计算机网络安全07.ppt

1、2018/9/28,计算机网络安全07-网络扫描与网络监听,1/73,计算机网络安全(7),网络扫描与网络监听 杨寿保 中国科技大学计算机系 202.38.64.11/syang 3601540二六年三月,2018/9/28,计算机网络安全07-网络扫描与网络监听,2/73,内容提要,本章主要介绍黑客以及黑客技术的相关概念、黑客攻击的步骤以及黑客攻击和网络安全的关系。 介绍攻击技术中的网络踩点、网络扫描和网络监听技术。 网络扫描分成被动式策略扫描和主动式策略扫描，对于每一种攻击技术，介绍主流工具的使用。,2018/9/28,计算机网络安全07-网络扫描与网络监听,3/73,黑客概述,什么是黑

2、客？黑客是“Hacker”的音译，源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。这里说的黑客是指那些精于某方面技术的人。对于计算机而言，黑客就是精通网络、系统、外设以及软硬件技术的人。 什么是骇客？有些黑客逾越尺度，运用自己的知识去做出有损他人权益的事情，就称这种人为骇客（Cracker，破坏者）。,2018/9/28,计算机网络安全07-网络扫描与网络监听,4/73,黑客分类,目前将黑客的分成三类： 第一类：破坏者； 第二类：红客； 第三类：间谍,2018/9/28,计算机网络安全07-网络扫描与网络监听,5/73,黑客的行为发展趋势,网站被黑可谓是家常便饭，世界范围内一般美国和

3、日本的网站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵，黑客行为有三方面发展趋势： 手段高明化：黑客界已经意识到单靠一个人力量远远不够了，已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。 活动频繁化：做一个黑客已经不再需要掌握大量的计算机和网路知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的大众化是黑客活动频繁的主要原因。 动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺激。已经和国际的政治变化、经济变化紧密的结合在一起。,2018/9/28,计算机网络安全07-网络扫描与网络监听,6/73,黑客精神,要成为一名好的黑客，需要

4、具备四种基本素质：“Free”精神、探索与创新精神、反传统精神和合作精神。 1、“Free”(自由、免费)的精神 需要在网络上和本国以及国际上一些高手进行广泛的交流，并有一种奉献精神，将自己的心得和编写的工具和其他黑客共享。 2、探索与创新的精神 所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。 3、反传统的精神 找出系统漏洞，并策划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题，而所有的系统在没有发现漏洞之前，都号称是安全的。 4、合作的精神 一次成功的入侵和攻击，在目前的形式下，单靠一个人的力量已经没有办法完成了，通常需要数人，

5、数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的平台。,2018/9/28,计算机网络安全07-网络扫描与网络监听,7/73,黑客守则,任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。 1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。 2、不要破坏别人的软件和资料。 3、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。 4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。 5、在发表黑客文章时不要用你的真实名字。 6、正在入侵的时候，不要随意离开

6、你的电脑。 7、不要入侵或破坏政府机关的主机。 8、将你的笔记放在安全的地方。 9、已侵入的电脑中的账号不得清除或修改。 10、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。 11、不要做一些无聊、单调并且愚蠢的重复性工作。 12、做真正的黑客，读遍所有有关系统安全或系统漏洞的书。,2018/9/28,计算机网络安全07-网络扫描与网络监听,8/73,攻击五部曲,一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP 2、踩点扫描 3、获得系统或管理员权限 4、种植后门 5、在网

7、络中隐身,2018/9/28,计算机网络安全07-网络扫描与网络监听,9/73,1、隐藏IP,这一步必须做，因为如果自己的入侵的痕迹被发现了，当网监部门找上门的时候就一切都晚了。 通常有两种方法实现自己IP的隐藏： 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。 第二种方式是做多级跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。 比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。,2018/9/28,计算机网络安全07-网络扫描与网络监听,

8、10/73,2、踩点扫描,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。 扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。,2018/9/28,计算机网络安全07-网络扫描与网络监听,11/73,3、获得系统或管理员权限,得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有： 通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 通过弱口令获

