要點導(dǎo)航
1)安裝VMWare虛擬機
2)使用Sniffer Pro截獲數(shù)據(jù)包
3)使用影音神探檢測網(wǎng)絡(luò)
4)使用X-Scan掃描器
5)使用SuperScan掃描器
黑客一旦鎖定了目標計算機之后就會使用各種不同的工具嗅探和掃描目標計算機奏黑,以獲取目標計算機的IP地址和開放的端口跛溉,這樣黑客就能夠更快速地入侵電腦仑扑,因此用戶需要了解黑客常用的嗅探工具和端口掃描工具媒峡。
本章主要介紹了安裝VMware虛擬機、使用Sniffer Pro和影音神探嗅探目標計算機嗜价,使用X-Scan和SuperScan掃描目標計算機的端口等知識鸭廷,最后介紹了使用網(wǎng)絡(luò)新手IP隱藏器隱藏本地電腦的IP地址象颖。
1.搭建虛擬環(huán)境
虛擬機是一個利用軟件來模擬具有完成硬件系統(tǒng)功能的偷卧、運行在一個完全隔離環(huán)境中的完整計算機系統(tǒng)豺瘤,通過虛擬機軟件,用戶可在虛擬機系統(tǒng)中進行各種黑客的攻擊與防御工作听诸,即使出現(xiàn)意外炉奴,也不會影響到本機系統(tǒng)的正常運行。
虛擬機可以像真正的計算機那樣進行工作蛇更,如安裝操作系統(tǒng)、安裝應(yīng)用程序赛糟、訪問網(wǎng)
絡(luò)資源等派任。當用戶在虛擬機中作業(yè)時,無論系統(tǒng)感染病毒或是系統(tǒng)崩潰或被黑客攻擊導(dǎo)致
死機璧南,受到影響的都只是虛擬機上的操作系統(tǒng)掌逛,而不是物理計算機上的操作系統(tǒng)。而且司倚,
使用虛擬機的恢復(fù)功能豆混,可以馬上恢復(fù)虛擬機到安裝軟件之前的狀態(tài),非常方便动知。
虛擬機一般分兩種:一種是普通虛擬機皿伺,一種是Java虛擬機。
1)普通虛擬機
普通虛擬機就是指用戶平時最經(jīng)常用的盒粮,不采用任何其他特殊技術(shù)搭建的鸵鸥,通過虛擬
機軟件模擬,營造出一個具有完整硬件系統(tǒng)功能的、運行在一個完全隔離環(huán)境中的計算機
系統(tǒng)妒穴。
虛擬機只是運行在物理計算機上的一個應(yīng)用程序宋税,但是對于在虛擬機中運行的應(yīng)用程
序而言,它就像是在真正的計算機中進行工作讼油。因此杰赛,當用戶在虛擬機中執(zhí)行了某些違法
或不當操作時,虛擬機也會出現(xiàn)系統(tǒng)崩潰的情況矮台。不過乏屯,虛擬機系統(tǒng)的崩潰并不會對物理
計算機上的操作系統(tǒng)造成任何影響。因此嘿架,對于需要進行大量計算機實驗的用戶來說瓶珊,使
用虛擬機是一個不錯的選擇。
目前流行的虛擬機軟件有VMware和Virtual PC耸彪,它們都能在Windows系統(tǒng)上虛擬出多個計算機伞芹,用于安裝Windows、Linux蝉娜、OS/2唱较、FreeBSD等操作系統(tǒng),如右圖所示即為安裝了Windows XP操作系統(tǒng)的VMware虛擬機召川。
2)Java虛擬機
Java虛擬機簡稱JVM南缓,它是一個想象中的機器,其原理與普通虛擬機類似荧呐,也是在物理計算機上通過軟件模擬來創(chuàng)建虛擬環(huán)境汉形。
Java虛擬機的最大特點就是能跨平臺編譯,因為一般的高級語言如果要在不同的平臺
上運行倍阐,基本上都需要編譯成不同的目標代碼概疆,而引入Java語言虛擬機后,Java語言在不
同平臺上運行時不需要重新編譯峰搪。Java虛擬機屏蔽了語言代碼與具體平臺相關(guān)的信息岔冀,使
得Java語言編譯程序只需生成在Java虛擬機上運行的目標代碼,就可以在多種平臺上不加修改地運行概耻。
安裝VMware虛擬機程序
VMware是一個虛擬計算機軟件使套,它使用戶可以在一臺機器上同時運行兩個或更多Windows、Linux的虛擬機系統(tǒng)鞠柄。
安裝(略)侦高。
2.使用嗅探工具
嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行的軟件設(shè)備,既能用于合法網(wǎng)絡(luò)管理厌杜,也能用于竊取網(wǎng)絡(luò)信息矫膨,如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用侧馅、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則等危尿。非法嗅探器嚴重威脅網(wǎng)絡(luò)安全性,因為它不但可以進行探測行為馁痴,而且容易隨處插入谊娇,所以黑客常將它作為攻擊武器。
