網絡監聽工具的提供給管理員的一類管理工具。使用這種工具,可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。
但是網絡監聽工具也是***們常用的工具。當信息以明文的形式在網絡上傳輸時,便可以使用網絡監聽的方式來進行***。將網絡接口設置在監聽模式,便可以源源不斷地將網上傳輸的信息截獲。
網絡監聽可以在網上的任何一個位置實施,如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。***們用得最多的是截獲用戶的口令。
什麼是網絡監聽
網絡監聽是***們常用的一種方法。當成功地登錄進一臺網絡上的主機,並取得了這臺主機的超級用戶的權限之後,往往要擴大戰果,嘗試登錄或者奪取網絡中其他主機的控制友。而網絡監聽則是一種最簡單而且最有效的方法,它常常能輕易地獲得用其他方法很難獲得的信息。
在網絡上,監聽效果最好的地方是在網關、路由器、防火牆一類的設備處,通常由網絡管理員來操作。使用最方便的是在一個以太網中的任何一臺上網的主機上,這是大多數***的做法。
以太網中可以監聽的原因
在電話線路和無線電、微波中監聽傳輸的信息比較好理解,但是人們常常不太理解爲什麼局域網中可以進行監聽。甚至有人問:能不能監聽不在同一網段的信息。下面就講述在以太網中進行監聽的一些原理。在令牌環中,道理是相似的。
對於一個施行網絡***的人來說,能攻破網關、路由器、防火牆的情況極爲少見,在這裏完全可以由安全管理員安裝一些設備,對網絡進行監控,或者使用一些專門的設備,運行專門的監聽軟件,並防止任何非法訪關。然而,潛入一臺不引人注意的計算機中,悄悄地運行一個監聽程序,一個***是完全可以做到的。監聽是非常消耗CPU資源的,在一個擔負繁忙任務的計算機中進行監聽,可以立即被管理員發現,因爲他發現計算機的響應速度令人驚奇慢。
對於一臺連網的計算機,最方便的是在以太網中進行監聽,只須安裝一個監聽軟件,然後就可以坐在機器旁瀏覽監聽到的信息了。
以太網協議的工作方式爲將要發送的數據包發往連在一起的所有主機。在包頭中包含着應該接收數據包的主機的正確地址。因此,只有與數據包中目標地址一致的那臺主機才能接收信包。但是,當主機工在監聽模式下,無論數據包中的目標物理地址是什麼,主機都將接收。
在Internet上,有許多這樣的局域網。幾臺甚至十幾臺主機通過一條電纜一個集線器連在一起。在協議的高層或用戶看來,當同一網絡中的兩臺主機通信時,源主機將寫有目的主機IP地址的數據包發向網關。但是,這種數據包並不能在協議棧的高層直接發送出去。要發送的數據包必須從TCP/IP協議的IP層交給網絡接口,即數據鏈路層。
網絡接口不能識別IP地址。在網絡接口,由IP層來的帶有IP地址的數據包又增加了一部分信息:以太幀的幀頭。在帖頭中,有兩個域分別爲只有網絡接口才能識別的源主機和目的主機的物理地址,這是一個48位的地址。這個48位的地址是與IP地址對應的。也就是說,一個IP地址,必然對應一個物理地址。對於作爲網關的主機,由於它連接了多個網絡,因此它同時具有多個IP地址,在每個網絡中,它都有一個。發向局域網之外的幀中攜帶的是網關的物理地址。
在以太網中,填寫了物理地址的幀從網絡接口中,也就是從網卡中發送出去,傳送到物理的線路上。如果局域網是由一條粗纜或細纜連接機而成,則數字信號在電纜上傳輸,信號能夠到達線路上的每一臺主機。當使用集線器時,發送出去的信號到達集線器,由集線器再發向連接在信線器上的每一條線路。於是,在物理線路上傳輸的數字信號也能到達連接在集線器上的每一主機。
數字信號到達一臺主機的網絡接口時,在正常情況下,網絡接口讀入數據幀,進行檢查,如果數據幀中攜帶的確良物理地址是自己的,或者物理地址是廣播地址,則將數據幀交給上層協議軟件,也就是IP層軟件,否則就將這個幀丟棄。對於每一個到達網絡接口的數據幀,都要進行這個過程。然而,當主機工作在監聽模式下,則所有的數據幀都將被交給上層協議軟件處理。
局域網的這種工作方式,一個形象的例子是,大房間就像是一個共享的信道,裏面的每個人好像是一臺主機。人們所說的話是信息包,在大房間中到處傳播。當我們對其中某個人說話時,所有的人都能聽到。但只有名字相同的那個人,纔會對這些話語做出反映,進行處理。其餘的人聽到了這些談話,只能從發呆中猜測,是否在監聽他人的談話。
當連接在同一條電纜或集線器上的主機被邏輯地分爲幾個子網時,如果一臺主機處於監聽模式下,它還能接收到發向與自己不在同一子網(使用了不同的掩碼、IP地址和網關)的主機的那些信包。也就是說,在同一條物理信道上傳輸的所有信息都可以被接收到。
許多人會問:能不能監聽不在同一個網段計算機傳輸的信息。答案是否定的,一臺計算機只能監聽經過自己網絡接口的那些信包。否則,我們將能監聽到整個Internet,情形會多麼可怕。
目前的絕大多數計算機網絡使用共享的通信信道。從上面的討論中,我們知道,通信信道的共享意味着,計算機有可能接收發向另一臺計算機的信息。
另外,要說明的是,Internet中使用的大部分協議都是很早設計的,許多協議的實現都是基於一種非常友好的,通信的雙方充分信任的基礎之上。因此,直到現在,網絡安全還是非常脆弱的。在通常的網絡環境下,用戶的所有信息,包手戶頭和口令信息都是以明文的方式在網上傳輸。因此,對於一個網絡***和網絡***者進行網絡監聽,獲得用戶的各種信息並不是一件很困難的事。只要具有初步的網絡和TCP/IP協議知識,便能輕易地從監聽到的信息中提取出感興趣的部分。
網絡監聽常常要保存大量的信息,對收集的信息進行大量的整理工作,因此,正在進行監的機器對用戶的請求響應很慢。
首先,網絡監聽軟件運行時,需要消耗大量的處理器時間,如果在此時,就詳細地分析包中的內容,許多包就會來不信接收而漏掉。因此,網絡監聽軟件通常都是將監聽到的包存放在文件中,待以後再分析。
其次,網絡中的數據包非常複雜,兩臺主機之間即使連續發送和接受數據包,在監聽到的結果中,中間必然會夾雜了許多別的主機交互的數據包。監聽軟件將同一TCP會話的包整理到一起,已經是很不錯了。如果還希望將用戶的詳細信息整理出眯,需要根據協議對包進行大量的分析。面對網絡上如此衆多的協議,這個監聽軟件將會十分龐大。
其實,找這些信息並不是一件難事。只要根據一定的規律,很容易將有用的信息一一提取出來 。