下面是小编为大家收集的网络嗅探攻击的原理及应用(共含6篇),仅供参考,欢迎大家阅读,一起分享。同时,但愿您也能像本文投稿人“人间探味员”一样,积极向本站投稿分享好文章。
一. 嗅探器(Sniffer)攻击原理 Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息,
网络嗅探攻击的原理及应用
,
网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。放置Sniffer的目的是使网络接口(在这个例子中是以太
最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁,其中网络嗅探对于安全防护一般的网络来说,操作简单的同时威胁巨大,很多 也使用嗅探器进行网络入侵的渗透.. 网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。本文分析了网络嗅探的原理,分析了一些实例,提出解决方案和介绍实践经验。
一、 嗅探器攻击原理
嗅探器(sniffer) 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层,把网络传输的全部数据记录下来. 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能.嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它并不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。一般情况下,大多数的嗅探器至少能够分析下面的协议:
1、标准以太网
2、TCP/IP
3、IPX
4、DECNET
5、FDDI Token
6、微波和无线网,
实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片),也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。目前主要使用的嗅探器是软件的。嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。数据在网络上是以帧(Frame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。就是在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以听到通过的流量,但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的物理设备作为嗅探器(例如,他们可以将嗅探器接在网络的某个点上,而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测,没有其他容易方法能够识别出这种连接(当然,网络拓扑映射工具能够检测到额外的IP地址)。
嗅探器可能造成的危害:
嗅探器能够捕获口令
能够捕获专用的或者机密的信息
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限
分析网络结构,进行网络渗透
一、写这篇文章的目的
我们论坛的朋友老是发帖问自己有没有中毒,被黑,或者装了某些软件或做了错误的系统设置之后系统出了稀奇古怪的错误,又怕重新装系统,
攻击技术概要:嗅探侦听法
。系统还原功能又有缺陷(有些木马和病毒就躲在系统还原点的文件夹里)。我从实际工作的经验中总结了一个比较“省事”的方案。即使中招也可以在2-3分钟之内恢复。
二、简要说明
1,个人觉得本贴属于“技术文章 ”范畴
2,有朋友说Ghost容易出问题。可以告诉大家,自己做好系统再Ghost仅供自己使用是没有任何问题的。(推荐版本:symantec ghost 8.2 )
3,本文涉及的细节较多,几乎都是经验总结。
三、步骤
方案主要分三步方便起见,分别称为Ghost 1,Ghost 2,和Ghost 3)
用实际经验说话,分三步是最好的方案。如果做的步骤太多,gho文件占的空间越大;如果步骤太少,什么都要重来,花的时间就越多。具体如下:
Ghost1 做一颗“后悔药”
拔掉网线(重要),Format要装系统的分区,装好系统,设好账户名密码。
然后什么系统选项都别改,什么软件都不装,驱动也不装。做一个GHOST镜像,存为XP1.gho。(如果你还不会用GHOST这个软件的话,先去baidu一下或者google一下) 这一步的原则:纯。可以称作是“后悔药”,即使是下面的任何一部分出了问题,你几分钟就可以Ghost到刚刚装好系统的情景,不用花几十分钟去重装系统(度日如年啊)
Ghost2 设置好系统
1,装好驱动程序,尽量使用原版驱动,而且最好是从 下载。
2,装输入法。喜欢拼音的建议在微软 去下载微软拼音,放心嘛。如果你用五笔或者其他的输入法就要注意了,因为有个比较好用的五笔安装包好像要改IE主页,里面还藏了广告软件。这些非微软官方的安装包还是等做好“无忧系统”之后再去安装吧。
3,调整桌面主题,以及桌面和任务栏的图标,开始菜单风格等等。
4,调整文件夹选项,包括是否显示隐藏文件,是否使用简单共享,是否自动检测网络文件夹和打印机等。
,调整虚拟内存,按自己的需求进行设置,玩大游戏的可以设稍大一些,否则可以少点。
6,修改系统特殊文件夹的位置,我一般把IE收藏夹和我的文档设在其他的盘下面,这样即使系统出问题也不会丢失收藏夹和存在“我的文档”里的东西。
7,修改OUTLOOK的邮件文件夹存放位置,导入以前存储过的邮件账号。
8,导入一些REG文件进行优化。包括关闭XP自带的医生,显示验证码,解决乱码问题(微软已经出补丁了),禁止MSN随Outlook启动,常见的IE垃圾插件免疫,去掉默认共享等。
9,修改网络相关,导入策略包。包括IP,网关之类的
10,调整系统服务。这里要注意,现在只是初步调整,自己不太清楚的服务就不要去动,把很明显要禁用的服务干掉,比如,对于我来说“Wireless Zero Configuration”和“Remote Registry”都是要禁用掉的。
11,打好事先保存好的系统在线更新补丁。为了方便日常维护,事先可以下载补丁包,或者用专门的软件找好系统补丁。
12,整理XP所在磁盘。 13,用vfloppy做一个DOS引导菜单。vfloppy是一个虚拟启动软盘的程序(各大软件站都有免费下载),也就是说可以在启动的时候选一下菜单来达到用软盘启动的效果。这是第二大步里面使用的唯一的一个第三方软件。
重启几次,看还有什么问题,然后就重新启动,选择用vfloppy做好的虚拟软盘启动进dos,进入GHOST程序的目录,做GHOST镜像,存为XP2.GHO,
(GHOST推荐用symantec 8.0之后的版本,8.2版的很好用,速度快)
这一步原则:不用第三方程序。好处在于如果Ghost 3这一步中的软件出了新版本但又卸载不干净的话可以在Ghost 2的基础上来做新的Ghost 3。
