我也是這樣的,不知道是怎麼回事。。今天晚上突然就這樣了
⑵ 共享式網路與交換式網路本質的區別是什麼在管理上有何不同
從底層機制來說,作為終端設備,在共享式網路好比很多人在一個屋子裡談話,不管對方是否跟你說,你都聽得見。交換式網路則更像打電話,你只能聽見跟你說話的人的聲音,而聽不到別人之間的交談。所以管理上,交換式網路更安全以及便於管理。
話說共享式的網路已經淘汰的差不多了,很難看到了
⑶ 網路監控原理!
網路監控採用的主要技術為網路監聽和通信分析技術,網路監控系統的具體構成可以分為以下幾個部分。
1.硬體
盡管有一些產品需要特殊的硬體,但大多數的產品工作在標準的網路適配器上。如果用的是特殊的網路適配器,就能分析例如CRC錯誤,電壓錯誤,電纜問題,協商錯誤等。
2.捕包驅動
這是最重要的部分,它從線路上捕獲網路通信,並根據需要進行過濾,接下來將它存儲在緩沖區中。
3.緩沖區
一旦從網路上捕獲數據幀,它們被存在緩沖區中。存在幾種的捕獲方式:捕獲通信,直到緩沖區被添滿,或用循環的緩沖區,就是用新的數據替代老的數據。有一些產品(就像BlackIce的Sentry IDS)能以100兆比特秒的速度在硬碟上維持一個循環捕包的緩沖區。這將允許擁有數百個成G的緩沖區而不是基於內存的不足1G的緩沖區。
4.實時分析
這個特性是網路監控所倡導的,就是在數據幀離線進行一定的分析。這能發現網路性能問題和在通信捕獲中的錯誤。一些廠家正沿著這條路線在它們的產品中加入一些新的功能。網路入侵檢測系統就是這樣做的,但是它們是對於通信中黑客的行為標記進行詳細的審核而不是對錯誤/性能問題進行處理。
5.解碼
就是顯示網路通信的內容,這樣一名分析者將會十分容易地獲得相關信息並依據這些信息分析出網路上究竟發生了什麼。
⑷ 共享式網路與交換式網路中,網路監聽有何不同
.發生在共享式區域網內的竊聽 所謂的「共享式」區域網(Hub-Based Lan),指的是早期採用集線器HUB作為網路連接設備的傳統乙太網的結構,在這個結構里,所有機器都是共享同一條傳輸線路的,集線器沒有埠的概念,它的數據發送方式是「廣播」, 集線器接收到相應數據時是單純的把數據往它所連接的每一台設備線路上發送的,例如一台機器發送一條「我要和小金說話」的報文,那麼所有連接這個集線器的設備都會收到這條報文,但是只有名字為「小金」的計算機才會接收處理這條報文,而其他無關的計算機則會「不動聲色」的拋棄掉該報文。因此,共享乙太網結構里的數據實際上是沒有隱私性的,只是網卡會「君子」化的忽略掉與自己無關的「閑言碎語」罷了,但是很不巧,網卡在設計時是加入了「工作模式」的選項的,正是這個特性導致了噩夢。每塊網卡基本上都會有以下工作模式:Unicast、Broadcast、Multicast、Promiscuous,一般情況下,操作系統會把網卡設置為Broadcast(廣播)模式,在Broadcast模式下,網卡可以接收所有類型為廣播報文的數據幀——例如ARP定址,此外它會忽略掉目標地址並非自己MAC地址的報文,即只接收發往自身的數據報文、廣播和組播報文,這才是網卡的正常工作模式;如果一塊網卡被設置為Unicast或Multicast模式,在區域網里可能會引發異常,因為這兩個模式限制了它的接收報文類型;而Promiscuous(混雜)模式,則是罪惡的根源。在混雜模式里,網卡對報文中的目標MAC地址不加任何檢查而全部接收,這樣就造成無論什麼數據,只要是路過的都會被網卡接收的局面,監聽就是從這里開始的。一般情況下,網卡的工作模式是操作系統設置好的,而且沒有公開模式給用戶選擇,這就限制了普通用戶的監聽實現,但是自從嗅探器(Sniffer)家族發展到一定程度後,開始擁有了設置網卡工作模式的權力,而且矛頭直指Promiscuous,任何用戶只要在相應選擇上打個勾,他的機器就變成了可以記錄區域網內任何機器傳輸的數據的耳朵,由於共享式區域網的特性,所有人都是能收到數據的,這就造成了不可防禦的信息泄漏。可是,最終這種監聽方式還是被基本消滅了,人們用了什麼手段呢?很簡單,區域網結構升級了,變成「交換式區域網」。2、發生在交換式區域網內的竊聽作為與「共享式」相對的「交換式」區域網(Switched Lan),它的網路連接設備被換成了交換機(Switch),交換機比集線器聰明的一點是它連接的每台計算機是獨立的,交換機引入了「埠」的概念,它會產生一個地址表用於存放每台與之連接的計算機的MAC地址,從此每個網線介面便作為一個獨立的埠存在,除了聲明為廣播或組播的報文,交換機在一般情況下是不會讓其他報文出現類似共享式區域網那樣的廣播形式發送行為的,這樣即使你的網卡設置為混雜模式,它也收不到發往其他計算機的數據,因為數據的目標地址會在交換機中被識別,然後有針對性的發往表中對應地址的埠,決不跑到別人家裡去。