奇奇 — Tue, 25 Apr 2006 07:35:00 GMT

　�|�络监听�Q�在�|�络安全上一直是一个比较敏感的话题�Q�作��Z��U�发展比较成熟的技术，监听在协助网�l�管理员监测�|�络传输数据�Q�排除网�l�故障等斚w��h��不可替代的作用，因而一直倍受�|�络��理员的青睐。然而，在另一斚w��|�络监听也给以太�|�安全带来了极大的隐患，许多的网�l�入侵往往都伴随着以太�|�内�|�络监听行�ؓ�Q�从而造成口��o��q��Q�敏感数据被截获�{�等�q�锁性安全事件�?

　　�|�络监听在安全领域引起�h们普遍注意是�?4�q�开始的�Q�在那一�q?月间�Q�相�l�发生了几次大的安全事�g�Q�一个不知名的�h在众多的��L��和骨�q�网�l�设备上安装了网�l�监听��Y�Ӟ��利用它对��国骨干互联�|�和军方�|�窃取了��过100�Q?00个有效的用户名和口��o。上�q�C��件可能是互联�|�上最早期的大规模的网�l�监听事件了�Q�它使早期网�l�监听从"��C��"走向了公开�Q��ƈ�q�速的在大众中普及开来�?/p>

　　关于�|�络监听常常会有一些有意思的问题�Q�如�Q?我现在有�q�在�|�上的计��机了，我也有了�H�听的��Y件了�Q�那么我能不能窃听到微��Y(或者美国国防部�Q�新��网�{�等)的密码？

　　又如�Q�我是公司的局域网��理员，我知道hub很不安全�Q��用hub�q�种�|�络�l�构��公司的计算计互�q��v来，会�ɾ|�络监听变得非常�Ҏ��Q�那么我们就换掉hub�Q��用交换机�Q�不��p��解决口��o��q��q�种安全问题了么�Q?/p>

　　�q�是两个很有意思的问题�Q�我们在�q�里先不做回�{�，�怿�读者看完全文后会有自己正确的答案�?/p>

　　一些基本概念：

　　首先�Q�我们知道，一台接在以太网内的计算��Zؓ了和其他��L��q�行通讯�Q�在��g上是需要网卡，在��Y件上是需要网卡驱动程序的。而每块网卡在出厂旉��?/p>

　　一个唯一的不与世界上��M��一块网卡重复的��g地址�Q�称为mac地址。同�Ӟ��当网�l�中两台��L��在实现tcp/ip通讯�Ӟ��|�卡�q�必��ȝ��定一个唯一的ip地址。下面用一个常见的unix命��oifconfig来看一看作者本人的一台正常工作的机器的网卡：

　　[yiming@server/root]# ifconfig -a
　　hme0: flags=863 mtu 1500
　　inet 192.168.1.35 netmask ffffffe0
　　ether 8:0:20:c8:fe:15

　　从这个命令的输出中我们可以看��C��面讲到的�q�些概念�Q�如�W�二行的192.168.1.35是ip 地址�Q�第三行�?:0:20:c8:fe:15是mac地址。请注意�W�一行的BROADCAST�Q�MULTICAST�Q�这是什么意思？一般而言�Q�网卡有几种接收数据帧的状态，如unicast�Q�broadcast�Q�multicast�Q�promiscuous�{�，unicast是指�|�卡在工作时接收目的地址是本机硬件地址的数据��。Broadcast是指接收所有类型�ؓ�q�播报文的数据��。Multicast是指接收特定的组播报文。Promiscuous则是通常说的��h��模式�Q�是指对报文中的目的��g地址不加��M��查，全部接收的工作模式。对照这几个概念�Q�看看上面的命��o输出�Q�我们可以看刎ͼ�正常的网卡应该只是接收发往自��n的数据报文，�q�播和组播报文，请大家记住这个概��c�?/p>

