最新七章黑客攻击与防范
Snoop可以以单行的形式只输出数据包的 总结信息,也可以以多行的形式对包中信息详 细说明。
08.03.2021
黑客攻击与防范
15
2.Sniffit软件
Sniffit是由Lawrence Berkeley实验室开发 的,运行于Solaris、SGI和Linux等平台 的一种免费网络监听软件,具有功能强 大且使用方便的特点。使用时,用户可 以选择源、目标地址或地址集合,还可 以选择监听的端口、协议和网络接口等。
所谓网络监听就是获取在网络上传 输的信息。通常,这种信息并不是特定 发给自己计算机的。一般情况下,系统 管理员为了有效地管理网络、诊断网络 问题而进行网络监听。然而,黑客为了 达到其不可告人的目的,也进行网络监 听。
08.03.2021
黑客攻击与防范
11
2. 在以太网中的监听
(1)以太网中信息传输的原理。
七章黑客攻击与防范
知识点
黑客攻击的目的、黑客攻击的三个阶段 黑客攻击的常用工具、黑客攻击的防备 网络监听及其检测 扫描器及其使用 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除
08.03.2021
黑客攻击与防范
2
7.1.4黑客攻击手段
1.黑客往往使用扫描器 2.黑客经常利用一些别人使用过的并在安
08端口扫描
(1)端口
许多TCP/IP程序可以通过Internet启动, 这些程序大都是面向客户/服务器的程序。当 inetd接收到一个连接请求时,它便启动一个服 务,与请求客户服务的机器通讯。为简化这一 过程,每个应用程序(比如FTP、Telnet)被 赋予一个唯一的地址,这个地址称为端口。在 一般的Internet服务器上都有数千个端口,为 了简便和高效,为每个指定端口都设计了一个 标准的数据帧。换句话说,尽管系统管理员可 以把服务绑定(bind)到他选定的端口上,但 服务一般都被绑定到指定的端口上,它们被称 为公认端口。
08.03.2021
黑客攻击与防范
13
(3)网络监听所造成的影响
网络监听使得进行监听的机器响应 速度变得非常慢
08.03.2021
黑客攻击与防范
14
3. 常用的监听工具
(1)snoop
snoop可以截获网络上传输的数据包,并显 示这些包中的内容。它使用网络包过滤功能和 缓冲技术来提供有效的对网络通信过滤的功能。 那些截获的数据包中的信息可以在它们被截获 时显示出来,也可以存储在文件中,用于以后 的检查。
12
(2)监听模式的设置
要使主机工作在监听模式下,需要向网络 接口发送I/O控制命令;将其设置为监听模式。 在UNIX系统中,发送这些命令需要超级用户 的权限。在UNIX系统中普通用户是不能进行 网络监听的。但是,在上网的Windows 95中, 则没有这个限制。只要运行这一类的监听软件 即可,而且具有操作方便,对监听到信息的综 合能力强的特点。
08.03.2021
黑客攻击与防范
18
方法四:
另外一个办法就是去搜索监听程序, 入侵者很可能使用的是一个免费软件。 管理员就可以检查目录,找出监听程序, 但这很困难而且很费时间。在UNIX系统 上,人们可能不得不自己编写一个程序。 另外,如果监听程序被换成另一个名字, 管理员也不可能找到这个监听程序。
以太网协议的工作方式:发送信息时,发 送方将对所有的主机进行广播,广播包的包头 含有目的主机的物理地址,如果地址与主机不 符,则该主机对数据包不予理睬,只有当地址 与主机自己的地址相同时主机才会接受该数据 包,但网络监听程序可以使得主机对所有通过 它的数据进行接受或改变。
08.03.2021
黑客攻击与防范
08.03.2021
黑客攻击与防范
17
方法二:
往网上发大量不存在的物理地址的包,由于 监听程序将处理这些包,将导致性能下降。通 过比较前后该机器性能(icmp echo delay等方法) 加以判断。这种方法难度比较大。
方法三:
一个看起来可行的检查监听程序的方法是搜 索 所 有 主 机 上 运 行 的 进 程 。 那 些 使 用 DOS 、 Windows for Workgroup或者Windows 95的机器 很难做到这一点。而使用UNIX和Windows NT 的机器可以很容易地得到当前进程的清单。
08.03.2021
黑客攻击与防范
21
(2)端口扫描简介
① 端口扫描是一种获取主机信息的好方法。
② 端口扫描程序对于系统管理人员,是一 个非常简便实用的工具。
③ 如果扫描到一些标准端口之外的端口, 系统管理员必须清楚这些端口提供了一 些什么服务,是不是允许的。
全领域广为人知的技术和工具。 3.黑客利用Internet站点上的有关文章 4.黑客利用监听程序 5.黑客利用网络工具进行侦察 6.黑客自己编写工具
08.03.2021
黑客攻击与防范
9
第二节 黑客攻击常用工具
网络监听 扫描器
08.03.2021
黑客攻击与防范
10
7.2.1 网络监听
1.网络监听简介
08.03.2021
黑客攻击与防范
19
7.2.2 扫描器
1. 扫描器简介 扫描器是自动检测远程或本地主机安全性漏洞的程
序包。
使用扫描器,不仅可以很快地发现本地主机系统配 置和软件上存在的安全隐患,而且还可以不留痕迹地 发现远在另一个半球的一台主机的安全性漏洞,这种 自动检测功能快速而准确。
扫描器和监听工具一样,不同的人使用会有不同的 结果:如果系统管理员使用了扫描器,它将直接有助 于加强系统安全性;而对于黑客来说,扫描器是他们 进行攻击入手点,不过,由于扫描器不能直接攻击网 络漏洞,所以黑客使用扫描器找出目标主机上各种各 样的安全漏洞后,利用其他方法进行恶意攻击。
08.03.2021
黑客攻击与防范
16
4. 网络监听的检测
方法一: 对于怀疑运行监听程序的机器,用正确的IP
地址和错误的物理地址去ping,运行监听程序 的机器会有响应。这是因为正常的机器不接收 错误的物理地址,处于监听状态的机器能接收。 如果他的IP stack不再次反向检查的话,就会 响应。这种方法依赖于系统的IP stack,对一 些系统可能行不通。
