| 网络嗅探在入侵和管理领域的应用 |
|
| 作者:佚名 来源:安全在线
更新时间:2007-8-3 【字体:小
大】 |
|
<%=(int(rnd()*1)+1)%>您当前的位置:中国安全在线cnsafer.com 请进入[技术论坛]发表评论 阅读提示:
一. 嗅探器(Sniffer)攻击原理
Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。放置Sniffer的目的是使网络接口(在这个例子中是以太网适配器)处于杂收模式(promiscuous
mode),从而可从截获网络上的内容。
嗅探器与一般的键盘捕获程序(Key
Capture)不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的——将以太网卡设置成杂收模式。
⒈关于以太网(Ethernet)
Ethernet是由Xerox的Palo
Aito研究中心(有时也称为PARC)发明的。下面简介一下信息在网络(这里为以太网)上的传输形式。
数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成,不同的部分执行不同的功能。(例如,以太网的前12个字节存放的是源和目的的地址,这些位告诉网络:数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器(这一点于Internet地址系统比较相似)。当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以"听"到通过的流量,但对不属于自己的报文则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据)。如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧。
Sniffer就是这样的硬件或软件,能够"听"到(而不是忽略)在网上传输的所有的信息。在这种意义上,每一个机器,每一个路由器都是一个Sniffer(或者至少可以说它们可以成为一个Sniffer)。这些信息就被储存在介质上,以备日后检查时用。
Sniffer可以是(而且通常是)软件和硬件的联合体,软件可以是普通的网络分析器带有比较强的debug功能,或者就是一个真正的Sniffer。
Sniffer必须是位于准备进行Sniffer工作的网络上的,它可以放在网络段中的任何地方。
Sniffer成为一种很大的危险,因为:
■ 它们可以捕获口令;
■ 它们可以截获机密的或专有的信息;
■ 它们可以被用来攻击相邻的网络或者用来获取更高级别的访问权限。
二. 用Sniffer获取信息
下面是利用Windows平台上的sniffer工具EtherPeek进行的信报监听结果。让我们分析一下这些数据(为避免不必要的麻烦,其中数据经修改完成)。
1. 匿名Ftp信报分析
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Raw Packet Data(原始信报数据)
.惈纇.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00
45 00 [0-15]
.8..@. .)R(1.. 00 38 10 09 40 00 20 06 29 52 a2 69 28
31 ca c8 [16-31]
*..*...f锚..*?P. 8c 02 04 b3 00 15 00 66 c3 aa 00 04 f0
3f 50 18 [32-47]
".+T..USER anony 22 0a 2b 54 00 00 55 53 45 52 20 61 6e
6f 6e 79 [48-63]
mous...... 6d 6f 75 73 0d 0a 00 00 00 00
也许这还不够清清楚楚明明白白,下面是该程序作的解码:
Flags: 0x00
Status: 0x00
Packet Length:74
Timestamp: 19:11:21.743000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 56 [16-17]
Identifier: 4105 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask
0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2952 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer
Protocol [36-37]
Sequence Number: 6734762 [38-41]
Ack Number: 323647 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8714 [48-49]
Checksum: 0x2b54 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x55534552 (USER) User Name [54-57]
User Name:
20 [58]
Extra bytes (Padding):
anonymous.. 61 6e 6f 6e 79 6d 6f 75 73 0d 0a [59-69]
Frame Check Sequence: 0x00000000
哦,这是在传输用户名。用户名Name为anonymous。
下面还有源地址、目的地址相同的信报。
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Raw Packet Data
.惈纇.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00
45 00 [0-15]
.5..@. . U(1.. 00 35 12 09 40 00 20 06 27 55 a2 69 28
31 ca c8 [16-31]
*..*...f煤..*.P. 8c 02 04 b3 00 15 00 66 c3 ba 00 04 f0
87 50 18 [32-47]
!漏?..pass guest 21 c2 7c 00 00 00 70 61 73 73 20 67 75
65 73 74 [48-63]
@...... 40 0d 0a 00 00 00 00
这是作什么呢?
