史蒂夫・利維在其著名的《黑客電腦史》中指出的“黑客道德準則”(theHackerEthic)包括:通往電腦的路不止一條;所有的信息都應當是免費的;打破電腦集權;在電腦上創造藝術和美;計算機將使生活更美好。
黑客文化包含了自由不羈的精神,也包含了反傳統、反權威、反集權的精神。
廣義的、公眾認為的“黑客”就是闖入計算機系統的人。這種觀念令有才能的、真正的“黑客”感到難過。《Maximum Security》一書中對黑客和入侵者定義如下:
■ “黑客”指對于任何計算機操作系統的奧秘都有強烈興趣的人。“黑客”大都是程序員,他們具有操作系統和編程語言方面的高級知識,知道系統中的漏洞及其原因所在;他們不斷追求更深的知識,并公開他們的發現,與其他人分享;并且從來沒有破壞數據的企圖。
■ “入侵者”是指懷著不良的企圖,闖入甚至破壞遠程機器系統完整性的人。“入侵者”利用獲得的非法訪問權,破壞重要數據,拒絕合法用戶服務請求,或為了自己的目的制造麻煩。“入侵者”很容易識別,因為他們的行為是惡意的。
這里黑客的概念源于50、60年代麻省理工學院的實驗室里的計算機迷們。他們精力充沛,熱衷于解決難題、獨立思考并且奉公守法。
技術本身是沒有錯的,錯誤產生于人。網絡安全性的分析可以被真正的黑客用于加強安全性、加強網絡的自由度,也可以被入侵者用于窺探他人隱私、任意篡改數據、進行網上詐騙活動。
這里,我們討論網絡嗅探器(sniffer)在廣義黑客領域的應用和網絡管理中的應用。
一. 嗅探器(Sniffer)攻擊原理
Sniffer既可以是硬件,也可以是軟件,它用來接收在網絡上傳輸的信息。網絡可以是運行在各種協議之下的。包括Ethernet、TCP/IP、ZPX等等(也可以是其中幾種協議的聯合)。放置Sniffer的目的是使網絡接口(在這個例子中是以太網適配器)處于雜收模式(promiscuous mode),從而可從截獲網絡上的內容。
嗅探器與一般的鍵盤捕獲程序(Key Capture)不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值,而嗅探器則捕獲真實的網絡報文。嗅探器通過將其置身于網絡接口來達到這個目的――將以太網卡設置成雜收模式。
關于以太網(Ethernet)
Ethernet是由Xerox的Palo Aito研究中心(有時也稱為PARC)發明的。下面簡介一下信息在網絡(這里為以太網)上的傳輸形式。
數據在網絡上是以很小的稱為幀(Ftame)的單位傳輸的幀由好幾部分組成,不同的部分執行不同的功能。(例如,以太網的前12個字節存放的是源和目的的地址,這些位告訴網絡:數據的來源和去處。以太網幀的其他部分存放實際的用戶數據、TCP/IP的報文頭或IPX報文頭等等)。
幀通過特定的稱為網絡驅動程序的軟件進行成型,然后通過網卡發送到網線上。通過網線到達它們的目的機器,在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀,并告訴操作系統幀的到達,然后對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會造成安全方面的問題。
每一個在LAN上的工作站都有其硬件地址。這些地址唯一地表示著網絡上的機器(這一點于Internet地址系統比較相似)。當用戶發送一個報文時,這些報文就會發送到LAN上所有可用的機器。
在一般情況下,網絡上所有的機器都可以“聽”到通過的流量,但對不屬于自己的報文則不予響應(換句話說,工作站A不會捕獲屬于工作站B的數據,而是簡單的忽略這些數據)。如果某在工作站的網絡接口處于雜收模式,那么它就可以捕獲網絡上所有的報文和幀。
Sniffer就是這樣的硬件或軟件,能夠“聽”到(而不是忽略)在網上傳輸的所有的信息。在這種意義上,每一個機器,每一個路由器都是一個Sniffer(或者至少可以說它們可以成為一個Sniffer)。這些信息就被儲存在介質上,以備日后檢查時用。
Sniffer可以是(而且通常是)軟件和硬件的聯合體,軟件可以是普通的網絡分析器帶有比較強的debug功能,或者就是一個真正的Sniffer。
Sniffer必須是位于準備進行Sniffer工作的網絡上的,它可以放在網絡段中的任何地方。
Sniffer成為一種很大的危險,因為:
■ 它們可以捕獲口令;
■ 它們可以截獲機密的或專有的信息;
■ 它們可以被用來攻擊相鄰的網絡或者用來獲取更高級別的訪問權限。
二. 用Sniffer獲取信息
下面是利用Windows平臺上的sniffer工具EtherPeek進行的信報監聽結果。讓我們分析一下這些數據(為避免不必要的麻煩,其中數據經修改完成)。
1. 匿名Ftp信報分析
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Raw Packet Data(原始信報數據)
.h.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15]
.8..@. .)Ri(1.. 00 38 10 09 40 00 20 06 29 52 a2 69 28 31 ca c8 [16-31]
*..*...f錨..*?P. 8c 02 04 b3 00 15 00 66 c3 aa 00 04 f0 3f 50 18 [32-47]
".+T..USER anony 22 0a 2b 54 00 00 55 53 45 52 20 61 6e 6f 6e 79 [48-63]
mous...... 6d 6f 75 73 0d 0a 00 00 00 00 |
也許這還不夠清清楚楚明明白白,下面是該程序作的解碼:
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 56 [16-17]
Identifier: 4105 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask 0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2952 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer Protocol [36-37]
Sequence Number: 6734762 [38-41]
Ack Number: 323647 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8714 [48-49]
Checksum: 0x2b54 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x55534552 (USER) User Name [54-57]
User Name:
20 [58]
Extra bytes (Padding):
anonymous.. 61 6e 6f 6e 79 6d 6f 75 73 0d 0a [59-69]
Frame Check Sequence: 0x00000000 |
哦,這是在傳輸用戶名。用戶名Name為anonymous。
下面還有源地址、目的地址相同的信報。
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Raw Packet Data
.h.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15]