這一改進迅速扼殺了傳統的區域網監聽手段,但是歷史往往證明了人是難以被征服的……(1)、對交換機的攻擊:MAC洪水不知道是誰第一個發現了這種攻擊模式,大概是因為交換機的出現破壞了嗅探器的工作,所以一肚子氣泄到了交換機身上,另一種看法則是精明的技術人員設想交換機的處理器在超過所能承受信息量的時候會發生什麼情況而進行的試驗,無論是從什麼論點出發的,至少這個攻擊模式已經成為現實了:所謂MAC洪水攻擊,就是向交換機發送大量含有虛假MAC地址和IP地址的IP包,使交換機無法處理如此多的信息而引起設備工作異常,也就是所謂的「失效」模式,在這個模式里,交換機的處理器已經不能正常分析數據報和構造查詢地址表了,然後,交換機就會成為一台普通的集線器,毫無選擇的向所有埠發送數據,這個行為被稱作「泛洪發送」,這樣一來攻擊者就能嗅探到所需數據了。不過使用這個方法會為網路帶來大量垃圾數據報文,對於監聽者來說也不是什麼好事,因此MAC洪水使用的案例比較少,而且設計了埠保護的交換機可能會在超負荷時強行關閉所有埠造成網路中斷,所以如今,人們都偏向於使用地址解析協議ARP進行的欺騙性攻擊。(2)、地址解析協議帶來的噩夢回顧前面提到的區域網定址方式,我們已經知道兩台計算機完成通訊依靠的是MAC地址而與IP地址無關,而目標計算機MAC地址的獲取是通過ARP協議廣播得到的,而獲取的地址會保存在MAC地址表裡並定期更新,在這個時間里,計算機是不會再去廣播定址信息獲取目標MAC地址的,這就給了入侵者以可乘之機。當一台計算機要發送數據給另一台計算機時,它會以IP地址為依據首先查詢自身的ARP地址表,如果裡面沒有目標計算機的MAC信息,它就觸發ARP廣播定址數據直到目標計算機返回自身地址報文,而一旦這個地址表裡存在目標計算機的MAC信息,計算機就直接把這個地址作為數據鏈路層的乙太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據,系統在一個指定的時期過後會清空MAC地址表,重新廣播獲取一份地址列表,而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。假設區域網內有兩台計算機A和B在通訊,而計算機C要作為一個竊聽者的身份得到這兩台計算機的通訊數據,那麼它就必須想辦法讓自己能插入兩台計算機之間的數據線路里,而在這種一對一的交換式網路里,計算機C必須成為一個中間設備才能讓數據得以經過它,要實現這個目標,計算機C就要開始偽造虛假的ARP報文。ARP定址報文分兩種,一種是用於發送定址信息的ARP查詢包,源機器使用它來廣播定址信息,另一種則是目標機器的ARP應答包,用於回應源機器它的MAC地址,在竊聽存在的情況下,如果計算機C要竊聽計算機A的通訊,它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A,造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況,這樣一來,系統通過IP地址獲得的MAC地址都是計算機C的,數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據,因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色,把從計算機A發送的數據返回給計算機B,讓兩機的通訊正常進行,這樣,計算機C就和計算機AB形成了一個通訊鏈路,而對於計算機A和B而言,計算機C始終是透明存在的,它們並不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路,從而獲得持續的數據記錄,同時也不會造成被監聽者的通訊異常。計算機C為了監聽計算機A和B數據通訊而發起的這種行為,就是「ARP欺騙」(ARP Spoofing)或稱「ARP攻擊」(ARP Attacking),實際上,真實環境里的ARP欺騙除了嗅探計算機A的數據,通常也會順便把計算機B的數據給嗅探了去,只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可,這樣它就可作為一個雙向代理的身份插入兩者之間的通訊鏈路。
⑸ 共享式區域網和交換式區域網的區別
共享式區域網和交換式區域網的區別為:沖突域不同、數據傳輸不同、連通不同。
一、沖突域不同
