網絡分析技術(原理、實踐與WinPcap深入解析)_第1頁
網絡分析技術(原理、實踐與WinPcap深入解析)_第2頁
網絡分析技術(原理、實踐與WinPcap深入解析)_第3頁
網絡分析技術(原理、實踐與WinPcap深入解析)_第4頁
網絡分析技術(原理、實踐與WinPcap深入解析)_第5頁
已閱讀5頁,還剩461頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

網絡分析技術原理、實踐與WinPcap深入解析目錄\h第1章揭開網絡分析的神秘面紗\h1.1網絡分析概述\h1.2網絡分析的主要用途\h1.3黑客使用嗅探器的方法\h1.4被嗅探數(shù)據的真面目\h1.4.1使用嗅探器獲得FTP的用戶名和密碼\h1.4.2使用嗅探器分析沖擊波蠕蟲(BlasterWorm)\h1.5常見的網絡分析器\h1.6網絡分析器的工作原理\h1.6.1以太網簡介\h1.6.2理解開放系統(tǒng)互連(OSI)模型\h1.6.3了解CSMA/CD協(xié)議\h1.6.4IP、ICMP、TCP與UDP協(xié)議\h1.6.5硬件\h1.6.6欺騙交換機\h1.7嗅探器的檢測\h1.7.1檢測嗅探器的原理\h1.7.2防止網絡嗅探可采取的安全措施\h1.8網絡分析工具的主要功能組成\h1.9Wireshark的概述、安裝與使用\h1.9.1Wireshark的概述\h1.9.2Wireshark的安裝\h1.9.3Wireshark的使用\h1.10小結\h第2章初識網絡分析基礎庫WinPcap\h2.1WinPcap概述\h2.2WinPcap的優(yōu)點\h2.3WinPcap的使用者\h2.4WinPcap的體系架構\h2.4.1WinPcap的主要組成\h2.4.2數(shù)據包捕獲的基本過程\h2.4.3WinPcap的驅動程序\h2.4.4WinPcap內核驅動的主要功能\h2.5用戶空間庫接口函數(shù)\h2.5.1wpcap.dll庫中的重要函數(shù)\h2.5.2Packet.dll庫中的重要函數(shù)\h2.6小結\h第3章網絡分析工具的內核驅動基礎知識\h3.1Windows驅動程序基礎知識\h3.1.1驅動對象(DRIVER_OBJECT)\h3.1.2設備對象(DEVICE_OBJECT)\h3.1.3設備擴展(_DEVICE_EXTENSION)\h3.1.4IRP與派遣函數(shù)\h3.1.5同步處理\h3.1.6內核的內存操作\h3.1.7內存操作的運行時函數(shù)\h3.1.8內核的注冊表操作\h3.2NDIS協(xié)議驅動程序\h3.2.1三種類型的網絡驅動程序\h3.2.2協(xié)議驅動程序的特征結構體\h3.3小結\h第4章編譯與使用WinPcap\h4.1源代碼目錄結構\h4.2構建驅動程序NPF\h4.3構建Packet.dll庫\h4.4構建wpcap.dll庫\h4.5安裝NPF驅動程序與各庫文件\h4.6使用WinPcap庫進行程序開發(fā)的實例\h4.7小結\h第5章WinPcap驅動程序的初始化與清除\h5.1驅動程序中的初始化函數(shù)DriverEntry\h5.1.1DriverEntry函數(shù)的工作流程\h5.1.2DriverEntry函數(shù)的具體實現(xiàn)\h5.2驅動程序中的卸載函數(shù)DriverUnload\h5.3小結\h第6章獲得與釋放網絡適配器設備列表\h6.1使用WinPcap選擇合適的適配器\h6.1.1wpcap.dll庫導出的相應函數(shù)\h6.1.2獲得與釋放網絡適配器列表的實例\h6.1.3獲取已安裝設備高級信息的實例\h6.2獲得網絡適配器列表的幕后\h6.2.1wpcap.dll庫中獲得網絡適配器列表的實現(xiàn)\h6.2.2Packet.dll庫中獲得網絡適配器列表的實現(xiàn)\h6.2.3內核空間中獲得網絡適配器列表的實現(xiàn)\h6.3釋放網絡適配器列表的實現(xiàn)\h6.4小結\h第7章打開與關閉適配器\h7.1使用WinPcap打開與關閉適配器\h7.1.1wpcap.dll庫導出的相應函數(shù)\h7.1.2關鍵數(shù)據結構pcap_t\h7.1.3打開與關閉網絡適配器的實例\h7.2打開與關閉適配器的幕后\h7.2.1打開適配器的實現(xiàn)\h7.2.2關閉適配器的實現(xiàn)\h7.3小結\h第8章數(shù)據包的發(fā)送\h8.1使用WinPcap發(fā)送數(shù)據包\h8.1.1wpcap.dll庫導出的相應函數(shù)\h8.1.2數(shù)據包發(fā)送實例\h8.2數(shù)據包發(fā)送的幕后\h8.2.1發(fā)送單個數(shù)據包的實現(xiàn)\h8.2.2單個數(shù)據包發(fā)送多次的實現(xiàn)\h8.2.3發(fā)送隊列方式的實現(xiàn)\h8.3小結\h第9章數(shù)據包的內核過濾\h9.1基礎知識\h9.1.1flex和bison簡介\h9.1.2#line宏\h9.1.3以太網的典型幀結構\h9.1.4數(shù)據包過濾的原理簡介\h9.1.5BPF虛擬機\h9.1.6Tcpdump與WinDump\h9.1.7BPF指令集實例\h9.1.8BPF過濾器的優(yōu)化研究\h9.1.9BPF系統(tǒng)架構\h9.2WinPcap數(shù)據包過濾基礎\h9.2.1數(shù)據包過濾過程\h9.2.2過濾表達式\h9.2.3編譯過濾表達式生成過濾器的字節(jié)碼\h9.2.4把過濾器字節(jié)碼傳遞給內核\h9.3使用WinPcap過濾數(shù)據包\h9.3.1wpcap.dll庫導出的相應函數(shù)\h9.3.2使用過濾器的實例\h9.4數(shù)據包過濾的幕后\h9.4.1wpcap.dll庫中相應函數(shù)的實現(xiàn)\h9.4.2Packet.dll庫對應的函數(shù)\h9.4.3驅動程序中對應的函數(shù)\h9.4.4NPF_tap函數(shù)的數(shù)據包過濾部分\h9.5小結\h第10章數(shù)據包的接收\h10.1使用WinPcap接收數(shù)據包\h10.1.1wpcap.dll庫導出的相應函數(shù)\h10.1.2數(shù)據包接收的實例\h10.2數(shù)據接收的幕后\h10.2.1wpcap.dll庫中相應函數(shù)的實現(xiàn)\h10.2.2Packet.dll庫中相應函數(shù)的實現(xiàn)\h10.2.3內核空間部分的實現(xiàn)\h10.3小結\h第11章統(tǒng)計網絡流量與網絡狀態(tài)\h11.1使用WinPcap進行網絡統(tǒng)計的方法\h11.1.1wpcap.dll庫導出的相應函數(shù)\h11.1.2統(tǒng)計實例\h11.2網絡統(tǒng)計的幕后11.2.1工作模式\h11.2.2模式設置函數(shù)\h11.2.3網絡流量統(tǒng)計的實現(xiàn)\h11.2.4網絡狀態(tài)統(tǒng)計的實現(xiàn)\h11.3小結\h第12章文件的存儲與讀取\h12.1libpcap文件存儲格式\h12.1.1轉儲文件的頭信息\h12.1.2每個數(shù)據包的頭信息\h12.2使用WinPcap進行文件存儲與讀取\h12.2.1wpcap.dll導出的相應函數(shù)\h12.2.2文件存儲與讀取的實例\h12.3數(shù)據包文件存儲的幕后\h12.3.1pcap_dump_open函數(shù)\h12.3.2pcap_dump函數(shù)\h12.3.3pcap_dump_flush函數(shù)\h12.3.4pcap_dump_close函數(shù)\h12.4數(shù)據包文件讀取的幕后\h12.5內核文件轉儲的實現(xiàn)\h12.5.1wpcap.dll庫中相應函數(shù)的實現(xiàn)\h12.5.2Packet.dll庫中相應函數(shù)的實現(xiàn)\h12.5.3驅動程序中對應的函數(shù)\h12.6小結\h第13章修改源代碼\h13.1給wpcap.dll增加設置重復發(fā)送次數(shù)的函數(shù)\h13.1.1修改步驟\h13.1.2測試結果\h13.2修改WinPcap的內核驅動代碼\h13.2.1支持內核轉儲功能\h13.2.2測試內核統(tǒng)計與轉儲模式\h13.2.3支持大量數(shù)據包的轉儲\h13.2.4內核驅動程序修改后的源文件\h13.3小結\h第14章性能測試與分析\h14.1測試環(huán)境\h14.2測試實例\h14.2.1不同發(fā)送方式的比較\h14.2.2發(fā)送不同數(shù)據包長度的比較\h14.2.3不同接收方式的比較\h14.3小結\h附錄A源語法規(guī)范\h附錄B過濾表達式規(guī)范\h附錄CSYN洪泛攻擊的詳細資料\hC.1SYN洪泛攻擊原理\hC.2使用WinPcap實現(xiàn)SYN洪泛攻擊的方法\hC.3SYN洪泛攻擊的防御\h附錄DARP欺騙資料\hD.1ARP簡介\hD.2ARP工作原理\hD.3常見ARP攻擊類型\hD.3.1ARP掃描\hD.3.2ARP欺騙\hD.4局域網ARP欺騙的應對\hD.4.1ARP欺騙的常見情況\hD.4.2故障診斷\hD.4.3故障處理\hD.4.4使用網絡分析工具找出ARP病毒源\hD.5常用的防護方法\hD.5.1靜態(tài)綁定IP地址與MAC地址\hD.5.2使用ARP防護軟件\hD.5.3使用具有防御ARP欺騙功能的路由器\hD.6ARP欺騙的正當用途注:原文檔電子版(非掃描),需要的請下載本文檔后留言謝謝。