖 析 以 太 网 上 的 数 据 帧 主 要 涉 及 Tcp/ip协 议 ， 针 对 以 下 几 个 协 议 的 分 析 ： IP， ARP，RARP， IPX， 其 中 重 点 在 于 ip和 arp协 议 ， 这 两 个 协 议 是 多 数 网 络 协 议 的 基 础 ，因 此 把 他 们 研 究 彻 底 ， 就 对 大 多 数 的 协 议 的 原 理 和 特 性 比 较 清 楚 了 。 由 于 各种 协 议 的 数 据 帧 个 不 相 同 ， 所 以 涉 及 很 多 的 数 据 帧 头 格 式 分 析 ， 接 下 来 将 一一 描 述 . (待 续 ) 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理 网 络 端 口 监 听 与 端 口 技 术 8 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理在 linux 下 监 听 网 络 ， 应 先 设 置 网 卡 状 态 ， 使 其 处 于 杂 混 模 式 以 便 监 听 网 络 上 的所 有 数 据 帧 。 然 后 选 择 用 Linux socket 来 截 取 数 据 帧 ， 通 过 设 置 socket() 函 数参 数 值 ， 可 以 使 socket截 取 未 处 理 的 网 络 数 据 帧 ， 关 键 是 函 数 的 参 数 设 置 ， 下 面就 是 有 关 的 程 序 部 分 ： AF_INET=2 表 示 internet ip protocol SOCK_PACKET=10 表 示 截 取 数 据 帧 的 层 次 在 物 理 层 ， 既 不 作 处 理 。 Htons(0 x0003)表 示 截 取 的 数 据 帧 的 类 型 为 不 确 定 ， 既 接 受 所 有 的 包 。 总 的 设 定 就 是 网 卡 上 截 取 所 有 的 数 据 帧 。 这 样 就 可 以 截 取 底 层 数 据 帧 ， 因 为 返 回的 将 是 一 个 指 向 数 据 的 指 针 ， 为 了 分 析 方 便 ， 我 设 置 了 一 个 基 本 的 数 据 帧 头 结构 。 Struct etherpacket struct ethhdr eth;struct iphdr ip;struct tcphdr tcp;char buff8192; ep; (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 9 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理将 返 回 的 指 针 赋 值 给 指 向 数 据 帧 头 结 构 的 指 针 ， 然 后 对 其 进 行 分 析 。 以 下 是 有 关协 议 的 报 头 ： ethhdr 这 是 以 太 网 数 据 帧 的 mac报 头 ： |48bit 目 的 物 理 地 址 | 48bit 源 物 理 地 址 | 16bit 协 议 地 址 | 相 应 的 数 据 结 构 如 下 struct ethhdr unsigned char h_destETH_ALEN; unsigned char h_sourceETH_ALEN; unsigned short h_proto;其 中 h_dest6是 48位 的 目 标 地 址 的 网 卡 物 理 地 址 ， h_source 6 是 48位 的 源 地址 的 物 理 网 卡 地 址 。 H_proto是 16位 的 以 太 网 协 议 ， 其 中 主 要 有 0 x0800 ip，0 x8035.X25， 0 x8137 ipx， 0 x8863-0 x8864 pppoe(这 是 Linux的 ppp)， 0 x0600 ether _loop_back ， 0 x0200-0 x0201 pup等 。 Iphdr 这 是 ip协 议 的 报 头 : 由 此 可 以 定 义 其 结 构 如 下 ： 这 是 Linux 的 ip协 议 报 头 ， 针 对 版 本 的 不 同 它 可 以 有 不 同 的 定 义 ， 我 们 国 内 一 般用 BIG的 定 义 ， 其 中 version 是 ip的 版 本 ， protocol是 ip的 协 议 分 类 主 要 有 0 x06 tcp.0 x11 udp， 0 x01 icmp， 0 x02 igmp等 ， saddr是 32位 的 源 ip地 址 ， daddr是 32位 的 目 标 ip地 址 。 