网络嗅探攻击的原理及应用(精选6篇)

网络嗅探攻击的原理及应用

       一. 嗅探器(Sniffer)攻击原理 Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息,

       

       网络嗅探攻击的原理及应用

       ,

       网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。放置Sniffer的目的是使网络接口(在这个例子中是以太

篇2:如何防范网络嗅探

       最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁,其中网络嗅探对于安全防护一般的网络来说,操作简单的同时威胁巨大,很多 也使用嗅探器进行网络入侵的渗透.. 网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。本文分析了网络嗅探的原理,分析了一些实例,提出解决方案和介绍实践经验。

       一、 嗅探器攻击原理

       嗅探器(sniffer) 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层,把网络传输的全部数据记录下来. 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能.嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它并不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。一般情况下,大多数的嗅探器至少能够分析下面的协议:

       1、标准以太网

       2、TCP/IP

       3、IPX

       4、DECNET

       5、FDDI Token

       6、微波和无线网,

       实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片),也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。目前主要使用的嗅探器是软件的。嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。数据在网络上是以帧(Frame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。就是在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以听到通过的流量,但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的物理设备作为嗅探器(例如,他们可以将嗅探器接在网络的某个点上,而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测,没有其他容易方法能够识别出这种连接(当然,网络拓扑映射工具能够检测到额外的IP地址)。

       嗅探器可能造成的危害:

       嗅探器能够捕获口令

       能够捕获专用的或者机密的信息

       可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限

       分析网络结构,进行网络渗透

篇3: 攻击技术概要:嗅探侦听法

       一、写这篇文章的目的

       我们论坛的朋友老是发帖问自己有没有中毒,被黑,或者装了某些软件或做了错误的系统设置之后系统出了稀奇古怪的错误,又怕重新装系统,

       

       攻击技术概要:嗅探侦听法

       。系统还原功能又有缺陷(有些木马和病毒就躲在系统还原点的文件夹里)。我从实际工作的经验中总结了一个比较“省事”的方案。即使中招也可以在2-3分钟之内恢复。

       二、简要说明

       1,个人觉得本贴属于“技术文章 ”范畴

       2,有朋友说Ghost容易出问题。可以告诉大家,自己做好系统再Ghost仅供自己使用是没有任何问题的。(推荐版本:symantec ghost 8.2 )

       3,本文涉及的细节较多,几乎都是经验总结。

       三、步骤

       方案主要分三步方便起见,分别称为Ghost 1,Ghost 2,和Ghost 3)

       用实际经验说话,分三步是最好的方案。如果做的步骤太多,gho文件占的空间越大;如果步骤太少,什么都要重来,花的时间就越多。具体如下:

       Ghost1 做一颗“后悔药”

       拔掉网线(重要),Format要装系统的分区,装好系统,设好账户名密码。

       然后什么系统选项都别改,什么软件都不装,驱动也不装。做一个GHOST镜像,存为XP1.gho。(如果你还不会用GHOST这个软件的话,先去baidu一下或者google一下) 这一步的原则:纯。可以称作是“后悔药”,即使是下面的任何一部分出了问题,你几分钟就可以Ghost到刚刚装好系统的情景,不用花几十分钟去重装系统(度日如年啊)

       Ghost2 设置好系统

       1,装好驱动程序,尽量使用原版驱动,而且最好是从 下载。

       2,装输入法。喜欢拼音的建议在微软 去下载微软拼音,放心嘛。如果你用五笔或者其他的输入法就要注意了,因为有个比较好用的五笔安装包好像要改IE主页,里面还藏了广告软件。这些非微软官方的安装包还是等做好“无忧系统”之后再去安装吧。

       3,调整桌面主题,以及桌面和任务栏的图标,开始菜单风格等等。

       4,调整文件夹选项,包括是否显示隐藏文件,是否使用简单共享,是否自动检测网络文件夹和打印机等。

       ,调整虚拟内存,按自己的需求进行设置,玩大游戏的可以设稍大一些,否则可以少点。

       6,修改系统特殊文件夹的位置,我一般把IE收藏夹和我的文档设在其他的盘下面,这样即使系统出问题也不会丢失收藏夹和存在“我的文档”里的东西。

       7,修改OUTLOOK的邮件文件夹存放位置,导入以前存储过的邮件账号。

       8,导入一些REG文件进行优化。包括关闭XP自带的医生,显示验证码,解决乱码问题(微软已经出补丁了),禁止MSN随Outlook启动,常见的IE垃圾插件免疫,去掉默认共享等。

       9,修改网络相关,导入策略包。包括IP,网关之类的

       10,调整系统服务。这里要注意,现在只是初步调整,自己不太清楚的服务就不要去动,把很明显要禁用的服务干掉,比如,对于我来说“Wireless Zero Configuration”和“Remote Registry”都是要禁用掉的。

       11,打好事先保存好的系统在线更新补丁。为了方便日常维护,事先可以下载补丁包,或者用专门的软件找好系统补丁。

       12,整理XP所在磁盘。 13,用vfloppy做一个DOS引导菜单。vfloppy是一个虚拟启动软盘的程序(各大软件站都有免费下载),也就是说可以在启动的时候选一下菜单来达到用软盘启动的效果。这是4:网络嗅探器技术以及数据包

       从事网络安全的技术人员和相当一部分准 (指那些使用现成的 软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(sniffer)感到陌生,网络嗅探器无论是在网络安全还是在 攻击方面均扮演了很重要的角色,

       

       网络嗅探器技术以及数据包

       ,

       通过使用网络嗅探器可以

篇5:网络嗅探:使用Sniffer监控网络流量

       网吧内嗅探使用

       随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用,应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。

       目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。毕竟,靠网络管理员的经验和一些简单传统的排查方法:无论从时间上面还是准确性上面都存在很大的误差,同时也影响了工作效率和正常业务的运行。

       Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上,我们选择了较为常用的NAI公司的sniffer pro,事实上,很多网吧管理员都有过相关监控网络经验:在网络出现问题、或者探查网络情况时,使用P2P终结者、网络执法官等网络监控软件。这样的软件有一个很大优点:不要配置端口镜像就可以进行流量查询(其实sniffer pro也可以变通的工作在这样的环境下)。这种看起来很快捷的方法,仍然存在很多弊端:由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝的问题,如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说,是不可思议的。

       在这里,我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻,

       硬件环境(网吧):

       100M网络环境下,92台终端数量,主交换采用D-Link(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。光纤10M接入,华为2620做为接入网关。

       软件环境:

       操作系统Windows Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows Windows-xp Windows2023)、NAI协议分析软件-Sniffer Portable 4.75(本文选用网络上较容易下载到的版本做为测试)

       环境要求:

       1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。(监控所有流经此网卡的数据)

       2、Snffier pro 475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本

       网络拓扑:

       监控目的:通过Sniffer Pro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时,我们将数据包捕获后,通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。

篇6:端口截听实现端口隐藏嗅探与攻击

       在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

       saddr.sin_family=AF_INET;

       saddr.sin_addr.s_addr=htonl(INADDR_ANY);

       bind(s,(SOCKADDR*)