信息安全課件-08-09-攻擊與應(yīng)急響應(yīng)

1第8講攻擊與應(yīng)急響應(yīng)2主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)3網(wǎng)絡(luò)用戶最反感：網(wǎng)絡(luò)病毒彈出式廣告/窗口網(wǎng)絡(luò)入侵/攻擊網(wǎng)上收費陷阱網(wǎng)上虛假信息垃圾郵件誘騙/欺詐/網(wǎng)絡(luò)釣魚4一、攻擊概述

（1）遠(yuǎn)程攻擊：從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。（2）本地攻擊：通過所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問也是本地攻擊。（3）偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象。1、攻擊的位置52、攻擊的層次①簡單拒絕服務(wù)（如郵件炸彈攻擊）.②本地用戶獲得非授權(quán)讀訪問③本地用戶獲得他們本不應(yīng)擁有的文件寫權(quán)限④遠(yuǎn)程用戶獲得了非授權(quán)的帳號⑤遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限⑥遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限⑦遠(yuǎn)程用戶擁有了根（root）權(quán)限63、攻擊的人員黑客：闖入計算機(jī)主要是為了挑戰(zhàn)和獲取訪問權(quán)限間諜：闖入計算機(jī)主要是為了政治情報信息恐怖主義者：闖入計算機(jī)主要是為了政治目的而制造恐怖公司雇傭者：闖入計算機(jī)主要是為了競爭經(jīng)濟(jì)利益職業(yè)犯罪：闖入計算機(jī)主要是為了個人的經(jīng)濟(jì)利益破壞者：闖入計算機(jī)主要是為了實現(xiàn)破壞74、系統(tǒng)的漏洞

漏洞是指硬件、軟件或策略上的缺陷，從而可使攻擊者能夠在未經(jīng)授權(quán)的情況下訪問系統(tǒng)。

漏洞涉及的范圍很廣，涉及到網(wǎng)絡(luò)的各個環(huán)節(jié)、各個方面，包括：路由器、防火墻、操作系統(tǒng)、客戶和服務(wù)器軟件。比如一臺提供網(wǎng)上產(chǎn)品搜索的Web服務(wù)器，就需要注意操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web服務(wù)軟件及防火墻。

85、軟件錯誤

所有的軟件都是有錯的。造成軟件出現(xiàn)錯誤的原因是多方面的，比如軟件復(fù)雜性、程序設(shè)計的缺陷、開發(fā)時間緊迫、軟件開發(fā)工具本身的錯誤等。并且無論經(jīng)過怎樣的測試，軟件產(chǎn)品中仍然會遺留下許多錯誤和缺陷。因為軟件是由人來完成的，所有由人做的工作都不會是完美無缺的。管理人員的惰性。一個簡單的例子就是缺省口令。

96、系統(tǒng)配置不當(dāng)默認(rèn)配置的不足：許多系統(tǒng)為了易用，安裝后都有默認(rèn)的安全配置信息。易用意味著易于闖入。管理員的疏忽：系統(tǒng)安裝后保持管理員口令的空值，而且隨后不進(jìn)行修改。臨時端口：有時候為了測試之用，管理員會在機(jī)器上打開一個臨時端口，但測試完后卻忘記了禁止它。信任關(guān)系：網(wǎng)絡(luò)間的系統(tǒng)經(jīng)常建立信任關(guān)系以方便資源共享，但這也給入侵者帶來間接攻擊的可能，例如，只要攻破信任群中的一個機(jī)器，就有可能進(jìn)一步攻擊其他的機(jī)器。107、時間性漏洞的時間性系統(tǒng)發(fā)布——漏洞暴露——發(fā)布補(bǔ)丁——新漏洞出現(xiàn)安全漏洞與系統(tǒng)攻擊之間的關(guān)系漏洞暴露—可能的攻擊—發(fā)布補(bǔ)丁118、攻擊實例SMBDieV1.0，該軟件對打了SP3、SP4的計算機(jī)依然有效，必須打?qū)ｉT的SMB補(bǔ)丁12SMBdie.exe是一款使用簡單的WinNT/2000/XP/.NETRC1NETBIOS（139）攻擊工具...局域網(wǎng)中效果很好，遠(yuǎn)程站內(nèi)測試的時候，可以被防火墻攔截，據(jù)說對打過WIN2000SP3補(bǔ)丁測試有效，后果是藍(lán)屏或者重啟。13需要兩個參數(shù)：對方的IP地址和對方的機(jī)器名,然后再點按鈕“Kill”，對方計算機(jī)立刻重啟或藍(lán)屏149、遠(yuǎn)程攻擊的步驟收集信息獲取普通用戶的權(quán)限獲取超級用戶的權(quán)限擦除入侵痕跡安裝后門攻擊其它主機(jī)獲取或修改信息其它非法活動15尋找目標(biāo)主機(jī)收集目標(biāo)信息

鎖定目標(biāo)

利用域名和IP地址可以找到目標(biāo)主機(jī)。Tracert/TraceRoute能夠得出到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。Ping確定一個指定的主機(jī)的位置并確定其是否可達(dá)。Finger和Rusers命令收集用戶信息Host或者Nslookup命令，結(jié)合Whois和Finger命令獲取主機(jī)、操作系統(tǒng)和用戶等信息攻擊者也可向主機(jī)發(fā)送虛假消息，然后根據(jù)返回"hostunreachable"這一消息特征判斷出哪些主機(jī)是存在的。

16尋找目標(biāo)主機(jī)收集目標(biāo)信息

服務(wù)分析一是使用不同應(yīng)用程序測試。例如：使用Telnet、FTP等用戶軟件向目標(biāo)主機(jī)申請服務(wù)，如果主機(jī)有應(yīng)答就說明主機(jī)提供了這個服務(wù)，開放了這個端口的服務(wù)二是使用一些端口掃描工具軟件，對目標(biāo)主機(jī)一定范圍的端口進(jìn)行掃描。這樣可以全部掌握目標(biāo)主機(jī)的端口情況。

17尋找目標(biāo)主機(jī)收集目標(biāo)信息

系統(tǒng)分析使用具有已知響應(yīng)類型的數(shù)據(jù)庫的自動工具，對來自目標(biāo)主機(jī)作出的響應(yīng)進(jìn)行檢查，確定目標(biāo)主機(jī)的操作系統(tǒng)。如打開WIN95的RUN窗口，然后輸入命令：Telnetxx.xx.xx.xx(目標(biāo)主機(jī))然后按“確定”，可以發(fā)現(xiàn)如下響應(yīng)：DigitalUNIX(xx.xx.xx)(ttyp1)login:18可以從公開渠道獲得的信息公司的Web網(wǎng)頁（或許有網(wǎng)絡(luò)或系統(tǒng)安防配置）相關(guān)組織地理位置細(xì)節(jié)（google地圖）電話號碼、聯(lián)系人名單、電子郵件地址、詳細(xì)的個人資料近期重大事件（合并、收購、裁員、快速增長等等）可以表明現(xiàn)有信息安防機(jī)制的隱私/安防策略和技術(shù)細(xì)節(jié)已歸檔的信息（歷史網(wǎng)頁，搜索引擎快照）心懷不滿的員工搜索引擎、Usenet和個人簡歷讓人感興趣的其他信息19由域名得到IP地址ping命令試探