相 应 的 数 据 结 构 ： (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 10 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理struct arphdr unsigned short int ar_hrd;unsigned short int ar_pro;unsigned char ar_hln;unsigned char ar_pln;unsigned short int ar_op;#if 0unsigned char _ar_shaETH_ALEN;unsigned char _ar_sip4;unsigned char _ar_thaETH_ALEN;unsigned char _ar_tip4;#end if; 这 是 linux 的 arp 协 议 报 头 ， 其 中 ar_hrd 是 硬 件 地 址 的 格 式 ， ar_pro协 议 地 址 的 格 式 ， ar_hln是 硬 件 地 址 的 长 度 ， ar_pln时 协 议 地 址 的 长 度 ， ar_op是 arp协 议 的 分 类 0 x001是 arp echo 0 x0002 是 arp reply.接 下 来 的 分 别 是 源 地 址 的 物 理 地 址 ， 源 ip地 址 ， 目 标 地 址 的 物 理 地 址 ， 目 标 ip地址 。 Tcphdr ip协 议 的 tcp协 议 报 头 以 下 是 相 应 数 据 结 构 ： struct tcphdr u_int16_t source; u_int16_t dest; u_int32_t seq; u_int32_t ack_seq; # if _BYTE_ORDER = _LITTLE _ENDIANu_int16_t resl:4; u_int16_t doff:4;u_int16_t fin:1;u_int16_t syn:1; u_int16_t rst:1;u_int16_t psh:1;u_int16_t ack:1; u_int16_t urg:1;u_int16_t res2:2; (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 11 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理#elif _BYTE _ORDER = _BIG _ENDIANu_int16_t doff:4; u_int16_t res1:4;u_int16_t res2:2;u_int16_t urg:1; u_int16_t ack:1;u_int16_t psh:1;u_int16_t rst:1; u_int16_t syn:1;u_int16_t fin:1; #else#error Adjust your defines#endifu_int16_t window; u_int16_t check;u_int16_t urg_ptr;这 是 Linux 下 tcp协 议 的 一 部 分 与 ip协 议 相 同 取 BIG， 其 中 source是 源 端 口 ， dest 是 目的 端 口 ， seq是 s序 ， ack_seq 是 a序 号 ， 其 余 的 是 tcp的 连 接 标 志 其 中 包 括 6个 标 志 ：syn表 示 连 接 请 求 ， urg 表 示 紧 急 信 息 ， fin表 示 连 接 结 束 ， ack表 示 连 接 应 答 ， psh表示 推 栈 标 志 ， rst表 示 中 断 连 接 。 window是 表 示 接 受 数 据 窗 口 大 小 ， check是 校 验 码 ，urg ptr是 紧 急 指 针 。 Udphdr 这 是 udp协 议 报 头 struct udphdr u_int16_t source;u_int16_t dest;u_int16_t len;u_int16_t check; 这 是 Linux下 ip协 议 中 udp协 议 的 一 部 分 ， 结 构 很 明 显 source 源 端 口 ， dest目 的 端 口 ，len udp 长 度 ， check 是 校 验 码 。 