1)嗅探器概述
在講嗅探器之前罗晕,用戶首先需要明白局域網(wǎng)數(shù)據(jù)傳輸?shù)囊恍┗驹怼?/p>
數(shù)據(jù)在網(wǎng)絡(luò)上是以幀為單位傳輸?shù)募没叮瑤蓭撞糠纸M成,不同的部分執(zhí)行不同的功能小渊。
幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進行成型法褥,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上,通過網(wǎng)線
到達它們的目的工作站酬屉,并在目的工作站的一端執(zhí)行相反的過程半等。接收端機器的以太網(wǎng)卡
捕獲到這些幀呐萨,并告訴操作系統(tǒng)幀已到達杀饵,然后對其進行存儲。
然而惨远,就是在這個傳輸和接收的過程中,存在安全方面的問題羡儿。
每一個在局域網(wǎng)上的工作站都有其硬件地址,這些地址唯一地表示了網(wǎng)絡(luò)上的機器是钥。當用戶發(fā)送一個數(shù)據(jù)包時掠归,這些數(shù)據(jù)包就會發(fā)送到局域網(wǎng)上所有可用的機器中。在一般情況下悄泥,網(wǎng)絡(luò)上所有的機器都可以"聽"到通過的數(shù)據(jù)包虏冻,但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)。也就是說弹囚,工作站A不會捕獲屬于工作站B的數(shù)據(jù)厨相,而是簡單地忽略這些數(shù)據(jù)。
而通過嗅探器,處于該網(wǎng)絡(luò)中的用戶就能夠監(jiān)聽該網(wǎng)絡(luò)中的數(shù)據(jù)包蛮穿,并從捕獲到的數(shù)據(jù)包中解析該數(shù)據(jù)包中的內(nèi)容庶骄,其中包括一些用戶賬戶及其口令。使用嗅探器監(jiān)聽網(wǎng)絡(luò)的原理如下圖所示践磅。
嗅探器分為軟件和硬件兩種单刁。軟件的嗅探器有Sniffer Pro、NetXray府适、Packetboy羔飞、Net Monitor等,其優(yōu)點是物美價廉檐春,易于學(xué)習(xí)使用逻淌,同時也易于交流;缺點是無法抓取網(wǎng)絡(luò)上所有的傳輸疟暖,某些情況下無法真正了解網(wǎng)絡(luò)的故障和運行情況卡儒。硬件的嗅探器通常稱為協(xié)議分析儀,一般都是商業(yè)性的誓篱,價格也比較貴朋贬。
本章所講的嗅探器為一種軟件,它能把包抓取下來窜骄,然后用戶打開并查看其中的內(nèi)
容锦募,可以得到密碼等。嗅探器只能抓取一個物理網(wǎng)段內(nèi)的包邻遏,也就是說糠亩,用戶和監(jiān)聽的目標中間不能有路由或其他屏蔽廣播包的設(shè)備。所以對一般撥號上網(wǎng)的用戶來說准验,是不可能利用嗅探器竊聽到其他網(wǎng)絡(luò)中的通信內(nèi)容的赎线。
當一個黑客成功地攻陷了一臺主機,并拿到了root權(quán)限糊饱,如果他還想利用這臺主機去攻擊同一網(wǎng)段上的其他主機時垂寥,他就會在這臺主機上安裝一款嗅探器軟件,對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進行嗅探另锋,從而監(jiān)聽感興趣的包滞项。如果發(fā)現(xiàn)符合條件的包,就會想方設(shè)法破譯數(shù)據(jù)包的內(nèi)容夭坪,如果在某數(shù)據(jù)包里面包含有某主機的賬戶以及密碼文判,那么該主機就極有可能被黑客入侵。
1.Sniffer Pro
是一款非常優(yōu)秀的便攜式網(wǎng)管和應(yīng)用故障診斷分析軟件室梅。不管是在有線網(wǎng)
絡(luò)還是在無線網(wǎng)絡(luò)中戏仓,網(wǎng)絡(luò)管理人員都能夠利用該軟件進行實時的網(wǎng)絡(luò)監(jiān)視疚宇、數(shù)據(jù)包捕獲
