- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
1.2谁需要使用网络分析.doc
1.2 谁需要使用网络分析?
系统管理员、网络工程师、安全工程师、系统操作员、与程序员都需要使用网络分析器,其对诊断与解决网络问题、系统配置问题、与应用程序的难点(或瓶颈)都是无价的工具。在历史上,网络分析器曾经专注于昂贵与难于使用的硬件设备。然而,新出现的先进技术允许基于软件进行网络分析器开发,其为有效解决网络问题提供了一种更为方便与廉价的工具,它也具备网络分析的能力。
网络分析的技术是一个双刃剑。当网络、系统、与安全的专业人员使用它处理网络故障与监视网络时,入侵者为了非法的目的正在使用网络分析器。网络分析器是一种工具,就像所有的工具一样,它可被用在好的与坏的目的之上。
网络分析器的用途为:
? 将在数据包中的二进值数据转换成易读的格式
? 处理网络故障
? 分析网络性能以发现瓶颈
? 网络入侵检测
? 为了辩护与证据记录网络流量
? 分析应用程序的操作
? 发现有问题的网卡
? 发现病毒爆发的源头或拒绝服务(DoS)的攻击
? 发现间谍软体
? 在开发阶段对网络编程进行调试
? 发现一部泄密的计算机
? 确认符合公司的政策
? 学习协议时作为学习的资源
? Reverse-engineering protocols to write clients and supporting programs(逆向工程协议去写客户与支持计划)
1.2.1 入侵者如何使用嗅探器?
当被心怀恶意的人使用时,嗅探器能对网络安全构成重要威胁。网络入侵者使用嗅探的方式获取秘密的信息,嗅探和窃听在该应用中通常是相互关联的。然而,嗅探正成为一个非负面的术语;大多数人互换地使用嗅探和网络分析这两个术语。
以非法方式使用一个嗅探器被视为一个被动的攻击,因为它不直接与网络上任何其它系统相互作用或连接。一个嗅探器也能被安装在网络的一台计算机上,并作为一个主动攻击的泄密部分。嗅探器的被动特性使得很难被检测(用的检测方法稍后详细说明)。
入侵者在网络上使用嗅探器做下列事情:
? 取得明文的用户名和密码
? 发现一个网络上用户的使用模式(usage patterns)
? 泄密私有信息
? 捕获与回放VoIP电话通话
? 映射网络的部署
? 被动的操作系统指纹识别(Passive OS fingerprinting)
上述都是嗅探器的非法使用,除非你是一个渗透测试人员,找出并报告这些类型的弱点就是你的工作。为了嗅探,一个入侵者首先得获取所感兴趣系统的通信网线的访问权,这意谓着要在同一共享网段上或在通信路径之间的网线某处接入探针。
如果侵入者不是与目标系统或通信访问点(AP)物理接触,仍然有方法嗅探网络流量,包括:
? 闯入一部目标计算机而且安装远程嗅探器
? 闯入一个通信访问点(举例来说,一个因特网服务提供着[ISP]) 并安装嗅探软件。
? 在已经装入嗅探软件的ISP上定位一个系统
? 使用社会的工程学(social engineering)得到一个ISP的物理访问,安装一个数据包嗅探器
? 在目标计算机组织或ISP内部有一个同谋者,并在那儿安装嗅探器。
? 重定向或复制通信(Redirecting or copying communications),使路径包含入侵者的计算机
嗅探程序大多数都包含了rootkits工具,该工具安装在泄密系统中是极具代表性的。Rootkits通过替换命令和使用、并清除日志条目,被用来掩盖入侵者的踪迹。
入侵者也安装其它的程序,像嗅探器,键盘记录器和后门软件。Windows嗅探可作为远程操控特洛伊(RAT)的一部分被实现,诸如SubSeven 或Back Orifice。
入侵者通常使用嗅探程序,并把嗅探程序配置成能检测特定事情(如密码)的状态, 然后把所嗅探的事情发送给入侵者(或者储存它们,由入侵者稍后取回)。易受该类活动攻击的协议包括Telnet、文件传送协议(FTP)、第3版邮局协议 (POP3) 、网际报文存取协议 (IMAP)、简单邮件传输协议(SMTP)、 超文本传输协议 (HTTP)、远程登录 (rlogin)和简单网络管理协议(SNMP)。
rootkit 的一个例子是在 Solaris 和 Linux 上工作的“T0rnKit”,和rootkit 包含在一起的嗅探器叫做“t0rns”,并被安装在隐藏目录/usr/srec/.puta中。rootkit的另一个例子是 Linux Rootkit 5(Lrk5)和linsniff嗅探器一起安装。
入侵者也可以使用嗅探程序控制后门(这一个实践不是相当“常见的” ,但并不是没听说过)。一个方法是将在一个监听特定信息的嗅探器安装在目标系统上,然后发送后门控制信息到一个邻近的系统。因为嗅探器固有的被动特性,该类型的后门控制很难被发现。 cd00r就是一个后门嗅探的例子,
您可能关注的文档
- 1.物品清单2.初始设置.PDF
- 1.综合管理部法律事务主管职位说明书.doc
- 110kV博陆变扩建工程报告.doc
- 1、项目概述与需求.doc
- 1杜邦汽车修补漆涂装技术培训中心20052005.PDF
- 2012嵌入式系统展望.PDF
- 2013年秋季泉六中物理单元试卷(密度1).doc
- 2013年第006期风险揭示书.PDF
- 2013年贵阳城市发展投资股份有限公司公司债券信用评级报告.PDF
- 2014年第一期东台市城市建设投资发展有限公司.PDF
- 中国国家标准 GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- 《GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计》.pdf
- 中国国家标准 GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- 《GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置》.pdf
- 中国国家标准 GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- GB/T 17889.4-2024梯子 第4部分:铰链梯.pdf
- 《GB/T 17889.4-2024梯子 第4部分:铰链梯》.pdf
最近下载
- 企业存货管理问题研究——以森马服饰为例.doc
- 2012年数学建模竞赛答案之一 葡萄酒.pdf VIP
- 手机游戏的营销策略分析以《明日方舟》为例.docx VIP
- 急诊POCT专项测试卷附答案.doc
- 2023年全国数学建模竞赛D题的答案.doc VIP
- 100m3每天医疗污水处理方案.docx VIP
- PreSonus 普瑞声纳 Temblor T10EN,CN T10 OwnersManual 04272021说明书用户手册.pdf
- 2021年全国数学建模竞赛D题的答案.pdf VIP
- PreSonus 普瑞声纳 Eris E44EN,CN Eris E44 and E66 OwnersManual EN V3 01112021.说明书用户手册.pdf
- 2003全国大学生数学建模竞赛b题参考答案.docx
文档评论(0)