绿色系统下载网站,值得信赖的XP系统下载站!

系统工具|网络软件|应用软件|网络聊天|图形图像|多媒体类|教育教学|安全相关|程序开发|行业软件
您的位置:首页 > 电脑教程 > 详细介绍网络监听技术的魅力

详细介绍网络监听技术的魅力

发表于:2012-10-31 16:17:11   来源:http://www.greendl.com/

  在1994年2月,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100,000个有效的用户名和口令。上述事件可能是互联网上最早期的大规樓的网络监听事件了,它使早期网络从“地下”走向了公开,并迅速的在大众中普及开来。

  比方说,黑客想入侵一家公切的网站,结果发现服务器的安全配置很到位,在感到束手无策的时候,忽然发现这家公司的网站是架设在自己的机房中的,这个机房与公切中的内部电脑彼此相连,如图所示。

  网络监听的魅力

  很明显,通过公切中的其它电脑或许就能与服务器进行连接。通常,非服务器都不会对安全非常重视,那么先想法进人任意一台电脑,然后通过这台电脑对网络数据进行监听,就完全有可能获得一些机密的数搪,如服务器内部IP地址、上传和下载用户名,等等。这也是一个间接的人侵通道。

  在网络监听引起人们普遍注意后,很多疑问 随之而生,如:

  *我可以监听Internet中任意电®的数据吗?

  *我可以使用交换机来解决网络监听问题吗?

  *是不是监听的数据都是明文的?

  其实,之所以产生这些疑惑,都是因为对网络监听技术的基本知识不了解导致的。要了解网络监听,首先需要知道网络传输原理:

  *每台电脑都是通过网卡进行数据传输;

  *每块网卡都需要安装专用的驱动程序才能 使用;

  *每块网卡都有独自的mac地址;

  *电脑之台需要使用TCP/IP协议进行通信;

  *网卡都会自动或手工绑定一个IP地址。电脑要与网络发生连接,必须使用网卡等网络设备进行连接。网卡有两类地址,一是IP地址,二是MAC地址。我们知道,电脑是个数宇的世界,任何信息在电脑中都会被表示成数字化的形式。在网络世界中,为了准确地找到目的电脑,每一台电脑都必须标有惟一的一个地址——这就和打电话必须知道对方全球惟一的电话号码一样。

  TCP/IP V4中IP地址是由32位二进制数字组成,并且每8位被分成一组,一共4组。组与组之间由半角句号(俗称“点”)分开,这种书写方法叫做“点分表示法”。为了便于人们记忆,每组数宇一般都是以十进制数宇标识,如 202.102.48.141。例如,在 windows xp 的“命令提示符”窗口中,输人IPconfig命令并按 Enter键后,就会得到如图所示的当前电脑使用 的IP地址——我们可以看到当前电脑使用的IP 地址是 202.102.13.141。

  网络监听的魅力

  MAC地址是一个48位的二进制地址,它 常用12位的十六进制表示。这是网卡的物理地 址,也是绝不重复的地址——也就是说网卡既 有IP地址,也有MAC地址。在交换机等网络 设备或是一些专业的网络管理软件中,都是使用 MAC地址对电脑进行集中管理的。

  在如图所示的“命令提示符”窗口中,可 以使用“IPconfig /all”命令可以査看到网卡的 IP地址与MAC地址。

  网络监听的魅力

  网卡有数种用于接收数据帧的状态,如 broadcast, direct, multicast、promiscuous, 它们的含义分别是:

  *广播槟式:可以接受网络里的广播信息。

  *直接棋式:只能接受目的地址是本机的数 据包,其它的统统被忽略。

  *多播槟式:可以接受特定的多播数据。

  *混杂樓式:就是我们今天要讲的主角,在这种樓式下,只要流经网卡的数搪都将被截获。

  对照这几个概念,就可以知道正常的网卡应该只是接收发往自身的数搪报文、广播和组播报文。

  网页浏览、邮件收发等常见网络应用,都是依靠TCP/IP协议族实现的,大家知道有两个主要的网络体系:0SI参考模型和1XP/IP参考 槟型,OSH莫型即为通常说的7层协议,它由下 向上分别为物理层、数搪链路层、网络层、传输层、会话层、表示层、应用层,而TCP/IP模型中去掉了会话层和表示层后,由剩下的5层构成了互联网的基础,在网络的后台默默的工作着。

  从TCP/IP槟型的角度来看,数据包在局 域网内发送的过程是:

  当数据由应用层自上而下的传递时,在网络层形成IP数搪报,再向下到达数搪链路层,由数搪链路层将IP数据报分割为数据帧,增加以太网包头,再向下一层发送。

  需要注意的是,以太网的包头中包含着本机和目标设&的MAC地址,即:链路层的数搪帧发送时,是依靠48bits的以太网地址而非IP地址来确认的,以太网的网卡设备驱动程序不会关心IP数搪报中的目的IP地址,它所需要的仅仅是MAC地址。

  目标IP的MAC地址又是如何获得的昵?发端主机会向以太网上的每个主机发送一份包含目的地的IP地址的以太网数搪帧(称为ARP数据包),并期望目的主机回复,从而得到目的主机对应的MAC地址,并将这个MAC地址存人自己的一个ARP缓存内。

  当局域网内的主机都通过HUB等方式连接 时,一般都称为共享式的连接。这种共享式的连接有一个很明显的特点:就是HUB会将接收到的所有数据向HUB上的每个端口转发,也就是说当主机根搪MAC地址进行数据包发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通汛,只是在正常状况下其他主机会忽略这些通讯报文而已!如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。

  下面,举一个例子来帮助读者们了解一下上述枯燥的理论:

  假设,现在公司中有10台电脑,并通过HUB相连在一个以太网内,现在A机上的一个用户想要访问服务器中提供的网站服务,那么当A机上的用户在IE浏览器中,通过键人服务器的IP地址访问网站服务时,从7层结构的角度上来看都发生了什么呢?

  STEP 01:当A机上的用户在IE浏览器中键入服务器的地址时,会向本机的应用层发出浏览请求。

  STEP 02:应用层将请求发送到7层结构中的下一层传输层,由传输层实现利用TCP/IP协议对IP建立连接。

  STEP 03:传输层将数据报交到下一层网络层,由网络层来进行网路识别。

  STEP 04:由于A机和服务器在一个共享网络中,所以IP路由选择很简单——IP数据报直接由源主机发送到目的主机。

  STEP 05:由于A机和服务器在一个共享网络中,所以A机必须将32bit的IP地址转换为48bit的 以太网地址(这项工作是由ARP来完成的)。

  STEP 06:链路层的ARP通过工作在物理层的HUB向以太网上的每个主机发送一份包含目的地的IP地址的以太网数据帧,在这份请求报文中申明:谁是服务器IP地址的拥有者,请将你的硬件地址告诉我。

  STEP 07:同一个以太网中的每台机器都会“接收”到这个报文,但正常状态下除了服务器外的其他主机都会忽略这个报文,而服务器的网卡驱动程序则会识别出是在寻找自己的IP地址,于是会自动回送一个ARP应答,告知自己的IP地址和MAC地址。

  STEP 08:  A机的网卡驱动程序在接收到服务器的数据帧后,就知道了服务器的MAC地址,于是以后的数据利用这个已知的MAC地址作为目的地址进行发送。

  此时,同在一个局域网内的主机虽然也能“看”到这个数据帧,但是都会保持静默,并不会接收这个不属于它的数据帧。

  上面是一种正常的情况,如果网卡被设置为混杂樓式(promiscuous),那么第8步就会发生变化,这台主机将会默不作声的听到以太网内传输的所有信息,也就是说:窃听也就因此实现了,如图所示。

  网络监听的魅力

  这会给局域网安全带来极大的安全问题,一台系统一旦被人侵并进入网络监听状态,那么无论是本机还是局域网内的各种传输数据都会面临被窃听的巨大可能性:

  *截获账号、密码

  当我们享受着宽带带来的方便(很多是采用局域网共享的棋式),尽情地收发电子邮件,或者进行网上购物时,不知道大家有没有想到过在黑暗的角落里,可能有人正在窥视着我们的一举一动......

  网络监听的魅力

  这可不是在讲述007的电影,嗅探器可以拦截所有明文传送的账号、密码,从本文后面的例子可以看出,要获取密码有多么简单。就算你使用了加密机制,也不能高枕无忧,因为世上没有打不开的锁。

  *偷窥机密信息

  千万不要以为在线付款是万无一失的,即使和安全网站作交易也是如此。网络监听可以很轻松窃取在网上传送的信用卡号码、还有其它一些敏感会话信息。

  *破解底层网络通信协议

  由于网络监听工作在网络底层,所以有可能破译底层的通信协议(主要是数据各宇段的含义),以酝酿更可伯的攻击。