1、共享式區域網:共享式所有埠均是同一個沖突域。
2、交換式區域網:交換式區域網每個埠下是一個獨立的沖突域。
二、數據傳輸不同
1、共享式區域網:共享式區域網中所有的用戶都依賴單條共享介質,所以在技術上不可能同時發送和接收數據。
2、交換式區域網:交換式區域網每個站點可以同時發送和接收數據,一對線用於發送數據,另一對線用於接收數據。
三、連通不同
1、共享式區域網:共享式區域網通過匯流排這一共享介質使PC全部連通。
2、交換式區域網:交換式區域網通過VLAN(虛擬區域網)劃分不同的網段,從而使同一網段的PC可以通信。
⑹ 網路監聽原理
網路監聽原理:
Ethernet(乙太網,它是由施樂公司發明的一種比較流行的區域網技術,它包含一條所有計算機都連接到其上的一條電纜,每台計算機需要一種叫介面板的硬體才能連接到乙太網)協議的工作方式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址,因為只有與數據包中目標地址一致的那台主機才能接收到信息包,但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼,主機都將可以接收到。許多區域網內有十幾台甚至上百台主機是通過一個電纜、一個集線器連接在一起的,在協議的高層或者用戶來看,當同一網路中的兩台主機通信的時候,源主機將寫有目的的主機地址的數據包直接發向目的主機,或者當網路中的一台主機同外界的主機通信時,源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議棧的高層直接發送出去,要發送的數據包必須從TCP/IP協議的IP層交給網路介面,也就是所說的數據鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中,有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址這是一個48位的地址,這個48位的地址是與IP地址相對應的,換句話說就是一個IP地址也會對應一個物理地址。對於作為網關的主機,由於它連接了多個網路,它也就同時具備有很多個IP地址,在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。
Ethernet中填寫了物理地址的禎從網路介面中,也就是從網卡中發送出去傳送到物理的線路上。如果區域網是由一條粗網或細網連接成的,那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候,發送出去的信號到達集線器,由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一台主機的網路介面時,正常狀態下網路介面對讀入數據禎進行檢查,如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址,那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話,所有的數據禎都將被交給上層協議軟體處理。
當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候,那麼要是有一台主機處於監聽模式,它還將可以接收到發向與自己不在同一個子網(使用了不同的掩碼、IP地址和網關)的主機的數據包,在同一個物理信道上傳輸的所有信息都可以被接收到。
在UNIX系統上,當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式,只需要向Interface(網路介面)發送I/O控制命令,就可以使主機設置成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。
在網路監聽時,常常要保存大量的信息(也包含很多的垃圾信息),並將對收集的信息進行大量的整理,這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需要消耗大量的處理器時間,如果在這個時候就詳細的分析包中的內容,許多包就會來不及接收而被漏走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包,在監聽到的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容易了,如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼多的協議,運行進起的話這個監聽程序將會十分的大哦。