pingNslookup命令在提示符“>”后鍵入20由IP地址得到地理位置在線IP地址查詢//21個人資料在得到電話號碼之后，可以通過、或之類的網(wǎng)站查出地理地址?？梢愿鶕?jù)電話號碼為他們的“密集撥號”攻擊設(shè)定一個攻擊范圍或是開展“社交工程”攻擊以獲得更多的信息和/或訪問權(quán)限。22網(wǎng)站基本信息查詢商業(yè)網(wǎng)站中都會有紅盾標(biāo)志，它一般會在主頁的最下角，是國家工商局用來管理經(jīng)營性網(wǎng)站的紅盾標(biāo)志，里面記錄了網(wǎng)站的備案登記信息23網(wǎng)站注冊信息查詢域名注冊信息的方法被稱為“WHOIS”。Linux系統(tǒng)中自帶WHOIS命令，而Windows系統(tǒng)可以通過網(wǎng)站查詢中國互聯(lián)網(wǎng)絡(luò)信息中心（）中國萬網(wǎng)（）24搜索引擎Google：百度：25資源搜索共享資源建立共享的條件：安裝“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”組件，安裝NetBEUI協(xié)議。如果沒有安裝NetBEUI協(xié)議，那么只能使用IP地址來互相訪問共享資源，如果安裝了NetBEUI協(xié)議，便可以在同一局域網(wǎng)內(nèi)使用主機(jī)名來互相訪問共享資源。使用工具Legion（共享資源掃描器）使用Shed掃描哪些目錄共享Shed是基于NetBIOS的攻擊Windows的軟件。NetBIOS(NetworkBasicInputOutputSystem，網(wǎng)絡(luò)基本輸入輸出系統(tǒng))，是一種應(yīng)用程序接口(API)，作用是為局域網(wǎng)(LAN)添加特殊功能，幾乎所有的局域網(wǎng)電腦都是在NetBIOS基礎(chǔ)上工作的。在我們的Windows95、99、或Me中，NetBIOS是和TCP/IP捆綁在一起的,這是十分危險的!但當(dāng)我們安裝TCP/IP協(xié)議時，默認(rèn)情況下NetBIOS和它的文件與打印共享功能也一起被裝進(jìn)了系統(tǒng)。當(dāng)NetBIOS運行時，你的后門打開了:因為NetBIOS不光允許局域網(wǎng)內(nèi)的用戶訪問你的硬盤資源，Internet上的黑客也能!Shed正是利用了這一點。27使用Lansee局域網(wǎng)查看工具（LanSee）是一款主要用于對局域網(wǎng)(Internet上也適用)上的各種信息進(jìn)行查看的工具。采用多線程技術(shù)，搜索速度很快。它將局域網(wǎng)上比較實用的功能完美地融合在一起,比如搜索計算機(jī)（包括計算機(jī)名，IP地址，MAC地址，所在工作組，用戶），搜索共享資源(包括HTTP,FTP服務(wù))，搜索共享文件(包括FTP站點中的文件)，多線程復(fù)制文件（支持?jǐn)帱c傳輸），發(fā)短消息，高速端口掃描，數(shù)據(jù)包捕獲,查看本地計算機(jī)上活動的端口,遠(yuǎn)程重啟/關(guān)閉計算機(jī)等,功能十分強(qiáng)大。該軟件是一款綠色軟件,解壓后直接打開運行，無需安裝。28資源搜索FTP資源掃描使用工具：SFtp來掃描FTP站點信息29端口掃描掃描端口目的判斷目標(biāo)主機(jī)上開放了哪些服務(wù)判斷目標(biāo)主機(jī)的操作系統(tǒng)工具Nmapsuperscan30漏洞掃描X-Scan流光Fluxay

31結(jié)構(gòu)探測若要對一個網(wǎng)站發(fā)起入侵，入侵者必須首先了解目標(biāo)網(wǎng)絡(luò)的基本結(jié)構(gòu)圖形化的路由跟蹤工具VisualRoute。可以使用專門的VisualRoute軟件，也可以到/vr/使用該網(wǎng)站提供的VisualRoute功能路由跟蹤命令tracert32確定操作系統(tǒng)類型getos33DNS信息查詢Nslookup

在提示符下輸入nslookup命令，然后回車，將顯示本機(jī)所使用的DNS服務(wù)器的域名和IP地址，并進(jìn)入查詢狀態(tài)。343536Whois（他是誰）程序

Internic（InternetInformationCenter）是一個機(jī)構(gòu)，提供關(guān)于Internet上的用戶和主機(jī)的信息。Whois是一個客戶程序，它與Internic（/whois.html）聯(lián)系，根據(jù)用戶的查詢返回相應(yīng)的信息。

37Whois（他是誰）程序

38Whois（他是誰）程序

39圖形界面的網(wǎng)絡(luò)工具ShadowScan40圖形界面的網(wǎng)絡(luò)工具IP-Tools41獲取目標(biāo)主機(jī)的一般權(quán)限對于陌生的目標(biāo)主機(jī)只知道它有一個ROOT用戶，要想登錄目標(biāo)主機(jī)至少要知道一個普通用戶。先設(shè)法盜竊帳戶文件，進(jìn)行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時機(jī)以此身份進(jìn)入主機(jī)。當(dāng)然，也可利用某些工具或系統(tǒng)漏洞登錄主機(jī)。42獲取目標(biāo)主機(jī)的管理權(quán)限獲得管理員權(quán)限的方法有以下幾種：（1）獲得管理員用戶的口令；（2）利用系統(tǒng)管理上的安全漏洞；如錯誤的文件訪問權(quán)、錯誤的系統(tǒng)配置、某些緩沖區(qū)溢出漏洞；（3）使用特洛伊木馬竊取管理員口令。

43隱藏自己的行蹤一般是通過清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡。也可以使用進(jìn)程隱藏、連接隱藏以及改變系統(tǒng)時間造成日志文件紊亂等方法。44破壞目標(biāo)主機(jī)或以此為跳板攻擊其他主機(jī)不同的黑客有不同的攻擊目的，可能是僅僅只是為了自己的成就感。也有的是為了實施竊取帳號密碼、信用卡號等經(jīng)濟(jì)偷竊。除了破壞系統(tǒng)之外，黑客還可以以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起攻擊，這樣既可以嫁禍他人，也可以隱藏自己的行蹤。45開辟后門，方便以后入侵一次成功的入侵會耗費黑客大量的時間和精力，所以一般黑客在退出系統(tǒng)之前會更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序，以便日后可以不被覺察地再次進(jìn)入系統(tǒng)。46二、緩沖區(qū)溢出攻擊主要內(nèi)容概要緩沖區(qū)溢出攻擊分析檢測與防御47討厭的Windows又出錯了！0x41414141?到底表示什么意思呢？