9、得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权 通过欺骗获得权限以及其他有效的方法。,2018/9/28,计算机网络安全07-网络扫描与网络监听,12/73,4、种植后门,为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。,2018/9/28,计算机网络安全07-网络扫描与网络监听,13/73,5、在网络中隐身,一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。 在入侵完毕后需要清除登录日志以及其他相关的日志。,2018/9/28,计算机网络安全07-网

10、络扫描与网络监听,14/73,攻击和安全的关系,黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。 某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。 网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。,2018/9/28,计算机网络安全07-网络扫描与网络监听,15/73,网络踩点,踩点就是通过各

11、种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。 常见的踩点方法包括： 在域名及其注册机构的查询 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询 踩点的目的就是探察对方的各方面情况，确定攻击的时机，摸清楚对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。,2018/9/28,计算机网络安全07-网络扫描与网络监听,16/73,网络扫描,黑客攻击五部曲中第二步踩点扫描中的扫描，一般分成两种策略： 主动式策略 被动式策略,2018/9/28,计算机网络安全07-网络扫描与网络监听,17/73,网络扫描概述,被动式策略就是

12、基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。,2018/9/28,计算机网络安全07-网络扫描与网络监听,18/73,扫描方式,主动式扫描一般可以分成：1、活动主机探测；2、ICMP查询；3、网络PING扫描

13、；4、端口扫描；5、标识UDP和TCP服务；6、指定漏洞扫描；7、综合扫描。 扫描方式可以分成两大类： 慢速扫描和乱序扫描。 1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长的没有规律的扫描。 2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。,2018/9/28,计算机网络安全07-网络扫描与网络监听,19/73,被动式策略扫描,被动式策略是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。 被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。,2018/9/28,计算机网络安全07-网络扫描与

14、网络监听,20/73,案例-1 系统用户扫描,可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括： （1）扫描出NT主机上存在的用户名 （2）自动猜测空密码和与用户名相同的密码 （3）可以使用指定密码字典猜测密码 （4）可以使用指定字符来穷举猜测密码,2018/9/28,计算机网络安全07-网络扫描与网络监听,21/73,扫描,对IP为172.18.25.109的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机的IP地址。点击工具栏上的图标，可以得到对方的用户列表了,2018/9/2

15、8,计算机网络安全07-网络扫描与网络监听,22/73,密码破解,利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。一个典型的密码字典如图所示。,2018/9/28,计算机网络安全07-网络扫描与网络监听,23/73,设置密码字典,选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件,2018/9/28,计算机网络安全07-网络扫描与网络监听,24/73,进行系统破解,利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐

16、一的匹配。,2018/9/28,计算机网络安全07-网络扫描与网络监听,25/73,案例-2 开放端口扫描,得到对方开放了哪些端口也是扫描的重要一步，使用工具软件PortScan可以得到对方计算机都开放了哪些端口。,2018/9/28,计算机网络安全07-网络扫描与网络监听,26/73,端口扫描,对172.18.25.109的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START” 开始扫描。,2018/9/28,计算机网络安全07-网络扫描与网络监听,27/73,案例-3 共享目录扫描,通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如

17、图所示。,2018/9/28,计算机网络安全07-网络扫描与网络监听,28/73,扫描一个IP地址段,该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为172.18.25.109的目录共享情况。在起始IP框和终止IP框中都输入172.18.25.109，点击按钮“开始”就可以得到对方的共享目录了。,2018/9/28,计算机网络安全07-网络扫描与网络监听,29/73,案例-4 利用TCP协议实现端口扫描,实现端口扫描的程序可以使用TCP协议和UDP协议，原理是利用Socket连接对方的计算机的某端口，试图和该端口建立连接。 如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没

18、有开放该端口，具体实现如程序proj4_4.cpp。,2018/9/28,计算机网络安全07-网络扫描与网络监听,30/73,主动式策略扫描,主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。,2018/9/28,计算机网络安全07-网络扫描与网络监听,31/73,案例-5 漏洞扫描,使用工具软件X-Scan-v2.3 该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。 扫描内容包括： 远程操作系统类型及版本 标

19、准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等,2018/9/28,计算机网络安全07-网络扫描与网络监听,32/73,主界面,扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件，主界面如图所示。,2018/9/28,计算机网络安全07-网络扫描与网络监听,33/73,扫描参数,可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫

