您當(dāng)前所在位置:
首頁(yè) →
操作系統(tǒng) →
LINUX →
深入學(xué)習(xí)Linux下的網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)
深入學(xué)習(xí)Linux下的網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)
時(shí)間:2015-06-28 00:00:00
來(lái)源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評(píng)論(3)
- ????在網(wǎng)絡(luò)中,當(dāng)信息進(jìn)行傳播的時(shí)候,可以利用工具,將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式,便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到,從而進(jìn)行攻擊。網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施進(jìn)行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)截取用戶(hù)口令。比如當(dāng)有人占領(lǐng)了一臺(tái)主機(jī)之后,那么他要再想將戰(zhàn)果擴(kuò)大到這個(gè)主機(jī)所在的整個(gè)局域網(wǎng)話(huà),監(jiān)聽(tīng)往往是他們選擇的捷徑。很多時(shí)候我在各類(lèi)安全論壇上看到一些初學(xué)的愛(ài)好者,在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡(jiǎn)單的。其實(shí)非也,進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對(duì)路徑,當(dāng)然了,這個(gè)路徑的盡頭必須是有寫(xiě)的權(quán)限了。在這個(gè)時(shí)候,運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽(tīng)程序就會(huì)有大收效。不過(guò)卻是一件費(fèi)神的事情,而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括:
數(shù)據(jù)幀的截獲
對(duì)數(shù)據(jù)幀的分析歸類(lèi)
dos攻擊的檢測(cè)和預(yù)防
IP冒用的檢測(cè)和攻擊
在網(wǎng)絡(luò)檢測(cè)上的應(yīng)用
對(duì)垃圾郵件的初步過(guò)濾
研究的意義:
1)我國(guó)的網(wǎng)絡(luò)正在快速發(fā)展中,相應(yīng)的問(wèn)題也就顯現(xiàn)出來(lái),網(wǎng)絡(luò)管理及相應(yīng)應(yīng)用自然將越發(fā)重要,而監(jiān)聽(tīng)技術(shù)正是網(wǎng)絡(luò)管理和應(yīng)用的基礎(chǔ),其意義當(dāng)然重要,放眼當(dāng)前相關(guān)工具linux 有snort tcpdump ,snift 等,window 有nexray, sniffer等五一不是國(guó)外軟件,隨著中國(guó)網(wǎng)絡(luò)的發(fā)展,監(jiān)聽(tīng)系統(tǒng)必將大有用武之地,因此監(jiān)聽(tīng)技術(shù)的研究已是時(shí)事的要求。
2)為什么選擇linux 作為環(huán)境?中國(guó)入世,各種針對(duì)盜版的打擊力度和對(duì)于正版軟件的保護(hù)力度都將大大加強(qiáng),windows的盜版軟件隨處可見(jiàn)的現(xiàn)象將會(huì)一去不返,面對(duì)這樣的情況,大部分的公司只有兩種選擇:要么花大價(jià)錢(qián)向微軟購(gòu)買(mǎi)正版軟件,要么是用自由操作系統(tǒng)linux,特別是重要部門(mén),如國(guó)家機(jī)關(guān),政府部門(mén),難道要把自己的辦公系統(tǒng)操縱在國(guó)外大公司手里?北京的政府辦公系統(tǒng)已經(jīng)轉(zhuǎn)用紅旗linux,而且linux的界面也在不但的改進(jìn),更加友好易操作,我們有理由相信.linux將在我國(guó)大有作為,這也是研究Linux 下網(wǎng)絡(luò)監(jiān)聽(tīng)的原因。
關(guān)于Linux下網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)主要有兩個(gè)要點(diǎn):
1)如何盡可能完整的截取網(wǎng)絡(luò)上的數(shù)據(jù)幀,因?yàn)橐蕴W(wǎng)上每時(shí)每刻都可能有信息傳遞,而且根據(jù)以太網(wǎng)的規(guī)模不同網(wǎng)絡(luò)上的信息量也變化不大,所以截取數(shù)據(jù)幀不僅要保證數(shù)據(jù)幀的完整,而且還要考慮到如何才能減少漏截取數(shù)據(jù)幀。
2)就是對(duì)截取的數(shù)據(jù)幀的過(guò)濾分析,所謂監(jiān)聽(tīng)當(dāng)然要"聽(tīng)"得懂才行,所以把截取的數(shù)據(jù)幀翻譯成我們能用的數(shù)據(jù),監(jiān)聽(tīng)才算成功。
網(wǎng)絡(luò)監(jiān)聽(tīng)的原理