Icmphdr 这 是 ip协 议 的 icmp协 议 的 报 头 (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 12 4.1 计 算 机 网 络 监 听 的 概 述4.1.1网 络 监 听 的 原 理struct icmphdru_int8_t type;u_int8_t code;u_int16_t checksum;unionstruct u_int16_t id;u_int16_t sequence; echo;u_int32_t gateway;structu_int16_t_unused;u_int16_t mtu; frag; un; 这 是 linux下 的 ip协 议 中 的 icmp的 协 议 ， 这 里 面 主 要 的 是 前 两 项 参 数 ， 其 中type是 icmp协 议 的 类 型 ， 而 code 则 是 对 type类 型 的 再 分 析 。 如 ： type 0 x03 是 表 示 unsearchable， 这 时 code的 不 同 表 示 了 不 同 的 unsearchable :0 x00表示 网 络 不 可 寻 ， 0 x01表 示 主 机 不 可 寻 ， 0 x02表 示 协 议 不 可 寻 ， 0 x03表 示 端 口不 可 寻 ， 0 x05表 示 源 路 由 失 败 ， 0 x06网 络 不 可 知 ， 0 x07主 机 不 可 知 。 Igmphdr 这 是 ip协 议 的 igmp协 议 报 头 struct igmphdr _u8 type;_u8 code;_u16 csum;_u32 group; 这 是 Linux下 的 ip协 议 中 的 igmp协 议 ， 协 议 中 主 要 是 前 面 两 个 属 性 ， Type表 示 igmp 协 议 的 信 息 类 型 ， code表 示 routing code. 然 后 ， 将 截 取 的 数 据 帧 的 地址 赋 值 给 定 义 的 结 构 .由 此 可 根 据 不 同 的 结 构 分 析 数 据 ， 得 到 我 们 需 要 的 信 息 。 (完 ) 网 络 端 口 监 听 与 端 口 技 术 13 4.1 计 算 机 网 络 监 听 的 概 述4.1.2 检 测 网 络 监 听 的 手 段 对 发 生 在 局 域 网 的 其 他 主 机 上 的 监 听 ， 一 直 以 来 ， 都 缺 乏 很 好 的 检 测 方 法 。 这 是 由 于 产 生 网 络监 听 行 为 的 主 机 在 工 作 时 总 是 不 做 声 的 收 集 数 据 包 ， 几 乎 不 会 主 动 发 出 任 何 信 息 。 但 目 前 网 上已 经 有 了 一 些 解 决 这 个 问 题 的 思 路 和 产 品 ：1 反 应 时 间 向 怀 疑 有 网 络 监 听 行 为 的 网 络 发 送 大 量 垃 圾 数 据 包 ， 根 据 各 个 主 机 回 应 的 情 况 进 行 判 断 ， 正 常的 系 统 回 应 的 时 间 应 该 没 有 太 明 显 的 变 化 ， 而 处 于 混 杂 模 式 的 系 统 由 于 对 大 量 的 垃 圾 信 息 照 单全 收 ， 所 以 很 有 可 能 回 应 时 间 会 发 生 较 大 的 变 化 。 2 观 测 dns 许 多 的 网 络 监 听 软 件 都 会 尝 试 进 行 地 址 反 向 解 析 ， 在 怀 疑 有 网 络 监 听 发 生 时 可 以 在 dns系 统 上 观测 有 没 有 明 显 增 多 的 解 析 请 求 。 3 利 用 ping模 式 进 行 监 测 上 面 我 们 说 过 ： 当 一 台 主 机 进 入 混 杂 模 式 时 ， 以 太 网 的 网 卡 会 将 所 有 不 属 于 他 的 数 据 照 单 全 收 。 按 照 这 个 思 路 ， 我 们 就 可 以 这 样 来 操 作 ： 假 设 我 们 怀 疑 的 主 机 的 硬 件 地 址 是 00:30:6E:00:9B:B9，它 的 ip地 址 是 192.168.1.1， 那 么 我 们 现 在 伪 造 出 这 样 的 一 种 icmp数 据 包 ： 硬 件 地 址 是 不 与 局 域网 内 任 何 一 台 主 机 相 同 的 00:30:6E:00:9B:9B， 目 的 地 址 是 192.168.1.1不 变 ， 我 们 可 以 设 想 一下 这 种 数 据 包 在 局 域 网 内 传 输 会 发 生 什 么 现 象 ： 任 何 正 常 的 主 机 会 检 查 这 个 数 据 包 ， 比 较 数 据包 的 硬 件 地 址 ， 和 自 己 的 不 同 ， 于 是 不 会 理 会 这 个 数 据 包 ， 而 处 于 网 络 监 听 模 式 的 主 机 呢 ？ 