20、描参数的设置如图。,2018/9/28,计算机网络安全07-网络扫描与网络监听,34/73,扫描参数,该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。 确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入：172.18.25.109-172.18.25.109。,2018/9/28,计算机网络安全07-网络扫描与网络监听,35/73,漏洞扫描,设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描。,2018/9/28,计算机网络安全07-网络扫描与网络监听,36/73,网

21、络监听,在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),2018/9/28,计算机网络安全07-网络扫描与网络监听,37/73,网络监听,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。 监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一

22、致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。,2018/9/28,计算机网络安全07-网络扫描与网络监听,38/73,监听软件,防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。 除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件： 嗅探经典Iris 密码监听工具Win Sniffer 密码监听工具pswmonitor和非交换环境局域网的f

23、ssniffer等等 Sniffer Pro是一款非常著名监听的工具，但是Sniffer Pro不能提取有效的信息。,2018/9/28,计算机网络安全07-网络扫描与网络监听,39/73,监听工具-Win Sniffer,Win Sniffer专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。主界面如图。,2018/9/28,计算机网络安全07-网络扫描与网络监听,40/73,设置,只要做简单的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以，如图所示。,2018/9/28,计算机网络安全07-网络扫描与网络监听,41/7

24、3,抓取密码,这样就可以抓取密码了，使用DOS命令行连接远程的FTP服务。,2018/9/28,计算机网络安全07-网络扫描与网络监听,42/73,会话过程,打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息。,2018/9/28,计算机网络安全07-网络扫描与网络监听,43/73,监听工具-pswmonitor,监听器pswmonitor用于监听基于WEB的邮箱密码、POP3收信密码和FTP登录密码等等，只需在一台电脑上运行，就可以监听局域网内任意一台电脑登录的用户名和密码，并将密码显示、保存，或发送到用户指定的邮箱。,2018/9/28,计算机网络安全

25、07-网络扫描与网络监听,44/73,监听工具-pswmonitor,该工具软件功能比较强大，可以监听一个网段所有的用户名和密码，而且还可以指定发送的邮箱，设置的界面如图所示。,2018/9/28,计算机网络安全07-网络扫描与网络监听,45/73,以太网络的工作原理,载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发

26、生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,2018/9/28,计算机网络安全07-网络扫描与网络监听,46/73,以太网卡的工作模式,网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧 广播包 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及

27、广播数据包(和组播数据包) 为了监听网络上的流量，必须设置为混杂模式,2018/9/28,计算机网络安全07-网络扫描与网络监听,47/73,共享网络和交换网络,共享式网络 通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上,2018/9/28,计算机网络安全07-网络扫描与网络监听,48/73,共享式网络示意图,2018/9/28,计算机网络安全07-网络扫描与网络监听,49/73,应用程序抓包的技术,UNIX系统提供了标准的API支持 Packet socket

28、 BPF Windows平台上通过驱动程序来获取数据包 驱动程序 WinPcap,2018/9/28,计算机网络安全07-网络扫描与网络监听,50/73,Packet socket,设置混杂模式 用ioctl()函数可以设置 打开一个packet socket packet_socket = socket(PF_PACKET, int socket_type, int protocol); 以前的做法， socket(PF_INET, SOCK_PACKET, protocol) 不同的UNIX或者Linux版本可能会有不同的函数调用，本质上 打开一个socket(或者通过open打开一个设备

29、) 通过ioctl()或者setsockopt()设置为混杂模式,2018/9/28,计算机网络安全07-网络扫描与网络监听,51/73,BPF(Berkeley Packet Filter),BSD抓包法 BPF是一个核心态的组件，也是一个过滤器 Network Tap接收所有的数据包 Kernel Buffer，保存过滤器送过来的数据包 User buffer，用户态上的数据包缓冲区 Libpcap(一个抓包工具库)支持BPF Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的 BPF是一种比较理想的抓包方案 在核心态，所以效率比较高 但是，只有少数OS支持(主要是一些B

