五、tcpdump---专业的网络管理工具
工具名称:tcpdump-3.8.1
应用环境:Linux
工具介绍:Tcpdump是著名的sniffer,是一个被很多UNIX高手认为是一个专业的网络管理工具,记得以前TsutomuShimomura(应该叫下村侵吧)就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录,后来就配合FBI抓住了KEVINMITNICK。你能够利用这个工具检查访问你服务器中的文件包信息,监测你网络中的问题所在。
示例:
截获所有192.168.0.1的主机收到的和发出的所有的数据包:
tcpdump host 192.168.0.1 (测试以图中地址为准,见图6):
图6
截获主机192.168.0.1和主机192.168.0.2或192.168.0.3的通信,使用命令(在命令行中适用括号时,一定要):
tcpdump host 192.168.0.1 and \ (192.168.0.2 or 192.168.0.3 \)
获取主机192.168.0.1除了和主机192.168.0.2之外所有主机通信的ip包,使用命令:
tcpdump ip host 192.168.0.1 and ! 192.168.0.2
获取主机192.168.0.1接收或发出的telnet包,使用如下命令:
tcpdump tcp port 23 host 192.168.0.1
安装备注:该工具安装前需要先安装libpcap。
六、hunt---包嗅探和会话劫持工具工具名称:hunt1.5
应用环境:Linux
工具介绍:Linux平台上高级的包嗅探和会话劫持工,Hunt能监视、劫持、重设网络上的TCP连接,在以太网上使用才有作用,并且含有监视交换连接的主动机制,以及包括可选的ARP转播和劫持成功后的连接同步等高级特征。防范嗅探类工具的注意点:使黑客不能在最初获得系统的访问权限是最佳的嗅探器对策;使用交换网络代替集线器,对于集线器,网络流量对局域网内的每个系统都是可见的,在交换网络中,只有MAC地址相对应的网卡才能见到自己的帧;传送敏感数据时不要使用明文方式。防范嗅探类工具的注意点:使黑客不能在最初获得系统的访问权限是最佳的嗅探器对策;使用交换网络代替集线器,对于集线器,网络流量对局域网内的每个系统都是可见的,在交换网络中,只有MAC地址相对应的网卡才能见到自己的帧;传送敏感数据时不要使用明文方式。
示例:
高级嗅探功能,hunt利用ARP欺骗或ARP强制的方法欺骗系统,使之在缓存中添加新的MAC到IP映射。 (操作可参照以下步骤:进入守护进程,输入a进行添加,通过l列举设置的情况。用arp -a查看修改情况。)该功能可以嗅探交换网络里的数据。 另外hunt提供的嗅探还能捕获用户名和口令,该功能依赖于字典库。 hunt运行如图7所示,有简单的菜单操作:
图7
七、Hydra---网络认证的破解工具工具名称:Hydra3.0
应用环境:Linux
工具介绍:THC-Hydra 是世界第一款 parallized 协议登录的黑客工具。可以用来对需要网络登录的系统进行快速的字典攻击,包括Samba、FTP、POP3、IMAP、Telnet、HTTP Auth、LDAP、NNTP、MySQL、VNC、ICQ、Socks5、PCNFS、Cisco等,支持SSL加密。包括了对 Socks5 和 SSL 支持。
示例(需要字典库支持):
hydra -l login -P /tmp/passlist 192.168.0.1 ftp login为要破解的用户名,passlist为密码字典库
hydra -l login -P passfile 192.168.0.1 smb login为要破解的登录名,passfile为密码字典库,smb操作系统登录密码破解,测试示例如图8所示:
图8
八、John---哈希口令破解器