第3章 網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽

1、姚全珠西安理工大學(xué)計(jì)算機(jī)學(xué)院 E-mail: 電話1003 本章主要介紹黑客的相關(guān)知識(shí)、網(wǎng)絡(luò)踩點(diǎn)的方法、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽技術(shù)。其中，網(wǎng)絡(luò)掃描是黑客實(shí)施攻擊前獲得目標(biāo)及其漏洞信息的重要手段，而網(wǎng)絡(luò)監(jiān)聽則是黑客向內(nèi)部網(wǎng)進(jìn)行滲透的常用手法。一一. 黑客概述黑客概述 二. 網(wǎng)絡(luò)踩點(diǎn) 三. 網(wǎng)絡(luò)掃描 四. 網(wǎng)絡(luò)監(jiān)聽 3.1.1 黑客的概念 “黑客”一詞是由英文單詞“Hacker”音譯過來的。最初起源于20世紀(jì)50年代，是指那些精力充沛、熱衷于解決計(jì)算機(jī)難題的程序員。當(dāng)時(shí)計(jì)算機(jī)非常昂貴，只存在于各大院校與科研機(jī)構(gòu)，技術(shù)人員使用一次計(jì)算機(jī)，需要很復(fù)雜的手續(xù)，而且計(jì)算機(jī)的效率也不

2、高，為了繞過一些限制，最大限度地利用這些昂貴的計(jì)算機(jī)，一些程序員們就寫出了一些簡潔高效的捷徑程序，這些程序往往較原有的程序系統(tǒng)更完善。 3.1.2 攻擊的概念 攻擊是對系統(tǒng)安全策略的一種侵犯，是指任何企圖破壞計(jì)算機(jī)資源的完整性（未授權(quán)的數(shù)據(jù)修改）、機(jī)密性（未授權(quán)的數(shù)據(jù)泄露或未授權(quán)的服務(wù)的使用）以及可用性（拒絕服務(wù)）的活動(dòng)。通常，“攻擊”和“入侵”同指這樣一種活動(dòng)。 3.1.3 攻擊的分類 互聯(lián)計(jì)算機(jī)的威脅來自很多形式。1980年，Anderson在其著名的報(bào)告中，對不同類型的計(jì)算機(jī)系統(tǒng)安全威脅進(jìn)行了劃分，他將入侵分為外部闖入、內(nèi)部授權(quán)用戶的越權(quán)使用和濫用三種類型，并以此為基礎(chǔ)提出了不同安全滲透

3、的檢測方法。 目前，攻擊分類的主要依據(jù)有：威脅來源、攻擊方式、安全屬性、攻擊目的和攻擊使用的技術(shù)手段等。這里給出幾種攻擊分類方式。1. 按照威脅的來源，潛在入侵者的攻擊可以被粗略地分成兩類（外來人員攻擊，內(nèi)部人員攻擊）。2. 按照安全屬性，Stalling將攻擊分為四類，如圖3.1所示。3. 按照攻擊方式，攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊包括竊聽和監(jiān)聽，不對數(shù)據(jù)進(jìn)行任何形式的修改；主動(dòng)攻擊則涉及對數(shù)據(jù)流的某些修改，如偽裝、應(yīng)答、修改報(bào)文、拒絕服務(wù)。(a) 正常情況正常情況發(fā)送方發(fā)送方接收方接收方(b) 中斷中斷(c) 攔截偵聽攔截偵聽(d) 篡改篡改(e) 偽造偽造 4. 按照入侵者的攻

4、擊目的，可將攻擊分為下面四類。(1) 拒絕服務(wù)攻擊：是最容易實(shí)施的攻擊行為，它企圖通過使目標(biāo)計(jì)算機(jī)崩潰或把它壓跨來阻止其提供服務(wù)。主要包括：Land，Syn flooding (UDP flooding)，Ping of death，Smurf (Fraggle)，Teardrop，TCP RST攻擊，Jot2，電子郵件炸彈，畸形消息攻擊。 (2) 利用型攻擊：是一類試圖直接對你的機(jī)器進(jìn)行控制的攻擊。主要包括：口令猜測，特洛伊木馬，緩沖區(qū)溢出。 (3) 信息收集型攻擊：這類攻擊并不對目標(biāo)本身造成危害，而是被用來為進(jìn)一步入侵提供有用的信息。主要包括：掃描（包括：端口掃描、地址掃描、反向映射、慢速

