第4招　网络监听与嗅探

起初，网络监听常被网络管理员用于以太网中监测传输的网络数据，它在排除网络故障等方面功不可没，倍受网络管理员的青睐。后来，有许多网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件，并有意无意地将这种技术引入到了黑客领域，就给以太网带来了极大的安全隐患。

1.网络监听实例演练

网络监听可有效地对网络数据、流量进行侦听、分析，从而排除网络故障，同时又带来了信息失窃等极大隐患。例如，若要查看当前计算机的IP地址，则具体的方法是“在命令提示符下输入'ipconfig'命令，即可查看当前计算机的IP地址，如图1-26所示”。若想查看本机网卡的IP地址与MAC（Media Access Control，介质访问控制）地址，只需在命令提示符下输入"ipconfig/all"命令，如图1-27所示。

一般而言，网卡有几种接收数据帧的状态，如unicast（直接模式）、broadcast（广播模式）、multicast（多播模式）、promiscuous（混杂模式）等。

在www.google.cn中搜索“Sniffer工具”这个关键词，可以找到非常多的可用方法和工具。搜索结果如图1-28所示。下面以一款常见工具Sniffer Pro为例介绍一下使用方法。

Sniffer Pro是一款协议分析软件，可运行在各种Windows平台上，Sniffer Pro在安装时需要填写注册信息，运行时占用内存比较大，否则就会降低运行速度。

设置和使用Sniffer Pro的具体操作步骤如下。

步骤1：第一次使用Sniffer Pro时，用户需要选择监听的适配器，如图1-29所示。单击【新建】按钮，即可打开【新建设置】对话框，在其中可根据需要创建新项目。单击【好】按钮，即可完成设置，如图1-30所示。

步骤2：单击【确定】按钮，即可打开Sniffer Pro操作窗口，如图1-31所示。选择【捕获】→【开始】菜单项或单击工具栏中 按钮，即可开始进行捕获，如图1-32所示。在捕获过程中可以通过查看捕获报文数量和缓冲区利用率等。

步骤3：双击任意一个IP地址，即可对该报文信息进行详细的查看（即专家分析系统），如图1-33所示。专家分析系统提供了一个只能分析的平台——对网络上的流量进行一些分析。而对于某项统计分析可以使用鼠标双击该条记录查看详细的统计信息，同时对于每一项都可以通过查看帮助来了解其原因。

步骤4：在【Sniffer Pro】主窗口中选择【监视器】→【主机列表】菜单项，即可看到捕获到的主机的详细信息，如图1-34所示。选择【捕获】→【停止并显示】菜单项，即可对所捕获的数据进行查看。切换到“解码”选项卡，即可看到所捕获到的数据包，如图1-35所示。

步骤5：切换到“矩阵”选项卡，即可看到全网的连接情况，如图1-36所示。图中的绿线表示正在发生的网络连接，而蓝线则表示过去的连接。

步骤6：选择【监视器】→【定义过滤器】菜单项，即可打开【定义过滤器-监视器】对话框，如图1-37所示。切换到“地址”选项卡，在“地址类型”下拉列表中选择"Hardware"选项；在“已知的地址”栏目中选择“任意”选项；在“位置1”栏的第一行中单击并输入链路层地址条件，如001E8C17B085，此时在“地址2”栏目中会显示"Any"，而"dir."栏目中的箭头则表示数据流的方向。

步骤7：切换到“高级”选项卡，在其中编辑协议捕获条件。如勾选"IP"复选框，展开该项的所有子项并勾选"ICMP"复选框；在“数据包大小”下拉列表中选择"ALL"选项；在“数据包类型”栏目中勾选所有复选框，如图1-38所示。

步骤8：单击【配置文件】按钮，即可打开【捕获配置文件】对话框，在其中可以看到默认的设置，如图1-39所示。在“数据模式”选项卡中可以任意编辑捕获条件，单击【添加AND/OR】按钮，即可添加关系结点，如图1-40所示。

步骤9：单击【增加样式】按钮，即可添加模板；单击【添加NOT】按钮，即可添加排除结点。使用该选项卡可以实现复杂的报文过滤，但一般情况下所截获的报文不多，使用这种方法是得不偿失的。