第1章揭開網絡分析的神秘面紗計算機網絡的迅速發(fā)展,給我們的生活、工作與學習帶來了巨大的改變。網絡縮短了信息傳遞的時間,擴大了信息傳遞的空間。我們通過網絡來獲得信息、共享資源,同時也開闊了視野,還可以及時了解時事新聞并獲取各種最新的知識和信息。隨著網絡的普及與發(fā)展,我們越來越依賴網絡。與此同時,相關的網絡問題也就隨之凸顯。網絡安全、網絡性能、網絡軟件質量等問題,越來越受人們的關注,并逐漸成為網絡應用所面臨的嚴重問題。正是在這種局勢下,網絡分析逐漸發(fā)展成為一門獨立的、專門的學科。網絡分析是一把雙刃劍。當網絡、系統(tǒng)與安全的專業(yè)人員使用它處理網絡故障或監(jiān)視網絡時,或許也正有網絡入侵者為了達到非法目的在使用它。網絡分析僅僅是一種技術,就像所有的技術一樣,它可以被用在好的目的之上,也可以被用在壞的目的之上。從技術角度來說,網絡分析(networkanalysis)與網絡嗅探(networksniff)沒什么實質區(qū)別,其區(qū)別僅存在于人們心理與情感層面。網絡分析的詞性更偏向褒義與正義,而網絡嗅探更偏向貶義與邪惡。由于本書重點是討論技術層面上的內容,因此后續(xù)將不再對兩者進行嚴格區(qū)分,除非有特別說明。為了便于深入理解網絡分析技術,本章將對網絡分析(網絡嗅探)相關的網絡模型、網絡硬件等基礎知識進行介紹。同時為了讓讀者能夠使用Wireshark工具來完成本書后續(xù)各章節(jié)的相關演示實例,我們還會對Wireshark網絡分析器的安裝與使用做簡要說明。1.1網絡分析概述網絡分析(又稱網絡嗅探、網絡流量分析、協(xié)議分析、數(shù)據包分析、網絡竊聽等)就是通過捕獲網絡流量并進行深入檢查,了解網絡中發(fā)生了什么情況的過程。從定義來看,網絡分析主要指在網絡上,通過某臺主機捕獲其他主機之間的數(shù)據包實現(xiàn)對網絡流量的監(jiān)視、分析或記錄。不過在本書中,還包含了數(shù)據包的發(fā)送技術。網絡分析器(networkanalyzer)通常用于通用協(xié)議數(shù)據包的解碼,并以人可讀的格式來顯示網絡流量的內容。而嗅探器(sniffer)則是監(jiān)視網絡上所傳輸數(shù)據的一種工具。未經授權的嗅探器會對網絡安全構成威脅,因為它們具有難被發(fā)現(xiàn)并且可插入在任何地方的特性,使其成為黑客最喜歡使用的一種工具。本書后面不會對網絡分析器與嗅探器做嚴格區(qū)分,除非有特別說明。歷史上,網絡分析器曾經專注于通過昂貴的、并難以使用的硬件設備來實現(xiàn)。而新出現(xiàn)的先進技術使得基于軟件的網絡分析器的開發(fā)成為可行方案,其為有效進行網絡分析提供了一種更為便捷與廉價的工具,同時具備很強的網絡分析能力。一個網絡分析器由硬件與軟件兩部分共同組成。它可以是一個帶有特定軟件的單獨硬件設備,也可以是直接安裝在臺式電腦或筆記本電腦上的一個軟件。盡管每種產品之間具有差別,但基本都是由下列五個基本部分組成的。?硬件:多數(shù)網絡分析器是基于軟件的,并工作于標準的操作系統(tǒng)與網卡之上。不過有一些硬件網絡分析器會提供額外的功能,諸如硬件故障分析(比如循環(huán)冗余糾錯(CRC)錯誤、電壓問題、網線問題、抖動(jitter)、逾限(jabber)、協(xié)商錯誤等)。除了部分網絡分析器僅支持以太網或無線網適配器以外,其他的均可支持多重適配器,并允許用戶定制它們的配置。依據實際使用情況來看,網絡分析器可能也需要一個集線器或一個網線探針(cabletap)連接已有的網線。?捕獲驅動器:這是網絡分析器中負責從網線上捕獲原始網絡數(shù)據包的組件。它會過濾出需要捕獲的網絡數(shù)據,并把所捕獲的數(shù)據保存在一個緩沖區(qū)中。這是網絡分析器的核心,沒有它就無法捕獲網絡數(shù)據包。?緩沖區(qū):該組件用于保存所捕獲的數(shù)據,直到該緩沖區(qū)被填滿為止。不過,如果采用循環(huán)緩沖區(qū)的方式,那么最新的數(shù)據將會替換最老的數(shù)據。?實時分析:該組件可對實時數(shù)據包進行分析,也就是說數(shù)據包一離開網線就可啟用此組件。部分網絡分析器還用該組件監(jiān)測網絡性能問題,比如網絡入侵檢測系統(tǒng)利用它尋找非法的入侵活動。?解碼(器):該組件用于顯示網絡數(shù)據包的內容。它以更便于人們理解的方式來描述數(shù)據包,是可讀的。解碼特定于每個協(xié)議,因此網絡分析器當前支持的可解碼的協(xié)議數(shù)是變化的,網絡分析器可能需要經常加入新的解碼協(xié)議。另外,典型的網絡分析器通常會采用如下格式來顯示所捕獲網絡流量的信息。?概要:該窗格顯示所捕獲內容的概要信息,包含時間、源地址、目標地址、最高層協(xié)議的名稱、信息等內容。?詳情:該窗格提供捕獲數(shù)據包所包含的每層內容的細節(jié)信息(采用樹形結構)。?數(shù)據:該窗格用十六進制與文本格式顯示捕獲數(shù)據包的原始數(shù)據。圖1-1所示為Wireshark網絡分析器的主窗口。圖1-1Wireshark網絡分析器的主窗口各種網絡分析器之間的主要差別在于所支持的解碼的協(xié)議數(shù)量、用戶接口、圖形化與統(tǒng)計能力等的不同。其他的差別則包括推理能力(比如專家分析特性)與數(shù)據包解碼的質量等的不同。盡管不同的網絡分析器可能會針對同一個協(xié)議進行解碼,但實際工作質量可能并不相同。1.2網絡分析的主要用途通過網絡分析可以監(jiān)測網絡運行狀況、幫助排除網絡故障、分析與測試網絡性能瓶頸等,同時還可幫助解決系統(tǒng)配置問題與應用程序瓶頸方面的問題。所以系統(tǒng)管理員、網絡工程師、安全工程師、系統(tǒng)操作員、軟件測試工程師與程序員都會經常使用到網絡分析技術,對他們而言,網絡分析器是極具價值的分析工具。例如,黑客可使用網絡掃描來識別可利用的網絡資源(比如,網絡上可利用的主機、端口或資源)。一旦一個易受攻擊的資源被探測到,它就可以被利用,這將危及設備的安全。很多時候,一個入侵者就藏在這些掃描的背后。安全專家可使用網絡分析技術來識別這些非法的攻擊,從而改善網絡安全。近年來我們不僅看到蠕蟲活動的激增,更是看到蠕蟲攻擊系統(tǒng)與網絡帶來的嚴重危害?;ヂ?lián)網上蠕蟲的傳播越來越快,也更智能與隱蔽。安全專家可以通過網絡分析工具來識別蠕蟲的蹤跡。具體來說,網絡分析器的主要用途如下:?將數(shù)據包中的二進制數(shù)據轉換成易讀的格式。?處理網絡故障。?分析網絡性能以發(fā)現(xiàn)瓶頸。?網絡入侵檢測。?出于辯護與收集證據的目的記錄網絡流量。?分析應用程序的操作。?發(fā)現(xiàn)有問題的網卡。?發(fā)現(xiàn)病毒爆發(fā)的源頭或拒絕服務(DoS)的攻擊。?發(fā)現(xiàn)間諜軟件。?在開發(fā)階段對網絡編程進行調試。?發(fā)現(xiàn)泄密的計算機。?確認網絡通信是否符合公司的政策。?作為學習協(xié)議的資源。1.3黑客使用嗅探器的方法如果嗅探器被心懷惡意的人使用,那么將會對網絡安全構成嚴重威脅。比如,網絡入侵者會使用嗅探的方式獲取用戶的秘密信息。以非法的方式使用嗅探器攻擊他人稱為被動的攻擊,因為嗅探器并不會直接與網絡上任何其他系統(tǒng)相互作用或連接,它的這種被動特性使其很難被檢測出來。同時,嗅探器也能被安裝在網絡中的某臺計算機上,來達到主動攻擊的泄密目的。入侵者在網絡上使用嗅探器可以實現(xiàn)如下目的:?取得明文的用戶名和密碼。?