30、SD操作系统),2018/9/28,计算机网络安全07-网络扫描与网络监听,52/73,BPF和libpcap,2018/9/28,计算机网络安全07-网络扫描与网络监听,53/73,关于libpcap,用户态下的packet capture 系统独立的接口，C语言接口 目前最新为0.7版本 广泛应用于： 网络统计软件 入侵检测系统 网络调试 支持过滤机制，BPF,2018/9/28,计算机网络安全07-网络扫描与网络监听,54/73,Libpcap介绍,为捕获数据包做准备的几个函数char *pcap_lookupdev(char *errbuf); 返回一个指向网络设备的指针，这个指针下面

31、用到 pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf); 用来获取一个packet capture descriptor；snaplen指定了抓取数据包的最大长度 pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname); 打开一个savefile文件，用于dump pcap_t *pcap_open_offline(char *fname, char *ebuf); 打开一个savefile，从中读取数据包,2018/9/

32、28,计算机网络安全07-网络扫描与网络监听,55/73,Libpcap：dump文件格式,文件头： struct pcap_file_header bpf_u_int32 magic;/ 0xa1b2c3d4u_short version_major;u_short version_minor;bpf_int32 thiszone; bpf_u_int32 sigfigs; bpf_u_int32 snaplen; bpf_u_int32 linktype; ;,然后是每一个包的包头和数据 struct pcap_pkthdr struct timeval ts; bpf_u_int32 c

33、aplen; bpf_u_int32 len; ; 其中数据部分的长度为caplen,2018/9/28,计算机网络安全07-网络扫描与网络监听,56/73,Libpcap: 设置filter,设置过滤器用到的函数 int pcap_lookupnet(char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf) 获得与网络设备相关的网络号和掩码 int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32

34、netmask) 把字符串str编译成一个过滤器程序 int pcap_setfilter(pcap_t *p, struct bpf_program *fp) 设置一个过滤器,2018/9/28,计算机网络安全07-网络扫描与网络监听,57/73,Libpcap: 捕获数据,捕获数据用到的两个函数 int pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user) int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) 参数含

35、义： cnt指定了捕获数据包的最大数目 pcap_handler是一个回调函数 二者区别在于pcap_loop不会因为read操作超时而返回。 另一个函数：void pcap_dump(u_char *user, struct pcap_pkthdr *h, u_char *sp) 把数据包写到一个由pcap_dump_open()打开的文件中,2018/9/28,计算机网络安全07-网络扫描与网络监听,58/73,Windows平台下的抓包技术,内核本身没有提供标准的接口 通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包 在Windows不同操作系统平台下有所不同 不同snif

36、fer采用的技术不同 WinPcap是一个重要的抓包工具，它是libpcap的Windows版本,2018/9/28,计算机网络安全07-网络扫描与网络监听,59/73,Windows 2000下抓包组件示意图,2018/9/28,计算机网络安全07-网络扫描与网络监听,60/73,WinPcap,WinPcap包括三个部分 第一个模块NPF(Netgroup Packet Filter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码 第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本

37、的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译 第三个模块 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。 packet.dll和Wpcap.dll packet.dll直接映射了内核的调用 Wpcap.dll提供了更加友好、功能更加强大的函数调用,2018/9/28,计算机网络安全07-网络扫描与网络监听,61/73,WinPcap和NPF,2018/9/28,计算机网络安全07-网络扫描与网络监听,62/73,Windows的网络结构,N

38、DIS(Network Driver Interface Specification，网络驱动接口规范)描述了网络驱动与底层网卡之间的接口规范，以及它与上层协议之间的规范 NPF作为一个核心驱动程序而提供的,2018/9/28,计算机网络安全07-网络扫描与网络监听,63/73,WinPcap的优势,提供了一套标准的抓包接口 与libpcap兼容，可使得原来许多UNIX平台下的网络分析工具快速移植过来 便于开发各种网络分析工具 除了与libpcap兼容的功能之外，还有 充分考虑了各种性能和效率的优化，包括对于NPF内核层次上的过滤器支持 支持内核态的统计模式 提供了发送数据包的能力,2018/