由于 它 的 网 卡 现 在 是 在 混 杂 模 式 的 ， 所 以 它 不 会 去 对 比 这 个 数 据 包 的 硬 件 地 址 ， 而 是 将 这 个 数 据包 直 接 传 到 上 层 ， 上 层 检 查 数 据 包 的 ip地 址 ， 符 合 自 己 的 ip， 于 是 会 对 对 这 个 ping的 包 做 出 回应 。 这 样 ， 一 台 处 于 网 络 监 听 模 式 的 主 机 就 被 发 现 了 。 (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 14 4.1 计 算 机 网 络 监 听 的 概 述4.1.2 检 测 网 络 监 听 的 手 段 这 种 方 法 ， 在 10pht这 个 黑 客 组 织 的 antisniff产 品 中 有 很 好 的 体 现 。 可 参 见 ： .4.利 用 arp数 据 包 进 行 监 测 除 了 使 用 ping进 行 监 测 外 ， 目 前 比 较 成 熟 的 有 利 用 arp方 式 进 行 监 测 的 。 这 种 模 式 是 上 述 ping方 式 的 一 种 变 体 ， 它 使 用 arp数 据 包 替 代 了 上 述 的 icmp数 据 包 。 向 局 域 网 内 的 主 机 发 送 非 广 播方 式 的 arp包 ， 如 果 局 域 网 内 的 某 个 主 机 响 应 了 这 个 arp请 求 ， 那 么 我 们 就 可 以 判 断 它 很 可 能就 是 处 于 网 络 监 听 模 式 了 ， 这 是 目 前 相 对 而 言 比 较 好 的 监 测 模 式 。这 种 方 式 ， 在 neped和 PromiScan这 两 个 产 品 中 有 所 体 现 。 可 分 别 参 见 ： ； 。值 得 注 意 的 是 ， 现 在 互 联 网 上 流 传 着 一 些 基 于 上 面 这 两 种 技 术 的 脚 本 和 程 序 ， 它 们 宣 称 自 己 能准 确 捕 捉 到 局 域 网 内 所 有 进 行 网 络 监 听 的 主 机 ， 目 前 来 讲 ， 这 种 说 法 基 本 上 是 不 可 靠 的 ， 因 为 上 述 技 术 在 实 现 中 ， 除 了 要 考 虑 网 卡 的 硬 件 过 滤 外 ， 还 需 要 考 虑 到 不 同 操 作 系 统 可 能 产 生 的 软件 过 滤 。 因 为 虽 然 理 论 上 网 卡 处 于 混 杂 模 式 的 系 统 应 该 接 收 所 有 的 数 据 包 ， 但 实 际 上 不 同 的 操作 系 统 甚 至 相 同 的 操 作 系 统 的 不 同 版 本 在 tcp/ip的 实 现 上 都 有 自 己 的 一 些 特 点 ， 有 可 能 不 会 接收 这 些 理 论 上 应 该 接 收 的 数 据 包 。 除 了 上 述 几 种 方 式 外 ， 还 有 一 些 其 他 的 方 式 ， 如 ： 检 测 hub灯 ， 但 相 比 局 限 性 就 更 大 了 ， 只 能作 为 上 述 模 式 的 补 充 。 (完 ) 网 络 端 口 监 听 与 端 口 技 术 15 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.1.Sniffer的 工 作 环 境sniffer就 是 能 够 捕 获 网 络 报 文 的 设 备 。 嗅 探 器 的 正 当 用 处 在 于 分 析 网 络 的 流 量 ， 以 便 找 出 所 关心 的 网 络 中 潜 在 的 问 题 。 例 如 ， 假 设 网 络 的 某 一 段 运 行 得 不 是 很 好 ， 报 文 的 发 送 比 较 慢 ， 而 我们 又 不 知 道 问 题 出 在 什 么 地 方 ， 此 时 就 可 以 用 嗅 探 器 来 作 出 精 确 的 问 题 判 断 。嗅 探 器 在 功 能 和 设 计 方 面 有 很 多 不 同 。 有 些 只 能 分 析 一 种 协 议 ， 而 另 一 些 可 能 能 够 分 析 几 百 种协 议 。 一 般 情 况 下 ， 大 多 数 的 嗅 探 器 至 少 能 够 分 析 下 面 的 协 议 ：1 标 准 以 太 网2 TCP/IP3 IPX4 DECNet嗅 探 器 通 常 是 软 硬 件 的 结 合 。 