不知道...常見的情形點確定，關(guān)掉算了！48如何能夠進(jìn)行系統(tǒng)調(diào)用？刻意調(diào)整這個地址，使它能指向一段系統(tǒng)調(diào)用程序，如CMD.EXE49概念緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。50原因造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)。緩沖區(qū)溢出就是將一個超過緩沖區(qū)長度的字符串置入緩沖區(qū)的結(jié)果．51后果向一個有限空間的緩沖區(qū)中置入過長的字符串可能會帶來兩種后果一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；另一種后果是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，由此而引發(fā)了許多種攻擊方法。52堆棧從物理上講，堆棧是就是一段連續(xù)分配的內(nèi)存空間靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運行的時候被加載動態(tài)的局部變量則分配在堆棧里面從操作上來講，堆棧是一個先入后出的隊列，其生長方向與內(nèi)存的生長方向正好相反53規(guī)定內(nèi)存的生長方向為向上，則棧的生長方向為向下，壓棧的操作push＝ESP-4，出棧的操作是pop=ESP+4在Win32系統(tǒng)中，ESP是堆棧指針寄存器，它指向當(dāng)前堆棧儲存區(qū)域的頂部。EBP是基址寄存器，它指向當(dāng)前堆棧儲存區(qū)的底部。當(dāng)要在堆棧中進(jìn)行搜索時，常常需要它作用一個靜態(tài)參考點。除此之外，EIP是指令指針，它指向下一條將要被執(zhí)行的指令。54在一次函數(shù)調(diào)用中，堆棧中將被依次壓入：參數(shù)，返回地址，EBP如果函數(shù)有局部變量，接下來，就在堆棧中開辟相應(yīng)的空間以構(gòu)造變量函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將被丟失。但是不被清除在函數(shù)返回的時候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址，彈出返回地址到EIP以繼續(xù)執(zhí)行程序

/*function_call.c考察堆棧在函數(shù)調(diào)用中的變化*/voidfun(int);intmain(void){……

fun(1);……return0;}voidfun(intpara){charbuffer_a[8];charbuffer_b[8];……}動作堆棧第一步：main函數(shù)壓入?yún)?shù)１第二步：main函數(shù)調(diào)用fun函數(shù)，系統(tǒng)壓入返回到main的地址第三步：fun函數(shù)將main函數(shù)的基址指針值壓入堆棧，同時將ＥＢＰ指向ＥＳＰ第四步：fun函數(shù)壓入它的局部變量para=1

para=1返回地址

para=1返回地址老的基址指針值

para=1返回地址老的基址指針值buffer_abuffer_b56在C語言程序中，參數(shù)的壓棧順序是反向的：比如func（a,b,c)。在參數(shù)入棧的時候，是先壓c，再壓b，最后壓a在取參數(shù)的時候，由于棧的先入后出，先取棧頂?shù)腶，再取b，最后取c57看一段小程序#include<stdio.h>

intmain()

{

charname[8];

printf("Pleasetypeyourname:");

gets(name);

printf("Hello,s!",name);

return0;

}

編譯并且執(zhí)行，我們輸入ipxodi,就會輸出Hello,ipxodi!。我們用gcc-S來獲得匯編語言輸出，可以看到main函數(shù)的開頭部分對應(yīng)如下語句：

pushl%ebpmovl%esp,%ebpsubl$8,%esp首先把EBP保存下來，然后EBP等于現(xiàn)在的ESP，這樣EBP就可以用來訪問本函數(shù)的局部變量之后ESP減8，就是堆棧向上增長8個字節(jié)，用來存放name[]數(shù)組。現(xiàn)在堆棧的布局如下：59運行時的堆棧分配

內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<

[

][

][

]

^;name

堆棧頂部

堆棧底部

60執(zhí)行完gets(name)之后

內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<[ipxodi\0][

][

]

^;name

堆棧頂部

堆棧底部

61堆棧溢出

再執(zhí)行一次，輸入ipxodiAAAAAAAAAAAAAAA,執(zhí)行完

gets（name）之后內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<[ipxodiAA][AAAA][AAAA]

^;name

堆棧頂部

堆棧底部

由于我們輸入的name字符串太長，name數(shù)組容納不下，只好向內(nèi)存頂部繼續(xù)寫‘A’

由于堆棧的生長方向與內(nèi)存的生長方向相反，這些‘A’覆蓋了堆棧的老的元素EBP，ret都已經(jīng)被‘A’覆蓋了在main返回的時候，就會把‘

AAAA’

的ASCII碼：0x41414141作為返回地址，CPU會試圖執(zhí)行0x41414141處的指令，結(jié)果出現(xiàn)錯誤，這就是一次堆棧溢出63攻擊成功發(fā)生必須同時滿足三個條件將攻擊代碼注入內(nèi)存將函數(shù)返回地址指針指向已注入攻擊代碼的內(nèi)存地址執(zhí)行攻擊代碼64阻止緩沖區(qū)溢出這種方法的關(guān)鍵是要能禁止惡意代碼的注入。最根本的辦法是采用安全的C語言庫函數(shù)的最新版本，或者由程序員編程時手工加入用以檢查數(shù)組與指針等的上界的代碼，對下列經(jīng)常使用又容易被攻擊者利用的函數(shù)更需特別重視。strcpy(),strcat(),sprintf(),vsprintf(),gets().scanf(),以及在循環(huán)內(nèi)的getc(),fgetc(),getchar()等65允許緩沖區(qū)溢出但不允許改變控制流這種方法允許注入外部代碼，但禁止未經(jīng)授權(quán)控制流的改變，因而攻擊者可以將其攻擊代碼注入內(nèi)存并能改變部分地址段內(nèi)容，但控制流不會被指向攻擊代碼，從而攻擊代碼不會被執(zhí)行。66允許改變控制流但禁止敏感代碼的執(zhí)行這種方法中，可以注入攻擊代碼、并能改變返回地址，但攻擊代碼不能完全執(zhí)行。比如可以禁止諸如exec()等系統(tǒng)調(diào)用函數(shù)的非法使用，在Unix中，當(dāng)程序使用系統(tǒng)調(diào)用函數(shù)時，其返回地址將被保存在系統(tǒng)內(nèi)核堆棧中，而不是普通堆棧中。這樣，通過檢查系統(tǒng)調(diào)用的地址是否來自系統(tǒng)內(nèi)核堆棧就可知道它是否合法。67安裝安全補(bǔ)丁及時發(fā)現(xiàn)系統(tǒng)漏洞并及時升級、打補(bǔ)丁68主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)69什么是網(wǎng)絡(luò)掃描器掃描器是一種自動檢測遠(yuǎn)程或本地系統(tǒng)安全性弱點（漏洞）的程序。安全評估工具

系統(tǒng)管理員保障系統(tǒng)安全的有效工具，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對象。網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵者收集信息的重要手段70為什么需要網(wǎng)絡(luò)掃描器由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長和計算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導(dǎo)致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源71網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機(jī)識別其工作狀態(tài)（開/關(guān)機(jī)）識別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結(jié)果報告72掃描器的工作原理TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理73TCP協(xié)議（一）TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的TCP傳輸需要通過在客戶端和服務(wù)器之間建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”。TCP通過數(shù)據(jù)分段中的序列號保證所有傳輸?shù)臄?shù)據(jù)可以在遠(yuǎn)端按照正常的次序進(jìn)行重組，而且通過確認(rèn)保證數(shù)據(jù)傳輸?shù)耐暾浴?4來源端口（2字節(jié)）目的端口（2字節(jié)）窗口大?。?字節(jié)）確認(rèn)序號（4字節(jié)）序號（4字節(jié)）保留（6位）TCP協(xié)議（二）75TCP協(xié)議（三）TCP控制位CTLACK： 確認(rèn)標(biāo)志RST： 復(fù)位標(biāo)志URG：緊急標(biāo)志SYN： 建立連接標(biāo)志PSH： 推標(biāo)志FIN： 結(jié)束標(biāo)志76TCP協(xié)議（四）TCP連接建立示意圖77ICMP協(xié)議（一）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問題時，提供反饋信息用于報告錯誤特點：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸情況78ICMP協(xié)議（二）ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply79掃描器的基本工作原理80安全掃描工具

