《网络端口监听端口技术ppt课件》由会员分享,可在线阅读,更多相关《网络端口监听端口技术ppt课件(36页珍藏版)》请在金锄头文库上搜索。
1、第4章 网络端口监听与端口扫描技术 1 本章提示4 1计算机网络监听的概述4 2网络监听工具 Sniffer 嗅探器 4 3端口扫描技术 2 4 1计算机网络监听的概述 随着计算机技术的发展 网络已日益成为生活中不可或缺的工具 但伴之而来的非法入侵也一直威胁着计算机网络系统的安全 由于局域网中采用广播方式 因此 在某个广播域中可以监听到所有的信息包 而黑客通过对信息包进行分析 就能获取局域网上传输的一些重要信息 事实上 很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段 原因是想用这种方法获取其想要的密码等信息 但另一方面 我们对黑客入侵活动和其它网络犯罪进行侦查 取证时 也可以使用网
2、络监听技术来获取必要的信息 因此 了解以太网监听技术的原理 实现方法和防范措施就显得尤为重要 所谓的网络监听 是指主机网络进程接受到IP数据包后 察看其的目标端口是不是自己的端口号 如果是的话就接受该数据包进行处理 进行网络通讯的主机 既要发送数据 也要接受数据 所以就要开启相应的端口以接受数据 一个网络上的主机有可能开启多个网络进程 如即浏览网页又上QQ 也就是监听了多个端口 3 4 1计算机网络监听的概述 4 1 1网络监听的原理 Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机 在包头中包括有应该接收数据包的主机的正确地址 因为只有与数据包中目标地址一致的那台主机
3、才能接收到信息包 但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么 主机都将可以接收到 许多局域网内有十几台甚至上百台主机是通过一个电缆 一个集线器连接在一起的 在协议的高层或者用户来看 当同一网络中的两台主机通信的时候 源主机将写有目的的主机地址的数据包直接发向目的主机 或者当网络中的一台主机同外界的主机通信时 源主机将写有目的的主机IP地址的数据包发向网关 但这种数据包并不能在协议栈的高层直接发送出去 要发送的数据包必须从TCP IP协议的IP层交给网络接口 也就是所说的数据链路层 网络接口不会识别IP地址的 在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯
4、头的信息 在祯头中 有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址 这个48位的地址是与IP地址相对应的 换句话说就是一个IP地址也会对应一个物理地址 对于作为网关的主机 由于它连接了多个网络 它也就同时具备有很多个IP地址 在每个网络中它都有一个 而发向网络外的祯中继携带的就是网关的物理地址 待续 4 4 1计算机网络监听的概述 4 1 1网络监听的原理 Ethernet中填写了物理地址的祯从网络接口中 也就是从网卡中发送出去传送到物理的线路上 如果局域网是由一条粗网或细网连接成的 那么数字信号在电缆上传输信号就能够到达线路上的每一台主机 再当使用集线器的
5、时候 发送出去的信号到达集线器 由集线器再发向连接在集线器上的每一条线路 这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了 当数字信号到达一台主机的网络接口时 正常状态下网络接口对读入数据祯进行检查 如果数据祯中携带的物理地址是自己的或者物理地址是广播地址 那么就会将数据祯交给IP层软件 对于每个到达网络接口的数据祯都要进行这个过程的 但是当主机工作在监听模式下的话 所有的数据祯都将被交给上层协议软件处理 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候 那么要是有一台主机处于监听模式 它还将可以接收到发向与自己不在同一个子网 使用了不同的掩码 IP地址和网关 的
6、主机的数据包 在同一个物理信道上传输的所有信息都可以被接收到 在UNIX系统上 当拥有超级权限的用户要想使自己所控制的主机进入监听模式 只需要向Interface 网络接口 发送I O控制命令 就可以使主机设置成监听模式了 而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了 待续 5 4 1计算机网络监听的概述 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候 那么要是有一台主机处于监听模式 它还将可以接收到发向与自己不在同一个子网 使用了不同的掩码 IP地址和网关 的主机的数据包 在同一个物理信道上传输的所有信息都可以被接收到 在UNIX系
7、统上 当拥有超级权限的用户要想使自己所控制的主机进入监听模式 只需要向Interface 网络接口 发送I O控制命令 就可以使主机设置成监听模式了 而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了 在网络监听时 常常要保存大量的信息 也包含很多的垃圾信息 并将对收集的信息进行大量的整理 这样就会使正在监听的机器对其它用户的请求响应变的很慢 同时监听程序在运行的时候需要消耗大量的处理器时间 如果在这个时候就详细的分析包中的内容 许多包就会来不及接收而被漏走 所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析 分析监听到的数据包是很头疼的事情
8、 因为网络中的数据包都非常之复杂 两台主机之间连续发送和接收数据包 在监听到的结果中必然会加一些别的主机交互的数据包 监听程序将同一TCP会话的包整理到一起就相当不容易了 如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析 Internet上那么多的协议 运行进起的话这个监听程序将会十分的大哦 待续 4 1 1网络监听的原理 6 现在网络中所使用的协议都是较早前设计的 许多协议的实现都是基于一种非常友好的 通信的双方充分信任的基础 在通常的网络环境之下 用户的信息包括口令都是以明文的方式在网上传输的 因此进行网络监听从而获得用户信息并不是一件难点事情 只要掌握有初步的TCP I