發(fā)現(xiàn)網絡用戶的使用模式(usagepattern)。?泄露私有信息。?捕獲與回放VoIP電話通話。?映射網絡的部署。?被動操作系統(tǒng)指紋(passiveOSfingerprinting)。上述都是嗅探器的非法使用形式。當然,若作為一個滲透測試人員,以此找出并報告這些類型的弱點,那么這就成了對嗅探器的合法使用了。為了嗅探,入侵者首先會獲取感興趣的系統(tǒng)的通信網線的訪問權,這意味著要在同一共享網段上或在通信路徑之間的網線某處接入探針。即使入侵者不與目標系統(tǒng)或通信訪問點物理接觸,其仍然有方法嗅探到網絡流量,具體方式如下:?闖入一臺目標計算機中且安裝遠程嗅探器。?闖入一個通信訪問點,比如一個因特網服務提供商(ISP)系統(tǒng)中,安裝嗅探軟件。?在已經裝入嗅探軟件的ISP上定位一個系統(tǒng)。?使用社會工程學\h[1]獲得對一個ISP的直接訪問權,安裝一個數(shù)據包嗅探器。?在目標計算機組織或ISP內部有一個同謀者,并且其在那兒已經安裝了嗅探器。?重定向或復制通信,使通信路徑中包含入侵者的計算機。入侵者通常會把嗅探程序配置成能檢測特定事情(如輸入密碼)的狀態(tài),在其嗅探到相關信息后,或發(fā)送給入侵者,或儲存起來,供入侵者稍后取回。易受該類程序攻擊的協(xié)議包括遠程登錄協(xié)議(Telnet)、文件傳送協(xié)議(FTP)、第3版郵局協(xié)議(POP3)、網際報文存取協(xié)議(IMAP)、簡單郵件傳輸協(xié)議(SMTP)、超文本傳輸協(xié)議(HTTP)、遠程登錄(rlogin)、簡單網絡管理協(xié)議(SNMP)等。大多數(shù)嗅探程序都包含了類似rootkit的工具。該工具在泄密系統(tǒng)中極具代表性,是一種奇特的程序,具有隱身功能:無論靜止時(作為文件存在),還是活動時(作為進程存在),都不會被察覺。換句話說,這種程序可能一直存在于我們的計算機中,但我們卻渾然不知,這一功能正是許多人夢寐以求的——不論是黑客,還是取證人員。黑客可以在入侵后植入rootkit,秘密地窺探敏感信息,或伺機而動;取證人員也可以利用rootkit實時監(jiān)控嫌疑人員的不法行為,搜集證據,以便及時采取行動。實際上rootkit是一個特洛伊程序集,在一個受控的系統(tǒng)上它會替換一些合法的命令(例如ps、ifconfig、ls等就是一些常被替換的命令),以避免被檢測到。同時rootkit還會安裝一些額外的軟件,如sniffers等。rootkit就是通過替換命令和使用、清除日志條目等來掩蓋入侵者的蹤跡的。同時入侵者還可安裝其他的程序,像嗅探器、鍵盤記錄器等后門軟件。木馬、病毒與蠕蟲之間的區(qū)別究竟什么是木馬、病毒和蠕蟲,它們之間存在著什么區(qū)別?大多數(shù)人并沒有一個清晰的了解。這幾個術語很多時候被混用了。事實上,它們三者之間有著非常顯著的不同。它們各自用不同的方式來感染計算機,并且每個都有各自不同的使用動機。一個病毒是一段程序,它通過附加到文件上或替換文件來感染用戶的計算機,且用戶并不知情。病毒能夠執(zhí)行它自己,并復制自己到系統(tǒng)中其他的文件上,通常的方式是把自己附加到可執(zhí)行文件(也就是主機文件)上。當用戶傳遞受感染的文件或共享存儲介質(如U盤)時,病毒就會從一臺計算機傳染到另一臺計算機上。一個良性的病毒不會具有太多破壞性的行為,不過會有一些令人討厭的或導致人們不方便的行為,比如在一個特定的時間里在主機上顯示一些消息。但是即使是一個良性的病毒也會消耗掉一些有用的內存、CPU處理時間和磁盤空間。有惡意的病毒具有很大的危險性,因為它們能導致大量的毀壞活動產生,比如修改軟件與數(shù)據、刪除文件或擦除整個系統(tǒng)。目前已存在的病毒類型較多,下面列舉一些:?文件(Fileinfector)病毒:它把自己附加到可執(zhí)行文件上。?開機型(Bootsector)病毒:它把病毒代碼放在計算機的磁盤啟動扇區(qū)上,所以每次計算機被啟動時就執(zhí)行該病毒。?主引導記錄(Masterbootrecord)病毒:它感染磁盤的第一個物理扇區(qū)。?復合型(Multi-partite)病毒:它通常具有多種感染方法。?宏(Macro)病毒:它把自己附加到文檔或模板的宏中。一個木馬也是一段程序,不過它隱藏在從表面上看來是有趣的或有益的軟件中,比如是一個游戲或有用的工具。然而,當用戶執(zhí)行這個程序時,隱藏的惡意程序在用戶不知情的情況下也會被執(zhí)行。接著該惡意程序就在內存中運行,入侵者通過后門來操控它,或該惡意程序對系統(tǒng)文件或數(shù)據進行破壞性的活動。一旦中了木馬,系統(tǒng)可能就會門戶大開,毫無秘密可言。木馬與病毒的最大區(qū)別是木馬不具傳染性,它并不能像病毒那樣復制自身,也并不刻意地去感染其他文件。它主要通過將自身偽裝起來,吸引用戶執(zhí)行。比如,它們通常的傳遞方式是:對此不清楚的用戶打開一份從互聯(lián)網上收到的電子郵件,并對郵件附件執(zhí)行一個文件下載的操作?,F(xiàn)在的木馬一般以竊取用戶相關信息為主要目的,相對病毒而言,可以簡單地說,病毒破壞信息,而木馬竊取信息。但是一個木馬也能包含一個病毒或一個蠕蟲。一個蠕蟲則是一段像病毒的程序,但是添加了不使用主機文件就能復制自己的功能。對于蠕蟲,并不需要接收一個受感染的文件或者使用一個受感染的存儲介質才會被傳染,蠕蟲自己就可以完成傳染的工作。蠕蟲通過計算機網絡主動地復制和繁殖自己。當蠕蟲正在繁殖或試圖繁殖時,它不僅消耗有用的系統(tǒng)資源,還消耗網絡帶寬。從破壞性的角度看,蠕蟲不是普通病毒所能比擬的,網絡的發(fā)展使蠕蟲可以在很短的時間內蔓延整個網絡,從而造成網絡癱瘓。\h[1]社會工程學(socialengineering):準確來說,它不是一門科學,社會工程學是一種利用人性的弱點(如人的本能反應、好奇心、信任、貪便宜等)進行諸如欺騙、傷害等行為,從而獲取自身利益的手段。說它不是科學,是因為它不是總能重復和成功,而且在信息充分多的情況下,會自動失效。社會工程學的竅門也蘊涵了各式各樣的、靈活的構思與變化因素。1.4被嗅探數(shù)據的真面目要想詳細了解嗅探的概念,最簡單的方法就是在實際應用中看一看具體的實例。1.4.1使用嗅探器獲得FTP的用戶名和密碼圖1-2展示的是從一臺計算機連接到一臺FTP服務器的服務請求,以及通過Wireshark嗅探所傳輸?shù)臄?shù)據包。從第一個和第二個數(shù)據包的內容可以看出,采用網絡分析器獲得用戶名與密碼是非常容易的事情(從數(shù)據包的內容可以很直接地知道用戶名(USER)為lxf,密碼(PASS)為lxf)。圖1-2嗅探一個連接1.4.2使用嗅探器分析沖擊波蠕蟲(BlasterWorm)1.問題每次啟動計算機,就接收到一個消息,告訴你60s內要重啟計算機。只要時間超過60s,計算機就會自動關機。這將導致你每次使用計算機不會超過60s。2.嗅探數(shù)據包出現(xiàn)上述問題,很有可能是蠕蟲或病毒造成的。任何時候,如果你懷疑一個病毒或蠕蟲可能就是導致計算機出現(xiàn)某問題的原因,就直接在問題計算機上安裝嗅探器,這不是一個明智的選擇。惡意軟件經常會干擾嗅探器的正常工作,最好的辦法是使用端口映射。數(shù)據包捕獲的時機為:從問題計算機剛剛啟動開始到將要自己關機時結束。3.數(shù)據包分析所捕獲的數(shù)據包如圖1-3所示。此截圖中記錄了問題計算機與另一臺計算機之間傳輸?shù)膸讉€TCP數(shù)據包??稍谶M行數(shù)據包捕獲時網絡上并沒有其他計算機活動,所以這里的網絡行為是可疑的。圖1-3所捕獲的數(shù)據包識別病毒或蠕蟲網絡流量的一個較好方法是查看網絡間的原始數(shù)據。我們來分析一下所捕獲的每個數(shù)據包。第一個數(shù)據包看不出有什么特別的,沒有多少有用的信息,如圖1-4所示。圖1-4第一個數(shù)據包的內容接著看第二個數(shù)據包,發(fā)現(xiàn)其中有對C:\WINNT\System32目錄的引用。這是一個很重要的系統(tǒng)目錄,包含了許多加載和運行操作系統(tǒng)的文件。如果看見一個網絡數(shù)據包引用這個目錄,則通常是存在問題的一個提示(見圖1-5)。圖1-5引用C:\WINNT\System32意味著可能訪問系統(tǒng)文件再來看第三個數(shù)據包,它沒有提供什么有用的信息,但是第四個數(shù)據包顯示的信息值得關注,如圖1-6所示。圖1-6第四個數(shù)據包引用了msblast.exe其中,msblast.exe就是沖擊波蠕蟲,這就是計算機出現(xiàn)問題的根源所在。