Ethernet協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址,因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收到信息包,但是當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下的話(huà)不管數(shù)據(jù)包中的目標(biāo)物理地址是什么,主機(jī)都將可以接收到。許多局域網(wǎng)內(nèi)有十幾臺(tái)甚至上百臺(tái)主機(jī)是通過(guò)一個(gè)電纜、一個(gè)集線器連接在一起的,在協(xié)議的高層或者用戶(hù)來(lái)看,當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信的時(shí)候,源主機(jī)將寫(xiě)有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī),或者當(dāng)網(wǎng)絡(luò)中的一臺(tái)主機(jī)同外界的主機(jī)通信時(shí),源主機(jī)將寫(xiě)有目的的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去,要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口,也就是所說(shuō)的數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會(huì)識(shí)別IP地址的。在網(wǎng)絡(luò)接口由IP層來(lái)的帶有IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。在禎頭中,有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址這是一個(gè)48位的地址,這個(gè)48位的地址是與IP地址相對(duì)應(yīng)的,換句話(huà)說(shuō)就是一個(gè)IP地址也會(huì)對(duì)應(yīng)一個(gè)物理地址。對(duì)于作為網(wǎng)關(guān)的主機(jī),由于它連接了多個(gè)網(wǎng)絡(luò),它也就同時(shí)具備有很多個(gè)IP地址,在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。
Ethernet中填寫(xiě)了物理地址的禎從網(wǎng)絡(luò)接口中,也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的,那么數(shù)字信號(hào)在電纜上傳輸信號(hào)就能夠到達(dá)線路上的每一臺(tái)主機(jī)。再當(dāng)使用集線器的時(shí)候,發(fā)送出去的信號(hào)到達(dá)集線器,由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號(hào)也就能到達(dá)連接在集線器上的每個(gè)主機(jī)了。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí),正常狀態(tài)下網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)禎進(jìn)行檢查,如果數(shù)據(jù)禎中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會(huì)將數(shù)據(jù)禎交給IP層軟件。對(duì)于每個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)禎都要進(jìn)行這個(gè)過(guò)程的。但是當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下的話(huà),所有的數(shù)據(jù)禎都將被交給上層協(xié)議軟件處理。
當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候,那么要是有一臺(tái)主機(jī)處于監(jiān)聽(tīng)模式,它還將可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的數(shù)據(jù)包,在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?br>
在UNIX系統(tǒng)上,當(dāng)擁有超級(jí)權(quán)限的用戶(hù)要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽(tīng)模式,只需要向Interface(網(wǎng)絡(luò)接口)發(fā)送I/O控制命令,就可以使主機(jī)設(shè)置成監(jiān)聽(tīng)模式了。而在Windows9x的系統(tǒng)中則不論用戶(hù)是否有權(quán)限都將可以通過(guò)直接運(yùn)行監(jiān)聽(tīng)工具就可以實(shí)現(xiàn)了。
在網(wǎng)絡(luò)監(jiān)聽(tīng)時(shí),常常要保存大量的信息(也包含很多的垃圾信息),并將對(duì)收集的信息進(jìn)行大量的整理,這樣就會(huì)使正在監(jiān)聽(tīng)的機(jī)器對(duì)其它用戶(hù)的請(qǐng)求響應(yīng)變的很慢。同時(shí)監(jiān)聽(tīng)程序在運(yùn)行的時(shí)候需要消耗大量的處理器時(shí)間,如果在這個(gè)時(shí)候就詳細(xì)的分析包中的內(nèi)容,許多包就會(huì)來(lái)不及接收而被漏走。所以監(jiān)聽(tīng)程序很多時(shí)候就會(huì)將監(jiān)聽(tīng)得到的包存放在文件中等待以后分析。分析監(jiān)聽(tīng)到的數(shù)據(jù)包是很頭疼的事情。因?yàn)榫W(wǎng)絡(luò)中的數(shù)據(jù)包都非常之復(fù)雜。兩臺(tái)主機(jī)之間連續(xù)發(fā)送和接收數(shù)據(jù)包,在監(jiān)聽(tīng)到的結(jié)果中必然會(huì)加一些別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽(tīng)程序?qū)⑼籘CP會(huì)話(huà)的包整理到一起就相當(dāng)不容易了,如果你還期望將用戶(hù)詳細(xì)信息整理出來(lái)就需要根據(jù)協(xié)議對(duì)包進(jìn)行大量的分析。Internet上那么多的協(xié)議,運(yùn)行進(jìn)起的話(huà)這個(gè)監(jiān)聽(tīng)程序?qū)?huì)十分的大哦。