現在網路中所使用的協議都是較早前設計的,許多協議的實現都是基於一種非常友好的,通信的雙方充分信任的基礎。在通常的網路環境之下,用戶的信息包括口令都是以明文的方式在網上傳輸的,因此進行網路監聽從而獲得用戶信息並不是一件難點事情,只要掌握有初步的TCP/IP協議知識就可以輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣域網中,但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。
⑺ 如何解決網路監聽您有幾中解決方案
在網路中,當信息進行傳播的時候,可以利用工具,將網路介面設置在監聽的模式,便可將網路
中正在傳播的信息截獲或者捕獲到,從而進行攻擊。網路監聽在網路中的任何一個位置模式下都可實
施進行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後,那麼他要
再想將戰果擴大到這個主機所在的整個區域網話,監聽往往是他們選擇的捷徑。很多時候我在各類安
全論壇上看到一些初學的愛好者,在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很
簡單的。其實非也,進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因
為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑,當然了,這個路徑的盡頭必須是有寫
的許可權了。在這個時候,運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事
情,而且還需要當事者有足夠的耐心和應變能力。
█網路監聽的原理
Ethernet(乙太網,它是由施樂公司發明的一種比較流行的區域網技術,它包含一條所有計算機
都連接到其上的一條電纜,每台計算機需要一種叫介面板的硬體才能連接到乙太網)協議的工作方式
是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址,
因為只有與數據包中目標地址一致的那台主機才能接收到信息包,但是當主機工作在監聽模式下的話
不管數據包中的目標物理地址是什麼,主機都將可以接收到。許多區域網內有十幾台甚至上百台主機
是通過一個電纜、一個集線器連接在一起的,在協議的高層或者用戶來看,當同一網路中的兩台主機
通信的時候,源主機將寫有目的的主機地址的數據包直接發向目的主機,或者當網路中的一台主機同
外界的主機通信時,源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議
棧的高層直接發送出去,要發送的數據包必須從TCP/IP協議的IP層交給網路介面,也就是所說的數據
鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以
太禎的禎頭的信息。在禎頭中,有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地
址這是一個48位的地址,這個48位的地址是與IP地址相對應的,換句話說就是一個IP地址也會對應一
個物理地址。對於作為網關的主機,由於它連接了多個網路,它也就同時具備有很多個IP地址,在每
個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。
Ethernet中填寫了物理地址的禎從網路介面中,也就是從網卡中發送出去傳送到物理的線路上。
如果區域網是由一條粗網或細網連接成的,那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一
台主機。再當使用集線器的時候,發送出去的信號到達集線器,由集線器再發向連接在集線器上的每
一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號
到達一台主機的網路介面時,正常狀態下網路介面對讀入數據禎進行檢查,如果數據禎中攜帶的物理
地址是自己的或者物理地址是廣播地址,那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的
數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話,所有的數據禎都將被交給上層協議
軟體處理。
