科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络监听的目的

网络监听的目的

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于这类工具,常常可以设置详细的过滤条件,可以针对信息的源主机、目的主机、使用的协议、使用的端口以及包的长度来设置过滤条件,也可以是这些条件的逻辑组合。

作者:中国IT实验室 2007年9月1日

关键字: 数据包 网络监听 snoop 数据监听

  • 评论
  • 分享微博
  • 分享邮件

  截获通信的内容  

    首先,这些工具对网络上主机间的通信,能给出一个详细的,逐包的统计信息。入侵者可以选择某一台主机,看看它正在同那些主机进行通信,使用了哪些协议(通过端口号可以区分出来),传输一些针么内容。

    对于这类工具,常常可以设置详细的过滤条件,可以针对信息的源主机、目的主机、使用的协议、使用的端口以及包的长度来设置过滤条件,也可以是这些条件的逻辑组合。

    下面是使用snoop发现的主机asy&.vineyard.net和主机next之间后段对话:

  #snoop

  asy8.vineyard.netànext SMTP C port=1974

  asy8.vineyard.netànsxt SMTP C port=1974 MALL FROM:$#@60;dfddr@vin

  next àasy8.vineyard.net SMTP C PORT=1974 250 $#@60;DFDDF@VINEYARD.

  Asy8.net à SMTP C port=1974

  Asy8.vineyard.net à next SMTP C port=1974 RCPT TO:$#@60;VDSALAW@IX.

  Nextàasy8.vineyard.net SMTP C port=1974 250 $#@60;vdsalaw@ix.netc.

  Asy8.vineyard.net ànext SMTP C port=1974.

  Asy.vineyard.netànext SMPT C port=1974 DATA\r\n.

  Next àasy8.vineyard.net SMTP c PORT =1974 354 Enter mail,end.

    在这个例子中,一个邮件消息在从asy8.vineyard.net到计算机next的传播过程中被监听。如上所述,它能给出一个详细的报告,诸如系统中各个用户都在干什么。

    对于入侵者来说,最喜欢的莫过于用户的口令。其实,在大多数情况下,监听到的包中,用户的口令也就像上面的“DATA r\N“一样,完全是明文形式,并且很容易找出来,因为人们没有采取任何形式的加密措施。而且口令往往是在一次通信的最开始的几个数据包中,只要找到了两台主机间连接的开始,便很容易找到认证用的口令。  

  对协议分析  

    所有的监听软件都可以对数据包进行详细分析,直到每一个字段的含义。

    这是Solaris中的snoop使用的一个例子。这一命令监听网络接口/dev/le,

  将监听到的数据包存于文件saved中。

  # snoop -o saved

  Using device /dev/le (promiscuous mode)

  23 c

    在监听了23个包之后,中断了监听。然后,可以使用snoop读取文件saved中的信息,并按照协议的格式,详细地输出包头的信息。这个命令监听不到包中传输的信息(被子该命令有意过滤掉了)。因此,这一命令是学习TCP/IP的一 詈玫氖道琳卟环料晗秆芯恳幌虏煌椴愦危煌橹械氖莅哪谌莺透袷健?br> # snoop -I saved -tr -v

  ETHER:------------Ether Header------

  ETHER:

  ETHER: Packet 21 arrived at 17:02:;29.70

  ETHER: packet size =85 bytes

  ETHER: Desstination =0:20:af:3b:bb:8f,

  ETHER: Source =8:0:3e:30:28:87,Motorola VME bus processor

  Module

  ETHER: Ethertype =0800 (Ip)

  ETHER:

    包的最外部分是以太帧头。

  IP:-----------IP Header ----------

  IP:

  IP: Version =4

  IP: Header length =20 bytes

  IP: Type of service =0x00

  Ip: xxx……..=0 (precedence)

  IP: …0…=normal delay

  IP: ….0...=normal throughput

  IP: …..0.. =normal rellability

  IP: Total length =71 bytes

  IP: Tdentification =2014

  IP: Flags =0x0

  IP: .0……=may fragment

  IP: ..0….. =last fragment

  IP: Fragment offest =0 bytes

  IP: Time to live =30 seconds/hops

  IP: Protocol =17 (UDP)

  IP: Header checksum =0714

  IP: Source address =11.22.33.41, source.host

  IP: Destination address =192.33.4.12, c.root ?servers.ndt

  IP: No options

  IP:

    紧跟着以太帧头的是IP分组的头部信息。

  DP:-----------UDP Header--------

  UDP:

  UDP: Source port =53

  UDP: Destination port =53 (DNS)

  UDP: Length =51

  UDP: Checksum =2167

  UDP:

    IP是网络层,网络层之上是传输层。这个包在传输层使用了UDP协议。

  DNS:---------DNS:--------

  DNS:

  DNS: “ “

  DNS:

    使用应用层的是域名解析服务。

    这是一个在网络上传输的一个包的信息分解。实妹的包由于使用的是流协议,许多翻译片信息是用一些位来表示的。并不能直接阅读和理解。从上面的解释得知,这是个DNS解析的数据包,传输层使用的是UDP协议,应用层使用了DNS服务。该协议将一个主机名映射为IP地址。

    让我们来看另一个监听的数据包:

  ETHER: ---------Ehter Header ------

  ETHER:

  ETHER: Packet 55 arrived at 17:02:31.14

  ETHER: Packet size =64 bytes

  ETHER: Destination =0:a0:c9:49:cc:a5’

  ETHER: Source =0:20:af:3b:bb:8f,

  ETHER: Ethertype =0880(IP)

  ETHER:

  IP:--------IP Header-------

  Ip:

  Ip: Version =4

  IP:Header length =20 bytes

  IP:Type of service =0x00

  IP: xxx…..=0 (precedence)

  IP: …0… =normal delay

  IP: …..0…normal throughput

  IP: ……..0..=normal rellability

  IP: Total length =44 bytes

  iP: Identication =12513

  IP: Flags =0x0

  IP: .0……=may fragmrnt

  IP: …0……=last fragment

  IP: Fragment offest =0 bytes

  IP: Time to live =59 seconds/hops

  IP: Protocol =6 (tcp)

  IP: Header checksum =bc42

  IP: Source addrees =11.22.33.42, gaper

  IP: Destination address ==11.22.41.18, butterfly

  IP: No options

  IP:

  Tcp: -----tcp Header -------

  TCP:

  TCP: Source port =2927

  TCP: Destination port =25 (SMTP)

  TCP: Sequence number =950073857

  TCP: Acknowledgement number =0

  TCP: Data offset =24 bytes

  TCP: Flags =0x02

  TCP: ..0…..=No urgent pointer

  TCP: …0….=No acknowledgement

  TCP: ….0……=No push

  TCP: ……0……=No reset

  TCP: ………1. =Syn

  TCP: …………0 =No FIN

  TCP: Window =16384

  TCP: C kwum =0x8753

  TCP: Urgrnt pointer =0

  TCP: Options: (4 bytes)

  TCP: -Maximum segment size =1460 bytes

  TCP:

  SMTP:---------SMT0:-----

  SMTP:

  SMTP: “ ‘

  SMTP:

  $#@60;small

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章