基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍（IP地址或路由器跳數(shù)）。

81網(wǎng)絡(luò)掃描的主要技術(shù)主機(jī)掃描技術(shù)端口掃描技術(shù)82主機(jī)掃描技術(shù)－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描83ICMPecho掃描實現(xiàn)原理：Ping的實現(xiàn)機(jī)制，在判斷在一個網(wǎng)絡(luò)上主機(jī)是否開機(jī)時非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對方的設(shè)備過濾掉。優(yōu)點：簡單，系統(tǒng)支持缺點：很容易被防火墻限制可以通過并行發(fā)送，同時探測多個目標(biāo)主機(jī)，以提高探測效率（ICMPSweep掃描）。84BroadcastICMP掃描實現(xiàn)原理：將ICMPECHOrequest包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風(fēng)暴85Non-EchoICMP掃描一些其它ICMP類型包也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)86主機(jī)掃描技術(shù)－高級技術(shù)防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯誤信息的手段，往往可以更有效的達(dá)到目的：異常的IP包頭在IP頭中設(shè)置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內(nèi)部路由器反向映射探測87異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLengthField和IPOptionsField。根據(jù)RFC1122的規(guī)定，主機(jī)應(yīng)該檢測IP包的VersionNumber、Checksum字段,路由器應(yīng)該檢測IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結(jié)果也各異。如果結(jié)合其它手段，可以初步判斷目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)過濾設(shè)備的訪問列表ACL。88在IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備以及其ACL。89錯誤的數(shù)據(jù)分片當(dāng)目標(biāo)主機(jī)接收到錯誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將丟棄這些錯誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯誤報文。利用這種方法同樣可以檢測到目標(biāo)主機(jī)和網(wǎng)絡(luò)過濾設(shè)備及其ACL。90通過超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文，從而獲取目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。91反向映射探測該技術(shù)用于探測被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。通常這些系統(tǒng)無法從外部直接到達(dá)。當(dāng)我們想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對方路由器接收到這些數(shù)據(jù)包時，會進(jìn)行IP識別并路由，對不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文，沒有接收到相應(yīng)錯誤報文的IP地址會可被認(rèn)為在該網(wǎng)絡(luò)中。當(dāng)然，這種方法也會受到過濾設(shè)備的影響。92端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)主要包括以下三類：開放掃描（TCPConnect掃描）會產(chǎn)生大量審計數(shù)據(jù)，易被對方發(fā)現(xiàn)，但其可靠性高隱蔽掃描（TCPFIN掃描、分段掃描）能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息；半開放掃描（TCPSYN掃描）隱蔽性和可靠性介于前兩者之間。93開放掃描TCPConnect掃描實現(xiàn)原理：通過調(diào)用socket函數(shù)connect()連接到目標(biāo)計算機(jī)上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回。否則，這個端口不可用，即沒有提供服務(wù)。優(yōu)點：穩(wěn)定可靠，不需要特殊的權(quán)限缺點：掃描方式不隱蔽，服務(wù)器日志會記錄下大量密集的連接和錯誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽94開放掃描TCPConnect掃描SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方95半開放掃描TCPSYN掃描實現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送SYN包。如果應(yīng)答是RST包，那么說明端口是關(guān)閉的；如果應(yīng)答中包含SYN和ACK包，說明目標(biāo)端口處于監(jiān)聽狀態(tài)，再傳送一個RST包給目標(biāo)機(jī)從而停止建立連接。在SYN掃描時，全連接尚未建立，所以這種技術(shù)通常被稱為半連接掃描優(yōu)點：隱蔽性較全連接掃描好，一般系統(tǒng)對這種半掃描很少記錄缺點：通常構(gòu)造SYN數(shù)據(jù)包需要超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用96隱蔽掃描技術(shù)TCPFIN掃描分段掃描97TCPFIN掃描實現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送FIN包。當(dāng)一個FIN數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回RST）。優(yōu)點：由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而必SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器。缺點：跟SYN掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用；通常適用于UNIX目標(biāo)主機(jī)。但在Windows95/NT環(huán)境下，該方法無效，因為不論目標(biāo)端口是否打開，操作系統(tǒng)都返回RST包。98分段掃描實現(xiàn)原理：并不直接發(fā)送TCP探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而包過濾器就很難探測到。優(yōu)點：隱蔽性好，可穿越防火墻缺點：可能被丟棄；某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常。99UDP端口掃描UDP是無連接的向某個端口發(fā)送UDP數(shù)據(jù)如果該端口關(guān)閉，會觸發(fā)ICMPportunreachable缺點有的系統(tǒng)限制了ICMP的發(fā)送速率100nmap掃描器NMap，也就是NetworkMapper探測一組主機(jī)是否在線掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)推斷主機(jī)所用的操作系統(tǒng)獲取Nmap幫助，命令行下運行不帶參數(shù)的nmap101Nmap用法nmap[ScanType(s)][Options]{targetspecification}目標(biāo)主機(jī)Ex:,/24,;10.0.0-255.1-254目標(biāo)端口Ex:-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080掃描技術(shù)-sS/sT/sA/sW/sM:TCPSYN/Connect()/ACK/Window/Maimonscans-sN/sF/sX:TCPNull,FIN,andXmasscans102開放掃描TCPConnect掃描nmap

-sT

28在使用nmap的同時，在另一個terminal中用tcpdump察看nmap發(fā)送和接收的數(shù)據(jù)包windump-D列出當(dāng)前系統(tǒng)中所有的網(wǎng)絡(luò)設(shè)備接口WinDump.exe-i3監(jiān)聽第三個網(wǎng)絡(luò)接口設(shè)備103ICMPSweep掃描nmap-sP/24104半開放掃描TCPSYN掃描nmap

-sS

28105UDP端口掃描UDP掃描發(fā)送空的(沒有數(shù)據(jù))UDP報頭到每個目標(biāo)端口nmap

-sU

28106確定目標(biāo)機(jī)支持哪些IP協(xié)議(TCP，ICMP，IGMP等)nmap

-sO

28107探測目標(biāo)主機(jī)的操作系統(tǒng)nmap

-O

28nmap

-A

28108主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)109惡意代碼從廣義上定義，惡意代碼指具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。通常惡意代碼具有各種各樣的形態(tài)，能夠引起計算機(jī)不同程度的故障，破壞計算機(jī)正常運行。早期的惡意代碼主要是指計算機(jī)病毒（Virus），但目前，蠕蟲(Worm)、惡意網(wǎng)頁（maliciouswebpage）、特洛伊木馬（TrojanHorse）、邏輯炸彈（Logicbombs）以及后門（backdoor）等其他形式的惡意代碼日益興盛。

110惡意代碼危害的例子用于DDoS攻擊破壞用戶數(shù)據(jù)泄漏用戶秘密更改手機(jī)設(shè)置即時通信中插入惡意的圖片和聲音文件彈出廣告更改IE設(shè)置……