當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候,那麼要是有一台主機處於
監聽模式,它還將可以接收到發向與自己不在同一個子網(使用了不同的掩碼、IP地址和網關)的主
機的數據包,在同一個物理信道上傳輸的所有信息都可以被接收到。
在UNIX系統上,當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式,只需要向
Interface(網路介面)發送I/O控制命令,就可以使主機設置成監聽模式了。而在Windows9x的系統
中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。
在網路監聽時,常常要保存大量的信息(也包含很多的垃圾信息),並將對收集的信息進行大量
的整理,這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需
要消耗大量的處理器時間,如果在這個時候就詳細的分析包中的內容,許多包就會來不及接收而被漏
走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是
很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包,在監聽到
的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容
易了,如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼
多的協議,運行進起的話這個監聽程序將會十分的大哦。
現在網路中所使用的協議都是較早前設計的,許多協議的實現都是基於一種非常友好的,通信的
雙方充分信任的基礎。在通常的網路環境之下,用戶的信息包括口令都是以明文的方式在網上傳輸的,
因此進行網路監聽從而獲得用戶信息並不是一件難點事情,只要掌握有初步的TCP/IP協議知識就可以
輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣
域網中,但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在
廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不
足道了。
下面是一些系統中的著名的監聽程序,你可以自己嘗試一下的。
Windows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip
DECUnix/Linux Tcpmp http://semxa.kstar.com/hacking/management.zip
Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip
SunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip
█檢測網路監聽的方法
網路監聽在上述中已經說明了。它是為了系統管理員管理網路,監視網路狀態和數據流動而設計
的。但是由於它有著截獲網路數據的功能所以也是黑客所慣用的伎倆之一。
一般檢測網路監聽的方法通過以下來進行:
►網路監聽說真的,是很難被發現的。當運行監聽程序的主機在進聽的過程中只是被動的
接收在乙太網中傳輸的信息,它不會跟其它的主機交換信息的,也不能修改在網路中傳輸的信息包。
這就說明了網路監聽的檢測是比較麻煩的事情。
一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監聽程序的人都會通過修改ps的命令
來防止被ps-ef的。修改ps只需要幾個shell把監聽程序的名稱過濾掉就OK了。一能做到啟動監聽程
序的人也絕對不是個菜的連這個都不懂的人了,除非是他懶。
上邊提到過。當運行監聽程序的時候主機響應一般會受到影響變的會慢,所以也就有人提出來通
過響應的速率來判斷是否受到監聽。如果真是這樣判斷的話我想世界真的會大亂了,說不準一個時間
段內會發現無數個監聽程序在運行呢。呵呵。
如果說當你懷疑網內某太機器正在實施監聽程序的話(怎麼個懷疑?那要看你自己了),可以用
正確的IP地址和錯誤的物理地址去ping它,這樣正在運行的監聽程序就會做出響應的。這是因為正常
的機器一般不接收錯誤的物理地址的ping信息的。但正在進聽的機器就可以接收,要是它的IPstack