以及故障診斷分析。
2.影音神探
影音神探是一款能夠監(jiān)測流過網(wǎng)卡的數(shù)據(jù)并進行過濾分析的網(wǎng)絡(luò)嗅探器赏殃,它使用了
WinPcap開發(fā)包敷待,能快速找到所需要的網(wǎng)絡(luò)信息,如音樂嗓奢、視頻讼撒、圖片、文件等股耽。
3.端口與漏洞掃描
從端口的定義不難看出根盒,一個端口就是一個潛在的通信通道,也就是一個入侵通道物蝙。黑客通過對目標計算機進行端口掃描炎滞,能得到許多有用的信息,除此之外诬乞,黑客也會掃描系統(tǒng)中的漏洞為入侵做好準備册赛。
1)端口掃描原理
黑客在入侵電腦前,往往會對目標進行掃描震嫉,查看目標計算機開放了哪些端口森瘪,提供了哪些服務(wù),做到知己知彼票堵,這樣才能在入侵電腦時更加得心應(yīng)手扼睬。端口掃描通常指用同一信息對目標計算機的所有所需掃描的端口進行發(fā)送,然后根據(jù)返回端口狀態(tài)來分析目標計算機的端口是否打開悴势、是否可用等窗宇。端口掃描行為的一個重要特征是在短時間內(nèi)有很多來自相同的信息源地址傳向不同的目的地端口的包。
對于用端口掃描進行攻擊的人來說特纤,攻擊者基本可以做到在獲得掃描結(jié)果的同時军俊,使得自己很難被發(fā)現(xiàn)或者說很難被逆向追蹤。隱藏源地址的方法很多捧存,如發(fā)送大量的欺騙性端口掃描包粪躬,而其中只有一個是從真正的源地址來的。這樣昔穴,即使全部包都被察覺镰官,被記錄下來,也沒有人知道哪個是真正的信源地址傻咖,能發(fā)現(xiàn)的僅僅是曾經(jīng)被掃描過的痕跡。
在手工進行掃描時岖研,需要熟悉各種命令卿操,以及對命令執(zhí)行后的輸出結(jié)果進行分析警检。而用掃描軟件進行掃描則相對要簡單許多,并且許多掃描軟件都有分析數(shù)據(jù)的功能害淤。
2)使用X-Scan掃描器, SuperScan掃描器
a. X-Scan是國內(nèi)著名的綜合掃描器之一扇雕,它完全免費,掃描功能強大窥摄,包括圖形界面和
命令行方式镶奉,主要由國內(nèi)著名的民間黑客組織"安全焦點"完成。
b. SuperScan是一款功能強大的掃描軟件崭放,對于一個網(wǎng)絡(luò)管理員或者網(wǎng)絡(luò)攻擊者而言哨苛,它
是一款非常有用的工具。SuperScan不僅僅是一個端口掃描軟件币砂,除了最重要的端口掃描功
能之外建峭,它還具有通過Ping功能來檢驗IP是否在線、IP和域名的相互轉(zhuǎn)換等功能决摧。
獲取目標計算機的運行信息: SuperScan的"工具箱"提供了一系列的功能亿蒸,只要用戶輸入目標計算機的IP或者URL
地址,就能夠使用這些工具獲取目標主機的主機名掌桩,判斷目標主機是否運行等边锁。
檢測計算機的所有端口
用戶如果要檢測自己計算機的所有端口,則直接在"掃描"選項卡下輸入本地電腦的
主機名或IP地址波岛,然后單擊 開始】按鈕開始掃描茅坛,不再設(shè)置TCP端口和UDP端口掃描。
IP偵查防范技術(shù)
IP地址作為網(wǎng)絡(luò)計算機的重要標識盆色,是黑客首先需要了解的灰蛙。獲取IP地址的方法有很多,例如常用的就是在局域網(wǎng)內(nèi)使用Ping命令隔躲,Ping對方在網(wǎng)絡(luò)中的域名而獲得IP摩梧;而比較有技術(shù)含量的就是截獲并分析對方的網(wǎng)絡(luò)數(shù)據(jù)包,對于了解網(wǎng)絡(luò)知識的黑客宣旱,他們可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP包頭信息仅父,再根據(jù)這些信息了解具體的IP地址。
雖然偵查IP的方法多樣浑吟,但用戶可以隱藏IP的方法同樣也有許多笙纤。就對付最有效的"數(shù)據(jù)包分析方法"而言,可以安裝能夠自動去掉發(fā)送數(shù)據(jù)包包頭IP信息的"Norton Internet Security 2003"组力。但是省容,現(xiàn)在網(wǎng)絡(luò)中最常用的隱藏IP地址的方法就是使用代理服務(wù),這里通過使用一款比較適合個人用戶的簡易代理軟件——網(wǎng)絡(luò)新手IP隱藏器來介紹防范IP地址被偵查到的方法燎字。
