UNIX系统管理:网络监听的目的

首先,这些工具对网络上主机间的通信,能给出一个详细的,逐包的统计信息。入侵者可以选择某一台主机,看看它正在同那些主机进行通信,使用了哪些协议(通过端口号可以区分出来),传输一些针么内容。

对于这类工具,常常可以设置详细的过滤条件,可以针对信息的源主机、目的主机、使用的协议、使用的端口以及包的长度来设置过滤条件,也可以是这些条件的逻辑组合。

下面是使用snoop发现的主机asy&.vineyard.net和主机next之间后段对话:

#snoop

asy8.vineyard.netànext SMTP C port=1974

asy8.vineyard.netànsxt SMTP C port=1974 MALL FROM: next àasy8.vineyard.net SMTP C PORT=1974 250 Asy8.net à SMTP C port=1974

Asy8.vineyard.net à next SMTP C port=1974 RCPT TO: Nextàasy8.vineyard.net SMTP C port=1974 250 Asy8.vineyard.net ànext SMTP C port=1974.

Asy.vineyard.netànext SMPT C port=1974 DATA\r\n.

Next àasy8.vineyard.net SMTP c PORT =1974 354 Enter mail,end.

在这个例子中,一个邮件消息在从asy8.vineyard.net到计算机next的传播过程中被监听。如上所述,它能给出一个详细的报告,诸如系统中各个用户都在干什么。

对于入侵者来说,最喜欢的莫过于用户的口令。其实,在大多数情况下,监听到的包中,用户的口令也就像上面的“DATA r\N“一样,完全是明文形式,并且很容易找出来,因为人们没有采取任何形式的加密措施。而且口令往往是在一次通信的最开始的几个数据包中,只要找到了两台主机间连接的开始,便很容易找到认证用的口令。

对协议分析

所有的监听软件都可以对数据包进行详细分析,直到每一个字段的含义。

这是Solaris中的snoop使用的一个例子。这一命令监听网络接口/dev/le,

将监听到的数据包存于文件saved中。

# snoop -o saved

Using device /dev/le (promiscuous mode)

23 c

在监听了23个包之后,中断了监听。然后,可以使用snoop读取文件saved中的信息,并按照协议的格式,详细地输出包头的信息。这个命令监听不到包中传输的信息(被子该命令有意过滤掉了)。因此,这一命令是学习">TCP/IP的一个最好的实例,读者不妨详细研究一下不同协议层次,不同协议中的数据包的内容和格式。

# snoop -I saved -tr -v

ETHER:------------Ether Header------

ETHER:

ETHER: Packet 21 arrived at 17:02:;29.70

ETHER: packet size =85 bytes

ETHER: Desstination =0:20:af:3b:bb:8f,

ETHER: Source =8:0:3e:30:28:87,Motorola VME bus processor

Module

ETHER: Ethertype =0800 (Ip)

ETHER: 包的最外部分是以太帧头。

IP:-----------IP Header ----------

IP:

IP: Version =4

IP: Header length =20 bytes

IP: Type of service =0x00

Ip: xxx……..=0 (precedence)

IP: …0…=normal delay

IP: ….0...=normal throughput

IP: …..0.. =normal rellability

IP: Total length =71 bytes

IP: Tdentification =2014

IP: Flags =0x0

IP: .0……=may fragment

IP: ..0….. =last fragment

IP: Fragment offest =0 bytes

IP: Time to live =30 seconds/hops

IP: Protocol =17 (UDP)

IP: Header checksum =0714

IP: Source address =11.22.33.41, source.host

IP: Destination address =192.33.4.12, c.root –servers.ndt

IP: No options

IP:

紧跟着以太帧头的是IP分组的头部信息。

UDP:-----------UDP Header--------

UDP:

UDP: Source port =53

UDP: Destination port =53 (DNS)

UDP: Length =51

UDP: Checksum =2167

UDP:

IP是网络层,网络层之上是传输层。这个包在传输层使用了UDP协议。

DNS:---------DNS:--------

DNS:

DNS: “ “

DNS:

使用应用层的是域名解析服务。

时间: 2024-08-02 15:25:28

UNIX系统管理:网络监听的目的的相关文章

UNIX系统管理:网络监听概念

网络监听工具的提供给管理员的一类管理工具.使用这种工具,可以监视网络的状态.数据流动情况以及网络上传输的信息. 但是网络监听工具也是黑客们常用的工具.当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击.将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获. 网络监听可以在网上的任何一个位置实施,如局域网中的一台主机.网关上或远程网的调制解调器之间等.黑客们用得最多的是截获用户的口令. 1什么是网络监听 网络监听是黑客们常用的一种方法.当成功地登录进一台网络上的主机,并

