请简述黑客采用网络监听技术能够获取哪些信息?_黑客常用网络侦听方法

hacker|
320

什么是监听

网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。

在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。

以太网中可以监听的原因

在电话线路和无线电、微波中监听传输的信息比较好理解,但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问:能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中,道理是相似的。

对于一个施行网络攻击的人来说,能攻破网关、路由器、防火墙的情况极为少见,在这里完全可以由安全管理员安装一些设备,对网络进行监控,或者使用一些专门的设备,运行专门的监听软件,并防止任何非法访关。然而,潜入一台不引人注意的计算机中,悄悄地运行一个监听程序,一个黑客是完全可以做到的。监听是非常消耗CPU资源的,在一个担负繁忙任务的计算机中进行监听,可以立即被管理员发现,因为他发现计算机的响应速度令人惊奇慢。

对于一台连网的计算机,最方便的是在以太网中进行监听,只须安装一个监听软件,然后就可以坐在机器旁浏览监听到的信息了。

以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收信包。但是,当主机工在监听模式下,无论数据包中的目标物理地址是什么,主机都将接收。

在Internet上 行矶嗾庋�木钟蛲�<柑ㄉ踔潦�柑ㄖ骰�ü�惶醯缋乱桓黾�咂髁�谝黄稹T谛�榈母卟慊蛴没Э蠢矗�蓖�煌�缰械牧教ㄖ骰�ㄐ攀保�粗骰��从心康闹骰鶬P地址的数据包发向网关。但是,这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口,即数据链路层。

网络接口不能识别IP地址。在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:以太帧的帧头。在帖头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说,一个IP地址,必然对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中,它都有一个。发向局域网之外的帧中携带的是网关的物理地址。

在以太网中,填写了物理地址的帧从网络接口中,也就是从网卡中发送出去,传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成,则数字信号在电缆上传输,信号能够到达线路上的每一台主机。当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在信线器上的每一条线路。于是,在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

论述题 网络黑客主要攻击手段有哪些

不可否认,网络已经溶入到了我们的日常工作和生活中。因此,在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼,百战不贻”,要想尽量的免遭黑客的攻击,当然就得对它的主要手段和攻击方法作一些了解。闲话少说,咱这就入正题!

(一)黑客常用手段

1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。

2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。

3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。

4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。

5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。

6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。

7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。

8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令,能触发恶意操作。

9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。

10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。

11、社交工程--与公司雇员谈话,套出有价值的信息。

12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。

(二)黑客攻击的方法:

1、隐藏黑客的位置

典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。

更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。

使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。

2、网络探测和资料收集

黑客利用以下的手段得知位于内部网和外部网的主机名。

使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mails erver 并发送 expn请求;

Finger 外部主机上的用户名。

在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。

3、找出被信任的主机

黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。

一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。

黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。

分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。

4、找出有漏洞的网络成员

当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。

所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。

进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试,

什么是网络监听?网络监听的作用是什么?

网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。

也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等。

扩展资料:

网络监听技术意义:

1、我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相应应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要;

放眼当前相关工具linux 有snort tcpdump ,snift 等,window 有nexray, sniffer等无一不是国外软件,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时事的要求。

2、为什么选择linux作为环境?中国入世,各种针对盗版的打击力度和对于正版软件的保护力度都将大大加强,windows的盗版软件随处可见的现象将会一去不返,面对这样的情况,大部分的公司只有两种选择:

要么花大价钱向微软购买正版软件,要么是用自由操作系统linux,特别是重要部门,如国家机关,政府部门,难道要把自己的办公系统操纵在国外大公司手里;

北京的政府办公系统已经转用红旗linux,而且linux的界面也在不但的改进,更加友好易操作,我们有理由相信.linux将在我国大有作为,这也是研究Linux下网络监听的原因。

参考资料来源:百度百科-网络监听技术

参考资料来源:百度百科-网络监听

网络连接器的状态的监听是什么

不知道你是不是想了解以太网监听的原理

如果是你可以看看这篇技术文章:

以太网监听的原理与防范

随着计算机网络应用的普及,网络已日益成为生活中不可或缺的工具,但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于以太网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制。而网络监听则是一种最简单而且最有效的方法,他常常能轻易地获得用其他方法很难获得的信息。 在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。 事实上,很多黑客入侵时都把以太网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息。但另一方面,我们对黑客入侵活动和其他网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息。因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 �

1网络监听的基本原理

以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来,具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式,如同有很多人在一个大房间内,大房间就像是一个共享的信道,里面的每个人好像是一台主机。人们所说的话是信息包,在大房间中到处传播。当我们对其中某个人说话时,所有的人都能听到。正常情况下只有名字相同的那个人才会做出反应,并进行回应。其他人了解谈话的内容,也可对所有谈话内容做出反应。因此,网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。

1.1广播式以太网中的网络监听

广播式以太网在逻辑上由一条总线和一群挂在总线上的节点组成。任何一个节点主机发出的数据包都是在共享的以太网传输介质上进行传输的,每个数据包的包头部分都包含了源地址和目的地址。网络上所有节点都通过网络接口(网卡)负责检查每一个数据包,如果发现其目的地址是本机,则接收该数据包并向上层传递,以进行下一步的处理;如果目的地址不是本机,则数据包将被丢弃不作处理。以太网数据包过滤机制分为链路层、网络层和传输层。在链路层,网卡驱动程序判断收到包的目标MAC地址是否是自己的MAC地址;在网络层判断目标IP地址是否为本机所绑定的IP地址;在传输层如TCP层或者UDP层判断目标端口是否在本机已经打开。如果以上判断否定,数据包将被丢弃。

在进行网络数据包的“监听”时,首先通过将系统的网络接口设定为“混杂模式”,网络监听程序绕过系统正常工作的处理机制,直接访问网络底层。不论数据包的目的地址是否是本机,都能够截获并传递给上层进行处理(只能监听经过自己网络接口的那些包),通过相应的软件进一步地分析处理,就能够得到数据包的一些基本属性,如包类型、包大小、目的地址、源地址等,可以实时分析这些数据的内容,如用户名、口令以及所感兴趣的内容。

同理,正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。

1.2交换式以太网中的监听

交换机的工作原理不同于HUB的共享式报文方式,交换机转发的报文是一一对应的,能够隔离冲突域和有效的抑制广播风暴的产生。由此看来,交换环境下再采用传统的共享式以太网下网络监听是不可能了,由于报文是一一对应转发的,普通的网络监听软件此时无法监听到交换环境下其他主机任何有价值的数据。但是,以太网内主机数据包的传送完成不是依靠IP地址,而是依靠ARP找出IP地址对应的MAC地址实现的。而ARP协议是不可靠和无连接的,通常即使主机没有发出ARP请求,也会接受发给他的ARP回应,并将回应的MAC和IP对应关系放入自己的ARP缓存中。因此利用ARP协议,交换机的安全性也面临着严峻的考验。

1.2.1交换机缓冲区溢出攻击

交换机大多使用存贮转发技术,工作时维护着一张MAC地址与端口的映射表,这个表中记录着交换机每个端口绑定的MAC地址。他的工作原理是对某一段数据包进行分析判别寻址,并进行转发,在发出前均存贮在交换机的缓冲区内。但是,交换机缓冲区是有限的。如用大量无效IP包,包含错误MAC地址的数据帧对交换机进行攻击。该交换机将接收到大量的不符合分装原则的包,造成交换机处理器工作繁忙,从而导致数据包来不及转发,进而导致缓冲区溢出产生丢包现象。这时交换机就会退回到HUB的广播方式,向所有的端口发送数据包。这样,监听就变得非常容易了。