111惡意代碼的簡單比較Internet蠕蟲病毒郵件文件系統(tǒng)病毒網(wǎng)頁腳本木馬傳播速度極快快一般慢慢傳播方式自動半自動半自動人工人工影響對象網(wǎng)絡(luò)網(wǎng)絡(luò)主機(jī)主機(jī)主機(jī)防治難度難難易易一般經(jīng)濟(jì)損失嚴(yán)重較大較大一般一般112各種惡意代碼的融合趨勢病毒、蠕蟲、木馬之間的界限已經(jīng)不再明顯；綜合使用多種攻擊手段：傳播：計算機(jī)系統(tǒng)的漏洞、電子郵件、文件共享、Web瀏覽、即時通訊工具等社會工程（socialengineering)113惡意代碼的分類計算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時光、求職信、惡鷹、rose…網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過不斷搜索和侵入具有漏洞的主機(jī)來自動傳播。如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…特洛伊木馬：是指一類看起來具有正常功能，但實際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。如冰河、網(wǎng)絡(luò)神偷、灰鴿子……114惡意代碼的分類（續(xù)）后門：使得攻擊者可以對系統(tǒng)進(jìn)行非授權(quán)訪問的一類程序。如Bits、WinEggDrop、Tini…RootKit：通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計算機(jī)中的程序。如RootKit、Hkdef、ByShell…拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件，惡意網(wǎng)頁……115病毒發(fā)展史（續(xù)1）引導(dǎo)區(qū)病毒臺式電腦第1代第2代第3代第4代臺式電腦臺式電腦臺式電腦臺式電腦LAN服務(wù)器基于文件的病毒郵件群發(fā)病毒互聯(lián)網(wǎng)防毒墻電子郵件

服務(wù)器墻臺式電腦筆記本電腦網(wǎng)絡(luò)病毒互聯(lián)網(wǎng)防毒墻服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺式電腦臺式電腦臺式電腦筆記本電腦已打補(bǔ)丁的機(jī)器網(wǎng)絡(luò)擁堵116什么是計算機(jī)蠕蟲計算機(jī)蠕蟲是指通過計算機(jī)網(wǎng)絡(luò)傳播的病毒，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓。第一個Internet蠕蟲是出現(xiàn)于1988年的Morris病毒MORRIS的作者是一名康奈爾大學(xué)的研究生，而他的父親當(dāng)時是美國政府頂級計算機(jī)安全專家。MORRIS共感染了連接到互聯(lián)網(wǎng)上的6000臺大學(xué)和軍用計算機(jī)，盡管在此之前已經(jīng)出現(xiàn)了互聯(lián)網(wǎng)病毒，但傳播范圍卻沒有如此廣泛。MORRIS作者最初的目的并不是癱瘓其它計算機(jī)，而是寫出可以自我復(fù)制的軟件。但是，由于程序的循環(huán)沒有處理好，計算機(jī)會不停地執(zhí)行、復(fù)制MORRIS，最終導(dǎo)致死機(jī)。

117蠕蟲病毒的特點傳播途徑是網(wǎng)絡(luò)傳播速度快傳播面積廣可能造成的危害程度高118蠕蟲特點——傳播快紅色代碼病毒（CodeRed）爆發(fā)15分鐘內(nèi)，受害計算機(jī)遍布全球爆發(fā)9小時內(nèi)感染了超過250,000臺計算機(jī)沒有文件實體可以傳播復(fù)制的電子信號網(wǎng)絡(luò)幽靈119蠕蟲特點——傳播廣120蠕蟲特點——危害高網(wǎng)絡(luò)擁擠

2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕蟲病毒一齊爆發(fā)，蠶食25%網(wǎng)絡(luò)帶寬。DoS（DenialofService）攻擊

I-Worm/MyDoom.a蠕蟲定于爆發(fā)后1星期對發(fā)動DoS攻擊。sco網(wǎng)站雖積極備戰(zhàn)，但由于感染點過多，在遭受攻擊當(dāng)天即陷入癱瘓。經(jīng)濟(jì)損失巨大

I-Worm/CodeRed:20億美元 I-Worm/Sobig:26億美元……121計算機(jī)蠕蟲的類型系統(tǒng)漏洞型群發(fā)郵件型共享型寄生型混合型…………122系統(tǒng)漏洞型病毒紅色代碼(IIS-Worm/CodeRed)尼姆達(dá)(I-Worm/Nimda)求職信(I-Worm/Klez)沖擊波(I-Worm/Blaster)震蕩波(I-Worm/Sasser)安哥(Backdoor/Agobot)……123系統(tǒng)漏洞型病毒特點：利用系統(tǒng)設(shè)計漏洞主動感染傳播軟件系統(tǒng)漏洞曝光數(shù)量逐年增加，漏洞型病毒滋生環(huán)境越來越好軟件系統(tǒng)漏洞曝光表124Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染125群發(fā)郵件型蠕蟲特點：種類、變種眾多，是最常見的一類蠕蟲病毒求職信(I-Worm/Klez)大無極(I-Worm/Sobig)網(wǎng)絡(luò)天空(I-Worm/Netsky)雛鷹(I-Worm/BBEagle)挪威客(I-Worm/MyDoom)126共享型蠕蟲利用局域網(wǎng)共享或P2P共享軟件傳播的蠕蟲通常將自身復(fù)制到局域網(wǎng)共享文件夾或P2P軟件的共享目錄復(fù)本文件名通常很有誘惑力，引誘其他用戶下載執(zhí)行127寄生型蠕蟲利用已泛濫病毒做平臺傳播，達(dá)到迅速傳播的目的震蕩波(I-Worm/Sasser)利用Windows系統(tǒng)漏洞傳播但震蕩波病毒本身的設(shè)計也有漏洞匕首病毒(I-Worm/Dabber)利用震蕩波病毒程序的漏洞傳播128混合型蠕蟲同時具有漏洞型、郵件型、共享型和寄生型的某些或全部特征傳播能力和危害最大求職信(I-Worm/Klez)超級密碼殺手(愛情后門，I-Worm/Supkp)網(wǎng)絡(luò)天空(I-Worm/Netsky)雛鷹(I-Worm/BBEagle)……129蠕蟲的爆發(fā)周期越來越短…漏洞發(fā)現(xiàn)攻擊代碼蠕蟲爆發(fā)控制清除越來越短越來越長，越來越難漏洞公布和蠕蟲爆發(fā)的間隔越來越短最佳時機(jī)及時太晚了130

沖擊波2003年8月11日補(bǔ)?。篗S03-0262003年7月16日補(bǔ)丁：

MS02-0392002年7月24日蠕蟲王2003年1月25日時間間隔26天185天336天尼姆達(dá)補(bǔ)?。?/p>

MS00-0782000年10月17日2001年9月18日震蕩波2004年5月1日補(bǔ)?。篗S04-011

2004年4月13日18

天131蠕蟲功能結(jié)構(gòu)模型132腳本病毒更甚于宏病毒－腳本病毒腳本語言的廣泛應(yīng)用“愛蟲”（LoveLetter）新的“歡樂時光”（VBS.KJ）“中文求職信”（donghe）133網(wǎng)頁病毒利用IE的ActiveX漏洞的病毒修改用戶的IE設(shè)置、注冊表選項下載木馬、惡意程序或病毒格式化用戶硬盤或刪除用戶的文件不具有傳染性，更重主動攻擊性惡意網(wǎng)站（“愛情森林”）134特點和趨勢以網(wǎng)絡(luò)環(huán)境傳播為主，帶有主動傳播的特征網(wǎng)絡(luò)蠕蟲將成為最主要和破壞性最大的病毒