現(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計(jì)的,許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的,通信的雙方充分信任的基礎(chǔ)。在通常的網(wǎng)絡(luò)環(huán)境之下,用戶(hù)的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)模虼诉M(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)從而獲得用戶(hù)信息并不是一件難點(diǎn)事情,只要掌握有初步的TCP/IP協(xié)議知識(shí)就可以輕松的監(jiān)聽(tīng)到你想要的信息的。前些時(shí)間美籍華人China-babble曾提出將望路監(jiān)聽(tīng)從局域網(wǎng)延伸到廣域網(wǎng)中,但這個(gè)想法很快就被否定了。如果真是這樣的話(huà)我想網(wǎng)絡(luò)必將天下大亂了。而事實(shí)上現(xiàn)在在廣域網(wǎng)里也可以監(jiān)聽(tīng)和截獲到一些用戶(hù)信息。只是還不夠明顯而已。在整個(gè)Internet中就更顯得微不足道了。
監(jiān)聽(tīng)的協(xié)議分析
我們的研究從監(jiān)聽(tīng)程序的編寫(xiě)開(kāi)始,用Linux C語(yǔ)言設(shè)計(jì)實(shí)現(xiàn) ,系統(tǒng)的程序模塊及其相互關(guān)系如下圖所示:
以太網(wǎng)上數(shù)據(jù)幀的監(jiān)聽(tīng)剖析
以太網(wǎng)上的數(shù)據(jù)幀主要涉及Tcp/ip協(xié)議,針對(duì)以下幾個(gè)協(xié)議的分析:IP,ARP,RARP,IPX,其中重點(diǎn)在于ip和 arp協(xié)議,這兩個(gè)協(xié)議是多數(shù)網(wǎng)絡(luò)協(xié)議的基礎(chǔ),因此把他們研究徹底,就對(duì)大多數(shù)的協(xié)議的原理和特性比較清楚了。 由于各種協(xié)議的數(shù)據(jù)幀個(gè)不相同,所以涉及很多的數(shù)據(jù)幀頭格式分析,接下來(lái)將一一描述。
在linux 下監(jiān)聽(tīng)網(wǎng)絡(luò),應(yīng)先設(shè)置網(wǎng)卡狀態(tài),使其處于雜混模式以便監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有數(shù)據(jù)幀。然后選擇用Linux socket 來(lái)截取數(shù)據(jù)幀,通過(guò)設(shè)置socket() 函數(shù)參數(shù)值,可以使socket截取未處理的網(wǎng)絡(luò)數(shù)據(jù)幀,關(guān)鍵是函數(shù)的參數(shù)設(shè)置,下面就是有關(guān)的程序部分:
if ( ( fd=socket (AF_INET, SOCK_PACKET,htons(0x0003)))<0)
{perror ("can get SOCK_PACKET socket
");
exit(0);
}
AF_INET=2 表示 internet ip protocol
SOCK_PACKET=10 表示 截取數(shù)據(jù)幀的層次在物理層,既不作處理。
Htons(0x0003)表示 截取的數(shù)據(jù)幀的類(lèi)型為不確定,既接受所有的包。
總的設(shè)定就是網(wǎng)卡上截取所有的數(shù)據(jù)幀。這樣就可以截取底層數(shù)據(jù)幀,因?yàn)榉祷氐膶⑹且粋€(gè)指向數(shù)據(jù)的指針,為了分析方便,我設(shè)置了一個(gè)基本的數(shù)據(jù)幀頭結(jié)構(gòu)。
Struct etherpacket
{struct ethhdr eth;
struct iphdr ip;
struct tcphdr tcp;
char buff[8192];
} ep;
將返回的指針賦值給指向數(shù)據(jù)幀頭結(jié)構(gòu)的指針,然后對(duì)其進(jìn)行分析。以下是有關(guān)協(xié)議的報(bào)頭:ethhdr 這是以太網(wǎng)數(shù)據(jù)幀的mac報(bào)頭:
--------------------------------------------------------
|48bit 目的物理地址 | 48bit 源物理地址 | 16bit 協(xié)議地址|
--------------------------------------------------------
相應(yīng)的數(shù)據(jù)結(jié)構(gòu)如下
struct ethhdr
{
unsigned char h_dest[ETH_ALEN];
unsigned char h_source[ETH_ALEN];
unsigned short h_proto;
}
其中h_dest[6]是48位的目標(biāo)地址的網(wǎng)卡物理地址,h_source [6] 是48位的源地址的物理網(wǎng)卡地址。H_proto是16位的以太網(wǎng)協(xié)議,其中主要有0x0800 ip,0x8關(guān)鍵詞標(biāo)簽:Linux,網(wǎng)絡(luò)監(jiān)聽(tīng)
相關(guān)閱讀
熱門(mén)文章
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法
多種操作系統(tǒng)NTP客戶(hù)端配置
Linux操作系統(tǒng)修改IP
人氣排行
Linux下獲取CPUID、硬盤(pán)序列號(hào)與MAC地址
dmidecode命令查看內(nèi)存型號(hào)
linux tc實(shí)現(xiàn)ip流量限制
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
linux下解壓rar文件
lcx.exe、nc.exe、sc.exe入侵中的使用方法
Ubuntu linux 關(guān)機(jī)、重啟、注銷(xiāo) 命令
查看linux服務(wù)器硬盤(pán)IO讀寫(xiě)負(fù)載