chapter2黑客常用的系統(tǒng)攻擊方法網(wǎng)絡(luò)監(jiān)聽

攻擊演練：口令攻擊通過猜測或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令從而進(jìn)入系統(tǒng)危險口令類型：用戶名用戶名變形生日常用英文單詞5位以下長度的口令【課堂實(shí)戰(zhàn)】口令破解smbcrack2入侵系統(tǒng)psexec目標(biāo)系統(tǒng)的探測方法目的：了解目標(biāo)主機(jī)的信息：IP地址、開放的端口和服務(wù)程序等，從而獲得系統(tǒng)有用的信息，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的漏洞。常用方法：網(wǎng)絡(luò)探測【實(shí)驗(yàn)】whois（web網(wǎng)頁形式；工具軟件形式——如Smartwhois查詢工具）掃描器工具網(wǎng)絡(luò)監(jiān)聽技術(shù)Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。什么是Sniffer

?網(wǎng)絡(luò)通信監(jiān)視軟件網(wǎng)絡(luò)故障診斷分析工具網(wǎng)絡(luò)性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡(luò)通訊問題、分析和優(yōu)化網(wǎng)絡(luò)性能和規(guī)劃網(wǎng)絡(luò)的發(fā)展。Sniffer的主要作用快速解決網(wǎng)絡(luò)故障自動的問題識別、分析與診斷，可以節(jié)省故障診斷的時間。最優(yōu)化投資利用性能降低的精確診斷，可以避免草率的資金投入。檢驗(yàn)新應(yīng)用/技術(shù)的推廣分析新應(yīng)用或技術(shù)對性能的影響，提供改進(jìn)的建議。網(wǎng)卡的工作模式廣播方式：能夠接收網(wǎng)絡(luò)中的廣播信息。組播方式：能夠接收組播數(shù)據(jù)。直接方式：只有目的網(wǎng)卡才能接收該數(shù)據(jù)?；祀s模式（promiscuous）：能夠接收到一切通過它的數(shù)據(jù)。HUB工作原理HUB工作原理交換環(huán)境下的SNIFF交換環(huán)境下的SNIFFUsername:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)（HUB）

FTPLoginMail普通用戶A服務(wù)器C嗅探者B網(wǎng)絡(luò)監(jiān)聽原理Username:herma009<cr>Password:hiHKK234<cr>網(wǎng)絡(luò)監(jiān)聽原理一個sniffer需要作的：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。分析數(shù)據(jù)包ARPspoofUsername:herma009<cr>Password:hiHKK234<cr>switch

FTP普通用戶AIP:MAC:20-53-52-43-00-02服務(wù)器CIP:MAC:20-53-52-43-00-01

Switch的MAC地址表：IP:（C的IP）MAC:20-53-52-43-00-03（B的MAC地址）router嗅探者B常用的SNIFF

（1）windows環(huán)境下：圖形界面的SNIFFnetxraysnifferpro（2）UNUX環(huán)境下：UNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個好處就是發(fā)布源代碼，當(dāng)然也都是免費(fèi)的。如sniffit，snoop,tcpdump,dsniffEttercap(交換環(huán)境下)常用的SNIFF（1）SnifferPro（2）WireShark（06年夏天前稱為Ethereal）（3）Netmonitor（4）EffTechHTTPSniffer（5）Iris課堂演練【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程如何防止SNIFF進(jìn)行合理的網(wǎng)絡(luò)分段。用SSH(Secure

Shell)/SSL(SecureSocketLayer)建立加密連接，保證數(shù)據(jù)傳輸安全。Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內(nèi)部攻擊。AntiSniff工具用于檢測局域網(wǎng)中是否有機(jī)器處于混雜模式（不是免費(fèi)的）。WireSharkCapture----captureoptions

Capture捕獲Captureoptions捕獲選項(xiàng)Interface接口Capturepacketsinpromiscuousmode在混雜模式下捕獲分組LimiteachpackettoNbytes將每個分組限制在N個字節(jié)內(nèi)Filter過濾器可以指定捕獲目標(biāo)的IP地址，協(xié)議類型等

Capturefile捕獲文件指定將捕獲的文件放到指定的位置Displayoptions顯示選項(xiàng)StopCapture捕獲限制Nameresolution名字解析啟用MAC地址轉(zhuǎn)換MAC——廠商的名稱啟用網(wǎng)絡(luò)地址轉(zhuǎn)換IP——主機(jī)名啟用傳輸名字解析，熟知端口——相應(yīng)協(xié)議列表框協(xié)議框原始框第一次握手第二次握手第三次握手綜合演練使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包選中3號分組，在協(xié)議框中選中分組的Frame層，在原始框中突出顯示（每一對數(shù)字表示一個字節(jié)）70對數(shù)字以太網(wǎng)幀首部占用了14個字節(jié)，那么分組中另外56個字節(jié)