不再次反向檢查的話就會響應的。不過這種方法對很多系統是沒效果的,因為它依賴於系統的IPstack。
另一種就是向網上發大量不存在的物理地址的包,而監聽程序往往就會將這些包進行處理,這樣
就會導致機器性能下降,你可以用icmpechodelay來判斷和比較它。還可以通過搜索網內所有主機
上運行的程序,但這樣做其的難度可想而知,因為這樣不但是大的工作量,而且還不能完全同時檢查
所有主機上的進程。可是如果管理員這樣做也會有很大的必要性,那就是可以確定是否有一個進程是
從管理員機器上啟動的。
在Unix中可以通過ps–aun或ps–augx命令產生一個包括所有進程的清單:進程的屬主和這些
進程佔用的處理器時間和內存等。這些以標准表的形式輸出在STDOUT上。如果某一個進程正在運行,
那麼它將會列在這張清單之中。但很多黑客在運行監聽程序的時候會毫不客氣的把ps或其它運行中的
程序修改成TrojanHorse程序,因為他完全可以做到這一點的。如果真是這樣那麼上述辦法就不會有
結果的。但這樣做在一定程度上還是有所作為的。在Unix和WindowsNT上很容易就能得到當前進程的
清單了。但DOS、Windows9x好象很難做到哦,具體是不是我沒測試過不得而知。
還有一種方式,這種方式要靠足夠的運氣。因為往往黑客所用的監聽程序大都是免費在網上得到
的,他並非專業監聽。所以做為管理員用來搜索監聽程序也可以檢測。使用Unix可以寫這么一個搜索
的小工具了,不然的話要累死人的。呵呵。
有個叫Ifstatus的運行在Unix下的工具,它可以識別出網路介面是否正處於調試狀態下或者是在
進聽裝下。要是網路介面運行這樣的模式之下,那麼很有可能正在受到監聽程序的攻擊。Ifstatus一
般情況下不會產生任何輸出的,當它檢測到網路的介面處於監聽模式下的時候才回輸出。管理員可以
將系統的cron參數設置成定期運行Ifstatus,如果有好的cron進程的話可以將它產生的輸出用mail發
送給正在執行cron任務的人,要實現可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數。
這樣不行的話還可以用一個腳本程序在crontab下00****/usr/local/etc/run-ifstatus。
抵禦監聽其實要看哪個方面了。一般情況下監聽只是對用戶口令信息比較敏感一點(沒有無聊的
黑客去監聽兩台機器間的聊天信息的那是個浪費時間的事情)。所以對用戶信息和口令信息進行加密
是完全有必要的。防止以明文傳輸而被監聽到。現代網路中,SSH(一種在應用環境中提供保密通信
的協議)通信協議一直都被沿用,SSH所使用的埠是22,它排除了在不安全信道上通信的信息,被
監聽的可能性使用到了RAS演算法,在授權過程結束後,所有的傳輸都用IDEA技術加密。但SSH並不就是
完全安全的。至少現在我們可以這么大膽評論了。
█著名的Sniffer監聽工具
Sniffer之所以著名,權因它在很多方面都做的很好,它可以監聽到(甚至是聽、看到)網上傳
輸的所有信息。Sniffer可以是硬體也可以是軟體。主要用來接收在網路上傳輸的信息。網路是可以
運行在各種協議之下的,包括乙太網Ethernet、TCP/IP、ZPX等等,也可以是集中協議的聯合體系。
Sniffer是個非常之危險的東西,它可以截獲口令,可以截獲到本來是秘密的或者專用信道內的
信息,截獲到信用卡號,經濟數據,E-mail等等。更加可以用來攻擊與己相臨的網路。
Sniffer可以使用在任何一種平台之中。而現在使用Sniffer也不可能別發現,這個足夠是對網
絡安全的最嚴重的挑戰。
在Sniffer中,還有「熱心人」編寫了它的Plugin,稱為TOD殺手,可以將TCP的連接完全切斷。
總之Sniffer應該引起人們的重視,否則安全永遠做不到最好。
⑻ 如何使用sniffer對本地主機進行嗅探,抓取數據包
Sniffer,中文可以翻譯為嗅探器,是一種威脅性極大的被動攻擊工具。使用這種工具,可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時,便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式,便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻人,並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。 一、Sniffer 原理 1.網路技術與設備簡介 在講述Sni計er的概念之前,首先需要講述區域網設備的一些基本概念。 