.5..@. .'Ui(1.. 00 35 12 09 40 00 20 06 27 55 a2 69 28 31 ca c8 [16-31]
*..*...f煤..*.P. 8c 02 04 b3 00 15 00 66 c3 ba 00 04 f0 87 50 18 [32-47]
!|...pass guest 21 c2 7c 00 00 00 70 61 73 73 20 67 75 65 73 74 [48-63]
@...... 40 0d 0a 00 00 00 00 |
這是作什么呢?
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 53 [16-17]
Identifier: 4617 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask 0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2755 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer Protocol [36-37]
Sequence Number: 6734778 [38-41]
Ack Number: 323719 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8642 [48-49]
Checksum: 0x7c00 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x70617373 (pass) Password [54-57]
Password:
20 [58]
Extra bytes (Padding):
guest@.. 67 75 65 73 74 40 0d 0a [59-66]
Frame Check Sequence: 0x00000000 |
哦,這里傳輸的就是密碼啊!
試想,如果這里不是匿名登錄,而是telnet、rlogin或pop3等的用戶名與密碼,那么……
2. Http信報分析
下面是捕獲的一個HTTP信報。
Flags: 0x00
Status: 0x00
Packet Length:844
Timestamp: 19:28:09.400000 01/18/2000
Raw Packet Data
.h.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15]
.:..@. ._堍i(1.. 03 3a f1 0a 40 00 20 06 5f dc a2 69 28 31 a7 d8 [16-31]
.d.*.P.vZ..].P. 94 64 04 df 00 50 00 76 80 5a 99 0c 5d 15 50 18 [32-47]
"87...POST /js/V 22 38 37 a7 00 00 50 4f 53 54 20 2f 6a 73 2f 56 [48-63]
erifyLogin HTTP/ 65 72 69 66 79 4c 6f 67 69 6e 20 48 54 54 50 2f [64-79]
1.1..Accept: ima 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20 69 6d 61 [80-95]
ge/gif, image/x- 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78 2d [96-111]
xbitmap, image/j 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f 6a [112-127]
peg, image/pjpeg 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65 67 [128-143]
, application/ms 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6d 73 [144-159]
word, applicatio 77 6f 72 64 2c 20 61 70 70 6c 69 63 61 74 69 6f [160-175]
n/vnd.ms-powerpo 6e 2f 76 6e 64 2e 6d 73 2d 70 6f 77 65 72 70 6f [176-191]
int, application 69 6e 74 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e [192-207]
/vnd.ms-excel, * 2f 76 6e 64 2e 6d 73 2d 65 78 63 65 6c 2c 20 2a [208-223]
/*..Referer: htt 2f 2a 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 [224-239]
p://www.renren.c 70 3a 2f 2f 77 77 77 2e 72 65 6e 72 65 6e 2e 63 [240-255]
om/js/FrontPage. 6f 6d 2f 6a 73 2f 46 72 6f 6e 74 50 61 67 65 0d [256-271]
.Accept-Language 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 65 [272-287]
: zh-cn..Content 3a 20 7a 68 2d 63 6e 0d 0a 43 6f 6e 74 65 6e 74 [288-303]
-Type: applicati 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 [304-319]
on/x-www-form-ur 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 [320-335]
lencoded..Accept 6c 65 6e 63 6f 64 65 64 0d 0a 41 63 63 65 70 74 [336-351]
-Encoding: gzip, 2d 45 6e 63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c [352-367]
deflate..User-A 20 64 65 66 6c 61 74 65 0d 0a 55 73 65 72 2d 41 [368-383]
gent: Mozilla/4. 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e [384-399]
0 (compatible; M 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d [400-415]
SIE 4.01; Window 53 49 45 20 34 2e 30 31 3b 20 57 69 6e 64 6f 77 [416-431]
s 95)..Host: www 73 20 39 35 29 0d 0a 48 6f 73 74 3a 20 77 77 77 [432-447]