沖擊波蠕蟲資料沖擊波蠕蟲是一種利用WindowsDCOMRPC漏洞進行傳播的蠕蟲,傳播能力很強。蠕蟲傳播時破壞了系統(tǒng)的核心進程svchost.exe,從而導致了系統(tǒng)不穩(wěn)定,并可能造成系統(tǒng)崩潰。它掃描的端口號是TCP135,攻擊成功后會利用TCP4444和UDP69端口下載并運行它的代碼程序msblast.exe。這個蠕蟲還將在某個時間(如8月16日)對進行拒絕服務攻擊,目的是為了使用戶不能及時地得到這個漏洞的補丁。沖擊波蠕蟲攻擊系統(tǒng)成功時,表現(xiàn)為如下特征:?系統(tǒng)被頻繁地重啟。?用netstat命令可以看到大量TCP135端口的掃描。?系統(tǒng)中出現(xiàn)文件:%Windir%\system32\msblast.exe。?注冊表中出現(xiàn)鍵值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"windowsautoupdate"="msblast.exe"。檢測和刪除沖擊波蠕蟲如果你的計算機感染了沖擊波蠕蟲,可以用下面辦法手動刪除:(a)打開任務管理器,停止進程msblast.exe。(b)檢查并刪除文件:%Windir%\system32\msblast.exe。(c)進入注冊表(開始→運行:regedit),找到鍵值:KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run在右邊的欄目,刪除下面的鍵值:"windowsautoupdate"="msblast.exe"(d)給系統(tǒng)打RPC漏洞補?。ǚ駝t很快會被再次感染)。防御沖擊波蠕蟲如果用戶不需要使用下面的端口,可以在防火墻或路由器上暫時關閉它們:(a)TCP4444:蠕蟲開設的后門端口,用于遠程命令控制。(b)UDP69:用于文件下載。蠕蟲用以下端口發(fā)現(xiàn)有漏洞的系統(tǒng):TCP135,TCP137,TCP139。蠕蟲感染途徑(a)蠕蟲感染系統(tǒng)后首先會檢測是否有名為"BILLY"的互斥體存在,如果檢測到該互斥體,蠕蟲就會退出;如果沒有,就會創(chuàng)建。(b)在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下鍵值:"windowsautoupdate"="msblast.exe"。通過該鍵值可以實現(xiàn)每次用戶登錄時的蠕蟲自動運行。蠕蟲還會在本地的UDP69端口上建立一個TFTP服務器,以便向其他受侵害的系統(tǒng)傳送蠕蟲的二進制程序msblast.exe。(c)蠕蟲選擇目標IP地址的時候會首先選擇受感染系統(tǒng)所在子網的IP,然后再按照一定算法隨機在互聯(lián)網上選擇攻擊目標。(d)蠕蟲會向目標的TCP135端口發(fā)送攻擊數(shù)據。如果攻擊成功,則會監(jiān)聽目標系統(tǒng)的TCP4444端口以此作為后門,并綁定cmd.exe。然后蠕蟲會連接到這個端口,發(fā)送tftp命令,回連到發(fā)起進攻的主機(UDP69端口),將msblast.exe傳到目標系統(tǒng)上,然后運行它。(e)每當蠕蟲檢測到當前系統(tǒng)月份是8月之后或者日期是15日之后,也就是說,在1~8月的16日至此月最后一天,以及9~12月的任意一天,其就會向微軟的更新站點""發(fā)動拒絕服務攻擊。若攻擊失敗,則可能造成沒有打補丁的Windows系統(tǒng)RPC服務崩潰,WindowsXP系統(tǒng)可能會自動重啟。該蠕蟲不能成功侵入Windows2003,但是可以造成Windows2003系統(tǒng)的RPC服務崩潰,默認情況下,這將使系統(tǒng)重啟。蠕蟲代碼中還包含以下文本數(shù)據:IjustwanttosayLOVEYOUSAN!!billygateswhydoyoumakethispossible?Stopmakingmoneyandfxyoursoftware!!1.5常見的網絡分析器現(xiàn)在已經有大量、各種各樣的網絡分析軟件可以使用了。下面將列出一些較優(yōu)秀、常見的網絡分析器。?Wireshark:目前最好的網絡分析器之一,它是作為一個使用自由、質量達到商業(yè)化工具的網絡分析器被開發(fā)的。Wireshark有很多特征,比如,擁有友好的用戶圖形界面、可解碼超過400個的協(xié)議等,同時它也被積極地開發(fā)與維護著。Wireshark可在UNIX、Linux、MacOSX與Windows系統(tǒng)上運行,其可從網站上獲取。?Tcpdump:最古老的、最常用的網絡分析器。它基于命令行模式運行在UNIX、類UNIX及MacOSX系統(tǒng)上。此分析通過網站進行開發(fā)與維護。?WinDump:是Windows版本的Tcpdump,它使用WinPcap庫,可從/windump網站上獲取。?NetworkGeneralSniffer:目前最流行的商業(yè)網絡分析器,現(xiàn)在有一個企業(yè)網絡捕獲工具套件,在網站上有其完整的產品描述。?Windows2000and2003ServerNetworkMonitor:通過一個內建程序來執(zhí)行的網絡分析器。該程序在操作系統(tǒng)安裝盤的"AdministrativeTools"文件夾中,但它不是默認安裝的,因此需要從安裝盤中添加安裝。?EtherPeek:WildPackets開發(fā)的一個商業(yè)化的網絡分析器。從網站上可以了解其詳細的信息。?Snoop:一個基于命令行模式運行的網絡分析器,包含在SunSolaris操作系統(tǒng)中。?Snort:一個網絡入侵檢測系統(tǒng)(NIDS),可用作網絡分析,目前在網站上開發(fā)與維護著。?Dsniff:一個非常流行的網絡嗅探軟件包。它是一個用來嗅探感興趣的數(shù)據(如密碼),并使嗅探過程更便利(如規(guī)避交換機)的程序集。它在/~dugsong/dsniff網站上被積極地維護著。?Ettercap:專門用來嗅探一個基于交換的網絡,可在Linux、Windows和Solaris平臺上運行。它內建了諸多特征,比如密碼收集、操作系統(tǒng)指紋識別(OSfingerprinting)和字符注入等。它在網站上被積極地維護著。?Analyzer:Windows操作系統(tǒng)下使用的一個自由的網絡分析器。WinPcap和Win-Dump的開發(fā)者仍在繼續(xù)積極地進行相關開發(fā)。可從http://analyzer.polito.it網站下載此工具。?Packetyzer:一個在Windows操作系統(tǒng)下自由使用的網絡分析器。它使用的是Wire-shark的核心邏輯,目前被NetworkChemistry在/open_source_tools網站上積極地維護著。?MacSniffer:專門為MacOSX操作系統(tǒng)設計,且作為Tcpdump的一個前端軟件被構建。該軟件是共享軟件,可從/brianhill/macsniffer.html網站上下載。1.6網絡分析器的工作原理本節(jié)將簡要介紹一下網絡分析器工作的背景知識,并給出相關的網絡與協(xié)議的背景信息。如果還需了解更多的信息,可參閱其他優(yōu)秀的資源,如RichardStevens的《TCP/IP詳解》1~3卷就是其中之一。1.6.1以太網簡介以太網是計算機之間通信的最常用的協(xié)議標準。它是基于共享介質構建的,所以在局域網同一網段內所有的計算機會共享相同的網絡流量。事實上,它就是眾所周知的一種廣播傳輸方式,也就是說,同一數(shù)據將會傳送給同一網段中的所有其他的計算機。信息一般會被分解成易管理的數(shù)據塊,這些數(shù)據塊稱為數(shù)據包。每個數(shù)據包有一個頭,包含目的計算機地址與源計算機地址。即使該信息會發(fā)送給一個網段上所有的計算機,也只有與目標地址匹配的計算機才會產生回應。雖然網絡上的其他所有計算機仍然可收到該數(shù)據包,但是如果該數(shù)據包不是它們想接收的就會被丟棄,除非某臺計算機上正運行著一個嗅探器。通常計算機運行在非混雜模式下,只能監(jiān)聽派發(fā)給自己的信息。當運行一個嗅探器時,數(shù)據包捕獲驅動器會把計算機網絡接口卡(NetworkInterfaceCard,NIC)設置為混雜模式。這意味著,嗅探的計算機能在該網段上見到所有的網絡流量,而不管數(shù)據包是發(fā)送給誰的。在這種情況下,它就能見到全部鄰居的會話。因為許多計算機可能會共享一個以太網段,所以每臺計算機一定要有唯一的一個標識符且要硬件編碼到NIC上。