1.2.2ARP协议和欺骗

在以太网中传输的数据包是以太包,而以太包的寻址是依据其首部的物理地址(MAC地址)。仅仅知道某主机的逻辑地址(IP地址)并不能让内核发送一帧数据给此主机,内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变换成物理地址,也既是把32 b的IP地址变换成48 b的以太地址。每一个主机都有一个ARP高速缓存,此缓存中记录了最近一段时间内其他IP地址与其MAC地址的对应关系。如果本机想与某台主机通信,则首先在ARP高速缓存中查找此台主机的IP和MAC信息,如果存在,则直接利用此MAC地址构造以太包;如果不存在,则向本网络上每一个主机广播一个ARP请求包。其意义是“如果你有此IP地址,请告诉我你的MAC地址”,目的主机收到此请求包后,发送一个ARP响应包,本机收到此响应包后,把相关信息记录在ARP高速缓存中。可以看出,ARP协议是有缺点的,第三方主机可以构造一个ARP欺骗包,而源主机却无法分辨真假。

假定A为进行监听的主机,B为被监听的主机,C为其他网络主机。当A收到B向C发出的ARP请求包后,向B回应一个ARP应答。向C主动发送一个应答,修改C缓存中的关于B的IPMAC映射。当A收到C向B发出的ARP请求时,向B主动发送一个应答,修改B缓存中的关于C的 IPMAC映射。这样,构造了ARP欺骗包(欺骗B对C的连接)。事实上,A成了B的代理可以全部捕获到B和C的相关数据。

2网络监听的检测及防范

网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,不主动与其他主机交换信息,也没有修改在网上传输的数据包。

2.1网络监听的检测

(1)对于怀疑运行监听程序的机器,向局域网内的主机发送非广播方式的ARP包(错误的物理地址),如果局域网内的某个主机响应了这个ARP请求,我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式,对于错误的物理地址不会得到响应。

(2)网络和主机响应时间测试。向网上发大量不存在的物理地址的包,处于混杂模式下的机器则缺乏此类底层的过滤,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,骤然增加的网络通讯流量会对该机器造成较明显的影响,这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。

(3)使用反监听工具如antisniffer等进行检测。

2.2网络监听的防范

2.2.1网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是防范网络监听的一项重要措施。将网络划分为不同的网段,其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

2.2.2以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(单播包)还是会被同一台集线器上的其他用户监听。因此,应该以交换式集线器代替共享式集线器,使 单播包仅在两个节点之间传送,从而防止非法监听。

2.2.3使用加密技术

数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的 缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。

2.2.4划分VLAN

运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,VLAN子网隔离了广播风暴 ,可以防止大部分基于网络监听的侵入,对一些重要部门实施了安全保护。且当某一部门物 理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同 时节约了成本。为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可 采用VLAN技术进行虚拟网络划分。

3结语

网络监听技术在信息安全领域中显得非常重要,他又是一把双刃剑,总是扮演着正反两方 面的角色。对于网络管理员来说,网络监听技术可以用来分析网络性能,检查网络是否被入 侵发挥着重要的作用;对于入侵者来说,网络监听技术可以很容易地获得明文传输的密码和 各种机密数据。为了保护网络信息的安全,必须采用网络监听技术进行反跟踪,时刻探明现 有网络的安全现状,掌握先机,才能保证网络的信息安全。

黑客攻击主要有哪些手段?

攻击手段

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系

统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段

1、后门程序

由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。

2、信息炸弹

信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。

3、拒绝服务

拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。

4、网络监听

网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。

5、DDOS

黑客进入计算条件,一个磁盘操作系统(拒绝服务)或DDoS攻击(分布式拒绝服务)攻击包括努力中断某一网络资源的服务,使其暂时无法使用。

这些攻击通常是为了停止一个互联网连接的主机,然而一些尝试可能的目标一定机以及服务。

2014年的DDoS攻击已经达28 /小时的频率。这些攻击的主要目标企业或网站的大流量。

DDOS没有固定的地方,这些攻击随时都有可能发生;他们的目标行业全世界。分布式拒绝服务攻击大多出现在服务器被大量来自攻击者或僵尸网络通信的要求。

服务器无法控制超文本传输协议要求任何进一步的,最终关闭,使其服务的合法用户的一致好评。这些攻击通常不会引起任何的网站或服务器损坏,但请暂时关闭。

这种方法的应用已经扩大了很多,现在用于更恶意的目的;喜欢掩盖欺诈和威慑安防面板等。

6、密码破解当然也是黑客常用的攻击手段之一。

0条大神的评论

发表评论