.renren.com..Con 2e 72 65 6e 72 65 6e 2e 63 6f 6d 0d 0a 43 6f 6e [448-463]
tent-Length: 43. 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 34 33 0d [464-479]
.Connection: Kee 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 [480-495]
p-Alive..Cookie: 70 2d 41 6c 69 76 65 0d 0a 43 6f 6f 6b 69 65 3a [496-511]
lang=cn; COUNTR 20 6c 61 6e 67 3d 63 6e 3b 20 43 4f 55 4e 54 52 [512-527]
Y=21; timeDiff=2 59 3d 32 31 3b 20 74 69 6d 65 44 69 66 66 3d 32 [528-543]
7/12/1999_17:56: 37 2f 31 32 2f 31 39 39 39 5f 31 37 3a 35 36 3a [544-559]
15.476; SESSION= 31 35 2e 34 37 36 3b 20 53 45 53 53 49 4f 4e 3d [560-575]
9920220612.17233 39 39 32 30 32 32 30 36 31 32 2e 31 37 32 33 33 [576-591]
6181; AdJump=nul 36 31 38 31 3b 20 41 64 4a 75 6d 70 3d 6e 75 6c [592-607]
l; engagekey=/re 6c 3b 20 65 6e 67 61 67 65 6b 65 79 3d 2f 72 65 [608-623]
gion#1/gender#1/ 67 69 6f 6e 23 31 2f 67 65 6e 64 65 72 23 31 2f [624-639]
age#21/sign#/mar 61 67 65 23 32 31 2f 73 69 67 6e 23 2f 6d 61 72 [640-655]
ital#1/country#/ 69 74 61 6c 23 31 2f 63 6f 75 6e 74 72 79 23 2f [656-671]
ethnicity#2/educ 65 74 68 6e 69 63 69 74 79 23 32 2f 65 64 75 63 [672-687]
ation#5/industry 61 74 69 6f 6e 23 35 2f 69 6e 64 75 73 74 72 79 [688-703]
#9/interests#; J 23 39 2f 69 6e 74 65 72 65 73 74 73 23 3b 20 4a [704-719]
ServSessionId=3f 53 65 72 76 53 65 73 73 69 6f 6e 49 64 3d 33 66 [720-735]
ee9af4c3957f28.6 65 65 39 61 66 34 63 33 39 35 37 66 32 38 2e 36 [736-751]
30.946465712033; 33 30 2e 39 34 36 34 36 35 37 31 32 30 33 33 3b [752-767]
AccipiterId=000 20 41 63 63 69 70 69 74 65 72 49 64 3d 30 30 30 [768-783]
93423*DEF....log 39 33 34 32 33 2a 44 45 46 0d 0a 0d 0a 6c 6f 67 [784-799]
inid=iaqqxaisc&p 69 6e 69 64 3d 69 61 71 71 78 6a 69 73 63 26 70 [800-815]
assword=vra7raa& 61 73 73 77 6f 72 64 3d 76 72 61 37 72 61 61 26 [816-831]
x=41&y=9f.X! 78 3d 34 31 26 79 3d 39 66 c8 58 21 |
下面是解碼后的結果。
Flags: 0x00
Status: 0x00
Packet Length:844
Timestamp: 19:28:09.400000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 826 [16-17]
Identifier: 61706 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask 0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x5fdc [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 167.216.148.100 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1247 [34-35]
Destination Port: 80 World Wide Web HTTP [36-37]
Sequence Number: 7766106 [38-41]
Ack Number: 2567724309 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8760 [48-49]
Checksum: 0x37a7 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
HTTP - HyperText Transfer Protocol
POST /js/VerifyL 50 4f 53 54 20 2f 6a 73 2f 56 65 72 69 66 79 4c [54-69]
ogin HTTP/1.1.. 6f 67 69 6e 20 48 54 54 50 2f 31 2e 31 0d 0a [70-84]
Accept: image/gi 41 63 63 65 70 74 3a 20 69 6d 61 67 65 2f 67 69 [85-100]
f, image/x-xbitm 66 2c 20 69 6d 61 67 65 2f 78 2d 78 62 69 74 6d [101-116]
ap, image/jpeg, 61 70 2c 20 69 6d 61 67 65 2f 6a 70 65 67 2c 20 [117-132]
image/pjpeg, app 69 6d 61 67 65 2f 70 6a 70 65 67 2c 20 61 70 70 [133-148]
lication/msword, 6c 69 63 61 74 69 6f 6e 2f 6d 73 77 6f 72 64 2c [149-164]
application/vnd 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 76 6e 64 [165-180]
.ms-powerpoint, 2e 6d 73 2d 70 6f 77 65 72 70 6f 69 6e 74 2c 20 [181-196]