　　对网�l��用者来��_��览�|�页�Q�收发邮件等都是很��^常，很简便的工作�Q�其实在后台�q�些工作是依靠tcp/ip协议族实现的�Q�大家知道有两个主要的网�l�体�p�：OSI参考模型和TCP/IP参考模型，OSI模型即�ؓ通常说的7层协议，它由下向上分别�ؓ物理层、数据链路层、网�l�层、传输层、会话层、表�C�层、应用层�Q�而tcp/ip模型中去掉了会话层和表示层后�Q�由剩下�?层构成了互联�|�的基础�Q�在�|�络的后台默默的工作着�?/p>

　　下面我们不妨从tcp/ip模型的角度来看数据包在局域网内发送的�q�程�Q�当数据由应用层自上而下的传递时�Q�在�|�络层�Ş成ip数据报，再向下到达数据链路层�Q�由数据链�\层将ip数据报分割�ؓ数据帧，增加以太�|�包��_��再向下一层发送。需要注意的是，以太�|�的包头中包含着本机和目标设备的mac地址�Q�也卻I��链�\层的数据帧发送时�Q�是依靠48bits的以太网地址而非ip地址来确认的�Q�以太网的网卡设备驱动程序不会关心ip数据报中的目的ip地址�Q�它所需要的仅仅是mac地址。目标ip的mac地址又是如何获得的呢�Q�发端主��Z��向以太网上的每个��L��发送一份包含目的地的ip地址的以太网数据�?�U�Cؓarp数据�?�Q��ƈ期望目的��L��回复�Q�从而得到目的主机对应的mac地址�Q��ƈ��这个mac地址存入自己的一个arp�~�存内�?/p>

　　当局域网内的��L��都通过HUB�{�方式连接时�Q�一般都�U�Cؓ�׃�n式的�q�接�Q�这�U�共享式的连接有一个很明显的特点：��是HUB会将接收到的所有数据向HUB上的每个端口转发�Q�也��是说当��L��Ҏ��mac地址�q�行数据包发送时�Q�尽��发送端��L��告知了目标主机的地址�Q�但�q��ƈ不意味着在一个网�l�内的其他主机听不到发送端和接收端之间的通讯�Q�只是在正常状况下其他主��Z��忽略�q�些通讯报文而已�Q�如果这些主��Z��愿意忽略�q�些报文�Q�网卡被讄��为promiscuous状态的话，那么�Q�对于这��C��机的�|�络接口而言�Q��Q何在�q�个局域网内传输的信息都是可以被听到的�?/p>

　　例子�Q?br />　　我们不妨举一个例子来看看�Q�我们现在有A,B两台��L��Q�通过hub相连在一个以太网内，现在A��Z��的一个用��h��要访问B机提供的WWW服务�Q�那么当A��Z��的用户在��览器中键入B的ip地址�Q�得到B机提供的web服务�Ӟ��?层结构的角度上来看都发生了什么呢�Q?/p>

　　1�Q�首先，当A上的用户在浏览器中键入B机的地址�Q�发出浏览请求后�Q�A机的应用层得到请求，要求讉K��IP地址为B的主机，

　　2�Q�应用层于是��请求发送到7层结构中的下一层传输层�Q�由传输层实现利用tcp对ip建立�q�接�?/p>

　　3�Q�传输层��数据报交到下一层网�l�层�Q�由�|�络层来选�\

　　4�Q�由于A�Q�B两机在一个共享网�l�中�Q�IP路由选择很简单：IP数据报直接由源主机发送到目的��L��?/p>

　　5�Q�由于A�Q�B两机在一个共享网�l�中�Q�所以A机必��d��32bit的IP地址转换�?8bit的以太网地址�Q�请注意�q�一工作是由arp来完成的�?/p>

　　6�Q�链路层的arp通过工作在物理层的hub向以太网上的每个��L��发送一份包含目的地的ip地址的以太网数据帧，在这份请求报文中��x��Q�谁是B机IP地址的拥有者，请将你的��g地址告诉我�?/p>