5、掃描），體系結(jié)構(gòu)刺探，利用信息服務(wù)（包括：DNS域轉(zhuǎn)換、Finger服務(wù)，LDAP服務(wù)）。 (4) 假消息攻擊：用于攻擊目標(biāo)配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。 5. 按照入侵者使用的技術(shù)手段，攻擊技術(shù)主要分為以下四類。 網(wǎng)絡(luò)信息收集技術(shù)：包括目標(biāo)網(wǎng)絡(luò)中主機(jī)的拓?fù)浣Y(jié)構(gòu)分析技術(shù)、目標(biāo)網(wǎng)絡(luò)服務(wù)分布分析技術(shù)和目標(biāo)網(wǎng)絡(luò)漏洞掃描技術(shù)。 目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)：包括本地權(quán)限提升和遠(yuǎn)程權(quán)限提升。 目標(biāo)網(wǎng)絡(luò)滲透技術(shù)：包括后門技術(shù)、嗅探器（Sniffer）技術(shù)、欺騙技術(shù)、tunnel及代理技術(shù)。 目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)：包括目標(biāo)服務(wù)終止、目標(biāo)系統(tǒng)癱瘓和目標(biāo)網(wǎng)絡(luò)癱瘓。 踩點(diǎn)踩點(diǎn)，也就是信息收集。

6、黑客實(shí)施攻擊前要做的第一步就是“踩點(diǎn)”。與劫匪搶銀行類似，攻擊者在實(shí)施攻擊前會(huì)使用公開的和可利用的信息來調(diào)查攻擊目標(biāo)。通過信息收集，攻擊者可獲得目標(biāo)系統(tǒng)的外圍資料，如機(jī)構(gòu)的注冊資料、網(wǎng)絡(luò)管理員的個(gè)人愛好、網(wǎng)絡(luò)拓?fù)鋱D等。攻擊者將收集來的信息進(jìn)行整理、綜合和分析后，就能夠初步了解一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的安全態(tài)勢和存在的問題，并據(jù)此擬定出一個(gè)攻擊方案。 踩點(diǎn)踩點(diǎn)，1利用搜索引擎搜索引擎是一個(gè)非常有利的踩點(diǎn)工具，如Google具有很強(qiáng)搜索能力，能夠幫助攻擊者準(zhǔn)確地找到目標(biāo)，包括網(wǎng)站的弱點(diǎn)和不完善配置。比如，多數(shù)網(wǎng)站只要設(shè)置了目錄列舉功能，Google就能搜索出Index of頁面，如圖3.2。 打開Index

7、of頁面就能夠?yàn)g覽一些隱藏在互聯(lián)網(wǎng)背后的開放了目錄瀏覽的網(wǎng)站服務(wù)器的目錄，并下載本無法看到的密碼賬戶等有用文件，如圖3.3。 2利用whois數(shù)據(jù)庫 除了搜索引擎外，Internet上的各種whois數(shù)據(jù)庫也是非常有用的信息來源。這些數(shù)據(jù)庫包含各種關(guān)于Internet地址分配、域名和個(gè)人聯(lián)系方式等數(shù)據(jù)元素。攻擊者可以從Whois數(shù)據(jù)庫了解目標(biāo)的一些注冊信息。提供whois服務(wù)的機(jī)構(gòu)很多，其中和中國最相關(guān)的機(jī)構(gòu)及其對應(yīng)網(wǎng)址如表3.2。下面給出一個(gè)例子，利用http:/提供的whois服務(wù)查詢信息，如圖3.4、圖3.5所示。下面給出一個(gè)例子，利用http:/提供的whois服務(wù)查詢信息，如圖3.4