专 用 的 嗅 探 器 价 格 非 常 昂 贵 。 另 一 方 面 ， 免 费 的 嗅 探 器 虽 然 不 需要 花 什 么 钱 ， 但 得 不 到 什 么 支 持 。 嗅 探 器 与 一 般 的 键 盘 捕 获 程 序 不 同 。 键 盘 捕 获 程 序 捕 获 在 终 端 上 输 入 的 键 值 ， 而 嗅 探 器 则 捕 获真 实 的 网 络 报 文 。 嗅 探 器 通 过 将 其 置 身 于 网 络 接 口 来 达 到 这 个 目 的 例 如 将 以 太 网 卡 设 置 成杂 收 模 式 。 （ 为 了 理 解 杂 收 模 式 是 怎 么 回 事 ， 先 解 释 局 域 网 是 怎 么 工 作 的 ） 。数 据 在 网 络 上 是 以 很 小 的 称 为 帧 (Ftame)的 单 位 传 输 的 帧 由 好 几 部 分 组 成 ， 不 同 的 部 分 执 行 不 同的 功 能 。 （ 例 如 ， 以 太 网 的 前 12个 字 节 存 放 的 是 源 和 目 的 的 地 址 ， 这 些 位 告 诉 网 络 ： 数 据 的 来源 和 去 处 。 以 太 网 帧 的 其 他 部 分 存 放 实 际 的 用 户 数 据 、 TCP/IP的 报 文 头 或 IPX报 文 头 等 等 ） 。 (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 16 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.1.Sniffer的 工 作 环 境帧 通 过 特 定 的 称 为 网 络 驱 动 程 序 的 软 件 进 行 成 型 ， 然 后 通 过 网 卡 发 送 到 网 线 上 。 通 过 网 线 到 达 它 们 的 目的 机 器 ， 在 目 的 机 器 的 一 端 执 行 相 反 的 过 程 。 接 收 端 机 器 的 以 太 网 卡 捕 获 到 这 些 帧 ， 并 告 诉 操 作 系 统 帧 的到 达 ， 然 后 对 其 进 行 存 储 。 就 是 在 这 个 传 输 和 接 收 的 过 程 中 ， 嗅 探 器 会 造 成 安 全 方 面 的 问 题 。 每 一 个 在 LAN上 的 工 作 站 都 有 其 硬 件 地 址 。 这 些 地 址 唯 一 地 表 示 着 网 络 上 的 机 器 （ 这 一 点 于 Internet地址 系 统 比 较 相 似 ） 。 当 用 户 发 送 一 个 报 文 时 ， 这 些 报 文 就 会 发 送 到 LAN上 所 有 可 用 的 机 器 。在 一 般 情 况 下 ， 网 络 上 所 有 的 机 器 都 可 以 “ 听 ” 到 通 过 的 流 量 ， 但 对 不 属 于 自 己 的 报 文 则 不 予 响 应 （ 换句 话 说 ， 工 作 站 A不 会 捕 获 属 于 工 作 站 B的 数 据 ， 而 是 简 单 的 忽 略 这 些 数 据 ） 。如 果 某 在 工 作 站 的 网 络 接 口 处 于 杂 收 模 式 ， 那 么 它 就 可 以 捕 获 网 络 上 所 有 的 报 文 和 帧 ， 如 果 一 个 工 作 站被 配 置 成 这 样 的 方 式 ， 它 （ 包 括 其 软 件 ） 就 是 一 个 嗅 探 器 。 嗅 探 器 可 能 造 成 的 危 害 ：1 嗅 探 器 能 够 捕 获 口 令 2 能 够 捕 获 专 用 的 或 者 机 密 的 信 息3 或 者 用 来 获 取 更 高 级 别 的 访 问 权 限事 实 上 ， 如 果 你 在 网 络 上 存 在 非 授 权 的 嗅 探 器 就 以 为 着 你 的 系 统 已 经 暴 露 在 别 人 面 前 了 。 （ 大 家 可 以 试试 天 行 2的 嗅 探 功 能 ）一 般 我 们 只 嗅 探 每 个 报 文 的 前 200到 300个 字 节 。 用 户 名 和 口 令 都 包 含 在 这 一 部 分 中 ， 这 是 我 们 关 心 的 真正 部 分 。 工 人 ， 也 可 以 嗅 探 给 定 接 口 上 的 所 有 报 文 ， 如 果 有 足 够 的 空 间 进 行 存 储 ， 有 足 够 的 那 里 进 行 处 理的 话 ， 将 会 发 现 另 一 些 非 常 有 趣 的 东 西 简 单 的 放 置 一 个 嗅 探 器 宾 将 其 放 到 随 便 什 么 地 方 将 不 会 起 到 什 么 作 用 。 