“網(wǎng)頁病毒”將成為重要的破壞手段技術(shù)上具有混合型特征（A、綜合多種已有技術(shù)，B、蠕蟲、木馬、黑客程序相互結(jié)合）對自身進(jìn)行不斷完善，形成家族病毒依賴于系統(tǒng)，利用系統(tǒng)漏洞和內(nèi)核高級語言編寫，更易于制造135特洛伊木馬一個特洛伊程序是：一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序當(dāng)中。這個未經(jīng)授權(quán)的程序提供了一些用戶不知道的（也可能是不希望實現(xiàn)的）功能。136特洛伊木馬啟動方式自動啟動：木馬一般會存在三個地方:注冊表、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的。捆綁方式啟動：可以捆綁到一般的常用程序上。非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強(qiáng)的隱蔽性。137加載方式開始菜單的啟動項，基本上沒有木馬會用這種方式。在Winstart.bat中啟動。在Autoexec.bat和Config.sys中加載運行。win.ini/system.ini：有部分木馬采用，不太隱蔽。注冊表：隱蔽性強(qiáng)，多數(shù)木馬采用。服務(wù)：隱蔽性強(qiáng)，多數(shù)木馬采用。修改文件關(guān)聯(lián)。138加載方式－啟動文件

Win.ini:[Windows]

run=c:\windows\file.exe

load=c:\windows\file.exeSystem.ini：

[boot]shell=explorer.exefile.exe139加載方式－注冊表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run140加載方式－服務(wù)141加載方式－修改文件關(guān)聯(lián)正常情況下TXT文件的打開方式是啟動Notepad.EXE來打開TXT文件。關(guān)聯(lián)木馬通過修改關(guān)聯(lián)方式來加載木馬，則TXT文件打開方式就會被修改為用木馬程序打開：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

%SystemRoot%\system32\NOTEPAD.EXE%1

%path%這樣，當(dāng)雙擊一個TXT文件，原本應(yīng)用Notepad.EXE打開的TXT文件，現(xiàn)在卻變成啟動木馬程序。142存放位置及文件名木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中,因為windows的一些系統(tǒng)文件在這兩個位置。木馬的文件名總是盡量和windows的系統(tǒng)文件接近,比如木馬SubSeven1.7版本的服務(wù)器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會讓機(jī)器癱瘓。木馬SubSeven1.5版本服務(wù)器文件名是c:\windows\window.exe,少一個s143特洛伊木馬隱蔽性隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段來隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定木馬的具體位置，也就沒有辦法刪掉。首先應(yīng)該明確的是受害者的機(jī)器上運行的木馬程序我們稱之為服務(wù)端，控制者機(jī)器上運行的我們稱之為客戶端144特洛伊木馬隱蔽性使用TCP協(xié)議，服務(wù)端偵聽，客戶端連接。這是最簡單，最早，最廣泛使用的一種通訊方案。使用工具可以很容易的發(fā)現(xiàn)在某一端口上偵聽的進(jìn)程，以及進(jìn)程對應(yīng)的可執(zhí)行文件。如果服務(wù)端裝有防火墻，那么客戶端發(fā)起的連接就會被防火墻攔截。如果局域網(wǎng)內(nèi)通過代理上網(wǎng)的電腦，因為本機(jī)沒有獨立的IP地址(只有局域網(wǎng)的IP地址)，所以也不能正常使用。145特洛伊木馬隱蔽性使用TCP協(xié)議，客戶端偵聽，服務(wù)端連接。這就是所謂的反向連接技術(shù)了。防火墻對于連入的連接往往會進(jìn)行非常嚴(yán)格的過濾，但是對于連出的連接卻疏于防范。于是，出現(xiàn)了反彈式（主動式）木馬，即：服務(wù)端(被控制端)主動連接客戶端(控制端)，而不是被動的等待客戶端發(fā)送命令。為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用端口掃描軟件檢查自己的端口，會以為是自己在瀏覽網(wǎng)頁(防火墻也會這么認(rèn)為的)。146特洛伊木馬隱蔽性連接請求連接請求80147特洛伊木馬隱蔽性這種反向連接技術(shù)要解決的一個問題是，服務(wù)端如何找到客戶端。方法是客戶端通過一個有固定IP或者固定域名的第三方發(fā)布自己的IP，比如通過一個公共的郵箱，通過一個個人主頁。當(dāng)客戶端想與服務(wù)端建立連接時，它首先登錄某個WEB服務(wù)器，把信息寫到主頁上面的一個文件，并打開端口監(jiān)聽，等待服務(wù)端的連接；服務(wù)端則定期的用HTTP協(xié)議讀取這個文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時，就主動連接，如此就可完成連接工作。如網(wǎng)絡(luò)神偷。

148網(wǎng)絡(luò)神偷

“網(wǎng)絡(luò)神偷（Trojan.Nethief.46）”病毒：警惕程度★★★，木馬病毒，通過網(wǎng)絡(luò)傳播，依賴系統(tǒng):WIN9X/NT/2000/XP。

病毒會將自己拷貝到系統(tǒng)目錄下命名為：Iexplorer.exe，然后在注冊表的自啟動項中添加“InternetExplorer”的病毒鍵值。運行時會每隔一分鐘就連接一次病毒網(wǎng)站，并與病毒作者進(jìn)行溝通，企圖控制用戶的電腦，給用戶帶來損失。

反病毒專家建議：建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站；關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；很多病毒利用漏洞傳播，一定要及時給系統(tǒng)打補(bǔ)?。话惭b專業(yè)的防毒軟件進(jìn)行實時監(jiān)控，平時上網(wǎng)的時候一定要打開防病毒軟件的實時監(jiān)控功能。149特洛伊木馬隱蔽性使用UDP協(xié)議，服務(wù)端偵聽，客戶端連接；客戶端偵聽，服務(wù)端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個可靠的協(xié)議，所以，必須在UDP協(xié)議的基礎(chǔ)上設(shè)計一個自己的可靠的報文傳遞協(xié)議。

150特洛伊木馬隱蔽性解決防火墻問題，無論是服務(wù)端被動偵聽，還是服務(wù)端主動連接，在服務(wù)端和客戶端試圖建立連接時都會引起防火墻得報警。一種方法是代碼注入，服務(wù)端將自己注入到一個可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程(比如IE，ICQ，IIS等）的地址空間中，然后或者可以以一個新線程的形式運行，或者只是修改宿主進(jìn)程，截獲宿主進(jìn)程的網(wǎng)絡(luò)系統(tǒng)調(diào)用(WinSock)。如果是以新線程的形式運行，那么然后或者可以被動偵聽，或者可以主動連接。151特洛伊木馬隱蔽性用ICMP來通訊。使用TCP/IP協(xié)議族中的ICMP協(xié)議而非TCP/UDP來進(jìn)行通訊，從而瞞過Netstat和端口掃描軟件。ICMP是IP協(xié)議的附屬協(xié)議，它是由內(nèi)核或進(jìn)程直接處理而不需要通過端口。一般的ICMP木馬會監(jiān)聽ICMP報文，當(dāng)出現(xiàn)特殊的報文時（比如特殊大小的包、特殊的報文結(jié)構(gòu)等）它就會打開TCP端口等待控制端的連接.一個真正意義上的ICMP木馬則會嚴(yán)格地使用ICMP協(xié)議來進(jìn)行數(shù)據(jù)和控制命令的傳遞（數(shù)據(jù)放在ICMP的報文中）。152特洛伊木馬隱蔽性進(jìn)程隱藏就是指把木馬寫入到驅(qū)動和內(nèi)核的級別，通過攔截系統(tǒng)調(diào)用的服務(wù)，用替代系統(tǒng)功能（改寫驅(qū)動程序或動態(tài)鏈接庫）或者說是嵌入式的方法，例如，如果系統(tǒng)運行windows.exe，實際上同時運行了木馬和windows.exe。而木馬則嵌入在windows.exe中，能看到，但沒法刪除，因為windows.exe是系統(tǒng)進(jìn)程，不允許刪除。這樣，就相當(dāng)于隱藏了木馬進(jìn)程。153特洛伊木馬潛伏性木馬還具有很強(qiáng)的潛伏能力,表面上的木馬被發(fā)現(xiàn)并刪除以后,后備的木馬在一定的條件下會跳出來。Glacier有兩個服務(wù)器程序,C:\Windows\System\Kernel32.exe掛在注冊表的啟動組中,當(dāng)電腦啟動的時候,會裝入內(nèi)存,這是表面上的木馬;另一個是C:\Windows\System\Sysexplr.exe,也在注冊表中,它修改了文本文件的關(guān)聯(lián),當(dāng)點擊文本文件的時候,它就啟動了。154如何對付木馬1.必須提高防范意識,不要打開陌生人信中的附件。