application/vnd. 61 70 70 6c 69 63 61 74 69 6f 6e 2f 76 6e 64 2e [197-212]
ms-excel, */*.. 6d 73 2d 65 78 63 65 6c 2c 20 2a 2f 2a 0d 0a [213-227]
Referer: http:// 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f [228-243]
www.renren.com/j 77 77 77 2e 72 65 6e 72 65 6e 2e 63 6f 6d 2f 6a [244-259]
s/FrontPage.. 73 2f 46 72 6f 6e 74 50 61 67 65 0d 0a [260-272]
Accept-Language: 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 65 3a [273-288]
zh-cn.. 20 7a 68 2d 63 6e 0d 0a [289-296]
Content-Type: ap 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 [297-312]
plication/x-www- 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d [313-328]
form-urlencoded. 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d [329-344]
. 0a [345]
Accept-Encoding: 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a [346-361]
gzip, deflate.. 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a [362-377]
User-Agent: Mozi 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 [378-393]
lla/4.0 (compati 6c 6c 61 2f 34 2e 30 20 28 63 6f 6d 70 61 74 69 [394-409]
ble; MSIE 4.01; 62 6c 65 3b 20 4d 53 49 45 20 34 2e 30 31 3b 20 [410-425]
Windows 95).. 57 69 6e 64 6f 77 73 20 39 35 29 0d 0a [426-438]
Host: www.renren 48 6f 73 74 3a 20 77 77 77 2e 72 65 6e 72 65 6e [439-454]
.com.. 2e 63 6f 6d 0d 0a [455-460]
Content-Length: 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 [461-476]
43.. 34 33 0d 0a [477-480]
Connection: Keep 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 [481-496]
-Alive.. 2d 41 6c 69 76 65 0d 0a [497-504]
Cookie: lang=cn; 43 6f 6f 6b 69 65 3a 20 6c 61 6e 67 3d 63 6e 3b [505-520]
COUNTRY=21; tim 20 43 4f 55 4e 54 52 59 3d 32 31 3b 20 74 69 6d [521-536]
eDiff=27/12/1999 65 44 69 66 66 3d 32 37 2f 31 32 2f 31 39 39 39 [537-552]
_17:56:15.476; S 5f 31 37 3a 35 36 3a 31 35 2e 34 37 36 3b 20 53 [553-568]
ESSION=992022061 45 53 53 49 4f 4e 3d 39 39 32 30 32 32 30 36 31 [569-584]
2.172336181; AdJ 32 2e 31 37 32 33 33 36 31 38 31 3b 20 41 64 4a [585-600]
ump=null; engage 75 6d 70 3d 6e 75 6c 6c 3b 20 65 6e 67 61 67 65 [601-616]
key=/region#1/ge 6b 65 79 3d 2f 72 65 67 69 6f 6e 23 31 2f 67 65 [617-632]
nder#1/age#21/si 6e 64 65 72 23 31 2f 61 67 65 23 32 31 2f 73 69 [633-648]
gn#/marital#1/co 67 6e 23 2f 6d 61 72 69 74 61 6c 23 31 2f 63 6f [649-664]
untry#/ethnicity 75 6e 74 72 79 23 2f 65 74 68 6e 69 63 69 74 79 [665-680]
#2/education#5/i 23 32 2f 65 64 75 63 61 74 69 6f 6e 23 35 2f 69 [681-696]
ndustry#9/intere 6e 64 75 73 74 72 79 23 39 2f 69 6e 74 65 72 65 [697-712]
sts#; JServSessi 73 74 73 23 3b 20 4a 53 65 72 76 53 65 73 73 69 [713-728]
onId=3fee9af4c39 6f 6e 49 64 3d 33 66 65 65 39 61 66 34 63 33 39 [729-744]
57f28.630.946465 35 37 66 32 38 2e 36 33 30 2e 39 34 36 34 36 35 [745-760]
712033; Accipite 37 31 32 30 33 33 3b 20 41 63 63 69 70 69 74 65 [761-776]
rId=00093423*DEF 72 49 64 3d 30 30 30 39 33 34 32 33 2a 44 45 46 [777-792]
.... 0d 0a 0d 0a [793-796]
loginid=iaqqxais 6c 6f 67 69 6e 69 64 3d 69 61 71 71 78 6a 69 73 [797-812]
c&password=vra7r 63 26 70 61 73 73 77 6f 72 64 3d 76 72 61 37 72 [813-828]
aa&x=41&y=9 61 61 26 78 3d 34 31 26 79 3d 39 [829-839]
Frame Check Sequence: 0x66c85821 |
真不幸,剛好包含了帳號eaqqxaisc和密碼vra7raa!