數據在網路上是以很小的稱為幀(Frame)的單位傳輸的,幀由幾部分組成,不同的部分執行不同的功能。幀通過特定的稱為網路驅動程序的軟體進行成型,然後通過網卡發送到網線上,通過網線到達它們的目的機器,在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀,並告訴操作系統幀已到達,然後對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會帶來安全方面的問題。 每一個在區域網(LAN)上的工作站都有其硬體地址,這些地址惟一地表示了網路上的機器(這一點與Internet地址系統比較相似)。當用戶發送一個數據包時,這些數據包就會發送到LAN上所有可用的機器。 在一般情況下,網路上所有的機器都可以「聽」到通過的流量,但對不屬於自己的數據包則不予響應(換句話說,工作站A不會捕獲屬於工作站B的數據,而是簡單地忽略這些數據)。如果某個工作站的網路介面處於混雜模式(關於混雜模式的概念會在後面解釋),那麼它就可以捕獲網路上所有的數據包和幀。 2.網路監聽原理 Sniffer程序是一種利用乙太網的特性把網路適配卡(NIC,一般為乙太網卡)置為雜亂(promiscuous)模式狀態的工具,一旦網卡設置為這種模式,它就能接收傳輸在網路上的每一個信息包。 普通的情況下,網卡只接收和自己的地址有關的信息包,即傳輸到本地主機的信息包。要使Sniffer能接收並處理這種方式的信息
⑼ 如何防止區域網入侵
我們在電視或者電影中經常會看到這樣的情景,間諜或者警察,在某戶人家的電話線匯流排上,拉出一根電話分線,對這個電話進行竊聽。現在這種方法在網路中也逐漸蔓延開來。
由於區域網中採用的是廣播方式,因此在某個廣播域中(往往是一個企業區域網就是一個廣播域),可以監聽到所有的信息報。而非法入侵者通過對信息包進行分析,就能夠非法竊取區域網上傳輸的一些重要信息。如現在很多黑客在入侵時,都會把區域網稍描與監聽作為他們入侵之前的准備工作。因為憑這些方式,他們可以獲得用戶名、密碼等重要的信息。如現在不少的網路管理工具,號稱可以監聽別人發送的郵件內容、即時聊天信息、訪問網頁的內容等等,也是通過網路監聽來實現的。可見,網路監聽是一把雙刃劍,用到正處,可以幫助我們管理員工的網路行為;用的不好,則會給企業的網路安全以致命一擊。
一、監聽的工作原理。
要有效防止區域網的監聽,則首先需要對區域網監聽的工作原理有一定的了解。知己知彼,百戰百勝。只有如此,才能有針對性的提出一些防範措施。
現在企業區域網中常用的網路協議是「乙太網協議」。而這個協議有一個特點,就是某個主機A如果要發送一個主機給B,其不是一對一的發送,而是會把數據包發送給區域網內的包括主機B在內的所有主機。在正常情況下,只有主機B才會接收這個數據包。其他主機在收到數據包的時候,看到這個資料庫的目的地址跟自己不匹配,就會把數據包丟棄掉。
但是,若此時區域網內有台主機C,其處於監聽模式。則這台數據不管數據包中的IP地址是否跟自己匹配,就會接收這個數據包,並把數據內容傳遞給上層進行後續的處理。這就是網路監聽的基本原理。
在乙太網內部傳輸數據時,包含主機唯一標識符的物理地址(MAC地址)的幀從網卡發送到物理的線路上,如網線或者光纖。此時,發個某台特定主機的數據包會到達連接在這線路上的所有主機。當數據包到達某台主機後,這台主機的網卡會先接收這個數據包,進行檢查。如果這個數據包中的目的地址跟自己的地址不匹配的話,就會丟棄這個包。如果這個數據包中的目的地址跟自己地址匹配或者是一個廣播地址的話,就會把數據包交給上層進行後續的處理。在這種工作模式下,若把主機設置為監聽模式,則其可以了解在區域網內傳送的所有數據。如果這些數據沒有經過加密處理的話,那麼後果就可想而知了。
二、常見的防範措施。
1、採用加密技術,實現密文傳輸。
從上面的分析中,我們看到,若把主機設置為監聽模式的話,則區域網中傳輸的任何數據都可以被主機所竊聽。但是,若竊聽者所拿到的數據是被加密過的,則其即使拿到這個數據包,也沒有用處,無法解密。這就好像電影中的電報,若不知道對應的密碼,則即使獲得電報的信息,對他們來說,也是一無用處。
所以,比較常見的防範區域網監聽的方法就是加密。數據經過加密之後,通過監聽仍然可以得到傳送的信息,但是,其顯示的是亂碼。結果是,其即使得到數據,也是一堆亂碼,沒有多大的用處。