以太網網址,也就是傳輸介質訪問控制協(xié)議(MAC)的地址,就是這樣一個標識符。在WindowsNT、Windows2000、WindowsXP與Windows2003操作系統(tǒng)中都可在命令行下輸入ipconfig/all查看MAC地址,MAC地址將會列在"PhysicalAddress"字段后。1.6.2理解開放系統(tǒng)互連(OSI)模型國際標準化組織(InternationalOrganizationforStandardization,ISO)在20世紀80年代早期開發(fā)了開放系統(tǒng)互連(OSI)模型。此模型描述了網絡協(xié)議和組件在一起工作的形式。OSI模型把網絡功能分為七層,每層表現(xiàn)為一群相關的規(guī)格、功能和活動。雖然看起來很復雜,但這些術語已被廣泛地應用在網絡、系統(tǒng)和開發(fā)社區(qū)中。圖1-7所示為OSI模型的層次結構,在后續(xù)的章節(jié)中將會簡要介紹這些層次。圖1-7OSI模型的七層結構1.物理層OSI模型的第一層為物理層,該層規(guī)范了傳輸介質(如網線)的電氣與機械特性。它包括發(fā)送與接收介質上的數(shù)據流,載體可使用電(網線)、光(光纖)、無線、紅外、激光等信號。物理層的規(guī)范主要包括下列內容:?電壓變化;?電壓變化的時間;?數(shù)據率;?最大傳輸距離;?連接傳輸介質的物理連接器(接頭);?網絡的拓撲與部署。有許多復雜的問題要在物理層中進行研討,包括是使用數(shù)字的還是模擬的信號,使用的是基帶還是寬帶信號,是數(shù)據同步還是異步傳輸,以及信號如何被分配到信道上(如多路復用)等問題。物理層上的設備包括NIC上的收發(fā)器、中繼器、基本集線器(basichub)與連接器等。物理層的數(shù)據由0與1組成,以光脈沖或電壓變化脈沖的狀態(tài)(通常on代表1,off代表0)表示。這些比特位的安排與管理,是OSI模型數(shù)據鏈路層要實現(xiàn)的功能。2.數(shù)據鏈路層既然物理層只負責網絡介質中數(shù)據的物理傳輸,那么接收并管理與數(shù)據包物理傳輸相關錯誤信息的工作就交給OSI模型的數(shù)據鏈路層了。數(shù)據鏈路層負責維護兩臺計算機(典型的說法為主機或結點)之間的數(shù)據鏈接。它定義并管理接收、發(fā)送的數(shù)據幀中比特位的順序。數(shù)據幀是一個按特定組織方式安排好的數(shù)據序列,其為接收方與發(fā)送方在介質間有順序、一致地傳輸數(shù)據提供了一個方法。如果沒有這樣的控制,數(shù)據將會以隨機的大小與配置方式發(fā)送,這樣的數(shù)據在另一端(接收端)是無法解碼的。數(shù)據鏈路層管理物理地址與數(shù)據包的同步,也對物理層的流量控制與錯誤提示負責。流量控制是指管理發(fā)送與接收數(shù)據的時間,使數(shù)據傳輸?shù)南嚓P指標不超過物理連接的容量(包括速度、內存等)。數(shù)據鏈路層所涉及的網絡設備為兩層交換機與網橋。兩層交換機通過只發(fā)送數(shù)據到與目標計算機相關的端口而不是發(fā)送到交換機的所有端口上來降低網絡擁塞。網橋則把網絡劃分為兩部分并過濾流量,它會基于MAC地址建立一個表,從而定義哪臺計算機在網橋的哪一邊。數(shù)據鏈路層又分為兩個子層:介質訪問控制(MAC)子層與邏輯鏈路控制(LLC)子層。(1)MAC子層MAC子層提供對訪問傳輸介質的控制。它負責把在一個共享傳輸介質(如以太網線或光纖線)上的數(shù)據包從一個NIC移動到另一個NIC上。物理地址是MAC子層的地址。每一個NIC有一個唯一的MAC地址(又稱物理地址),此地址用于標識網絡上特定的NIC。注意在以太網的NIC中,物理或MAC地址被表示為12個十六進制的數(shù)字,每兩個一組且用“:”分隔開(又稱12:3A:4D:66:3A:1C)。開始的三組為制造商編號,后三組代表該制造商制造的唯一NIC的編號。一個NIC的MAC地址通常會燒錄到一個只讀內存(ROM)的芯片中。制造商為每一個網卡提供了一個唯一的MAC地址,所以從理論上說,每個被制造的NIC具有唯一的MAC地址。為了避免混亂,MAC地址被永久地燒錄到NIC的只讀內存中。有一些方法會使用MAC地址來分配網絡訪問的計算機,防止它們在同一時間傳輸從而致使數(shù)據沖突。比如采用MAC地址的方法包括以太網使用的載波監(jiān)聽多點接入/沖突檢測(CSMA/CD)方法、AppleTalk網絡使用的載波監(jiān)聽多點接入/沖突避免(CSMA/CA)方法、令牌環(huán)網與光纖分布式數(shù)據接口(FDDI)網絡使用的令牌傳遞方法等。(2)LLC子層LLC子層為數(shù)據鏈路層提供邏輯控制,它用于實現(xiàn)數(shù)據鏈路層的同步、流量控制與錯誤檢查等功能。該層主要管理面向連接的傳輸,不過,它也能提供非連接的服務。LLC定義了三種數(shù)據通信操作類型:?無連接。該方式不保證發(fā)送的信息一定可以收到。?面向連接。該方式提供了四種服務:連接的建立、確認和數(shù)據到達響應、差錯恢復(通過請求重發(fā)接收到的錯誤數(shù)據實現(xiàn))、滑動窗口(系數(shù):128)?;瑒哟翱谟脕硖岣邤?shù)據傳輸速率。?無連接應答響應服務。在面向連接的通信方式中,每一個LLC幀發(fā)送的內容都會被確認。LLC子層在接收LLC幀(又稱協(xié)議數(shù)據單元,PDU)結束時需要檢測在傳輸時是否有幀丟失了,如果丟失,則會給發(fā)送端發(fā)送一個請求,請求重新開始傳輸,此次傳輸將從沒有到達的PDU開始。LLC子層位于MAC子層的上面,它在上層與MAC子層的協(xié)議(如以太網、令牌環(huán)網等)之間扮演著一個聯(lián)絡人的角色。3.網絡層接下來的一層為網絡層,在這一層數(shù)據包會被順序化,同時會被賦予邏輯地址。邏輯地址是通過軟件賦予的地址,不是永久性的。TCP/IP協(xié)議在互聯(lián)網上使用的IP地址就是邏輯地址。網絡層也負責在點或結點之間創(chuàng)建一個虛擬鏈路(這里指的一個邏輯連接,而不是一個物理連接)。其中結點是具有MAC地址的設備,包含計算機、打印機或路由器等。這一層也負責路由與推進數(shù)據包。路由是指從一個網絡或子網推進數(shù)據包到另一個網絡或子網。如果沒有路由器,計算機只能與同一網段中的計算機通信。對于互聯(lián)網來說,路由是一個關鍵,同時也是網絡層最重要的任務。網絡層還提供流量控制與差錯控制功能。在該層操作的設備是路由器與三層交換機。從這一層開始,實現(xiàn)OSI模型的基本方法將與軟件密切關聯(lián),而不再是硬件。4.傳輸層OSI模型的第四層為傳輸層,這一層負責從一個結點傳輸數(shù)據到另一個結點上。它在結點間提供透明的數(shù)據傳輸,并管理端到端的流量控制、錯誤檢測與錯誤恢復。首先,傳輸層協(xié)議在不同計算機的特定端口之間發(fā)起聯(lián)系,并設置虛擬的鏈路。每臺主機的傳輸協(xié)議確認應用程序發(fā)送的數(shù)據是否是被授權訪問的,并且兩個端點是否都準備好開始數(shù)據傳輸了。當該同步完成時,數(shù)據將被發(fā)送。在數(shù)據傳送的過程中,每臺主機上的傳輸協(xié)議會監(jiān)控數(shù)據流并監(jiān)視傳輸錯誤。如果傳輸檢測到錯誤,傳輸協(xié)議將提供錯誤恢復。對網絡通信而言,傳輸層所提供的功能非常重要。前面提到數(shù)據鏈路層提供了底層可靠性與面向連接或非連接的通信,傳輸層做了同樣的工作,只不過是在更高的層次上。面向連接的傳輸控制協(xié)議(TCP)與面向非連接的用戶數(shù)據包協(xié)議(UDP)是傳輸層常見的兩種協(xié)議。傳輸層也管理端口的邏輯地址,比如,決定所接收的數(shù)據屬于哪個應用程序,一臺計算機上可能會同時運行幾個網絡應用程序。傳輸層還會處理域名解析,如使用域名系統(tǒng)(DomainNameSystem,DNS)就是處理該問題的一種方法。5.會話層在傳輸層建立了一個虛擬的連接后,兩臺不同計算機上的進程之間就會建立一個通信會話。會話層負責建立、監(jiān)視與終止會話,同時會使用傳輸層建立的虛擬鏈路。會話層也負責給數(shù)據包添加協(xié)議頭信息,指明一個消息的起點與終點。一旦該頭信息被添加到數(shù)據包上,會話層就會在發(fā)送者會話層與接收者會話層之間執(zhí)行同步,利用確認(ACKnowledgment,ACK)標識協(xié)調會話層的數(shù)據傳輸。