关于入侵斑竹"坏的刚刚好"的主机郁闷报告<续>[精]
[ADMINOPE=Jesse|woshihaike|威望由 0 增加至 1|对技术的执着,对权威的蔑视|1117721465]今天早上上线发现很多人给我发邮件问怎么抓包的事,呵呵~~~我还是蛮有人缘的,自我崇拜一下,可能很多人不知道,但也有很多人不知道,黑海的宗旨是为大家服务,我就在各位黑海的朋友面前献丑了哦,如果有说的不正确的话,希望指点,大家不断学习.
我们先说几个基本概念.首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址.
对我们来说,浏览网页,收发邮件等都是很平常,很简便的工作,其实在后台这些工作是依*tcp/ip协议族实现的,大家知道有两个主要的网络体系:OSI参考模型和TCP/IP参考模型,OSI模型即为通常说的7层协议,它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层,而tcp/ip模型中去掉了会话层和表示层后,由剩下的5层构成了互联网的基础,在网络的后台默默的工作着。
当局域网内(因为我们最常见的就是局域网)的主机都通过HUB等方式连接时,一般都称为共享式的连接(就是大家长说的共享),这种共享式的连接有一个很明显的特点:就是HUB会将接收到的所有数据向HUB上的每个端口转发,也就是说当主机根据mac地址进行数据包发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯,只是在正常状况下其他主机会忽略这些通讯报文而已!如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。如果网卡被设置为为混杂模式(promiscuous),主机将会默不作声的听到以太网内传输的所有信息,也就是说:窃听也就因此实现了!
接下来说说我用的软件那就是著名的SNIFFER,在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据)。如果某在工作站的网络接口处于混杂模式,那么它就可以捕获网络上所有的报文和帧。
Sniffer就是这样的硬件或软件,能够“听”到(而不是忽略)在网上传输的所有的信息。在这种意义上,每一个机器,每一个路由器都是一个Sniffer(或者至少可以说它们可以成为一个Sniffer)。这些信息就被储存在介质上,以备日后检查时用。? Sniffer可以是(而且通常是)软件和硬件的联合体,软件可以是普通的网络分析器带有比较强的debug功能,或者就是一个真正的Sniffer。 Sniffer必须是位于准备进行Sniffer工作的网络上的,它可以放在网络中的任何地方?
通常sniffer所要关心的内容可以分成以下几类:1、口令:主要是针对明文传输协议的登陆信息。 2、金融帐号:许多用户很放心在网上使用自己的信用卡或现金帐号,然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。3、偷窥机密或敏感的信息数据: 通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。4、窥探低级的协议信息:首先这是很恐怖的,通过对底层的信息协议记录,比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害,通常有人用sniffer收集这些信息只有一个原因:他正在进行一次欺诈,(通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,)如果某人很关心这个问题,那么sniffer对他来说只是前奏,后面的事情更加具有挑战性和威胁性。(对于高级的hacker而言,我想这是使用sniffer的唯一理由吧)。而且入侵者可以利用这些信息勾画出整个网络的非常详细的网络拓扑图。
关于sniffer的命令大家可以参考~~
-v 显示版本信息
-t 〈ip nr/name〉 让程序去监听指定流向某IP的数据包
-s 〈ip nr/name〉让程序去监听从某IP流出的IP数据包,可以使用@通配符,如 -t 192.168.1.*
-i 显示出窗口界面,能察看当前在你所属网络上进行连接的机器
-I 扩展的交互模式,忽略所有其它选项,比-i强大得多……
-c 〈file〉 利用脚本来运行程序
-F 〈device〉 强制使程序使用网络硬盘
-n 显示出假的数据包。象使用ARP、RARP或者其他不是IP的数据包也会显示出来
-N 只运行plugin时的选项,使其它选项失效
有2台主机在同一个子网中,一台正运行着sniffer,另一台主机的地址是192.168.1.2。
1.如果想记录从主机192.168.1.2 上的一些用户口令,命令为:sniffit -p 23 -t 192.168.1.2
2.将口令记录在以192开始的文件中,可以用cat 192*来查看,命令为:sniffit -p 23 -A . -t 192.168.1.2
或者sniffit -p 23 -A . -t 192.168.1.2
3.如果想记录192.168.1.2 的ftp服务,命令为:
sniffit -p 21 -l 0 -t 192.168.1.2
4.记录所有发出和发往主机 192.168.1.2 的电子邮件信息,命令为:sniffit -p 25 -l 0 -b -t 192.168.1.2 &
或者sniffit -p 25 -l 0 -b -s 192.168.1.2 &
5.网络出现一些错误,如果想要查看控制消息,命令为:
sniffit -p icmp -b -s 192.168.1.2
6.如果想使用有菜单的界面,命令为:
sniffit -i
sniffit可以产生综合结果,在本目录下生成一个类似于xxx.xxx.xxx.xxx.xx-yyy.yyy.yyy.yyy.yy的文件。其中xxx.xxx.xxx.xxx和yyy.yyy.yyy.yyy为两个IP地址,而xx和yy是通信双方的端口号。
1、用脚本执行
这是配合选项-c的,其执行方法也很简单,比如以如下方式编辑一个叫sh的文件
select from host 192.168.1.1
select to host 192.168.1.10
select both port 21
然后执行:sniffit -c sh 说明:监听从192.168.1.1送往192.168.1.10的数据包,端口为FTP.
2 插件
要获取一个插件是很简单的,你将它放入sniffit的目录下,并且象如下方式编辑sn_plugin.h 文件:
#define PLUGIN1_NAME "My plugin"
#define PLUGIN1(x) main_plugin_function(x)
#include "my_plugin.plug"
注意:
你可以让plugin从0-9,所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续的
#include "my_plugin.plug" 这是我的插件源代码放置的地方。
最后拜求各位斑竹给我加点威望把,加分也可以...小弟先在此谢过了~~ :em79: :em27: :em27: |
