隐患：混杂模式下接收所有信息

　　我们不妨举一个例子来看看：我们现在有A,B两台主机，通过hub相连在一个以太网内，现在A机上的一个用户想要访问B机提供的WWW服务，那么当A机上的用户在浏览器中键入B的ip地址，得到B机提供的web服务时，从7层结构的角度上来看都发生了什么呢？

　　1：首先，当A上的用户在浏览器中键入B机的地址，发出浏览请求后，A机的应用层得到请求，要求访问IP地址为B的主机，

　　2：应用层于是将请求发送到7层结构中的下一层传输层，由传输层实现利用tcp对ip建立连接。

　　3：传输层将数据报交到下一层网络层，由网络层来选路

　　4：由于A，B两机在一个共享网络中，IP路由选择很简单：IP数据报直接由源主机发送到目的主机。

　　5：由于A，B两机在一个共享网络中，所以A机必须将32bit的IP地址转换为48bit的以太网地址，请注意这一工作是由arp来完成的。

　　6：链路层的arp通过工作在物理层的hub向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧，在这份请求报文中申明：谁是B机IP地址的拥有者，请将你的硬件地址告诉我。

　　7：在同一个以太网中的每台机器都会"接收"（请注意这一点！）到这个报文，但正常状态下除了B机外其他主机应该会忽略这个报文，而B机网卡驱动程序识别出是在寻找自己的ip地址，于是回送一个arp应答，告知自己的ip地址和mac地址。

　　8：A机的网卡驱动程序接收到了B机的数据帧，知道了B机的mac地址，于是以后的数据利用这个已知的MAC地址作为目的地址进行发送。同在一个局域网内的主机虽然也能"看"到这个数据帧，但是都保持静默，不会接收这个不属于它的数据帧。

　　上面是一种正常的情况，如果网卡被设置为为混杂模式（promiscuous），那么第8步就会发生变化，这台主机将会默不作声的听到以太网内传输的所有信息，也就是说：窃听也就因此实现了！这会给局域网安全带来极大的安全问题，一台系统一旦被入侵并进入网络监听状态，那么无论是本机还是局域网内的各种传输数据都会面临被窃听的巨大可能性。

　　上面我们看到，一切的关键就在于网卡被设置为混杂模式的状态，这种工作复杂吗？不幸的是，这种工作并不复杂，目前有太多的工具可以做到这一点。　　自网络监听这一技术诞生以来，产生了大量的可工作在各种平台上相关软硬件工具，其中有商用的，也有free的。在google上用sniffer tools作为关键字，可以找到非常多。

　　作者在这里列举一些作者喜欢的软件，供有兴趣的读者参考使用。

　　Windows平台下的：

　　Windump
　　Windump是最经典的unix平台上的tcpdump的window移植版，和tcpdump几乎完全兼容，采用命令行方式运行，对用惯tcpdump的人来讲会非常顺手。目前版本是3.5.2，可运行在Windows 95/98/ME/Windows NT/2000/XP平台上

　　Iris
　　Eeye公司的一款付费软件，有试用期，完全图形化界面，可以很方便的定制各种截获控制语句，对截获数据包进行分析，还原等。对管理员来讲很容易上手，入门级和高级管理员都可以从这个工具上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP平台上

　　unix平台下的：

　　tcpdump
　　不多说，最经典的工具，被大量的*nix系统采用，无需多言。

　　ngrep
　　和tcpdump类似，但与tcpdump最大的不同之处在于，借助于这个工具，管理员可以很方便的把截获目标定制在用户名，口令等感兴趣的关键字上。

　　snort
　　目前很红火的免费的ids系统，除了用作ids以外，被用来sniffer也非常不错，可以借助工具或是依靠自身能力完全还原被截获的数据。

　　Dsniff
　　作者设计的出发点是用这个东西进行网络渗透测试，包括一套小巧好用的小工具，主要目标放在口令，用户访问资源等敏感资料上，非常有特色，工具包中的arpspoof，macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。

　　Ettercap
　　和dsniff在某些方面有相似之处，也可以很方便的工作在交换机环境下
    提示：国内用户访问这个站点需要使用代理服务器。

　　Sniffit
　　被广泛使用的网络监听软件，截获重点在用户的输出。 

上一页  [1] [2] [3] [4] [5] [6] 下一页

下载免费游戏更新软件

相关文章

从入门到精通：网络监听技术全解