會話層的另一個重要功能是決定在一個會話中的通信是采用全雙工還是半雙工通信方式。傳輸層是在兩臺計算機之間建立一個連接,而會話層則在兩個進程之間建立一個連接。傳輸層在兩臺計算機之間建立連接后,會話層就會在一臺計算機上的一個進程與另一臺計算機上的一個進程之間建立連接。一個應用程序可同時運行多個進程來完成相應的工作。6.表示層數(shù)據傳輸是表示層的基本活動,協(xié)議轉換就是在這一層進行的。當數(shù)據從發(fā)送者傳送到接收者處時,它就會在表示層上進行轉換(比如,發(fā)送者的應用程序把數(shù)據向下傳送到表示層時,會在表示層將數(shù)據轉換為一種通用格式)。待數(shù)據被另一端接收時,表示層又會把它從通用格式轉回為應用程序使用的格式。表示層也是網關服務操作的地方。網關是不同平臺或應用的網絡之間的連接點,通常通過軟件實現(xiàn)網關的功能。軟件重定向器也是在該層進行操作的,同時該層也是數(shù)據壓縮發(fā)生的地方,它會最小化網絡介質需要傳送到接收器的比特數(shù)量。另外,數(shù)據加密與解密也在表示層進行。7.應用層應用層是用戶應用程序與網絡交互的位置。不要把網絡模型與應用程序本身混淆了。應用程序的進程是在一個用戶應用程序中開始的,進程所創(chuàng)建的數(shù)據會被遞交到網絡軟件的應用層中。在該層所發(fā)生的所有事情都是特定于應用的。OSI模型是通用的,可被用來解釋所有的網絡協(xié)議。為了達到此目的,各種協(xié)議簇經常被映射到OSI模型上。對OSI模型深入的理解可幫助網絡分析和比較,以及問題的解決。注意,不是所有的協(xié)議都能很好地映射到OSI模型上。比如TCP/IP協(xié)議簇在OSI模型之前就已經開發(fā)了,TCP/IP協(xié)議簇被設計為映射到美國國防部(DoD)的模型上,因此TCP/IP協(xié)議簇的層次無法與OSI模型準確地對應。TCP/IP協(xié)議簇由五層組成:物理層、數(shù)據鏈路層、網絡層、運輸層和應用層。前四層與OSI模型的前四層對應,提供物理標準、網絡接口、網際互連和傳輸功能。不過,OSI模型的最高三層在TCP/IP中則是用第五層“應用層”表示的。1.6.3了解CSMA/CD協(xié)議為了讓設備在網絡上交換數(shù)據,以太網使用載波監(jiān)聽多點接入/沖突檢測(CSMA/CD)協(xié)議。多點接入是指許多網絡設備連接到同一個網段上,并且都賦予等同的發(fā)送機會,沒有任何設備優(yōu)先于其他設備。載波監(jiān)聽描述了一個網絡設備的以太網接口在傳送之前如何監(jiān)聽傳輸介質。網絡接口在傳送之前和傳送的過程中都會監(jiān)聽,以確保在同一時刻沒有其他網絡設備傳送數(shù)據。如果兩個網絡設備同一時刻傳送數(shù)據,將會發(fā)生沖突。由于以太網接口會在傳送過程中監(jiān)聽介質,所以如果發(fā)生沖突,沖突檢測將會被標識出來。這時,正在傳送的設備就會在重新傳送之前等待一個小的、隨機的時間量,這就是隨機時間補償(backofftime)功能。傳統(tǒng)模式下,以太網操作是半雙工的,這就意味著一個接口只能傳送或接收數(shù)據,兩者不能同時進行。如果一個網段中有不止一個的網絡接口試圖在同一時刻傳送數(shù)據,將會導致沖突發(fā)生。如果以太網操作是全雙工模式,則將允許網絡設備在同一時刻傳送與接收數(shù)據,這樣可提高性能。如連接兩個設備的是對連網線,或者是單個設備連接到交換機的一個端口,該網段中僅有兩個接口需要進行傳送或接收操作,這時是不會發(fā)生沖突的。因為設備A的傳送連接的是設備B的接收,而設備B的接收連接的是設備A的傳送,所以這里也就不需要檢測沖突了。1.6.4IP、ICMP、TCP與UDP協(xié)議與網絡嗅探有關的協(xié)議主要包括IP(網際互連協(xié)議)、ICMP(網際控制報文協(xié)議)、TCP(傳輸控制協(xié)議)與UDP(用戶數(shù)據包協(xié)議)。這四個協(xié)議是現(xiàn)今互聯(lián)網工作的核心,下面對它們分別作簡要的介紹。1.IPIP是一個非連接協(xié)議,其管理尋址數(shù)據從一個點遞送到另一個點,并把大數(shù)據包分割成小的、能傳輸?shù)臄?shù)據包。IP數(shù)據包的主要組成如下:?IP標識(IPID):試圖唯一標識IP數(shù)據包。?協(xié)議:描述使用IP層服務的高層協(xié)議。?生存時間(TTL):數(shù)據包在通過互聯(lián)網時必須具有的受限壽命,當TTL為0時,數(shù)據包被丟棄。?源IP地址:源點的IP地址,數(shù)據包被創(chuàng)建的地方。?目的IP地址:終點的IP地址,數(shù)據包應該送到的地方。2.ICMP網際控制報文協(xié)議(ICMP)用于管理網絡之間在IP上出現(xiàn)的錯誤。下面是ICMP常用的報文:?回送請求/回答:為診斷目的而設計,可以用來確定在IP級別能否正常通信。例如ping程序使用回送請求與回答報文來計算兩個結點之間的網絡延時。?終點不可達:網絡不可達與端口不可達。當一個網絡或端口不可達(比如,一個防火墻拒絕了一個數(shù)據包或存在網絡問題)時,該報文會發(fā)送給數(shù)據包的源IP地址。終點不可達報文有一些子類型,有助于診斷通信問題。?超時:當一個數(shù)據包的TTL為0時就會發(fā)生超時情況。3.TCPTCP是面向連接的協(xié)議,通常用來傳輸數(shù)據。TCP面向連接的特性使得選用它進行源IP地址欺騙的可能性很小。下面是TCP的幾個重要概念:?TCP握手:TCP的一個重要概念是握手。任何數(shù)據在兩臺主機之間交換之前,它們必須同意進行通信。主機A先發(fā)送一個帶同步序號(SYNchronous,SYN)標識的數(shù)據包到主機B上。如果主機B愿意并能通信,它返回SYN數(shù)據包并添加確認(ACKnowledgment,ACK)標識。然后主機A開始發(fā)送數(shù)據,并向主機B指明它接收到了ACK。當主機間的通信結束時,就會發(fā)送一個帶結束(FINish,F(xiàn)IN)標識的數(shù)據包,接下來是一個類似確認的過程。?TCP序列:TCP的另一個重要組成是序列標識,每個發(fā)送的數(shù)據包都是一個序列的一部分。通過這些序列,TCP能控制復雜的任務,諸如重發(fā)、確認與排序。4.UDP相對于TCP,UDP數(shù)據包是面向非連接的,它具有多種用途,用于DNS就是其中一個重要的應用。1.6.5硬件與網絡嗅探有關的硬件主要包括網卡、網線探針、集線器與交換機,下面分別對它們進行簡要介紹。1.網卡一般情況下,網卡有下列四種接收模式:?廣播方式:該模式下的網卡能夠接收網絡中的廣播信息。?組播方式:該模式下的網卡能夠接收組播數(shù)據。?直播方式:在這種模式下,只有目的網卡才能接收該數(shù)據。?混雜模式:在這種模式下,網卡能夠接收一切通過它的數(shù)據,不管該數(shù)據是否是傳送給它的。網卡默認的工作模式是廣播模式或直播模式,即只能接收發(fā)送給自己或廣播的數(shù)據。正常情況下,接收數(shù)據的主機網卡會根據數(shù)據包中所包含的目標MAC地址或廣播MAC地址進行判斷,若為自己的MAC地址或是廣播MAC地址,則接收該數(shù)據包,并提交給上層處理程序,否則丟棄該數(shù)據包。當網卡處于混雜模式時,則不做任何判斷直接把接收到的所有數(shù)據包交給上層處理程序。網絡分析技術就是基于這個原理來捕獲網絡中所有的數(shù)據包的。2.網線探針網線探針(cabletaps)是幫助連接到網線的硬件設備。使用網線探針可以訪問計算機、集線器、交換機、路由器及其他設備之間網線上的任意點。網線探針可用于全雙工或半雙工的10Mbps、100Mbps與1000Mbps速度的以太網,甚至是幾十Gbps的網絡。在、等網站可獲得網線探針的相關信息。3.集線器集線器(hub)的主要功能是對接收到的信號進行再生整形放大,從而擴大網絡傳輸距離,并把所有結點集中在以它為中心的結點上。它工作在OSI參考模型的數(shù)據鏈路層上。集線器是在一個共享介質(比如以太網)上把多臺主機連接起來的一個設備。當一臺計算機發(fā)送信息時,該信息會行走到集線器上,集線器接著把信息推向所有與之相連接的計算機上,而該信息的目標計算機將會根據自己的MAC地址與數(shù)據包頭部所含的目標MAC地址進行判斷,如果一致就接收該數(shù)據包。集線器推進所有信息的區(qū)域,稱為沖突域,又稱廣播域。一個集線器只有一個沖突域。圖1-8所示為一個帶有集線器沖突域的網絡架構。大量的沖突會使得嗅探更容易,而且會導致性能問題,比如集線器的帶寬占用或流量過載。