9、P协议知识就可以轻松的监听到你想要的信息的 前些时间美籍华人China babble曾提出将望路监听从局域网延伸到广域网中 但这个想法很快就被否定了 如果真是这样的话我想网络必将天下大乱了 而事实上现在在广域网里也可以监听和截获到一些用户信息 只是还不够明显而已 在整个Internet中就更显得微不足道了 监听的协议分析我们的研究从监听程序的编写开始 用LinuxC语言设计实现 以太网上数据帧的监听剖析以太网上的数据帧主要涉及Tcp ip协议 针对以下几个协议的分析 IP ARP RARP IPX 其中重点在于ip和arp协议 这两个协议是多数网络协议的基础 因此把他们研究彻底 就对大多数的协
10、议的原理和特性比较清楚了 由于各种协议的数据帧个不相同 所以涉及很多的数据帧头格式分析 接下来将一一描述 待续 4 1计算机网络监听的概述 4 1 1网络监听的原理 7 4 1计算机网络监听的概述 4 1 1网络监听的原理 在linux下监听网络 应先设置网卡状态 使其处于杂混模式以便监听网络上的所有数据帧 然后选择用Linuxsocket来截取数据帧 通过设置socket 函数参数值 可以使socket截取未处理的网络数据帧 关键是函数的参数设置 下面就是有关的程序部分 AF INET 2表示internetipprotocolSOCK PACKET 10表示截取数据帧的层次在物理层 既不作
11、处理 Htons 0 x0003 表示截取的数据帧的类型为不确定 既接受所有的包 总的设定就是网卡上截取所有的数据帧 这样就可以截取底层数据帧 因为返回的将是一个指向数据的指针 为了分析方便 我设置了一个基本的数据帧头结构 Structetherpacket structethhdreth structiphdrip structtcphdrtcp charbuff 8192 ep 待续 8 4 1计算机网络监听的概述 4 1 1网络监听的原理 将返回的指针赋值给指向数据帧头结构的指针 然后对其进行分析 以下是有关协议的报头 ethhdr这是以太网数据帧的mac报头 48bit目的物理地址 4
12、8bit源物理地址 16bit协议地址 相应的数据结构如下structethhdrunsignedcharh dest ETH ALEN unsignedcharh source ETH ALEN unsignedshorth proto 其中h dest 6 是48位的目标地址的网卡物理地址 h source 6 是48位的源地址的物理网卡地址 H proto是16位的以太网协议 其中主要有0 x0800ip 0 x8035 X25 0 x8137ipx 0 x8863 0 x8864pppoe 这是Linux的ppp 0 x0600ether loop back 0 x0200 0 x02
13、01pup等 Iphdr这是ip协议的报头 由此可以定义其结构如下 这是Linux的ip协议报头 针对版本的不同它可以有不同的定义 我们国内一般用BIG的定义 其中version是ip的版本 protocol是ip的协议分类主要有0 x06tcp 0 x11udp 0 x01icmp 0 x02igmp等 saddr是32位的源ip地址 daddr是32位的目标ip地址 相应的数据结构 待续 9 4 1计算机网络监听的概述 4 1 1网络监听的原理 structarphdr unsignedshortintar hrd unsignedshortintar pro unsignedcharar
14、 hln unsignedcharar pln unsignedshortintar op if0unsignedchar ar sha ETH ALEN unsignedchar ar sip 4 unsignedchar ar tha ETH ALEN unsignedchar ar tip 4 endif 这是linux的arp协议报头 其中ar hrd是硬件地址的格式 ar pro协议地址的格式 ar hln是硬件地址的长度 ar pln时协议地址的长度 ar op是arp协议的分类0 x001是arpecho0 x0002是arpreply 接下来的分别是源地址的物理地址 源ip地址
15、 目标地址的物理地址 目标ip地址 Tcphdrip协议的tcp协议报头以下是相应数据结构 structtcphdr u int16 tsource u int16 tdest u int32 tseq u int32 tack seq if BYTE ORDER LITTLE ENDIANu int16 tresl 4 u int16 tdoff 4 u int16 tfin 1 u int16 tsyn 1 u int16 trst 1 u int16 tpsh 1 u int16 tack 1 u int16 turg 1 u int16 tres2 2 待续 10 4 1计算机网络监听
16、的概述 4 1 1网络监听的原理 elif BYTE ORDER BIG ENDIANu int16 tdoff 4 u int16 tres1 4 u int16 tres2 2 u int16 turg 1 u int16 tack 1 u int16 tpsh 1 u int16 trst 1 u int16 tsyn 1 u int16 tfin 1 else error Adjustyourdefines endifu int16 twindow u int16 tcheck u int16 turg ptr 这是Linux下tcp协议的一部分与ip协议相同取BIG 其中source是源端口 dest是目的端口 seq是s序 ack seq是a序号 其余的是tcp的连接标志其中包括6个标志 syn表示连接请求 urg表示紧急信息 fin表示连接结束 ack表示连接应答 psh表示推栈标志 rst表示中断连接 window是表示接受数据窗口大小 check是校验码 urgptr是紧急指针 Udphdr这是udp协议报头structudphdr u int16 tsource u