8、、圖3.5所示。3利用DNS服務(wù)器DNS服務(wù)中維護(hù)的信息除了域名和IP地址的對應(yīng)關(guān)系外，還有主機(jī)類型、一個(gè)域中的郵件服務(wù)器地址、郵件轉(zhuǎn)發(fā)信息、從IP地址到域名的反向解析信息等。用nslookup程序可以從DNS服務(wù)器上查詢一些網(wǎng)站的相關(guān)信息，如圖3.6是查詢和得到的結(jié)果。 掃描是進(jìn)行信息收集的一種必要工具，它可以完成大量的重復(fù)性工作，為使用者收集與系統(tǒng)相關(guān)的必要信息。對于黑客來講，掃描是攻擊系統(tǒng)時(shí)的有力助手；而對于管理員，掃描同樣具備檢查漏洞，提高安全性的重要作用。 3.3.1 安全漏洞概述 通常，網(wǎng)絡(luò)或主機(jī)中存在的安全漏洞是攻擊者成功地實(shí)施攻擊的關(guān)鍵。那么，什么是安全漏洞？安全漏洞產(chǎn)生的根源

9、是什么？這些漏洞有哪些危害呢？ 1安全漏洞的概念 這里所說的漏洞不是一個(gè)物理上的概念，而是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計(jì)算機(jī)安全領(lǐng)域，安全漏洞通常又稱作脆弱性。 簡單地說，計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。這里的漏洞既包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。 2漏洞存在原因 現(xiàn)在Internet上仍然在使用的基礎(chǔ)協(xié)議中，有很多早期的協(xié)議在最初設(shè)計(jì)時(shí)并沒有考慮安全方面的需求。并且，Internet是一個(gè)快速變化的動(dòng)態(tài)環(huán)境，要在這樣一個(gè)基礎(chǔ)設(shè)施并不安全、動(dòng)態(tài)的、分布式的環(huán)

10、境中保證應(yīng)用的安全是相當(dāng)困難的。正是由于Internet的開放性和其協(xié)議的原始設(shè)計(jì)，攻擊者無需與被攻擊者有物理上的接觸，就可以成功地對目標(biāo)實(shí)施攻擊，而不被檢測到或跟蹤到。 從技術(shù)角度來看，漏洞的來源主要有以下幾個(gè)方面： （1）軟件或協(xié)議設(shè)計(jì)時(shí)的瑕疵 （2）軟件或協(xié)議實(shí)現(xiàn)中的弱點(diǎn) （3）軟件本身的瑕疵 （4）系統(tǒng)和網(wǎng)絡(luò)的錯(cuò)誤配置 3漏洞的危害 漏洞主要存在于操作系統(tǒng)、應(yīng)用程序以及腳本中，它使得入侵者能夠執(zhí)行特殊的操作，從而獲得不應(yīng)該獲得的權(quán)限。幾乎每天都能在某些程序或操作系統(tǒng)中發(fā)現(xiàn)新的漏洞，許多漏洞都能導(dǎo)致攻擊者獲得root權(quán)限，從而可以控制系統(tǒng)并獲得機(jī)密資料，導(dǎo)致公司或個(gè)人遭受巨大損失。不同的

11、漏洞其表現(xiàn)形式不一樣，危害也有大小之分，但是總的說來，安全漏洞危害系統(tǒng)的完整性、系統(tǒng)的可用性、系統(tǒng)的機(jī)密性、系統(tǒng)的可控性和系統(tǒng)的可靠性等。 3.3.2 為什么進(jìn)行網(wǎng)絡(luò)掃描 很多入侵者常常通過掃描來發(fā)現(xiàn)存活的目標(biāo)及其存在的安全漏洞，然后通過漏洞入侵目標(biāo)系統(tǒng)。為了解決安全問題，網(wǎng)絡(luò)管理員也常借助掃描器對所管轄的網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)自身系統(tǒng)中的安全隱患和存在的棘手問題，然后修補(bǔ)漏洞排除隱患。所以說掃描是一把雙刃劍。為了解決安全隱患和提高掃描效率，很多公司和開源組織開發(fā)了各種各樣的漏洞評(píng)估工具，這些漏洞評(píng)估工具也被稱為掃描器，其種類繁多、性能各異。 3.3.3 發(fā)現(xiàn)目標(biāo)的掃描 如果將掃描比擬為收集情報(bào)