　　7�Q�在同一个以太网中的每台机器都会"接收"(��h��意这一点！)到这个报文，但正常状态下除了B机外其他��L��应该会忽略这个报文，而B机网卡驱动程序识别出是在��L��自己的ip地址�Q�于是回送一个arp应答�Q�告知自��q��ip地址和mac地址�?/p>

　　8�Q�A机的�|�卡驱动�E�序接收��C��B机的数据帧，知道了B机的mac地址�Q�于是以后的数据利用�q�个已知的MAC地址作�ؓ目的地址�q�行发送。同在一个局域网内的��L��虽然也能"�?到这个数据��Q�但是都保持静默�Q�不会接收这个不属于它的数据帧�?/p>

　　上面是一�U�正常的情况�Q�如果网卡被讄��Zؓ��h��模式(promiscuous)�Q�那么第8步就会发生变化，�q�台��L��会默不作声的听��C��太网内传输的所有信息，也就是说�Q�窃听也��因此实��C��Q�这会给局域网安全带来极大的安全问题，一台系�l�一旦被入��R�q�进入网�l�监听状态，那么无论是本��是局域网内的各种传输数据都会面��被窃听的巨大可能性。实现网�l�监听的工具�Q?/p>

　　上面我们看到�Q�一切的关键��在于网卡被讄��为�؜杂模式的状态，�q�种工作复杂吗？不幸的是�Q�这�U�工作�ƈ不复杂，目前有太多的工具可以做到�q�一炏V�?/p>

　　自网�l�监听这一技术诞生以来，产生了大量的可工作在各种�q�_��上相兌��Y��g工具�Q�其中有商用的，也有free的。在google上用sniffer tools作�ؓ关键字，可以扑ֈ�非常多�?/p>

　　作者在�q�里列�D一些作者喜�Ƣ的软�g�Q�供有兴��的读者参考��用�?/p>

　　Windows�q�_��下的�Q?/p>

　　Windump
　　Windump是最�l�典的unix�q�_��上的tcpdump的window�U�L��版，和tcpdump几乎完全兼容�Q�采用命令行方式�q�行�Q�对用惯tcpdump的�h来讲会非帔R��手。目前版本是3.5.2�Q�可�q�行在Windows 95/98/ME/Windows NT/2000/XP�q�_��?

　　Iris
　　Eeye公司的一�ƾ付费��Y�Ӟ��有试用期�Q�完全图形化界面�Q�可以很方便的定制各�U�截��h��制语句，�Ҏ��h��据包�q�行分析�Q�还原等。对��理员来讲很�Ҏ��上手�Q�入门��和高�U�管理员都可以从�q�个工具上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP�q�_��?

　　unix�q�_��下的�Q?/p>

　　tcpdump
　　不多��_��最�l�典的工��P��被大量的*nix�pȝ��采用�Q�无需多言�?

　　ngrep
　　和tcpdump�c�M��Q�但与tcpdump最大的不同之处在于�Q�借助于这个工��P��理员可以很方便的把截获目标定制在用户名�Q�口令等感兴��的关键字上�?

　　snort
　　目前很红火的免费的ids�pȝ��Q�除了用作ids以外�Q�被用来sniffer也非�怸�错，可以借助工具或是依靠自��n能力完全�q�原被截��L��数据�?

　　Dsniff
　　作者设计的出发�Ҏ��用这个东西进行网�l�渗透测试，包括一套小巧好用的��工��P��主要目标攑֜�口��o�Q�用戯��问资源等敏感资料上，非常有特�Ԍ��工具包中的arpspoof�Q�macof�{�工具可以��o人满意的捕获交换机环境下的主机敏感数据�?

　　Ettercap
　　和dsniff在某些方面有�怼�之处�Q�也可以很方便的工作在交换机环境下提�C�：国内用户讉K��q�个站点需要��用代理服务器�?

