參與評論

評論

登錄后參與評論

全部評論(1條)

• 

  FyfyY5H1h1 2013-10-21 00:00:00

  完全依賴于你的覺悟，數(shù)據(jù)包監(jiān)測既是一個重要的管理工具，也可以成為一項邪惡的黑客技 術(shù)。事實上，它兩者皆是，一個好的數(shù)據(jù)包監(jiān)測軟件通?？梢栽诰W(wǎng)絡(luò)管理和黑客技術(shù)工具包中同時找到。黑客可以用數(shù)據(jù)包監(jiān)測軟件監(jiān)聽互聯(lián)網(wǎng)，并且追蹤一些敏感數(shù)據(jù)的交換如登錄對話和財經(jīng)交 易。網(wǎng)絡(luò)管理員可以用數(shù)據(jù)包監(jiān)測軟件檢測錯誤布線，損壞的數(shù)據(jù)包和其它網(wǎng)絡(luò)問題。在本文中，我們覆蓋了開始進(jìn)行數(shù)據(jù)包監(jiān)測需知的所有內(nèi)容，而沒有涉及太多陰暗面。通過 一個Z流行工具軟件的實例，你將學(xué)習(xí)到在TCP/IP網(wǎng)上四處監(jiān)聽的基本技術(shù)。文中闡述較為 詳細(xì)，以幫助你理解在查看數(shù)據(jù)包時確實能看到什么，并且介紹了IP欺騙技術(shù)。當(dāng)然，我們 也提供了一個更多網(wǎng)絡(luò)資源的列表以滿足你所有監(jiān)聽的需要。一、什么是數(shù)據(jù)包監(jiān)測？數(shù)據(jù)包監(jiān)測可以被認(rèn)為是一根竊聽電話線在計算機(jī)-網(wǎng)絡(luò)中的等價物。當(dāng)某人在“監(jiān)聽”網(wǎng)絡(luò) 時，他們實際上是在閱讀和解釋網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。如果你在互聯(lián)網(wǎng)上，正通過其它計算機(jī)發(fā)送數(shù)據(jù)。發(fā)送一封電子郵件或請求下載一個網(wǎng)頁都 會使數(shù)據(jù)通過你和數(shù)據(jù)目的地之間的許多計算機(jī)。這些你傳輸信息時經(jīng)過的計算機(jī)都能夠看 到你發(fā)送的數(shù)據(jù)。數(shù)據(jù)包監(jiān)測工具允許某人截獲數(shù)據(jù)并且查看它。 互聯(lián)網(wǎng)和大多數(shù)數(shù)據(jù)網(wǎng)絡(luò)一樣，通過從一個主機(jī)發(fā)送信息數(shù)據(jù)包到另一個主機(jī)來工作。每個> 數(shù)據(jù)包包含有數(shù)據(jù)本身和幀頭，幀頭包含數(shù)據(jù)包的信息如它的目的地和來源。數(shù)據(jù)包的數(shù)據(jù) 部分包含發(fā)送到網(wǎng)絡(luò)的信息——它可能是電子郵件，網(wǎng)頁，注冊信息包括密碼，電子商務(wù)信 息包括號碼，和其它一切網(wǎng)絡(luò)上流動的東西?；赥CP/IP協(xié)議的互聯(lián)網(wǎng)采用的體系結(jié)構(gòu)是以太網(wǎng)，它的特點是把所有的數(shù)據(jù)包在網(wǎng)絡(luò)中廣 播。網(wǎng)絡(luò)為大多數(shù)計算機(jī)提供的接口是一個內(nèi)置的以太網(wǎng)卡(也叫做網(wǎng)卡或NIC)。這些接口卡 默認(rèn)提取出目標(biāo)地址和自己的網(wǎng)卡地址一致的數(shù)據(jù)包而過濾掉所有其它的數(shù)據(jù)包。然而，以 太網(wǎng)卡典型地具有一個“混合模式”選項，能夠關(guān)掉過濾功能而查看經(jīng)過它的所有數(shù)據(jù)包。 這個混合模式選項恰好被數(shù)據(jù)包監(jiān)測程序利用來實現(xiàn)它們的監(jiān)聽功能。防火墻完全不能阻止數(shù)據(jù)包被監(jiān)測。虛擬個人網(wǎng)絡(luò)(VPN)和加密技術(shù)也不能阻止數(shù)據(jù)包被監(jiān)測 ，但能使它的危害小一點。要知道許多密碼在網(wǎng)絡(luò)上傳輸時是不加密的，有時即使已經(jīng)加密 ，也不能挫敗一個數(shù)據(jù)包監(jiān)測工具侵入系統(tǒng)的企圖。一個尋找登錄序列和監(jiān)聽加密口令的入 侵者并不需要破譯口令為自己所用，而只需要依賴未經(jīng)授權(quán)的加密版。