黑客知识之Sniffer、黑客和网络管理
史蒂夫?利维在其闻名的《黑客电脑史》中指出的“黑客道德准则”(theHackerEthic)包罗:通往电脑的路不止一条;所有的信息都应当是收费的;冲破电脑集权;在电脑上发明艺术和美;计算机将使生活更美好。
黑客文明包含了自在不羁的精神,也包含了反传统、反权势巨子、反集权的精神。
广义的、公众认为的“黑客”就是闯入计算机系统的人。这种观念令有才能的、真正的“黑客”感触难过。《Maximum Security》一书中对黑客和入侵者界说如下:
■ “黑客”指对付任何计算机操纵系统的奥秘都有猛烈兴味的人。“黑客”大都是程序员,他们具有操纵系统和编程言语方面的高级知识,晓得系统中的毛病及其缘故原由所在;他们不停寻求更深的知识,并公然他们的发明,与其他人分享;并且历来没有破坏数据的计划。
■ “入侵者”是指怀着不良的计划,闯入甚至破坏长途机器系统完备性的人。“入侵者”利用失掉的合法拜访权,破坏紧张数据,拒绝正当用户服务请求,或为了本身的目标制造麻烦。“入侵者”很容易识别,由于他们的行为是歹意的。
这里黑客的概念源于50、60年代麻省理工学院的实行室里的计算机迷们。他们精神充沛,热衷于解决难题、独立思索并且奉公遵法。
技术本身是没有错的,错误产生于人。网络宁静性的分析可以被真正的黑客用于增强宁静性、增强网络的自在度,也可以被入侵者用于窥探他人隐私、任意窜改数据、举行网上诈骗活动。
这里,我们讨论网络嗅探器(sniffer)在广义黑客领域的使用和网络管理中的使用。
一. 嗅探器(Sniffer)攻击原理
Sniffer既可以是硬件,也可以是软件,它用来吸收在网络上传输的信息。网络可以是运行在各种协议之下的。包罗Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。安排Sniffer的目标是使网络接口(在这个例子中因此太网适配器)处于杂收形式(promiscuous mode),从而可从截获网络上的内容。
嗅探器与一般的键盘捕获程序(Key Capture)差别。键盘捕获程序捕获在终端上输出的键值,而嗅探器则捕获真实的网络报文。嗅探器经过将其置身于网络接口来达到这个目标――将以太网卡设置成杂收形式。
关于以太网(Ethernet)
Ethernet是由Xerox的Palo Aito研究中心(有时也称为PARC)发明的。下面简介一下信息在网络(这里为以太网)上的传输情势。
数据在网络上因此很小的称为帧(Ftame)的单元传输的帧由好几部分组成,差别的部分执行差别的功效。(比方,以太网的前12个字节寄存的是源和目标的地址,这些位告诉网络:数据的泉源和去处。以太网帧的其他部分寄存实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
帧经过特定的称为网络驱动程序的软件举行成型,然后经过网卡发送到网线上。经过网线抵达它们的目标机器,在目标机器的一端执行相反的历程。吸收端机器的以太网卡捕获到这些帧,并告诉操纵系统帧的抵达,然后对其举行存储。就是在这个传输和吸收的历程中,嗅探器会形成宁静方面的题目。
每一个在LAN上的工作站都有其硬件地址。这些地址独一地表示着网络上的机器(这一点于Internet地址系统比力相似)。当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到经过的流量,但对不属于本身的报文则不予相应(换句话说,工作站A不会捕获属于工作站B的数据,而是简略的纰漏这些数据)。如果某在工作站的网络接口处于杂收形式,那么它就可以捕获网络上所有的报文和帧。
Sniffer就是如许的硬件或软件,可以或许“听”到(而不是纰漏)在网上传输的所有的信息。在这种意义上,每一个机器,每一个路由器都是一个Sniffer(大概至少可以说它们可以成为一个Sniffer)。这些信息就被储存在介质上,以备日后检查时用。
Sniffer可以是(而且通常是)软件和硬件的联合体,软件可以是普通的网络分析器带有比力强的debug功效,大概就是一个真正的Sniffer。
Sniffer必需是位于预备举行Sniffer工作的网络上的,它可以放在网络段中的任何中央。
Sniffer成为一种很大的伤害,由于:
■ 它们可以捕获口令;
■ 它们可以截获秘密的或专有的信息;
■ 它们可以被用来攻击相邻的网络大概用来获取更高级别的拜访权限。
二. 用Sniffer获取信息
下面是利用Windows平台上的sniffer工具EtherPeek举行的信报监听结果。让我们分析一下这些数据(为制止不用要的麻烦,其中数据经修改完成)。
1. 匿名Ftp信报分析
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Raw Packet Data(原始信报数据)
.h.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15]
.8..@. .)Ri(1.. 00 38 10 09 40 00 20 06 29 52 a2 69 28 31 ca c8 [16-31]
*..*...f锚..*?P. 8c 02 04 b3 00 15 00 66 c3 aa 00 04 f0 3f 50 18 [32-47]
".+T..USER anony 22 0a 2b 54 00 00 55 53 45 52 20 61 6e 6f 6e 79 [48-63]
mous...... 6d 6f 75 73 0d 0a 00 00 00 00
大概这还不够清明白楚明显白白,下面是该程序作的解码:
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 56 [16-17]
Identifier: 4105 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask 0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2952 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer Protocol [36-37]
Sequence Number: 6734762 [38-41]
Ack Number: 323647 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8714 [48-49]
Checksum: 0x2b54 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x55534552 (USER) User Name [54-57]
User Name:
20 [58]
Extra bytes (Padding):
anonymous.. 61 6e 6f 6e 79 6d 6f 75 73 0d 0a [59-69]
Frame Check Sequence: 0x00000000
哦,这是在传输用户名。用户名Name为anonymous。
下面另有源地址、目标地址雷同的信报。
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Raw Packet Data
.h.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15]
.5..@. .'Ui(1.. 00 35 12 09 40 00 20 06 27 55 a2 69 28 31 ca c8 [16-31]
*..*...f煤..*.P. 8c 02 04 b3 00 15 00 66 c3 ba 00 04 f0 87 50 18 [32-47]
!|...pass guest 21 c2 7c 00 00 00 70 61 73 73 20 67 75 65 73 74 [48-63]
@...... 40 0d 0a 00 00 00 00
这是作什么呢?
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 53 [16-17]
Identifier: 4617 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask 0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2755 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer Protocol [36-37]
Sequence Number: 6734778 [38-41]
Ack Number: 323719 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8642 [48-49]
Checksum: 0x7c00 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x70617373 (pass) Password [54-57]
Password:
20 [58]
Extra bytes (Padding):
guest@.. 67 75 65 73 74 40 0d 0a [59-66]
Frame Check Sequence: 0x00000000
哦,这里传输的就是密码啊!
试想,如果这里不是匿名登录,而是telnet、rlogin或pop3等的用户名与密码,那么……
2. Http信报分析
下面是捕获的一个HTTP信报。
Flags: 0x00
Status: 0x00
Packet Length:844
Timestamp: 19:28:09.400000 01/18/2000
Raw Packet Data
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