将 嗅 探 器 放 置 于 被 攻 击 机 器 或 网络 附 近 ， 这 样 将 捕 获 到 很 多 口 令 ， 还 有 一 个 比 较 好 的 方 法 就 是 放 在 网 关 上 。 如 果 这 样 的 话 就 能 捕 获 网 络 和其 他 网 络 进 行 身 份 鉴 别 的 过 程 。 这 样 的 方 式 将 成 倍 地 增 加 我 们 能 够 攻 击 的 范 围 。 (完 ) 网 络 端 口 监 听 与 端 口 技 术 17 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.2 网 络 监 听 Sniffer的 工 作 原 理 通 常 在 同 一 个 网 段 的 所 有 网 络 接 口 都 有 访 问 在 物 理 媒 体 上 传 输 的 所 有 数 据 的 能 力 ，而 每 个 网 络 接 口 都 还 应 该 有 一 个 硬 件 地 址 ， 该 硬 件 地 址 不 同 于 网 络 中 存 在 的 其 他 网络 接 口 的 硬 件 地 址 ， 同 时 ， 每 个 网 络 至 少 还 要 一 个 广 播 地 址 。 （ 代 表 所 有 的 接 口 地址 ） ， 在 正 常 情 况 下 ， 一 个 合 法 的 网 络 接 口 应 该 只 响 应 这 样 的 两 种 数 据 帧 ：1 帧 的 目 标 区 域 具 有 和 本 地 网 络 接 口 相 匹 配 的 硬 件 地 址 。2 帧 的 目 标 区 域 具 有 广 播 地 址 。在 接 受 到 上 面 两 种 情 况 的 数 据 包 时 ， nc通 过 cpu产 生 一 个 硬 件 中 断 ， 该 中 断 能 引 起 操作 系 统 注 意 ， 然 后 将 帧 中 所 包 含 的 数 据 传 送 给 系 统 进 一 步 处 理 。而 sniffer就 是 一 种 能 将 本 地 nc状 态 设 成 （ promiscuous） 状 态 的 软 件 ， 当 nc处 于 这种 混 杂 方 式 时 ， 该 nc具 备 广 播 地 址 ， 它 对 所 有 遭 遇 到 的 每 一 个 帧 都 产 生 一 个 硬件 中 断 以 便 提 醒 操 作 系 统 处 理 流 经 该 物 理 媒 体 上 的 每 一 个 报 文 包 。 （ 绝 大 多 数 的 nc具 备 置 成 promiscuous方 式 的 能 力 ） 可 见 ， sniffer工 作 在 网 络 环 境 中 的 底 层 ， 它 会 拦 截 所 有 的 正 在 网 络 上 传 送 的 数 据 ，并 且 通 过 相 应 的 软 件 处 理 ， 可 以 实 时 分 析 这 些 数 据 的 内 容 ， 进 而 分 析 所 处 的 网 络 状态 和 整 体 布 局 。 值 得 注 意 的 是 ： sniffer是 极 其 安 静 的 ， 它 是 一 种 消 极 的 安 全 攻 击 。通 常 sniffer所 要 关 心 的 内 容 可 以 分 成 这 样 几 类 ： (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 18 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.2 网 络 监 听 Sniffer的 工 作 原 理 1 口 令我 想 这 是 绝 大 多 数 非 法 使 用 sniffer的 理 由 ， sniffer可 以 记 录 到 明 文 传 送 的 userid和passwd.就 算 你 在 网 络 传 送 过 程 中 使 用 了 加 密 的 数 据 ， sniffer记 录 的 数 据 一 样 有 可 能使 入 侵 者 在 家 里 边 吃 肉 串 边 想 办 法 算 出 你 的 算 法 。2 金 融 帐 号许 多 用 户 很 放 心 在 网 上 使 用 自 己 的 信 用 卡 或 现 金 帐 号 ， 然 而 sniffer可 以 很 轻 松 截 获在 网 上 传 送 的 用 户 姓 名 、 口 令 、 信 用 卡 号 码 、 截 止 日 期 、 帐 号 和 pin.3 偷 窥 机 密 或 敏 感 的 信 息 数 据通 过 拦 截 数 据 包 ， 入 侵 者 可 以 很 方 便 记 录 别 人 之 间 敏 感 的 信 息 传 送 ， 或 者 干 脆 拦 截 整个 的 email会 话 过 程 。4 窥 探 低 级 的 协 议 信 息 。