39、9/28,计算机网络安全07-网络扫描与网络监听,64/73,用WinPcap开发自己的sniffer,2018/9/28,计算机网络安全07-网络扫描与网络监听,65/73,Windows平台下一些sniffer工具,Buttsniffer 简单，不需要安装，可以在Windows NT下运行，适合于后台运作 NetMon Windows 2000自带(Microsoft SMS也带) 友好的图形界面，分析功能强 NetXRay 界面友好，统计分析功能强，过滤器功能 基于WinPcap的工具 WinDump Analyzer,2018/9/28,计算机网络安全07-网络扫描与网络监听,66/7

40、3,UNIX/Linux平台下的一些sniffer工具,dsniff linux_sniffer Snort tcpdump sniffit ,2018/9/28,计算机网络安全07-网络扫描与网络监听,67/73,与sniffer有关的两项技术,检测处于混杂模式的节点 如何在交换网络上实现sniffer,2018/9/28,计算机网络安全07-网络扫描与网络监听,68/73,检测处于混杂模式的节点,网卡和操作系统对于是否处于混杂模式会有一些不同的行为，利用这些特征可以判断一个机器是否运行在混杂模式下 一些检测手段 根据操作系统的特征 Linux内核的特性：正常情况下，只处理本机MAC地址或者

41、以太广播地址的包。在混杂模式下，许多版本的Linux内核只检查 数据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以太地址而IP地址有效的ICMP ECHO请求，看机器是否返回应答包(混杂模式)，或忽略(非混杂模式)。 Windows 9x/NT：在混杂模式下，检查一个包是否为以太广播包时，只看MAC地址前八位是否为0xff。 根据网络和主机的性能 根据响应时间：向本地网络发送大量的伪造数据包，然后，看目标主机的响应时间，首先要测得一个响应时间基准和平均值 L0pht的AntiSniff产品，参考它的技术文档,2018/9/28,计算机网络安全07-网络扫描与网络监听,69/73,在

42、交换式网络上监听数据包,ARP重定向技术，一种中间人攻击,1. B打开IP转发功能 2. B发送假冒的arp包给A，声称自己是GW的IP地址 3. A给外部发送数据，首先发给B 4. B再转发给GW,做法：利用dsniff中的arpredirect工具,2018/9/28,计算机网络安全07-网络扫描与网络监听,70/73,发送数据包Libnet,利用Libnet构造数据包并发送出去 关于Libnet 支持多种操作系统平台 提供了50多个C API函数，功能涵盖 内存管理(分配和释放)函数 地址解析函数 各种协议类型的数据包构造函数 数据包发送函数(IP层和链路层) 一些辅助函数，如产生随机数

43、、错误报告等,2018/9/28,计算机网络安全07-网络扫描与网络监听,71/73,使用Libnet的基本过程,数据包内存初始化 网络接口初始化 构造所需的数据包 计算数据包的校验和 发送数据包 关闭网络接口 释放数据包内存,libnet_init_packet(); libnet_open_raw_sock(); libnet_build_ip(); libnet_build_tcp(); libnet_do_checksum(); libnet_write_ip(); libnet_close_raw_sock(); libnet_destroy_packet();,2018/9/28,

44、计算机网络安全07-网络扫描与网络监听,72/73,本章总结,本章主要介绍网络攻击技术中的网络扫描和监听技术。首先介绍了黑客的概述以及分类等常识，然后介绍了网络踩点的概念，利用工具以及程序重点的探讨了扫描技术中的被动策略扫描和主动策略扫描。最后介绍了网络监听的概念和密码监听工具的使用。,2018/9/28,计算机网络安全07-网络扫描与网络监听,73/73,本章习题,1. 简述黑客的分类，以及黑客需要具备哪些基本素质。 2. 黑客在进攻的过程中，需要经过哪些步骤，目的是什么？ 3. 简述黑客攻击和网络安全的关系。 4. 为什么需要网络踩点？ 5. 扫描分成哪两类，每类有什么特点？可以使用哪些工具进行扫描，各有什么特点？ 6. 网络监听技术的原理是什么？ 7. 对一台操作系统是Windows 2000 Server或者是Windows 2000 Advanced Server的计算机进行扫描，并写扫描报告，要求记录对方用户列表、提供的服务、共享的目录已经存在的漏洞。（上机完成） 8. 修改案例-4，利用UDP协议实现端口扫描。（上机完成）,