對于需要高度安全的系統(tǒng)，一個和數(shù)據(jù)包監(jiān)測技術(shù)妥協(xié)的保護(hù)密碼的Z好措施是執(zhí)行“使用 一次即更改”的密碼方案——所以即使是一個不道德的黑客可能監(jiān)測了登錄序列，密碼在下 一次試驗時就不起作用了。二、用什么監(jiān)測實際上有幾百種可用的數(shù)據(jù)包監(jiān)測程序，許多結(jié)合起來破譯和掃描特定類型的數(shù)據(jù)并被專門 設(shè)計為黑客的工具。我們在這里不討論任何尋找密碼或號的工具，但它們確實存在。 這類工具經(jīng)常有內(nèi)置的協(xié)議分析程序，它能夠幫助翻譯不同網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包，而不是提供 原始的數(shù)字?jǐn)?shù)據(jù)。一個Z古老也Z成功的數(shù)據(jù)包和網(wǎng)絡(luò)分析產(chǎn)品是由WildPackets (以前的AG 組)出品的Ether Peek。 EtherPeek已經(jīng)存在了10年，堪稱互聯(lián)網(wǎng)時代真正的恐龍。他們提供Windows版 和Mac intosh版，每個都具有網(wǎng)絡(luò)管理員-導(dǎo)向的價格。這個工具軟件開始只是一個網(wǎng)絡(luò)分析器型的 數(shù)據(jù)包監(jiān)測軟件，經(jīng)過這些年的發(fā)展已經(jīng)成為一個真正的網(wǎng)絡(luò)管理工具并具有網(wǎng)站監(jiān)視和分 析等新的功能。在他們的網(wǎng)站有一個演示版，想要試驗的人可以去下載。另一個能夠監(jiān)視網(wǎng)絡(luò)活動捕獲和分析數(shù)據(jù)包的程序是TamoSoft的CommView。這個流行的監(jiān)測 程序顯示網(wǎng)絡(luò)連接和IP統(tǒng)計數(shù)字，能夠檢查單獨的數(shù)據(jù)包，通過對IP協(xié)議TCP， UDP，和 ICMP 的完全分析解碼到Z低層。完全訪問原始數(shù)據(jù)也只需要花費一個非常友好的價格9（或者 是以更低的價格獲得個人許可證，它只能捕獲發(fā)送到你的PC的數(shù)據(jù)包）。TamiSoft的網(wǎng)站同 樣提供一個可以下載的演示版。如果你運行微軟的Windows NT Server，將不必買任何東西——它有一個內(nèi)置的數(shù)據(jù)包監(jiān)測程 序叫做網(wǎng)絡(luò)監(jiān)視器。要訪問它，進(jìn)入網(wǎng)絡(luò)控制面板，選擇服務(wù)標(biāo)簽，點擊添加并選擇網(wǎng)絡(luò)監(jiān) 視工具和代理。一旦它已經(jīng)安裝你就可以從程序菜單下的管理工具中運行網(wǎng)絡(luò)監(jiān)視器。三、如何監(jiān)測好了，現(xiàn)在你的手頭至少有一個流行的數(shù)據(jù)包監(jiān)測軟件的測試版了，我們要開始研究事情的 真相了，看一看我們實際上能從這些數(shù)據(jù)包中學(xué)到什么。本文將以Tamisoft的CommView為例 。但同樣的概念和功能在其它的數(shù)據(jù)包監(jiān)測產(chǎn)品中也很容易適用。開始工作以前，我們需要打開監(jiān)測功能，在CommView中通過從下拉菜單中選擇網(wǎng)絡(luò)適配器， 然后按下開始捕獲按鈕，或從文件菜單中選擇開始捕獲。如果發(fā)生網(wǎng)絡(luò)阻塞，你應(yīng)該立即看 到一些行為。CommView和大多數(shù)數(shù)據(jù)包監(jiān)測軟件一樣，有一個顯示IP網(wǎng)絡(luò)信息的屏幕和一個顯示數(shù)據(jù)包數(shù) 據(jù)的屏幕。在默認(rèn)方式下你將看到IP統(tǒng)計頁。你應(yīng)該能夠在你的瀏覽器中輸入一個URL，或檢 查你的e-mail，看這個屏幕接收通訊兩端的IP地址數(shù)據(jù)。除了兩端的IP地址，你應(yīng)該看到端口號，發(fā)送和接受的數(shù)據(jù)包數(shù)，對話的方向（誰發(fā)送diyi 個數(shù)據(jù)包），兩個主機(jī)間對話的次數(shù)，和有效的主機(jī)名。CommView能和可選擇的SmartWhoIs 模塊相結(jié)合，所以在IP列表中右擊IP號將提供一個查找信息返回關(guān)于這個IP號的所有已知的 注冊信息。如果你用popmail型的帳號查收電子郵件，將在IP列表中看到一條線，端口號為1 10，標(biāo)準(zhǔn)popmail端口。