12、的話，掃描目標(biāo)就是尋找突破口了。本節(jié)介紹基本的掃描技術(shù)和掃描技巧，利用這些技術(shù)和技巧可以確定目標(biāo)是否存活在網(wǎng)絡(luò)上，以及正在從事的工作類型。該類掃描目前主要有Ping掃描和ICMP查詢兩種。1Ping掃描在“開始IP”和“結(jié)束IP”文本框分別輸入需要進(jìn)行Ping掃描的起始地址和結(jié)束地址，并單擊右側(cè)按鈕將其加入右側(cè)文本框，如圖3.8所示。在掃描完成后可以單擊SuperScan提供的“查看HTML結(jié)果”按鈕，查看主機(jī)存活情況，如圖3.10所示。 2ICMP查詢 如果目標(biāo)主機(jī)阻塞了ICMP回顯請求報(bào)文，仍然可以通過使用其它類型的ICMP報(bào)文探測目標(biāo)主機(jī)是否存活，并收集到各種關(guān)于該系統(tǒng)的有價(jià)值的信息。例

13、如，向該系統(tǒng)發(fā)送ICMP類型為13的消息，若主機(jī)存活就能獲得該系統(tǒng)的系統(tǒng)時(shí)間；發(fā)送ICMP類型為17的消息，若主機(jī)存活就能獲得該目標(biāo)主機(jī)的子網(wǎng)掩碼。 注：ICMP的全稱是 Internet Control Message Protocol 。從技術(shù)角度來說，ICMP就是一個(gè)“錯(cuò)誤偵測與回報(bào)機(jī)制”，其目的就是讓我們能夠檢測網(wǎng)路的連線狀況也能確保連線的準(zhǔn)確性其功能主要有： 偵測遠(yuǎn)端主機(jī)是否存在。 建立及維護(hù)路由資料。 重導(dǎo)資料傳送路徑。 資料流量控制 3. TCP掃射和UDP掃射 另外，TCP掃射和UDP掃射也可用于發(fā)現(xiàn)目標(biāo)是否存活。從TCP連接的三次握手過程可以知道，如果向目標(biāo)發(fā)送一個(gè)SYN報(bào)文

14、，則無論收到一個(gè)SYN/ACK報(bào)文還是一個(gè)RST報(bào)文，都表明目標(biāo)處于存活狀態(tài)，或向目標(biāo)發(fā)送一個(gè)ACK報(bào)文，如果收到一個(gè)RST報(bào)文則表明目標(biāo)存活。這就是TCP掃射的基本原理。如果向目標(biāo)特定端口發(fā)送一個(gè)UDP數(shù)據(jù)報(bào)之后，接收到ICMP端口不可達(dá)的錯(cuò)誤，則表明目標(biāo)存活，否則表明目標(biāo)不在線或者目標(biāo)的相應(yīng)UDP端口是打開的。這是UDP掃描的原理。 3.3.4 探測開放服務(wù)的端口掃描 在找出網(wǎng)絡(luò)上存活的系統(tǒng)之后，入侵者下一步就是要得到目標(biāo)主機(jī)的操作系統(tǒng)信息和開放的服務(wù)。端口掃描就是發(fā)送信息到目標(biāo)計(jì)算機(jī)的所需要掃描的端口，然后根據(jù)返回端口狀態(tài)來分析目標(biāo)計(jì)算機(jī)的端口是否打開、是否可用。 1端口 2端口掃描原理

15、 3常見的端口掃描技術(shù)端口掃描分類端口掃描分類 3.3.5 漏洞掃描漏洞掃描 漏洞掃描是使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。針對各種服務(wù)的漏洞是一個(gè)龐大的數(shù)字，在2001年一年中，僅微軟就針對自己的產(chǎn)品一共發(fā)布了上百個(gè)安全漏洞，而其中接近一半都是IIS漏洞。這些龐大的漏洞全部由手工檢測是非常困難的。1漏洞掃描技術(shù)的原理 漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對

16、目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。 2漏洞掃描技術(shù)的分類和實(shí)現(xiàn)方法 基于網(wǎng)絡(luò)系統(tǒng)漏洞庫，漏洞掃描大體包括：CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等，這些漏洞掃描基于漏洞庫，將掃描結(jié)果與漏洞庫相關(guān)數(shù)據(jù)匹配比較得到漏洞信息。漏洞掃描還包括沒有相應(yīng)漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測等，這些掃描通過使用插件（功能模塊技術(shù)）進(jìn)行模擬攻擊，測試出目標(biāo)主機(jī)的漏洞信息。下面就這兩種掃描的實(shí)現(xiàn)方法進(jìn)行討論。 好的掃描工具是黑客