Flags: 0x00
Status: 0x00
Packet Length:71
Timestamp: 19:11:32.149000 01/18/2000
Ethernet Header
Destination: 00:90:ab:c0:68:00 [0-5]
Source: 52:54:ab:15:d6:de [6-11]
Protocol Type:08-00 IP [12-13]
IP Header - Internet Protocol Datagram
Version: 4 [14 Mask 0xf0]
Header Length: 5 [14 Mask 0xf]
Precedence: 0 [15 Mask 0xe0]
Type of Service: %000 [15 Mask 0x1c]
Unused: %00 [15 Mask 0x3]
Total Length: 53 [16-17]
Identifier: 4617 [18-19]
Fragmentation Flags: %010 Do Not Fragment [20 Mask
0xe0]
Fragment Offset: 0 [20-22 Mask 0x1fffff]
Time To Live: 32
IP Type: 0x06 TCP [23]
Header Checksum: 0x2755 [24-25]
Source IP Address: 162.105.40.49 [26-29]
Dest. IP Address: 202.200.140.2 [30-33]
No Internet Datagram Options
TCP - Transport Control Protocol
Source Port: 1203 [34-35]
Destination Port: 21 FTP Control - File Transfer
Protocol [36-37]
Sequence Number: 6734778 [38-41]
Ack Number: 323719 [42-45]
Offset: 5 [46 Mask 0xf0]
Reserved: %000000 [46 Mask 0xfc0]
Code: %011000 [47 Mask 0x3f]
Ack is valid
Push Request
Window: 8642 [48-49]
Checksum: 0x7c00 [50-51]
Urgent Pointer: 0 [52-53]
No TCP Options
FTP Control - File Transfer Protocol
FTP Command: 0x70617373 (pass) Password [54-57]
Password:
20 [58]
Extra bytes (Padding):
guest@.. 67 75 65 73 74 40 0d 0a [59-66]
Frame Check Sequence: 0x00000000
哦,这里传输的就是密码啊!
试想,如果这里不是匿名登录,而是telnet、rlogin或pop3等的用户名与密码,那么......
2. Http信报分析
下面是捕获的一个HTTP信报。
Flags: 0x00
Status: 0x00
Packet Length:844
Timestamp: 19:28:09.400000 01/18/2000
Raw Packet Data
.惈纇.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00
45 00 [0-15]
.:..@. ._堍i(1.. 03 3a f1 0a 40 00 20 06 5f dc a2 69 28
31 a7 d8 [16-31]
.d.*.P.vZ..].P. 94 64 04 df 00 50 00 76 80 5a 99 0c 5d
15 50 18 [32-47]
"87...POST /js/V 22 38 37 a7 00 00 50 4f 53 54 20 2f 6a
73 2f 56 [48-63]
erifyLogin HTTP/ 65 72 69 66 79 4c 6f 67 69 6e 20 48 54
54 50 2f [64-79]
1.1..Accept: ima 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20
69 6d 61 [80-95]
ge/gif, image/x- 67 65 2f 67 69 66 2c 20 69 6d 61 67 65
2f 78 2d [96-111]
xbitmap, image/j 78 62 69 74 6d 61 70 2c 20 69 6d 61 67
65 2f 6a [112-127]
peg, image/pjpeg 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a
70 65 67 [128-143]
, application/ms 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e
2f 6d 73 [144-159]
word, applicatio 77 6f 72 64 2c 20 61 70 70 6c 69 63 61
74 69 6f [160-175]
n/vnd.ms-powerpo 6e 2f 76 6e 64 2e 6d 73 2d 70 6f 77 65
72 70 6f [176-191]
int, application 69 6e 74 2c 20 61 70 70 6c 69 63 61 74
69 6f 6e [192-207]
/vnd.ms-excel, * 2f 76 6e 64 2e 6d 73 2d 65 78 63 65 6c
2c 20 2a [208-223]
/*..Referer: htt 2f 2a 0d 0a 52 65 66 65 72 65 72 3a 20
68 74 74 [224-239]
p://www.renren.c 70 3a 2f 2f 77 77 77 2e 72 65 6e 72 65
6e 2e 63 [240-255]
om/js/FrontPage. 6f 6d 2f 6a 73 2f 46 72 6f 6e 74 50 61
67 65 0d [256-271]
.Accept-Language 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75
61 67 65 [272-287]
: zh-cn..Content 3a 20 7a 68 2d 63 6e 0d 0a 43 6f 6e 74
65 6e 74 [288-303]
-Type: applicati 2d 54 79 70 65 3a 20 61 70 70 6c 69 63
61 74 69 [304-319]
on/x-www-form-ur 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d
2d 75 72 [320-335]
lencoded..Accept 6c 65 6e 63 6f 64 65 64 [1] [2] [3] 下一页
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力 |
| 文章录入:ls1238 责任编辑:ls1238
|
|
上一篇文章: WEB入侵的过程jsp
下一篇文章: PHPWIND1.3.6论坛漏洞分析 |
| 【字体:小
大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)