再仔細看看,哇!cookie的信息也是全都一覽無遺。推廣開去,所有的HTTP頁面信息、Email信息等等,沒有一點障礙得全被竊取。
一般的說,Sniffer可以截獲的不僅僅是用戶的ID和口令。它可以截獲敏感的經濟數據(如信用卡號)、秘密的信息(E-mail)和專有信息。基于入侵者可利用的資源,一個Sniffer可能截獲網絡上所有的信息。
從Sniffer上可以得到所的的信息,只要你有足夠的存儲空間。為了解決這個問題,入侵者一般只截獲每個包的前200-300字節。用戶名和口令一般在這部分。當然,如果有足夠的存儲介質,會得到更多有趣的內容。
三. 挫敗Sniffer
sniffer是一種被動的攻擊,不產生任何東西,基本上不留下什么痕跡。所以,在網絡上是難以發現sniffer的。
以下一些工作對于對付sniffer會有些用處。
首先,檢查網絡線路,確定不會有硬件接入的sniffer。
其次,檢查每一臺機器的每一個通信端口。在sniffer存在時,被竊聽機器的端口被改為許諾模式(promiscuous mode),可以通過這一點檢測自己是否被竊聽(源自參考文獻3,筆者未曾實驗)。在SunOS中,可以通過ifconfig Ca來檢測。
第三,對敏感數據加密。對敏感數據的加密是安全的必要條件。其安全級別取決于加密算法的強度和密鑰的強度。
第四,使用安全的拓樸結構。Sniffer無法穿過交換機、路由器、網橋。網絡分段越細,則安全程度越大。
四. Sniffer用于網絡管理
Sniffer是被設計來診斷網絡的聯接情況的。ISS(Internet Security System)的總裁,大二退學自己開了ISS公司,現已成美國信息安全的首席顧問,comp.security的FAQ都由ISS發表。但是ISS的安全工具卻全是sniff類型的。
現在有許多商用的sniffer,例如大大有名的netXray,其功能描述如下:
Monitoring Network Statistics
NetXRay provides both real time viewing and long term traffic analysis in graphical
format. It can monitor multiple network statistics variables concurrently. This
allows you to predict future network needs and plan for them accordingly. Alarms are
generated whenever preset threshold parameters are exceeded, informing you about
network exception conditions that may require immediate attention.
NetXRay monitors and displays a network segment’s packet rate, utilization and error
rate in real time. Statistical counters for all network detail parameters are
maintained in memory, and may be exported to Excel format for tabulation or charting.
The host table maintains each network node’s traffic statistics in real time.
It keeps MAC, IP network, IP application, IPX network, and IPX transport layer
information in separate tables, all of which may be viewed in table, bar or pie
chart formats. The host table can be sorted by any statistical variable of your
choice, in either ascending or descending order.
The matrix table maintains network node pair conversation traffic statistics in
real time. It keeps MAC, IP network, IP application, IPX network, and IPX transport
layer information in separate tables, all of which may be viewed in traffic map,
table, bar or pie chart formats. The matrix table can be sorted by any statistical
variable of your choice, in either ascending or descending order.
The traffic map provides the user a birds-eye view of the network traffic patterns
in real time. It gives a complete graphical presentation of the traffic pattern
between network nodes. |
NetXray就通過硬件地址和ip地址的雙向解析可以用來檢測ip盜用。同樣,消息的重放可以通過引起信報錯亂,從而進行一些懲罰,但這一手段同樣可以進行其他hack活動。
責任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