UNIX系统管理:网络监听的检测

网络监听本来是为了管理网络,监视网络的状态和数据流动情况.但是由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法.有一个前提条件,那就是监听只能是同一网段的主机,这里同一网段是指物理上的连接.因为不是同一落千丈网段的数据包,在网关就被滤掉,传不到该网段来.否则一个Internet上的一台主机,便可以监视整个Internet了. 网络监听最有用的是获得用户口令.当前,网上的数据绝大多数是以明文的形式传输.而且口令通常都很短且容易辨认.当口令被截获,则可以非常容易地登上另一台主机. 简

基于VC实现的网络监听功能程序实例_C 语言

本文所述VC++网络监听器代码,可以实现监听网络连接所使用的协议.源IP地址.目标IP地址等信息的功能,并且能把数据内容绑定到网格控件中显示.具体功能代码部分如下所示: //线程函数 UINT ThreadFun( LPVOID pParam ) { CSniffAppDlg* pDlg = static_cast<CSniffAppDlg*>(pParam); MSG msg; char buffer[1000],sourceip[32] ,*tempbuf; char *ptemp; BY

数据中心面对的网络监听技术

数据中心里最宝贵的就是数据,这些数据里隐含着很多私有的.机密信息,小到个人隐私,大到国家安全,所以保护数据是数据中心最为关键的任务,数据一旦被窃取被泄露,给数据中心带来的损失无法估计.然而,这些数据在数据中心里以及外部并不是静止的,躺在存储硬盘里睡大觉,而是通过网络在不断传递和变化着,网络成为数据传递的最为重要通道,无论是数据中心内部还是外部.对网络进行监听,就可以掌握数据的基本信息和特征,听起来网络监听这个词语贬义成分居多.而实际上,对网络监听对于数据中心管理非常重要.不过的确是凡事都有其两面

Redis代码阅读3--Redis网络监听(3)

 是介绍Redis网络监听的最后一篇文章,着重分析定时时间处理函数serverCron,这个函数其实已经和网络监听没多大关系了,当时因为其绑定在Redis自定义的事件库的定时事件上,所以放到一起来讲.serverCron的这个函数对Redis的正常运行来说很重要,对于Redis的使用者来说,最重要的就是能够迅速直观地看到Redis的当前的运行状况(keys,sizes,memory等),serverCron就能够使用户得知这些信息,此外,serverCron这个方法定时周期地运行,还承担了A

用原始套接字实现网络监听

1.引言 网络监听工具(sinff)是提供给网络管理员的一类管理工具.在以太网中(Ethernet),当网络上连接多台计算机时,某瞬间只能有一台计算机可以传送数据.以太网中,数据是以被称为帧的数据结构为单位进行交换的.通常,在计算机网络上交换的数据结构体的单位是数据包.而在以太网中则称为帧.这种数据包是由记录着数据包发送给对方所必需信息的报头部分和记录着发送信息的报文部分构成.报头部分包含接收端的地址.发送端的地址.数据校验码等信息. 在以太网上,帧(数据包)是被称为带碰撞检测的载波侦听多址访问

如何防止网络监听与端口扫描

1.使用安全工具 有许多工具可以让我们发现系统中的漏洞,如SATAN等.SATAN是一个分析网络的管理.测试和报告许多信息,识别一些与网络相关的安全问题. 对所发现的问题,SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度,并且通过工具所附的资料,还能解释如何处理这些问题. 当然还有很多像这样的安全工具.包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听:分析网络协议.监视控制多个网段等,正确使用这些安全工具,及时发现系统漏洞,才能防患于未然. 而对于WindowsN

怎样防御网络监听

  尽管网络监听看上去无所不能,但是它也有一个致命弱点,就是只能作为第二波攻击手段,黑客必须已经侵入一台主机才能安放网络监听工具.而且只有在网段内部才会有广播数据,而网段之间是不会有广播数搪的,所以网络监听的局限性在于必须把它放在目标网段上. 所以对策是:尽量敢好安全防范工作,防止黑客侵人,这样就从源头堵住了网络监听的危害,另外如果xp系统中被安放了网络监听,那也会有蛛丝马迹可循.比如说网速变慢,发出的数据包无法总是被目标主机接受,你可以发Ping验证,如果经常收不到目标主机的回应,那有可能就是

DTCC2013:基于网络监听数据库安全审计

本文讲的是DTCC2013:基于网络监听数据库安全审计,2013年4月18-20日,第四届中国数据库技术大会(DTCC 2013)在北京福朋喜来登酒店拉开序幕.在为期三天的会议中,大会将围绕大数据应用.数据架构.数据管理(数据治理).传统数据库软件等技术领域展开深入探讨,并将邀请一批国内顶尖的技术专家来进行分享.本届大会将在保留数据库软件应用实践这一传统主题的基础上,向大数据.数据结构.数据治理与分析.商业智能等领域进行拓展,以满足于广大从业人士和行业用户的迫切需要. 自2010年以来,国内领先