現在針對這種傳輸的加密手段有很多,最常見的如IPSec協議。Ipsec 有三種工作模式,一是必須強制使用,二是接收方要求,三是不採用。當某台主機A向主機B發送數據文件的時候,主機A與主機B是會先進行協商,其中包括是否需要採用IPSec技術對數據包進行加密。一是必須採用,也就是說,無論是主機A還是主機B都必須支持IPSec,否則的話,這個傳輸將會以失敗告終。二是請求使用,如在協商的過程中,主機A會問主機B,是否需要採用IPSec。若主機B回答不需要採用,則就用明文傳輸,除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密,則主機A就會先對數據包進行加密,然後再發送。經過IPSec技術加密過的數據,一般很難被破解。而且,重要的是這個加密、解密的工作對於用戶來說,是透明的。也就是說,我們網路管理員之需要配置好IPSec策略之後,員工不需要額外的動作。是否採用IPSec加密、不採用會有什麼結果等等,員工主機之間會自己進行協商,而不需要我們進行額外的控制。
在使用這種加密手段的時候,唯一需要注意的就是如何設置IPSec策略。也就是說,什麼時候採用強制加密,說明時候採用可有可無的。若使用強制加密的情況下,一定要保證通信的雙方都支持IPSec技術,否則的話,就可能會導致通信的不成功。最懶的方法,就是不管三七二十一,給企業內的所有電腦都配置IPSec策略。雖然,都會在增加一定的帶寬,給網路帶來一定的壓力,但是,基本上,這不會對用戶產生多大的直接影響。或者說,他們不能夠直觀的感受到由於採用了IPSec技術而造成的網路性能減慢。
2、利用路由器等網路設備對網路進行物理分段。
我們從上面的乙太網工作原理的分析中可以知道,如果銷售部門的某位銷售員工發送給銷售經理的一份文件,會在公司整個網路內進行傳送。我們若能夠設計一種方案,可以讓銷售員工的文件直接給銷售經理,或者至少只在銷售部門內部的員工可以收的到的話,那麼,就可以很大程度的降低由於網路監聽所導致的網路安全的風險。
如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接,而是利用路由器進行連接的話,就可以起到很好的防範區域網監聽的問題。如此時,當銷售員A發信息給銷售經理B的時候,若不採用路由器進行分割,則這份郵件會分成若乾的數據包在企業整個區域網內部進行傳送。相反,若我們利用路由器來連接銷售部門跟其他部門的網路,則數據包傳送到路由器之後,路由器會檢查數據包的目的IP地址,然後根據這個IP地址來進行轉發。此時,就只有對應的IP地址網路可以收到這個數據包,而其他不相關的路由器介面就不會收到這個數據包。很明顯,利用路由器進行數據報的預處理,就可以有效的減少數據包在企業網路中傳播的范圍,讓數據包能夠在最小的范圍內傳播。
不過,這個利用路由器來分段的話,有一個不好地地方,就是在一個小范圍內仍然可能會造成網路監聽的情況。如在銷售部門這個網路內,若有一台主機被設置為網路監聽,則其雖然不能夠監聽到銷售部門以外的網路,但是,對於銷售部門內部的主機所發送的數據包,仍然可以進行監聽。如財務經理發送一份客戶的應手帳款余額表給銷售經理的話,有路由器轉發到銷售部門的網路後,這個數據包仍然會到達銷售部門網路內地任一主機。如此的話,只要銷售網路中有一台網路主機被設置為監聽,就仍然可以竊聽到其所需要的信息。不過若財務經理發送這份文件給總經理,由於總經理的網段不在銷售部門的網段,所以數據包不會傳送給財務部門所在的網路段,則銷售部門中的偵聽主機就不能夠偵聽到這些信息了。
另外,採用路由器進行網路分段外,還有一個好的副作用,就是可以減輕網路帶寬的壓力。若數據包在這個網路內進行傳播的話,會給網路帶來比較大的壓力。相反,通過路由器進行網路分段,從而把數據包控制在一個比較小的范圍之內,那麼顯然可以節省網路帶寬,提高網路的性能。特別是企業在遇到DDOS等類似攻擊的時候,可以減少其危害性。
3、利用虛擬區域網實現網路分段。
我們不僅可以利用路由器這種網路硬體來實現網路分段。但是,這畢竟需要企業購買路由器設備。其實,我們也可以利用一些交換機實現網路分段的功能。如有些交換機支持虛擬區域網技術,就可以利用它來實現網路分段,減少網路偵聽的可能性。
虛擬區域網的分段作用跟路由器類似,可以把企業的區域網分割成一個個的小段,讓數據包在小段內傳輸,將乙太網通信變為點到點的通信,從而可以防止大部分網路監聽的入侵。
不過,這畢竟還是通過網路分段來防止網路監聽,所以,其也有上面所說的利用路由器來實現這個需求的缺點,就是只能夠減少網路監聽入侵的幾率。在某個網段內,仍然不能夠有效避免網路監聽。
所以,比較好的方法,筆者還是推薦採用加密技術來防止網路監聽給企業所帶來的危害,特別似乎防止用戶名、密碼等關鍵信息被竊聽。