发信人: alan-cc()
整理人: starseacn(2002-03-05 08:51:53), 站内信件
|
IP数据包窃听是一把名符其实的双刃剑:既是网络系统管理员必不可缺的工具,又是一种穷凶极恶的黑客武器。你在系统管理员和黑客的工具箱中都能找到IP数据窃听软件!黑客用它来偷取网上的登录信息(用户名、密码等),系统管理员用它来侦测损坏的数据包和其它网络问题。
一、IP数据包窃听是什么回事?
我们完全可以把IP数据包窃听比做电话窃听。当你上网时,你是在通过其它计算机传递数据。发送E-mail或下载网页的数据包要经过很多计算机的中转才能到达目的地,或从目的地到达你的计算机。这些中转数据包的主机能通过IP数据包窃听技术捕获途经它的数据包信息!了解一点TCP/IP协议常识的人都知道,互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括刚才提到的E-mail、网页、登录信息(用户名、密码)、电子商务信息(信用卡密码)等。
现在,大多数网络主机都使用以太网卡。在默认设置下,以太网卡只接受到达本地的数据包,而过滤掉其它数据包。但以太网卡有一个“混杂模式”选项,可以关掉过滤功能,从而检查途经网卡的所有数据包——这是IP数据包窃听得以实现的根本原因!
防火墙和加密技术都不能阻止包窃听。黑客窃听到经过加密的口令后,用不着解密就可以使用它(只需原样转发)!如果你的口令非常重要,最好使用“一次性”口令——用完一个口令后就换个新的。这样,即使黑客窃取到你上一次使用的密码,使用时也失效了。
二、用什么窃听?
网上有成百上千的包窃听程序,EtherPeek就是一个古老而有用的网络数据包分析工具,具有强大的网络监控与分析功能。另一款是TamoSoft公司的CommView能检验每个单独的数据包并对底层协议进行全面分析。如果你运行的是Win NT,用不着装其它包窃听程序,其本身就自带有一个:网络监控器(Network monitor)。在“网络控制面板”的“服务”标签卡中,点击“添加”按钮,然后选择“网络监控工具与代理”。当网络监控器被装上之后,你就可以在程序菜单的“管理工具”中运行它了。当然,上述工具也都是网管们常用的好东东,这把双刃剑就看落在谁的手里了。
三、窃听程序如何工作?
下面,我们就以CommView为例,看看IP数据包窃听程序是怎样工作的。
首先,运行CommView后,在工具栏正中的下拉菜单中选中一个网络适配卡,选中。然后,从“文件”下拉菜单中选择“Start Capture”。CommView的主屏幕是通过IP Statistics、Packets、Logging、Rules四个活页卡进行管理的。如果这时有数据包从网卡通过,你马上就可以在IP Statistics中看到效果了!如果没有,打开一个网页或收发E-mail试试看!看到接牧和发送数据包双方的IP地址了吧!除了IP地址,你还能看到端口号、发送和接收到的数据包的数量、主机名等信息。如果你选中“SmartWhoIs”模式,在IP列表中选中一个IP地址,右键单击,程序会锁定该IP,并返回有关注册信息。
这时,如果检查你的POP信箱,你会在IP列表中看到一行IP地址端口为110通用的-POP信箱端口。同样,你访问任何一个WEB站点都会出现一串端口为80的IP地址。
下面,点击“Packets”,就可以窥视数据包主体部分的内容了。在“Packets”活页卡上主要分两栏。上一栏依次为:总共经过的IP包量、协议名称、MAC地址、IP地址、端口等。在下一栏中,左边是十六进位制的原始数据,右边是一些文本内容。借助一些软件,能将这些十六进位的天书翻译出来……这里就暂不讨论了。
四、IP地址冒充
IP数据包窃听最为险恶的应用就要算是IP地址冒充了。这时,黑客不仅仅只是看看途经其网卡的IP包,而是为达到其险恶用心而更改数据包的内容!
当包窃听程序运行于两台进行数据交换的主机之间的一个节点上时,黑客能窃取一方的身份,然后冒充其身份。哄动一时的D.O.S.(Denial-Of-Service拒绝服务)攻击就是这样冒充IP地址而得逞的。
|
|