圖1-8帶有集線器沖突域的網絡架構4.交換機交換機(switch)也是把共享介質上的計算機連接到一起的設備。交換機維護著與交換機所連接計算機的MAC地址和交換機本身對應端口的一個關系列表。當一臺交換機接收到數(shù)據包時,它不會盲目地發(fā)送給所有的計算機,而是先查找數(shù)據包的頭部來獲得目標MAC地址,接著把數(shù)據包推進到該MAC地址對應的特定端口,這樣就把沖突域縮小為一個單獨的端口了,如圖1-9所示。該類型的沖突域為每個連接提供了一個明確的帶寬量,而集線器提供的是一個共享帶寬量。圖1-9交換機沖突域因為交換機的價格近年來急劇下降,故現(xiàn)在常采用交換機替換集線器,或者在選購新設備時選擇交換機。一些價格更貴的交換機包含了更好的技術,這使其對嗅探的攻擊抵擋力更強。如圖1-8與圖1-9所示,集線器使嗅探較容易,而交換機會使嗅探困難得多,但是交換機也是能被欺騙的(詳見1.6.6節(jié))。如果工作在使用交換機的網絡上,那么該如何執(zhí)行正當?shù)木W絡分析呢?很幸運的是,大部分交換機與路由器提供了端口映射機制。為了映射端口,必須配置交換機,使其可以從一個希望映射的端口復制網絡流量到所連接的端口。例如在圖1-10所示中,就映射了交換機端口1的所有網絡流量到端口5,這樣,網絡分析器就可以在端口5查看發(fā)送到計算機A與計算機A發(fā)送出去的所有網絡流量了。有時候,管理員會將交換機的上行端口進行端口映射,以查看出/入交換機所有端口的網絡流量。圖1-10交換機端口映射1.6.6欺騙交換機正如前面介紹的,在網絡中使用交換機會使嗅探更困難。從理論上說,連接到交換機上的計算機應該只能看見發(fā)給自己的網絡流量,不過,卻有一些技術可繞過該技術限定。下面簡要列舉攻破交換機防守的幾種方式。1.交換洪泛(switchflooding)部分交換機可以像集線器一樣運行,也就是說所有的數(shù)據包被廣播給了所有的計算機。通過這種方式就可以發(fā)送大量假MAC地址的數(shù)據包使交換機地址表溢出,進而攻破交換機所有的安全防備。2.ARP重定向(ARPredirect)當一臺計算機需要其他計算機的MAC地址時,它會發(fā)送一個地址解析協(xié)議(ARP)請求。每臺計算機也維護一個ARP表來存儲與其會話的計算機的MAC地址。只要ARP在一個交換機上廣播,所有與該交換機連接的計算機都能看到該請求與回應。這就導致可利用ARP來欺騙一臺交換機。入侵者通過發(fā)送一個假的ARP聲明,使交換機誤認為入侵者是另外一個角色,從而擾亂了交換機的正常工作,并發(fā)送網絡流量到它不應該發(fā)送的地方。比如,入侵者可以發(fā)送一個ARP聲明,把入侵者的計算機作為一個路由器,在這種情況下,其他計算機將試圖發(fā)送它們的數(shù)據包通過入侵者的計算機進行路由。或者,入侵者只給一個用戶發(fā)送一個ARP請求,聲明自己為路由器,這樣,此用戶就會開始推進數(shù)據包給入侵者。3.ICMP重定向(ICMPredirect)有時候幾臺計算機處在同一個物理網段與交換機上,但是它們不在同一個邏輯網段上,這意味著它們在不同的IP子網中。當計算機A想與計算機B會話時,可通過一個路由器發(fā)送它的請求。路由器知道它們在同一個物理網段上,因此發(fā)送一個ICMP重定向給計算機A,使它知道可以直接發(fā)送數(shù)據包給計算機B。此功能使得入侵者(計算機X)可以發(fā)送一個假的ICMP重定向給計算機A,告訴它把發(fā)送給計算機B的數(shù)據包發(fā)送給計算機X。4.ICMP路由廣播(ICMProuteradvertisement)這些廣播告訴計算機使用哪一個路由器。如果入侵者發(fā)送一個廣播,聲明它就是那個路由器,那么此計算機就會向該入侵者推進所有的數(shù)據包。5.MAC地址欺騙(MACaddressspoofing)入侵者可以利用偽裝計算機MAC地址的方式,將自己偽裝成另外一臺計算機。首先,它會發(fā)送帶有受害者源MAC地址的數(shù)據包欺騙交換機,交換機把該欺騙信息放進它的地址表中,并開始發(fā)送數(shù)據包給入侵者。但是因為受害者仍在交換機上,如果交換機進行MAC地址表更新就會導致交換機把地址表改回來,故入侵者常通過一些拒絕服務(DoS)類型的攻擊使受害者離線,然后重定向交換機并繼續(xù)通信。部分交換機具有允許靜態(tài)賦予每個端口一個MAC地址的防范措施。但是如果網絡規(guī)模很大此防范措施的效用就有限了,雖然仍可減少MAC欺騙,但降低了可維護性。還有部分交換機允許端口鎖定它所遇到的第一個MAC地址,該配置在物理端口訪問受限的環(huán)境中,提出了在可維護性與安全性之間的強制性平衡。要想在Linux上欺騙計算機的MAC地址,可使用下列的ifconfig命令:ifconfigeth0down//關閉網卡ifconfigeth0hwether00:02:b3:00:00:AA//設置MAC地址ifconfigeth0up//打開網卡然后通過廣播ping命令向各主機登記該MAC地址:ping-c1-b55現(xiàn)在就可以嗅探實際擁有該MAC地址的計算機的所有網絡流量了。6.重新配置交換機的端口映射正如前面所提及的,交換機的端口能被配置成可以查看到其他端口網絡流量的端口。這可通過Telnet或其他一些默認的后門連接交換機來實現(xiàn)。如果網絡管理協(xié)議(SNMP)沒有受到保護,還可以通過它來實現(xiàn)端口映射的配置。7.網線探針正如之前所述,網線探針能夠用來實現(xiàn)網線的物理窺探。在一臺交換機的上行網線上布下網線探針可以顯示所有出入交換機的網絡流量。1.7嗅探器的檢測在了解了網絡分析器的工作原理之后,大家應該認識到網絡分析器(嗅探器)并不是專為網絡攻擊、黑客入侵而開發(fā)的。事實上,由于網絡分析器具有檢查低層傳輸數(shù)據包的能力,因此我們可以很方便地使用其來對網絡進行診斷,當然這種能力同時也對網絡安全具有很大威脅性。例如大多數(shù)情況下,用戶賬號和安全密碼在驗證的過程中要隨著數(shù)據包在網絡上傳輸,它們在數(shù)據包內的位置存在著一定的規(guī)律性。網絡黑客可通過嗅探器來捕獲每個數(shù)據包的特定字節(jié),從而截獲用戶賬號和安全密碼。有了這些重要信息,就可以很容易地進行下一步的攻擊入侵了,這令網絡管理員防不勝防。如果某網絡被未經授權者設置了嗅探器,那么該網絡的安全實際上已遭到了嚴重破壞,任何主機與存有嗅探器的網絡系統(tǒng)連接都將有用戶賬戶與安全密碼被截獲的危險。網絡安全分析統(tǒng)計也表明,嗅探器是網絡安全存在的第二大隱患。1.7.1檢測嗅探器的原理如上所述,嗅探器可能會帶來很嚴重的安全問題。因此檢測網絡是否存在嗅探器,對網絡管理員或網絡安全管理員來講是非常重要的。然而,嗅探器很難被發(fā)現(xiàn),因為它們是被動的程序,并不會留下讓別人發(fā)現(xiàn)的蹤跡。但是,由于嗅探器必須將網卡設為混雜模式才能正常工作,而一般正常服務的網卡都不在該模式下,因此檢測嗅探器就等同于檢測網絡內是否存在網卡被設為混雜模式的計算機。對于Linux與Windows操作系統(tǒng)來說,嗅探器的檢測方法并不一樣,具體如下所示。1.Linux操作系統(tǒng)下的檢測方法在正常模式下,網卡會過濾和丟棄那些MAC地址不是廣播地址且不是該網卡MAC地址的數(shù)據包。可以通過該特性檢測該計算機是否處在混雜模式下。如果發(fā)送非法目的MAC地址(例如66:66:66:66:66:66的數(shù)據幀),在正常模式下網卡將丟棄該數(shù)據幀。但是如果處在混雜模式下,網卡則會將該數(shù)據幀提交給相應的協(xié)議棧,系統(tǒng)將會對該數(shù)據包做出相應的響應動作。這時就可通過檢測計算機是否發(fā)回了響應數(shù)據包,來確認該計算機是否存在嗅探器。2.Windows操作系統(tǒng)下的檢測方法在正常模式(非混雜模式)下,網卡只將目標地址為自己或是以太網廣播地址(FF:FF:FF:FF:FF:FF)的數(shù)據包傳遞給內核。當處在混雜模式下時,驅動程序就會只檢測以太網地址的第一個字節(jié)是否是廣播地址,如果是FF,則認為是發(fā)往FF:FF:FF:FF:FF:FF的廣播包。我們可以借用這個特性發(fā)送目標地址為FF:00:00:00:00:00的數(shù)據包,當Windows操作系統(tǒng)的驅動程序收到該數(shù)據幀,并對該數(shù)據幀做出了響應時,就表明它處在混雜模式下。如果沒處在混雜模式下,將丟棄該數(shù)據幀。