chapter2黑客常用的系统攻击方法网络监听.pptVIP

攻击演练：口令攻击 通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型： 用户名 用户名变形 生日 常用英文单词 5位以下长度的口令 【课堂实战】口令破解smbcrack2 入侵系统psexec 目标系统的探测方法 目的：了解目标主机的信息：IP地址、开放的端口和服务程序等，从而获得系统有用的信息，发现网络系统的漏洞。 常用方法： 网络探测 【实验】whois（web网页形式； 工具软件形式——如Smartwhois查询工具） 扫描器工具 Sniffer原理 Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。 什么是 Sniffer ? Sniffer的主要作用 快速解决网络故障 自动的问题识别、分析与诊断，可以节省故障诊断的时间。 最优化投资 利用性能降低的精确诊断，可以避免草率的资金投入。 检验新应用/技术的推广 分析新应用或技术对性能的影响，提供改进的建议。 Sniffer的功能 网卡工作原理 网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 网卡的工作模式 广播方式：能够接收网络中的广播信息。 组播方式：能够接收组播数据。 直接方式：只有目的网卡才能接收该数据。 混杂模式（promiscuous）：能够接收到一切通过它的数据。 HUB工作原理 HUB工作原理 交换环境下的SNIFF 交换环境下的SNIFF 网络监听原理 一个sniffer需要作的： 把网卡置于混杂模式。 捕获数据包。 分析数据包 ARP spoof 常用的SNIFF （1）windows环境下 ：图形界面的SNIFF netxray sniffer pro （2）UNUX环境下 ：UNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的 。 如sniffit，snoop, tcpdump, dsniff Ettercap(交换环境下) 常用的SNIFF （1）Sniffer Pro （2）WireShark（06年夏天前称为Ethereal） （3）Net monitor （4）EffTech HTTP Sniffer （5）Iris 课堂演练 【例1】嗅探FTP过程 【例2】嗅探HTTP登录邮箱的过程 【例3】嗅探POP邮箱密码的过程 如何防止SNIFF 进行合理的网络分段。 用SSH(Secure??Shell )/SSL(Secure Socket Layer)建立加密连接，保证数据传输安全。 Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。 防止内部攻击。 AntiSniff 工具用于检测局域网中是否有机器处于混杂模式 （不是免费的）。 WireShark Capture----capture options Capture 捕获 Capture options 捕获选项 Interface 接口 Capture packets in promiscuous mode 在混杂模式下捕获分组 Limit each packet to N bytes 将每个分组限制在N个字节内 Filter 过滤器 可以指定捕获目标的IP地址，协议类型等 Capture file 捕获文件 指定将捕获的文件放到指定的位置 Display options 显示选项 Stop Capture 捕获限制 Name resolution 名字解析 启用MAC地址转换 MAC——厂商的名称 启用网络地址转换 IP——主机名 启用传输名字解析，熟知端口——相应协议 第一次握手 第二次握手 第三次握手 综合演练 使用WireShark分析TCP/IP建立连接的三次握手过程的数据包 使用WireShark分析nmap各种扫描方式的数据包 1 分析TCP三次握手的第一个分组，以太网帧首部是多大？整个以太网帧又有多大？IP首部有多大？IP报文呢？TCP首部呢？TCP报文段呢？ 2 网络监听是如何实现的？如何防范网络被监听？ 以太网帧首部占用了14个字节，那么分组中另外56个字节（包括IP和TCP的首部）是以太网帧的数据。 * *