17、手中的利器，也是網(wǎng)絡(luò)管理員手中的重要武器。這里介紹三款著名的掃描器，它們均為開源或者免費(fèi)的掃描器，也是迄今為止最好的掃描器。 1Nmap：掃描器之王 Nmap（Network Mapper，網(wǎng)絡(luò)映射器）是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具。它可以在大多數(shù)版本的Unix系統(tǒng)中運(yùn)行，并且已經(jīng)被移植到了Windows系統(tǒng)中。它主要在命令行方式下使用，可以快速地掃描大型網(wǎng)絡(luò)，也可以掃描單個(gè)主機(jī)。Nmap以新穎的方式使用原始IP報(bào)文來發(fā)現(xiàn)網(wǎng)絡(luò)上有哪些主機(jī)，那些主機(jī)提供什么服務(wù)（應(yīng)用程序名和版本），那些服務(wù)運(yùn)行在什么操作系統(tǒng)（包括版本信息），它們使用什么類型的報(bào)文過濾器/防火墻，等等。雖然Nmap通

18、常用于安全審核，但許多系統(tǒng)管理員和網(wǎng)絡(luò)管理員也用它來做一些日常的工作，比如查看整個(gè)網(wǎng)絡(luò)的信息，管理服務(wù)升級(jí)計(jì)劃，以及監(jiān)視主機(jī)和服務(wù)的運(yùn)行。 2Nessus：分布式的掃描器 Nessus是一種用來自動(dòng)檢測和發(fā)現(xiàn)已知安全問題的強(qiáng)大掃描工具，運(yùn)行于Solaris、FreeBSD、GNU/Linux等系統(tǒng)，源代碼開放并且可自由地修改后再發(fā)布，可擴(kuò)展性強(qiáng)，當(dāng)一個(gè)新的漏洞被公布后很快就可以獲取其新的插件對網(wǎng)絡(luò)進(jìn)行安全性檢查。它的一個(gè)很強(qiáng)大的特性是它的客戶/服務(wù)器技術(shù)。服務(wù)器負(fù)責(zé)進(jìn)行安全掃描，客戶端用來配置、管理服務(wù)器端，客戶端和服務(wù)器端之間的通信使用SSL加密。服務(wù)器可以放置在網(wǎng)絡(luò)中的不同地方來獲得不同的

19、信息。一個(gè)中央客戶端或者多個(gè)分布式客戶端可以對所有的服務(wù)器進(jìn)行控制。這些特性為滲透測試者提供了很大的靈活性。 3X-Scan：國內(nèi)最好的掃描器 X-Scan是國內(nèi)最著名的綜合掃描器之一，完全免費(fèi)，是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行方式兩種，支持windows 9x/NT4/2000操作系統(tǒng)。該掃描器是由國內(nèi)著名的網(wǎng)絡(luò)安全組織“安全焦點(diǎn)”（http:/）開發(fā)完成的，支持多線程并發(fā)掃描，能夠及時(shí)生成掃描報(bào)告。它可以對遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞和拒絕服務(wù)漏洞等進(jìn)行掃描，并把掃描報(bào)告和安全焦點(diǎn)網(wǎng)站相連

20、接，對掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)”評(píng)估，提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補(bǔ)漏洞。4例子：X-scan的使用X-scan是一款功能強(qiáng)大的綜合掃描工具，其圖形界面如圖3.12所示。 掃描前首先進(jìn)行參數(shù)設(shè)置。打開“設(shè)置”-“掃描參數(shù)”，如圖3.13所示；點(diǎn)擊“檢測范圍”-“示例”按照示例設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置”-“掃描模塊”設(shè)置掃描內(nèi)容，如圖3.15所示。 掃描前首先進(jìn)行參數(shù)設(shè)置。打開“設(shè)置”-“掃描參數(shù)”，如圖3.13所示；點(diǎn)擊“檢測范圍”-“示例”按照示例設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置”-“掃描模塊”設(shè)置掃描內(nèi)容，如圖3.15所示。