2.多讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,往往錯誤地執(zhí)行了服務(wù)器端程序3.使用殺毒軟件。4.立即掛斷。155如何對付木馬5.觀察目錄。普通用戶應(yīng)當(dāng)經(jīng)常觀察位于c：\、c：\windows、c：\windows\system這三個目錄下的文件。用“記事本”逐一打開c：\下的非執(zhí)行類文件（除exe、bat、com以外的文件）,查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c：\Windows或c：\Windows\system下如果有光有文件名沒有圖標(biāo)的可執(zhí)行程序,你應(yīng)該把它們刪除,然后再用殺毒軟件進(jìn)行認(rèn)真的清理。6.在刪除木馬之前,最最重要的一項工作是備份,需要備份注冊表,備份你認(rèn)為是木馬的文件。

156木馬檢測工具-Prcview157木馬查殺演示－灰鴿子手工查殺步驟：使用prcview工具查看可疑的進(jìn)程。查看服務(wù)，查找可疑的服務(wù)。使用netstat、sport工具查看端口和程序的關(guān)聯(lián)，尋找可疑的程序。查看注冊表中的啟動項。確認(rèn)木馬文件，在資源管理器中定位木馬文件。158木馬查殺演示－灰鴿子使用prcview工具終止木馬進(jìn)程。刪除木馬文件，如果在Windows下刪除不了，在DOS環(huán)境下刪除木馬文件。刪除注冊表中的木馬啟動項。對系統(tǒng)進(jìn)行安全加固。159冰河冰河是一款用戶遠(yuǎn)程監(jiān)控的木馬工具，可以運行在Windows98/NT之下。相對而言，它的最大優(yōu)點就是它完全是國產(chǎn)軟件，全中文的界面讓國內(nèi)的用戶倍感方便。160冰河的主要功能

1．自動跟蹤目標(biāo)機(jī)屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)；2．記錄各種口令信息：包括開機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴(kuò)充，2.0以上版本還同時提供了擊鍵記錄功能；161冰河的主要功能

3．獲取系統(tǒng)信息：包括計算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件等多項文件操作功能；162冰河的主要功能6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能；7．發(fā)送信息：向被控端發(fā)送簡短信息；8．點對點通訊：以聊天室形式同被控端進(jìn)行在線交談。

163冰河的客戶端界面164冰河的主要組成文件冰河2.2正式版共有4個文件，它們是：G-client.exe 冰河客戶端程序G-server.exe 服務(wù)器端程序Readme.txt 自述文件Operate.ini 配置文件165冰河的主要功能:連接服務(wù)器首先當(dāng)然是連接目標(biāo)服務(wù)器，從菜單中選擇文件->添加主機(jī)。需要填寫：顯示名稱：顯示在程序中的名稱，只用于方便區(qū)別、記憶。主機(jī)地址：可以填入IP地址或域名。訪問口令：配置服務(wù)器程序時輸入的口令。監(jiān)聽端口：配置服務(wù)器程序時確定的端口號

166冰河的主要功能:文件操作我們可以看到，在主程序左邊有兩個選項卡：文件管理器命令控制臺文件管理器用來做有關(guān)文件的操作，而命令控制臺顧名思義是用來向目標(biāo)計算機(jī)發(fā)送命令的。

167冰河的主要功能:遠(yuǎn)程控制通過命令控制臺我們可以向目標(biāo)計算機(jī)發(fā)送各種命令,這也是冰河最強(qiáng)的功能。

168冰河的主要功能:包含的命令冰河2.2版包含的命令有：口令類命令1）系統(tǒng)信息及口令：可以獲得包括系統(tǒng)信息（計算機(jī)名、用戶名等），開機(jī)口令，緩存口令及其它口令在內(nèi)的資料。2）歷史口令：從啟動開始的歷史口令。3）擊鍵記錄：記錄目標(biāo)機(jī)器上的擊鍵。169冰河的主要功能:包含的命令控制類命令1）捕獲屏幕得到目標(biāo)機(jī)器當(dāng)前的屏幕圖象。屏幕控制。冰河除了把目標(biāo)機(jī)器的屏幕圖象顯示到你的屏幕上之外，你還可以把它看作一個真正的屏幕。這么說吧：如果屏幕上顯示對方開著一個IE窗口，你就可以點擊它的關(guān)閉按鈕，那么它在目標(biāo)機(jī)器上就真被關(guān)閉了。

170冰河的主要功能:包含的命令2）發(fā)送消息向目標(biāo)計算機(jī)發(fā)送消息。目標(biāo)計算機(jī)會彈出一個消息框，這個消息框的類型和內(nèi)容都可以由你來設(shè)置171冰河的主要功能:包含的命令3）

進(jìn)程管理在這里，可以對目標(biāo)主機(jī)的進(jìn)程加以控制。有兩個命令可以使用：查看進(jìn)程、結(jié)束進(jìn)程。點擊查看進(jìn)程按鈕,就可以在按鈕上方的列表框中看到目標(biāo)機(jī)器上的所有進(jìn)程。如果想終止某個進(jìn)程，只要先選中某進(jìn)程，再執(zhí)行結(jié)束進(jìn)程命令即可。

172冰河的主要功能:包含的命令4）窗口控制對目標(biāo)計算機(jī)上的程序窗口進(jìn)行遠(yuǎn)程控制。

173冰河的主要功能:包含的命令5）系統(tǒng)控制系統(tǒng)控制包括下列功能：遠(yuǎn)程關(guān)機(jī)計算機(jī)、重起計算機(jī)，重新加載冰河，卸載（uninstall）冰河。6)鼠標(biāo)控制這里可以隨意鎖定目標(biāo)計算機(jī)上的鼠標(biāo)，使其動彈不得。在你玩夠之后，你也可以再解除鎖定。174冰河的主要功能:包含的命令7)其它控制175冰河的主要功能:包含的命令網(wǎng)絡(luò)類命令1)創(chuàng)建共享2)刪除共享3)網(wǎng)絡(luò)信息網(wǎng)絡(luò)信息包括共享信息和連接信息。共享信息用來查看目標(biāo)計算機(jī)上的共享資源。連接信息用來顯示目標(biāo)計算機(jī)的網(wǎng)絡(luò)連接狀況：包括與其連接的計算機(jī)名、用戶名、通訊協(xié)議、當(dāng)前狀態(tài)等。176冰河的主要功能:包含的命令文件類命令這里的命令其實與文件管理器中的功能類似。這里不再解釋它們的用法。這些命令有：1)