1.7.2防止網絡嗅探可采取的安全措施防止網絡嗅探器攻擊并不是一件很困難的事情,通常可采取加密和網絡分割的辦法來實現(xiàn)。1.加密如果僅需要防止遠程登錄時用戶賬號和安全密碼被截取,則可以在主機上安裝動態(tài)密碼(OneTimePassword,OTP)系統(tǒng)。在使用OTP的系統(tǒng)中,用戶在登錄時會根據主機提出的一個迭代值和一個種子值計算出本次登錄的密碼。如果需要保護電子郵件免遭竊取,可以對郵件使用PGP(PrettyGoodPrivacy)加密軟件,對該算法目前還沒有找到比窮盡算法更有效的破解辦法。這兩種辦法實現(xiàn)起來較簡單,可它們不能完全阻止監(jiān)聽者從網絡上截取各種數(shù)據包的相關信息后,通過分析或是脫殼解密得到其想要的東西。更加安全的方法是利用SNP和SSH系統(tǒng)。SNP系統(tǒng)可以運行在很多操作系統(tǒng)上,其提供了一種安全的驗證協(xié)議,使TELNET、FTP、RLOGIN等應用的用戶賬號和安全密碼不再是以明文的方式傳輸。SNP系統(tǒng)中所有的傳輸數(shù)據都是采用DES加密的,監(jiān)聽者只能看到一些亂碼。SSH是基于C/S模型的,標準的SSH服務端口為22,SSH采用RSA加密算法建立連接,驗證過程結束后,所有的信息都采用IDEA技術加密,這是一種典型的強加密方式,適合于所有的通信。SSH曾一度為加密安全通信的主要協(xié)議。如果網絡系統(tǒng)中使用了SSH,那么用戶賬號和安全密碼被捕獲的概率將大大降低。2.網絡分割通常人們所能接受的防止嗅探器攻擊的辦法是使用安全的網絡拓撲結構。我們知道,網絡廣播的時候,信息包只能被同一網絡地址段中的嗅探器捕獲。所以可以利用網絡分割的技術,進一步劃分網絡,減小嗅探器能夠監(jiān)聽的范圍,這樣網絡的其余部分就可免受嗅探器的攻擊了。一般可以采用交換機來劃分網段,并使用網橋或網絡路由器來劃分子網。實際上PC(個人計算機)和工作站都可以配置成網橋或路由器,同一個網絡地址段內最好都是互相可以信任的計算機。通過網絡分割,安裝了嗅探器的計算機僅能夠捕獲有限范圍內計算機的信息流。如果發(fā)現(xiàn)了在某一網絡地址段有嗅探器,也很容易確定是哪些人設置的。1.8網絡分析工具的主要功能組成網絡分析工具一般由圖1-11所示的基本功能組成,當然對于要求較高的網絡分析工具還要添加復雜的協(xié)議解析功能,有的還要添加專家診斷功能。這些功能都是在圖1-11所示的基本功能之上所進行的擴展,本書中就不重點介紹了。圖1-11網絡分析工具的重要功能框圖由圖1-11所示可知,一個網絡分析工具首先需要從系統(tǒng)網絡適配器列表中選擇合適的網絡適配器,接著需要打開所選的網絡適配器。這樣就可以在該網絡適配器上執(zhí)行數(shù)據包發(fā)送、對過濾后的數(shù)據包執(zhí)行數(shù)據捕獲或統(tǒng)計工作了,同時,還可以對捕獲的數(shù)據包進行文件存儲。執(zhí)行結束后即可關閉對應的網絡適配器。對于存儲的數(shù)據包文件可單獨執(zhí)行文件打開操作。如果需要把文件中的數(shù)據包發(fā)送到網絡上,也需要執(zhí)行網絡適配器的相關操作。在上述功能的實現(xiàn)上,對于一個優(yōu)異的網絡分析工具來說,性能是關鍵。通常,類似于Wireshark之類的網絡分析器,都會直接調用底層庫(Windows平臺下為WinPcap庫,Linux平臺下為libpcap庫)來實現(xiàn)這些功能。這樣,性能問題就由底層庫來負責處理了,而Wireshark主要負責協(xié)議解析與圖形界面顯示等相關的工作。圖1-12所示為在Windows平臺上Wireshark與WinPcap的依賴關系。圖1-12Windows平臺上Wireshark與WinPcap的依賴關系我們將在后續(xù)的章節(jié)中圍繞圖1-11所示的這些重要功能,來分析網絡分析器中這些功能的設計難點、實現(xiàn)難點,并講解具體的實現(xiàn)與實際使用方法。1.9Wireshark的概述、安裝與使用在本書中將采用Wireshark進行輔助的網絡分析,所以要求讀者能夠簡單地使用該工具軟件,下面將對Wireshark進行簡要介紹。詳細的信息請參見Wireshark網站。1.9.1Wireshark的概述Wireshark是一款網絡分析器,用來捕獲數(shù)據包,并盡可能詳細地顯示數(shù)據包的內容。Wireshark是一款較好的開源的網絡分析器。以下是一些使用Wireshark的例子:?網絡管理員使用Wireshark來檢測網絡問題。?網絡安全工程師使用Wireshark來檢查網絡安全問題。?開發(fā)者使用Wireshark為新的通信協(xié)議除錯。?普通使用者使用Wireshark來學習網絡協(xié)議的相關知識。除了上述例子外,Wireshark還能對其他一些應用提供幫助。Wireshark的主要特性如下:?支持UNIX、Linux與Windows平臺。?從網絡接口上捕獲數(shù)據包。?顯示數(shù)據包詳細的協(xié)議信息。?可以存儲與打開所獲得的數(shù)據包。?可在大量其他的捕獲軟件之間導入與導出數(shù)據包。?使用許多標準過濾數(shù)據包。?使用許多標準查找數(shù)據包。?基于過濾器著色顯示數(shù)據包。?創(chuàng)建各種統(tǒng)計信息。Wireshark不支持以下功能:?Wireshark不是入侵檢測軟件。對于網絡上的異常流量行為,Wireshark不會產生警示或任何提示。不過,仔細分析Wireshark捕獲的數(shù)據包,可以幫助使用者更清楚地了解網絡行為。如果發(fā)生了異常事件,Wireshark可以幫助找出具體發(fā)生了什么事。?Wireshark不會操控網絡上的事情,它只會“度量”網絡上的事情。Wireshark本身也不會發(fā)送數(shù)據包到網絡上。1.9.2Wireshark的安裝在Windows平臺上安裝Wireshark非常容易,基本上是直接不停單擊Next>按鈕即可。在安裝Wireshark的過程中,正確選擇并安裝WinPcap庫非常重要,若出錯,則Wireshark無法正常使用。從Wireshark軟件的官方網站下載Wireshark安裝包。單擊可執(zhí)行文件,彈出啟動安裝的界面。選擇典型組件及安裝路徑,開始安裝Wireshark。這時,軟件會提示"InstallWinPcap4.0.2"等信息,選擇該復選框,如圖1-13所示。圖1-13選擇安裝WinPcap4.0.2庫的界面單擊Install按鈕開始安裝WinPcap,如圖1-14所示。圖1-14開始安裝WinPcap的界面安裝完畢,即可看到相關的提示?,F(xiàn)在,就可以使用Wireshark了。1.9.3Wireshark的使用1.啟動Wireshark安裝結束后可以直接從桌面(雙擊Wireshark的快捷方式)或“開始程序”菜單(單擊[開始]→[所有程序]→[Wireshark]→[Wireshark]菜單命令)中啟動Wireshark。圖1-15所示為Wireshark的主窗口界面。圖1-15Wireshark的主窗口界面2.捕獲數(shù)據包執(zhí)行[Capture]→[Interfaces...]菜單命令,彈出網絡接口的選擇界面,如圖1-16所示。圖1-16網絡接口的選擇界面此時單擊第二個接口右邊的Start按鈕,即可開始捕獲數(shù)據包了。圖1-17所示為捕獲數(shù)據包的界面。圖1-17數(shù)據包捕獲界面執(zhí)行[Capture]→[Stop]菜單命令,將停止數(shù)據包捕獲。3.數(shù)據包統(tǒng)計執(zhí)行[Statistics]→[Summary]菜單命令,彈出數(shù)據包統(tǒng)計界面,如圖1-18所示。圖1-18數(shù)據包統(tǒng)計界面4.保存與打開數(shù)據包文件執(zhí)行[File]→[SaveAs...]菜單命令可將捕獲的數(shù)據包存儲到一個文件中。執(zhí)行[File]→[Open...]菜單命令可將存儲到文件中的數(shù)據包回放、顯示出來。5.數(shù)據包過濾在主界面的過濾器(Filter)設置欄中可設置數(shù)據包顯示與捕獲的過濾條件,如圖1-19所示。圖1-19數(shù)據包過濾器設置欄單擊圖1-19中所示的Expression...按鈕,彈出過濾器設置對話框,如圖1-20所示。圖1-20過濾器設置對話框在此以捕獲與顯示IP源地址為5的數(shù)據包為例,設置過濾器,如圖

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論