　　Sniffit
　　被广泛��用的�|�络监听软�g�Q�截获重点在用户的输出�?�|�络监听的具体实玎ͼ�

　　在系�l�管理员看来�Q�网�l�监听的主要用途是�q�行数据包分析，通过�|�络监听软�g�Q�管理员可以观测分析实时�l�由的数据包�Q�从而快速的�q�行�|�络故障定位�?/p>

　　我们可以举个例子�Q?server是邮件服务器�Q�下面带了很多的client用户�Q�邮件服务器收发邮�g工作正常�Q�但下面的client用户��L��抱怨发邮�g时连接到邮�g服务器后要等待很久的旉��才能开始发送工作，问题出在哪里呢？

　　在server上��用tcpdump�Ҏ��自其中的一个client的数据包�q�行捕获分析�Q�看看结果如何？

　　server#tcpdump host client
　　tcpdump: listening on hme0
　　19:04:30.040578 client.1065 > server.smtp: S 1087965815:1087965815(0)
　　win 64240 (DF)
　　19:04:30.040613 server.smtp > client.1065: S 99285900:99285900(0)
　　ack 1087965816 win 10136 (DF)
　　19:04:30.040960 client.1065 > server.smtp: .
　　ack 1 win 64240 (DF)

　　client�q�接服务器的25端口�Q�三�ơ握手正常，没有问题�Q�我们再往下看

　　19:04:30.048862 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF)
　　19:04:33.411006 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF)
　　19:04:40.161052 server.33152 > client.113: S 99370916:99370916(0) win 8760 (DF)
　　19:04:56.061130 server.33152 > client.113: R 99370917:99370917(0) win 8760 (DF)
　　19:04:56.070108 server.smtp > client.1065:
　　P 1:109(108) ack 1 win 10136 (DF)

　　�q�里有问题了�Q�我们看到server端试图连接client�?13认证端口�Q�然而client端�ƈ不会��d��应它�Q�server端从19�?4�?0�U�到19�?4�?6�U�尝�?�ơ，�Ҏ��26�U�后�Q�才攑ּ�认证��试�Q�主动reset了client端的113端口�Q�开始push后面的数据，而正是在�q�个�q�程中所��p��的时��_��使用户发送邮件时产生了�O长的�{�待。�?br /> 问题扑ֈ�了，下面的工作就好办了，通过修改服务器端的��Y仉��|�，使它不再�q�行113端口的认证，看看�q�个问题解决了么�Q�不用问client用户�Q�再抓包如下�Q?/p>

　　server# tcpdump host client
　　tcpdump: listening on hme0
　　19:06:45.775516 client.1066 > server.smtp:
　　S 1119047365:1119047365(0) win 64240 (DF)
　　19:06:45.775546 server.smtp > client.1066:
　　S 116566929:116566929(0) ack 1119047366 win 10136 (DF)
　　19:06:45.775776 client.1066 > server.smtp:
　　. ack 1 win 64240 (DF)
　　19:06:45.789316 server.smtp > client.1066:
　　P 1:109(108) ack 1 win 10136 (DF)
　　19:06:45.796767 client.1066 > server.smtp:
　　P 1:11(10) ack 109 win 64132 (DF)
　　我们看到�Q�server不再�q�行113端口的认证尝试，直接push数据�Q�问题应该解冻I��到client试验�Q�果然�g�q�现象消失！

　　��p��个试验，我们可以看到�Q�网�l�监听手�D�，对网�l�的�pȝ��理员是非常有�h值的�?/p>

　　然而，对入侵者呢�Q�与��理员感兴趣的是�Ҏ��据包�q�行分析不同�Q�入侵者，感兴��的是数据包的内容，��其是�̎��P��口��o�{�敏感内宏V�?/p>

　　我们模仿入��R者在��L��上跑一个上面提到的sniffit软�g�Q�监听本机发出去的所有telnet数据�Q�如下：

　　server#./sniffit -A . -p 23 -s server

　　同时�Q�我们模仿一个用户yiming��d��一台client机器�Q?/p>

　　server@yiming#telnet client
　　Trying 192.168.1.1...
　　Connected to 192.168.1.1
　　Escape character is '^]'.

