1.2谁需要使用网络分析.doc

1.2 谁需要使用网络分析? 系统管理员、网络工程师、安全工程师、系统操作员、与程序员都需要使用网络分析器，其对诊断与解决网络问题、系统配置问题、与应用程序的难点(或瓶颈)都是无价的工具。在历史上，网络分析器曾经专注于昂贵与难于使用的硬件设备。然而，新出现的先进技术允许基于软件进行网络分析器开发，其为有效解决网络问题提供了一种更为方便与廉价的工具，它也具备网络分析的能力。 网络分析的技术是一个双刃剑。当网络、系统、与安全的专业人员使用它处理网络故障与监视网络时，入侵者为了非法的目的正在使用网络分析器。网络分析器是一种工具，就像所有的工具一样，它可被用在好的与坏的目的之上。 网络分析器的用途为： ? 将在数据包中的二进值数据转换成易读的格式 ? 处理网络故障 ? 分析网络性能以发现瓶颈 ? 网络入侵检测 ? 为了辩护与证据记录网络流量 ? 分析应用程序的操作 ? 发现有问题的网卡 ? 发现病毒爆发的源头或拒绝服务（DoS）的攻击 ? 发现间谍软体 ? 在开发阶段对网络编程进行调试 ? 发现一部泄密的计算机 ? 确认符合公司的政策 ? 学习协议时作为学习的资源 ? Reverse-engineering protocols to write clients and supporting programs（逆向工程协议去写客户与支持计划） 1.2.1 入侵者如何使用嗅探器？ 当被心怀恶意的人使用时，嗅探器能对网络安全构成重要威胁。网络入侵者使用嗅探的方式获取秘密的信息，嗅探和窃听在该应用中通常是相互关联的。然而，嗅探正成为一个非负面的术语；大多数人互换地使用嗅探和网络分析这两个术语。 以非法方式使用一个嗅探器被视为一个被动的攻击，因为它不直接与网络上任何其它系统相互作用或连接。一个嗅探器也能被安装在网络的一台计算机上，并作为一个主动攻击的泄密部分。嗅探器的被动特性使得很难被检测（用的检测方法稍后详细说明)。 入侵者在网络上使用嗅探器做下列事情： ? 取得明文的用户名和密码 ? 发现一个网络上用户的使用模式（usage patterns） ? 泄密私有信息 ? 捕获与回放VoIP电话通话 ? 映射网络的部署 ? 被动的操作系统指纹识别（Passive OS fingerprinting） 上述都是嗅探器的非法使用，除非你是一个渗透测试人员，找出并报告这些类型的弱点就是你的工作。为了嗅探，一个入侵者首先得获取所感兴趣系统的通信网线的访问权，这意谓着要在同一共享网段上或在通信路径之间的网线某处接入探针。 如果侵入者不是与目标系统或通信访问点（AP）物理接触,仍然有方法嗅探网络流量，包括： ? 闯入一部目标计算机而且安装远程嗅探器 ? 闯入一个通信访问点（举例来说，一个因特网服务提供着[ISP]) 并安装嗅探软件。 ? 在已经装入嗅探软件的ISP上定位一个系统 ? 使用社会的工程学（social engineering）得到一个ISP的物理访问，安装一个数据包嗅探器 ? 在目标计算机组织或ISP内部有一个同谋者，并在那儿安装嗅探器。 ? 重定向或复制通信（Redirecting or copying communications），使路径包含入侵者的计算机 嗅探程序大多数都包含了rootkits工具，该工具安装在泄密系统中是极具代表性的。Rootkits通过替换命令和使用、并清除日志条目，被用来掩盖入侵者的踪迹。 入侵者也安装其它的程序，像嗅探器，键盘记录器和后门软件。Windows嗅探可作为远程操控特洛伊（RAT）的一部分被实现，诸如SubSeven 或Back Orifice。 入侵者通常使用嗅探程序，并把嗅探程序配置成能检测特定事情（如密码）的状态, 然后把所嗅探的事情发送给入侵者（或者储存它们，由入侵者稍后取回）。易受该类活动攻击的协议包括Telnet、文件传送协议（FTP）、第3版邮局协议 (POP3) 、网际报文存取协议 （IMAP）、简单邮件传输协议（SMTP）、 超文本传输协议 （HTTP）、远程登录 （rlogin）和简单网络管理协议（SNMP）。 rootkit 的一个例子是在 Solaris 和 Linux 上工作的“T0rnKit”，和rootkit 包含在一起的嗅探器叫做“t0rns”，并被安装在隐藏目录/usr/srec/.puta中。rootkit的另一个例子是 Linux Rootkit 5(Lrk5)和linsniff嗅探器一起安装。 入侵者也可以使用嗅探程序控制后门（这一个实践不是相当“常见的” ，但并不是没听说过）。一个方法是将在一个监听特定信息的嗅探器安装在目标系统上，然后发送后门控制信息到一个邻近的系统。因为嗅探器固有的被动特性，该类型的后门控制很难被发现。 cd00r就是一个后门嗅探的例子，