你訪問任意網(wǎng)站都會在端口80產(chǎn)生一條線，參見圖A。 查明某些數(shù)據(jù)包來自于哪兒是數(shù)據(jù)包監(jiān)測程序Z普通的應(yīng)用之一。通過運行一個程序如Smar tWhoIs，你能夠把數(shù)據(jù)包監(jiān)測程序所給出的鑒定結(jié)果——IP和以太網(wǎng)地址擴(kuò)展到潛在的更有 用的信息，如誰管理一個IP地址指向的域。一個IP地址和以太網(wǎng)地址對于要追蹤一個無賴用 戶來說沒有太多作用，但他們的域管理員可能非常重要。在CommView中點擊數(shù)據(jù)包標(biāo)簽可以在它們經(jīng)過時看到實際的數(shù)據(jù)包。這樣的視圖意義很含糊 ，而且如果你懼怕十六進(jìn)制，這不是適合你的地方。有一個數(shù)據(jù)包列表，其中每個數(shù)據(jù)包都 有一個duyi無二的數(shù)據(jù)包編號。在列表視圖中你也可以看到數(shù)據(jù)包的協(xié)議（如TCP/IP），MA C (以太網(wǎng))地址，IP地址和端口號。在CommView數(shù)據(jù)包窗口中間的窗格中你可以看到在列表中選擇的無論什么數(shù)據(jù)包的原始數(shù)據(jù) 。既有數(shù)據(jù)包數(shù)據(jù)的十六進(jìn)制表示也有一個清楚的文本翻譯。底部的窗格顯示了IP數(shù)據(jù)包的 解碼信息，包括數(shù)據(jù)包在IP， TCP， UDP， 和 ICMP層的完整分析，參見圖B。如果你正在和這些信息打交道，那么你不是在進(jìn)行繁重的網(wǎng)絡(luò)故障排除工作，就是在四處窺 探。翻譯十六進(jìn)制代碼不是這篇文章討論的范圍，但應(yīng)用正確的工具，數(shù)據(jù)包可以被解開而 看到其內(nèi)容。當(dāng)然這些并不是用一個數(shù)據(jù)包檢測軟件所能做的一切——你也可以復(fù)制數(shù)據(jù)包，為捕獲數(shù)據(jù) 包建立規(guī)則和過濾器，以成打不同的方式獲得各種統(tǒng)計數(shù)字和日志。功能更加強(qiáng)大的工具不 于可以查看，記錄和分析發(fā)送和交換數(shù)據(jù)包，利用它們不費多少功夫就可以設(shè)想出一些狡猾的應(yīng)用程序。四、IP欺騙和更多資源一個完全不友好的數(shù)據(jù)包監(jiān)測應(yīng)用程序是一種IP欺騙技術(shù)。這時，一個不道德的用戶不僅查 看經(jīng)過的數(shù)據(jù)包，而且修改它們以獲得另一臺計算機(jī)的身份。當(dāng)一個數(shù)據(jù)包監(jiān)測程序在兩臺正在通訊的計算機(jī)段內(nèi)時，一個黑客就能監(jiān)聽出一端的身份。 然后通過找到一個信任端口的IP地址并修改數(shù)據(jù)包頭使數(shù)據(jù)包看起來好象來自于那個端口達(dá) 到攻擊連接的目的。這類活動通常伴隨著一個對偽造地址的拒絕服務(wù)攻擊，所以它的數(shù)據(jù)包 不會被入侵干擾。關(guān)于數(shù)據(jù)包監(jiān)測和IP欺騙技術(shù)的信息成噸，我們僅僅描述了對TCP/IP數(shù)據(jù)包操作的一些表面 知識。在開始數(shù)據(jù)包監(jiān)測以前Z好深入了解TCP/IP和網(wǎng)絡(luò)——這樣做更有意義。這里是一個 為那些想要進(jìn)一步研究這個問題的人們提供的附加的資源列表。 ZDNet"s Computer Shopper Network Utilities Packetstorm"s packet sniffer section with over 100 sniffing programs Wild Packets， makers of EtherPeekEtherPeekTamoSoft， makers of CommView An overview of the TCP/IP Protocol Suite Z后一句警告——小心你監(jiān)測的場所。在你家里的PC上運行一個數(shù)據(jù)包監(jiān)測程序?qū)W習(xí)TCP/IP ，或者是在你控制的局域網(wǎng)運行以解決故障是一回事，在別人的網(wǎng)絡(luò)上偷偷地安裝卻是另一 回事。機(jī)敏的網(wǎng)絡(luò)管理員在集中注意力時會發(fā)現(xiàn)監(jiān)測他們網(wǎng)絡(luò)的人，并且他們通常不會很高興。

  贊(5)

  回復(fù)(0)

  評論

  評論

  登錄后參與評論