　　login: yiming
　　Password:
　　Sun Microsystems Inc. SunOS 5.7 Generic October 1998
　　$ ls
　　bak lost+found project wangguan
　　libcap nms snmp wglist
　　$ pwd
　　/yiming
　　$

　　我们看到�q�个用户telnet到client机器�Q�输入�̎号口令，执行了ls�Q�pwd命��o�Q?/p>

　　此时看看sniffit的记录文件记录了什么，

　　server# more server.32780-client.23
　　........... ..!.."..'.......h.7....#..$....VT100....'.........yiming..Power^man!..ls ..pwd..

　　我们看到了�̎号yiming�Q�密码Power^man!�Q�还有登录后操作的命令。请注意一点，yiming�q�个用户��管讄��了非常复杂的密码�Q�但对网�l�监听而言�Q�是没有丝毫意义的�?/p>

　　其实除了截获telnet密码�q�样的功能外�Q�专用的�|�络监听软�g从密码到邮�g�Q�浏览的�|�页�{�内容，无所不包�Q�但�׃��本文不是介绍�|�络监听软�g用途的�Q�因此这里不详细叙述各种监听软�g的��用方法，有兴��的读者可以参照各个��Y件的readme�{�文�Ӟ��很简单�?br />　　�|�络监听的防范方法：

　　上面我们介绍了可以用来进行网�l�监听的软�g�Q�那么对�q�种不受�Ƣ迎的行为，有没有一些防范手�D�呢�Q?/p>

　　上面我们知道�Q�sniffer是发生在以太�|�内的，那么�Q�很明显�Q�首先就要确保以太网的整体安全性，因�ؓsniffer行�ؓ要想发生�Q�一个最重要的前提条件就是以太网内部的一台有漏洞的主��ȝ��Q�只有利用被�ȝ��的主机，才能�q�行sniffer�Q�去攉��以太�|�内敏感的数据信息�?/p>

　　其次�Q�采用加密手�D�也是一个很好的办法�Q�因为如果sniffer抓取到的数据都是以密文传输的�Q�那对入侵者即使抓取到了传输的数据信息�Q�意义也是不大的-比如作�ؓtelnet�Q�ftp�{�安全替代��品目前采用ssh2�q�是安全的。这是目前相对而言使用较多的手�D�之一�Q�在实际应用中往往是指替换掉不安全的采用明文传输数据的服务�Q�如在server端用ssh,openssh�{�替换unix�pȝ��自带的telnet,ftp,rsh�Q�在client端��用securecrt,sshtransfer替代telnet,ftp�{��?/p>

　　除了加密外，使用交换机目前也是一个应用比较多的方式，不同于工作在�W�一层的hub,交换机是工作在二层，也就是说数据链�\层的�Q�以CISCO的交换机��Z��Q�交换机在工作时�l�护着一张ARP的数据库�Q�在�q�个库中记录着交换机每个端口绑定的MAC地址�Q�当有数据报发送到交换��Z��Ӟ��交换��Z��数据报的目的MAC地址与自��q��护的数据库内的端口对照，然后��数据报发送到"相应�?端口上，注意�Q�不同于HUB的报文广播方式，交换��{发的报文是一一对应的。对二层讑֤�而言�Q�仅有两�U�情况会发送广播报文，一是数据报的目的MAC地址不在交换机维护的数据库中�Q�此时报文向所有端口�{发，二是报文本��n��是�q�播报文。由此，我们可以看到�Q�这在很大程度上解决了网�l�监听的困扰。但是有一点要注意�Q�随着dsniff�Q�ettercap�{��Y件的出现�Q�交换机的安全性已�l�面临着严峻的考验�Q�我们将在后面对�q�种技术进行介�l��?/p>