这 是 很 可 怕 的 事 ， 我 认 为 ， 通 过 对 底 层 的 信 息 协 议 记 录 ， 比 如 记 录 两 台 主 机 之 间 的 网 络 接 口 地 址 、 远 程 网 络 接 口 ip地 址 、 ip路 由 信 息 和 tcp连 接 的 字 节 顺 序 号 码 等 。 这 些信 息 由 非 法 入 侵 的 人 掌 握 后 将 对 网 络 安 全 构 成 极 大 的 危 害 ， 通 常 有 人 用 sniffer收 集这 些 信 息 只 有 一 个 原 因 ： 他 正 在 进 行 一 次 欺 诈 ， （ 通 常 的 ip地 址 欺 诈 就 要 求 你 准 确 插入 tcp连 接 的 字 节 顺 序 号 ， 这 将 在 以 后 整 理 的 文 章 中 指 出 ） 如 果 某 人 很 关 心 这 个 问 题 ，那 么 sniffer对 他 来 说 只 是 前 奏 ， 今 后 的 问 题 要 大 得 多 （ 对 于 高 级 的 hacker而 言 ， 我想 这 是 使 用 sniffer的 唯 一 理 由 吧 ） 。 (完 ) 网 络 端 口 监 听 与 端 口 技 术 19 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.3 怎 样 在 网 上 发 现 Sniffer 怎 样 在 网 上 发 现 Sniffer？ 简 单 的 一 个 回 答 是 你 发 现 不 了 ， 因 为 他 们 根 本 就 没 有 留 下 任 何 痕 迹 。sniffer是 如 此 嚣 张 又 安 静 ， 如 何 知 道 有 没 有 sniffer存 在 ， 这 也 是 一 个 很 难 说 明 的 问 题 ， 比 较 有说 服 力 的 理 由 证 明 你 的 网 络 有 sniffer目 前 有 以 下 现 象 ：1 网 络 通 讯 掉 包 率 反 常 的 高通 过 一 些 网 络 软 件 ， 可 以 看 到 信 息 包 传 送 情 况 （ 不 是 sniffer） ， 向 ping这 样 的 命 令 会 告 诉 你 掉了 百 分 几 的 包 。 如 果 网 络 中 有 人 在 Listen， 那 么 信 息 包 传 送 将 无 法 每 次 都 顺 畅 的 流 到 目 的 地 。（ 这 是 由 于 sniffer拦 截 每 个 包 导 致 的 ） 2 网 络 带 宽 出 现 反 常通 过 某 些 带 宽 控 制 器 （ 通 常 是 防 火 墙 所 带 ） ， 可 以 实 时 看 到 目 前 网 络 带 宽 的 分 布 情 况 ， 如 果 某 台机 器 长 时 间 的 占 用 了 较 大 的 带 宽 ， 这 台 机 器 就 有 可 能 在 监 听 。 在 非 高 速 信 道 上 ， 如 56Kddn等 ， 如果 网 络 中 存 在 sniffer， 你 应 该 也 可 以 察 觉 出 网 络 通 讯 速 度 的 变 化 。 还 有 一 个 办 法 是 看 看 计 算 机 上 当 前 正 在 运 行 的 所 有 程 序 。 但 这 通 常 并 不 可 靠 ， 但 你 可 以 控 制 哪 个 程 序 可 以 在 你 的 计 算 机 上 运 行 。在 Unix系 统 下 使 用 下 面 的 命 令 ： ps -aux 或 ： ps -augx。 这 个 命 令 列 出 当 前 的 所 有 进 程 ，启 动 这 些 进 程 的 用 户 ， 它 们 占 用 CPU的 时 间 ， 占 用 内 存 的 多 少 等 等 。 Windows系 统 下 ， 按 下 Ctrl+Alt+Del， 看 一 下 任 务 列 表 。 不 过 ， 编 程 技 巧 高 的 Sniffer即 使 正 在 运行 ， 也 不 会 出 现 在 这 里 的 。 另 一 个 方 法 就 是 在 系 统 中 搜 索 ， 查 找 可 疑 的 文 件 。 但 可 能 入 侵 者 用 的 是 他 们 自 己 写 的 程 序 ， 所 以都 会 给 发 现 sniffer造 成 相 当 大 的 困 难 。 还 有 许 多 工 具 ， 能 用 来 看 看 你 的 系 统 会 不 会 在 杂 收 模 式 。 从 而 发 现 是 否 有 一 个 Sniffer正 在 运 行 。 