21、 掃描前首先進(jìn)行參數(shù)設(shè)置。打開“設(shè)置”-“掃描參數(shù)”，如圖3.13所示；點(diǎn)擊“檢測范圍”-“示例”按照示例設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置”-“掃描模塊”設(shè)置掃描內(nèi)容，如圖3.15所示。 掃描參數(shù)設(shè)置完，點(diǎn)擊工具欄中的三角形的開始按鈕，即開始按照設(shè)定對范圍內(nèi)的主機(jī) 進(jìn)行掃描，掃描過程的界面如圖3.16所示。 掃描結(jié)束后，生成html格式的掃描報(bào)告，如圖3.17所示。根據(jù)掃描結(jié)果，我們可以獲知哪些主機(jī)在線，這些主機(jī)開放了哪些端口/服務(wù)，又存在著哪些安全漏洞等。 網(wǎng)絡(luò)監(jiān)聽，可以有效地對網(wǎng)絡(luò)數(shù)據(jù)、流量進(jìn)行偵聽、分析，從而排除網(wǎng)絡(luò)故障，但它同時(shí)又帶來了信息失竊等方面的極大安全隱患。網(wǎng)

22、絡(luò)監(jiān)聽在安全領(lǐng)域引起人們普遍注意始于1994年，在那一年2月，相繼發(fā)生了幾次大的安全事件，一個(gè)不知名的人在眾多的主機(jī)和骨干網(wǎng)絡(luò)設(shè)備上安裝了網(wǎng)絡(luò)監(jiān)聽軟件，利用它對美國骨干互聯(lián)網(wǎng)和軍方網(wǎng)竊取了超過100000個(gè)有效的用戶名和口令。這事件可能是互聯(lián)網(wǎng)上最早的大規(guī)模的網(wǎng)絡(luò)監(jiān)聽事件了，它使早期網(wǎng)絡(luò)監(jiān)聽從“地下”走向了公開，并迅速在大眾中普及開來。 3.4.1 Hub和網(wǎng)卡的工作原理 以太網(wǎng)等很多網(wǎng)絡(luò)是基于總線方式的，物理上是廣播的，就是當(dāng)一臺(tái)機(jī)器向另一臺(tái)機(jī)器發(fā)送數(shù)據(jù)時(shí)，共享Hub先接收數(shù)據(jù)，然后再把它接收到的數(shù)據(jù)轉(zhuǎn)發(fā)給Hub上的其它每一個(gè)接口，所以在共享Hub所連接的同一網(wǎng)段的所有機(jī)器的網(wǎng)卡都能接收到數(shù)

23、據(jù)。而對于交換機(jī)，其內(nèi)部程序能夠記住每個(gè)接口的MAC地址，能夠?qū)⒔邮盏降臄?shù)據(jù)直接轉(zhuǎn)發(fā)到相應(yīng)接口上的計(jì)算機(jī)，不像共享Hub那樣發(fā)給所有的接口，所以交換式網(wǎng)絡(luò)環(huán)境下只有相應(yīng)的機(jī)器能夠接收到數(shù)據(jù)（除了廣播包）。 3.4.2網(wǎng)絡(luò)監(jiān)聽的工作原理 計(jì)算機(jī)網(wǎng)絡(luò)與電話電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為Sniffering（嗅探或監(jiān)聽）。BCA我我是是網(wǎng)網(wǎng)關(guān)關(guān)去去網(wǎng)網(wǎng)關(guān)關(guān) 3.4.3 網(wǎng)絡(luò)監(jiān)聽的危害 通常情況下，用戶并不直接和網(wǎng)絡(luò)底層打交道，一般用戶不能直接把網(wǎng)卡設(shè)成混雜模式，只有超級(jí)用戶才有這個(gè)權(quán)限。嗅探器通過將網(wǎng)卡設(shè)置成混雜模式，能夠捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)危害主要體現(xiàn)在： 1）能夠捕獲口令 2）能夠捕獲專用的或機(jī)密的信息 3) 可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級(jí)別的訪問權(quán)限 4）獲得更進(jìn)一步攻擊所需要的信息,比如主機(jī)的網(wǎng)絡(luò)接口地址，遠(yuǎn)程