文本瀏覽2)

文件查找3)

文件壓縮4)

文件復(fù)制5)

文件刪除6)

文件打開7)

目錄增刪8)

目錄復(fù)制、注冊表讀寫177主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)178主要內(nèi)容Sniffer概述共享局域網(wǎng)的嗅探CuteSniffer嗅探實例交換局域網(wǎng)的嗅探交換局域網(wǎng)嗅探實例179什么是Sniffer

網(wǎng)絡(luò)監(jiān)聽的作用：監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息，分析數(shù)據(jù)包，獲得有價值的信息。網(wǎng)絡(luò)監(jiān)聽工具：Sniffer(嗅探器)，有硬件和軟件兩種類型。一把雙刃劍管理員的管理工具，主要是進(jìn)行數(shù)據(jù)包分析，通過網(wǎng)絡(luò)監(jiān)聽軟件，觀測分析實時經(jīng)由的數(shù)據(jù)包，從而進(jìn)行網(wǎng)絡(luò)故障定位攻擊者們常用的收集信息的工具

180Sniffer的網(wǎng)絡(luò)環(huán)境共享式網(wǎng)絡(luò)通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機(jī)最常見的是通過HUB連接起來的子網(wǎng)交換式網(wǎng)絡(luò)通過交換機(jī)連接網(wǎng)絡(luò)由交換機(jī)構(gòu)造一個“MAC地址-端口”映射表發(fā)送包的時候，只發(fā)到特定的端口上181被監(jiān)聽的網(wǎng)絡(luò)以太網(wǎng)FDDI、Token-ring使用電話線通過有線電視信道微波和無線電182截獲的信息

口令金融帳號偷窺機(jī)密或敏感的信息數(shù)據(jù)（如e-mail內(nèi)容）窺探低級的協(xié)議信息（如用于IP欺騙）

183網(wǎng)絡(luò)監(jiān)聽原理網(wǎng)卡工作在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀為單位進(jìn)行傳輸，在幀頭部分含有數(shù)據(jù)的目的MAC地址和源MAC地址。普通模式下，網(wǎng)卡只接收與自己MAC地址相同的數(shù)據(jù)包，并將其傳遞給操作系統(tǒng)。在“混雜”模式下，網(wǎng)卡將所有經(jīng)過的數(shù)據(jù)包都傳遞給操作系統(tǒng)。184網(wǎng)絡(luò)監(jiān)聽原理共享式集線器（HUB）連接將網(wǎng)卡置于混雜模式實現(xiàn)監(jiān)聽185Sniffer軟件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能較全)186CuteSniffer187設(shè)置過濾器過濾器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

類型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.協(xié)議（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.188設(shè)置過濾器1.捕捉特定主機(jī)的ftp流:tcpport21andhost2.捕捉特定主機(jī)流出的包:srchost3.捕捉80端口發(fā)出的包:srcport80189設(shè)置過濾器190設(shè)置規(guī)則從文本文件rules.ini

讀規(guī)則header(option1;option2;...)

規(guī)則頭包括協(xié)議、源IP地址、源端口、方向、目的IP地址、目的端口規(guī)則選項191設(shè)置規(guī)則192設(shè)置規(guī)則例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)193捕捉礦大郵箱口令194捕捉礦大郵箱口令查看源文件，輸入的口令名字為Password195捕捉礦大郵箱口令設(shè)置過濾器為Dsthost7或者Dsthost196捕捉礦大郵箱口令查找捕捉的包197捕捉礦大郵箱口令幀頭198捕捉礦大郵箱口令包頭199捕捉礦大郵箱口令TCP頭200捕捉SINA郵箱口令201捕捉SINA郵箱口令202捕捉POP3郵箱口令設(shè)置過濾器（礦大POP3郵件服務(wù)器地址）203捕捉POP3郵箱口令在登錄前啟動捕捉204捕捉POP3郵箱口令捕捉結(jié)果205捕捉POP3郵箱口令206捕捉POP3郵箱口令207捕捉FTP口令這是一個FTP站點208捕捉FTP口令準(zhǔn)備登錄209捕捉FTP口令啟動捕捉，輸入用戶名與密碼210捕捉FTP口令捕捉的內(nèi)容211捕捉FTP口令212捕捉FTP口令213捕捉BBS口令這個是北大BBS站點214捕捉BBS口令搜索pw215捕捉Telnet口令可以通過Telnet登錄BBS開始－運行－cmd－telnet216捕捉Telnet口令217捕捉Telnet口令設(shè)置過濾器的兩種方式218捕捉Telnet口令219捕捉Telnet口令口令的第一個字母是1220捕捉Telnet口令口令的第二個字母是2221捕捉Telnet口令口令的第三個字母是3222捕捉畢業(yè)設(shè)計管理系統(tǒng)的口令223自動捕捉口令A(yù)cePasswordSniffer，能監(jiān)聽LAN，取得密碼。包括：FTP、POP3、HTTP、SMTP、Telnet密碼。224自動捕捉口令密碼監(jiān)聽器。225交換局域網(wǎng)嗅探交換機(jī)在正常模式下按MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)包，此時只能監(jiān)聽廣播數(shù)據(jù)包。交換網(wǎng)絡(luò)嗅探的關(guān)鍵：如何使不應(yīng)到達(dá)的數(shù)據(jù)包到達(dá)本地MAC洪水包利用交換機(jī)的鏡像功能利用ARP欺騙226MAC洪水包向交換機(jī)發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包，使交換機(jī)無法處理如此多的信息，致使交換機(jī)就進(jìn)入了所謂的"打開失效"模式，也就是開始了類似于集線器的工作方式，向網(wǎng)絡(luò)上所有的機(jī)器廣播數(shù)據(jù)包227利用交換機(jī)的鏡像功能利用交換機(jī)的鏡像功能228利用ARP欺騙首先介紹以太數(shù)據(jù)包格式

目的MAC地址源MAC地址類型數(shù)據(jù)66246~1500類型0800：IP數(shù)據(jù)包

類型0806：ARP數(shù)據(jù)包229然后介紹ARP數(shù)據(jù)包格式

目的端MAC地址源MAC地址0806硬件類型協(xié)議類型硬件地址長度協(xié)議地址長度ARP包類型發(fā)送端MAC地址發(fā)送端IP地址目的端MAC地址目的端IP地址662221126464

<以太網(wǎng)首部>

<26字節(jié)ARP請求/應(yīng)答>230交換局域網(wǎng)嗅探在VICTIM運行ARP–A，有如下輸出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic231交換局域網(wǎng)嗅探在ATTACKER上構(gòu)建并發(fā)送表一所示的包，其中目的mac為00-00-00-00-00-02，目的IPaddress為，發(fā)送者M(jìn)AC為00-00-00-00-00-01，發(fā)送者IP為（假冒IP）。在VICTIM上運行ARP–A，有如下的輸出：Int