　　此外�Q�对安全性要求比较高的公司可以考虑kerberos�Q�kerberos是一�U��ؓ�|�络通信提供可信�W�三�Ҏ��务的面向开攄��l�的认证机制�Q�它提供了一�U�强加密机制使client端和server即��在非安全的网�l�连接环境中也能��认彼此的��n份，而且在双斚w��过�w�䆾认证后，后箋的所有通讯也是被加密的。在实现中也卛_��立可信的�W�三�Ҏ��务器保留与之通讯的系�l�的密钥数据库，仅kerberos和与之通讯的系�l�本�w�拥有私�?private key)�Q�然后通过private key以及认证时创建的session key来实现可信的�|�络通讯�q�接�?/p>

　　��网�l�监听的手段

　　对发生在局域网的其他主��Z��的监听，一直以来，都缺乏很好的��方法。这是由于��生网�l�监听行为的��L��在工作时��L��不做声的攉��数据包，几乎不会��d��发出��M��信息。但目前�|�上已经有了一些解册��个问题的思�\和��品：

　　1�Q�反应时�?
　　向怀疑有�|�络监听行�ؓ的网�l�发送大量垃圾数据包�Q�根据各个主机回应的情况�q�行判断�Q�正常的�pȝ��回应的时间应该没有太明显的变化，而处于�؜杂模式的�pȝ��׃��对大量的垃圾信息照单全收�Q�所以很有可能回应时间会发生较大的变化�?
　　2�Q�观��dns
　　许多的网�l�监听��Y仉��会尝试进行地址反向解析�Q�在怀疑有�|�络监听发生时可以在dns�pȝ��上观��有没有明显增多的解析请求�?

　　3�Q�利用ping模式�q�行监测

　　上面我们说过�Q�当一��C��入�؜杂模式时�Q�以太网的网卡会��所有不属于他的数据照单全收。按照这个思�\�Q�我们就可以�q�样来操作：假设我们怀疑的��L��的硬件地址�?0:30:6E:00:9B:B9,它的ip地址�?92.168.1.1,那么我们现在伪造出�q�样的一�U�icmp数据包：��g地址是不与局域网内�Q何一��C��机相同的00:30:6E:00:9B:9B,目的地址�?92.168.1.1不变�Q�我们可以设想一下这�U�数据包在局域网内传输会发生什么现象：��M��正常的主��Z��查这个数据包�Q�比较数据包的硬件地址�Q�和自己的不同，于是不会理会�q�个数据包，而处于网�l�监听模式的��L��呢？�׃��它的�|�卡现在是在��h��模式的，所以它不会��d��比这个数据包的硬件地址�Q�而是��这个数据包直接传到上层�Q�上层检查数据包的ip地址�Q�符合自��q��ip�Q�于是会对对�q�个ping的包做出回应。这��P��一台处于网�l�监听模式的��L��p��发现了�?

　　�q�种�Ҏ��Q�在10pht�q�个黑客�l�织的antisniff产品中有很好的体现。可参见�Q?　　　http://www.securitysoftwaretech.com/antisniff/download.html

　　4�Q�利用arp数据包进行监��?
　　除了使用ping�q�行监测外，目前比较成熟的有利用arp方式�q�行监测的。这�U�模式是上述ping方式的一�U�变体，它��用arp数据包替代了上述的icmp数据包。向局域网内的��L��发送非�q�播方式的arp包，如果局域网内的某个��L��响应了这个arp��h��Q�那么我们就可以判断它很可能��是处于�|�络监听模式了，�q�是目前相对而言比较好的监测模式�?

　　�q�种方式�Q�在neped和PromiScan�q�两个��品中有所体现。可分别参见�Q?奇奇 2006-04-25 15:35 发表评论

人妻精品久久久久中文字幕69 ,久久亚洲日韩精品一区二区三区,久久综合国产乱子伦精品免费

�|�络�l�典命��o�?�|�管必备)