网 络 端 口 监 听 与 端 口 技 术 20 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.4 怎 样 防 止 被 sniffer 对 于 嗅 探 器 如 此 强 大 的 灵 敏 度 ， 我 们 力 求 作 到 ： 1 检 测 和 消 灭 嗅 探 器 2 会 话 加 密3 将 数 据 隐 藏 ， 使 嗅 探 器 无 法 发 现 4 加 密你 最 关 心 的 可 能 是 传 输 一 些 比 较 敏 感 的 数 据 ， 如 用 户 ID或 口 令 等 等 。 有 些 数 据 是 没 有 经 过 处 理的 ， 一 旦 被 sniffer， 就 能 获 得 这 些 信 息 。 解 决 这 些 问 题 的 办 法 是 加 密 。我 们 介 绍 以 下 SSH， 它 又 叫 Secure Shell。 SSH是 一 个 在 应 用 程 序 中 提 供 安 全 通 信 的 协 议 。 它 是建 立 在 客 户 机 /服 务 器 模 型 上 的 。 SSH服 务 器 的 分 配 的 端 口 是 22。 连 接 是 通 过 使 用 一 种 来 自 RSA的算 法 建 立 的 。 在 授 权 完 成 后 ， 接 下 来 的 通 信 数 据 是 用 IDEA技 术 来 加 密 的 。 这 通 常 是 较 强 的 ， 适 合与 任 何 非 秘 密 和 非 经 典 的 通 讯 。SH后 来 发 展 成 为 F-SSH， 提 供 了 高 层 次 的 ， 军 方 级 别 的 对 通 信 过 程 的 加 密 。 它 为 通 过 TCP/IP网络 通 信 提 供 了 通 用 的 最 强 的 加 密 。 如 果 某 个 站 点 使 用 F-SSH， 用 户 名 和 口 令 成 为 不 是 很 重 要 的 一点 。 目 前 ， 还 没 有 人 突 破 过 这 种 加 密 方 法 。 即 使 是 sniffer， 收 集 到 的 信 息 将 不 再 有 价 值 。 当 然 最 关 键 的 是 怎 样 使 用 它 。其 他 的 方 法 另 一 个 比 较 容 易 接 受 的 是 使 用 安 全 拓 扑 结 构 。 这 听 上 去 很 简 单 ， 但 实 现 起 来 花 销 是 很 大 的 。 在我 们 小 的 时 候 也 许 都 玩 过 一 种 智 力 游 戏 ， 它 通 常 由 一 系 列 数 字 组 成 。 游 戏 的 目 的 是 要 安 排 好 数 字 ，用 最 少 的 步 骤 ， 把 它 们 按 递 减 顺 序 排 好 。 当 处 理 网 络 拓 扑 时 ， 就 和 玩 这 个 游 戏 一 样 。这 样 的 拓 扑 结 构 需 要 有 这 样 的 规 则 ： 一 个 网 络 段 必 须 有 足 够 的 理 由 才 能 信 任 另 一 网 络 段 。 网 络段 应 该 考 虑 你 的 数 据 之 间 的 信 任 关 系 上 来 设 计 ， 而 不 是 硬 件 需 要 。让 我 们 开 始 处 理 这 个 网 络 拓 扑 ， 来 看 看 ： (待 续 ) 网 络 端 口 监 听 与 端 口 技 术 21 4.2网 络 监 听 工 具 Sniffer（ 嗅 探 器 ） 4.2.4 怎 样 防 止 被 sniffer 一 个 网 络 段 是 仅 由 能 互 相 信 任 的 计 算 机 组 成 的 。 通 常 它 们 在 同 一 个 房 间 里 ， 或 在 同 一 个 办 公室 里 。 比 如 你 的 财 务 信 息 ， 应 该 固 定 在 某 一 节 点 ， 就 象 你 的 财 务 部 门 被 安 排 在 办 公 区 域 的 的一 个 不 常 变 动 的 地 方 。 注 意 每 台 机 器 是 通 过 硬 连 接 线 接 到 Hub的 。 Hub再 接 到 交 换 机 上 。 由 于 网 络 分 段 了 ， 数 据 包 只能 在 这 个 网 段 上 被 sniffer。 其 余 的 网 段 将 不 可 能 被 sniffer。 所 有 的 问 题 都 归 结 到 信 任 上 面 。 计 算 机 为 了 和 其 他 计 算 机 进 行 通 信 ， 它 就 必 须 信 任 那 台 计 算机 。 作 为 系 统 管 理 员 ， 你 的 工 作 是 决 定 一 个 方 法 ， 使 得 计 算 机 之 间 的 信 任 关 系 很 小 。 这 样 ，就 建 立 了 一 种 框 架 ， 可 以 告 诉 你 什 么 时 候 放 置 了 一 个 sniffer， 它 放 在 那 里 了 ， 是 谁 放 的 等 等 。 如 果 你 的 局 域 网 要 和 INTERNET相 连 ， 仅 仅 使 用 防 火 墙 是 不 够 的 。 入 侵 者