Ghost3 装常用程序
现在你放心了吧,即使下面的除了问题可以从XP2.gho弄回原样。
开始装第三方程序了。
这一步强烈建议不装杀毒软件,因为你可以做好GHO之后去试用各种各样的杀软和防火墙,觉得想换了又卸不干净(很多重量级的杀毒软件都卸载不干净)就GHOST回来,很方便。这样方便你选择一套适合自己的杀毒软件和防火墙。
当然,如果你看上了某个杀软,愿意追随他,那你装吧,留到Ghost 3的最后一步去装吧。
我一口气装了如下的程序(一些经常用到的软件):
(下面的软件建议装在系统所在的盘下面)
MSOffice系列,winrar,realplayer10,Alcohol 120% 1.9.5,Adobe Reader
(下面的软件建议不要装在系统所在的盘下,因为只要导入自己的注册信息就可以使用)
Kingsoft系列, Macromedia系列,AutoCAD,Maxthon,Winamp,flashget1.65,Bitcomet,msn
如果还要装一些其他的软件自己看着办。Windows优化大师之类软件的一定要装的话留到做完XP3.GHO再装(估计大家也听说了“恶意代码”之说,原作者也称“信则有,不信则无”,如果一定要用还是要用正版噢)。
再重启几遍,观察一下,另外在事件查看器里看有没有重大的错误。没有问题了就重新启动由虚拟软盘引导到DOS,做XP3.gho了。
这一步的原则:只装口碑好的,安全的软件。
现在你可以插上网线去爽了,想去哪儿就去哪儿。
不过别太大意,并非什么都可以不顾及。你想想,如果别人把一个不常见的木马(就是说大多数杀毒软件都查不出的木马)绑在其他盘的应用程序上,比如你经常玩的游戏上面,估计你就要终生带毒了,因为杀毒软件也查不出,你发现有疑点用Ghost回来也没有用,你一玩游戏又会中招,很惨哦。另外,遇到伤害硬件的病毒(比如CIH变种)会更痛苦。
所以,防火墙还是要弄一个滴,毕竟现在“准 ”比较多。尽管个人用户平常会很注意,但是还有些是中毒了的机器拼命连接你,尤其是在局域网环境下,所以说杀毒软件也要装。
四、总结
这三个文件就可以满足你几方面的需要:
1,如果想Ghost回来马上投入工作,用XP3.gho,
2,如果想卸掉Ghost3中安装的一些软件,但是又不让那些垃圾信息留在你的系统里,用XP2.gho,
3,如果在试用中发现做Ghost2的时候出了问题,要从头再来,用XP1.gho
五、必须要提的细节
1,文中提到的软件:请先下载到硬盘,而且要解压,放在非系统分区,并且不要放在NTFS分区里面(DOS一般来说是找不到NTFS分区的)。 2,Ghost8.2:使用这个版本的时候不需要加载smartdrv.exe,因为我从实践得知不加载的时候比加载要快得多。(一般来讲,类似于win98启动光盘启动的时候是加载了smartdrv.exe的,用vfloppy程序包里自带的启动镜像做出来的虚拟启动是不加载smartdrv.exe的)
3,vfloppy:这是第二步中适用的唯一一个第三方软件,请确保你下载的文件是不带毒的。另外,做vfloppy菜单以后不能整理磁盘,否则不能虚拟启动到DOS,需要重新做一遍。
4,系统服务:网上有很多这方面的“教程”,我看过一些,有些写得很不负责任,要注意分辨。
5,备份:动手之前先准备好文中提到的相关文件,再备份硬盘的主引导记录及分区相关信息(一般的启动光盘上都有这样的工具),而且备份文件最好放在电子邮箱里不要放在硬盘上(为什么大家想想就明白了,我就不嗦了)。
从事网络安全的技术人员和相当一部分准 (指那些使用现成的 软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(sniffer)感到陌生,网络嗅探器无论是在网络安全还是在 攻击方面均扮演了很重要的角色,
网络嗅探器技术以及数据包
,
通过使用网络嗅探器可以
网吧内嗅探使用
随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用,应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。
目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。毕竟,靠网络管理员的经验和一些简单传统的排查方法:无论从时间上面还是准确性上面都存在很大的误差,同时也影响了工作效率和正常业务的运行。
Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上,我们选择了较为常用的NAI公司的sniffer pro,事实上,很多网吧管理员都有过相关监控网络经验:在网络出现问题、或者探查网络情况时,使用P2P终结者、网络执法官等网络监控软件。这样的软件有一个很大优点:不要配置端口镜像就可以进行流量查询(其实sniffer pro也可以变通的工作在这样的环境下)。这种看起来很快捷的方法,仍然存在很多弊端:由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝的问题,如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说,是不可思议的。
在这里,我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻,
硬件环境(网吧):
100M网络环境下,92台终端数量,主交换采用D-Link(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。光纤10M接入,华为2620做为接入网关。
软件环境:
操作系统Windows Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows Windows-xp Windows2003)、NAI协议分析软件-Sniffer Portable 4.75(本文选用网络上较容易下载到的版本做为测试)
环境要求:
1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。(监控所有流经此网卡的数据)
2、Snffier pro 475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本
网络拓扑:
监控目的:通过Sniffer Pro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时,我们将数据包捕获后,通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。
在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
saddr.sin_family=AF_INET;
saddr.sin_addr.s_addr=htonl(INADDR_ANY);
bind(s,(SOCKADDR*)