步骤10：Sniffer Pro还具有报文发送功能，选择【工具】→【数据包发生器】菜单项，即可看到【数据包发生器】窗口，如图1-41所示。

步骤11：单击【发送1帧】按钮 ，即可打开【发送新的帧】对话框，如图1-42所示。在“发送”栏目中设置要发送的次数，也可保持默认设置；在“发送类型”栏目中设置发送的时间间隔，一般保持默认1毫秒。

步骤12：单击【尺寸】按钮，即可打开【设置数据包大小】对话框，如图1-43所示。在“新大小”文本框中输入要发送的数据帧的长度，单击【好】按钮返回到【发送新的帧】对话框，此时在“数据包”栏目中可使用方向键对报文的内容进行编辑。

步骤13：单击【确定】按钮，即可看到该报文处于发送状态，如图1-44所示。

使用这种方式发送报文优势在于：当网络发送出现问题时网络流量就会发生异常，可通过网络流时分析图帮助用户及时找出引发流量异常的问题所在。

步骤14：如果相对Sniffer Pro的相关选项进行设置，则选择【工具】→【选项】菜单，即可打开【选项】对话框，在其中设置各个选项卡，如图1-45所示。

步骤15：另外，Sniffer Pro还允许用户自定义工具。选择【工具】→【定制用户工具】菜单，即可打开【定义】对话框，如图1-46所示。单击【添加】按钮，即可添加需要的工具。

Sniffer Pro不仅可确保网络性能的优化，还可通过对网络连接情况的分析，发现并清除病毒，此功能在网络管理是非常重要的。随着企业对网络性能的要求越来越高，在这些情况下，使用Sniffer Pro就成为不错的选择。此外，Sniffer Pro还具有报文发送、网络监视、解码分析等功能，用户可以通过Sniffer Pro帮助文件来获得这方面的信息。

2.用SSS扫描器实施扫描

SSS（Shadow Security Scaner）是一款著名的系统漏洞扫描器，可对很大范围内的系统漏洞进行高效、可靠的安全检测，其系统扫描的速度与精度足以让用户敢于向专业的安全机构和那些专门入侵他人计算机系统的黑客叫板。

利用SSS扫描器对系统漏洞进行扫描的具体操作步骤如下。

步骤1：安装好SSS软件后，选择【开始】→【程序】→【Safety-lab】→【Shadow Security Scaner】→【Shadow Security Scaner】菜单项，即可进入其操作界面，如图1-47所示。

步骤2：单击工具栏上的【New session】按钮，即可打开【New session】对话框，在其中设置扫描项目设置向导的有关选项，如图1-48所示。

步骤3：用户可以选择预设的扫描规则，也可单击【Add rule】按钮，即可打开【Create new rule】对话框，在其中创建新的扫描规则，如图1-49所示。

步骤4：单击【OK】按钮，即可在设置扫描选项对话框中设置新扫描规则的有关选项，如图1-50所示。在选择好扫描规则后（如"Complete Scan"选项），单击【Next】按钮，在显示的对话框中单击【Add host】按钮，即可添加扫描的目标计算机，如图1-51所示。

步骤5：选取"Host"单选项，可添加单一目标计算机的IP地址或计算机名称；选取"Hosts range"单选项，可添加一个IP地址范围；选取"Hosts from file"单选项，可通过指定已存在的目标计算机列表文件添加目标计算机；选取"Host groups"单选项，则可通过添加工作组的方式添加目标计算机，并设置登录的用户名称和密码。在添加好目标计算机之后，单击【Add】按钮，即可完成目标计算机的添加，如图1-52所示。

步骤6：单击【Next】按钮，即可完成扫描项目的创建并返回SSS主界面。单击工具栏上的【Start scan】按钮，开始对目标计算机进行扫描，并可在"Statistics"标签卡中查看扫描进程，如图1-53所示。在"Vulnerabilities"标签卡中查看扫描结果，其中给出了危险程序、补救措施等内容，如图1-54所示。

步骤7：使用SSS还可以进行DoS安全性进行检测。单击左侧窗口中的【DoS Checker】按钮，即可打开如图1-55所示的对话框。在其中选择检测的项目，设置扫描的线程数（Threads）之后，单击【Start】按钮，即可进行DoS检测并给出检测结果。

步骤8：选择【Tools】→【Options】菜单项，即可打开SSS选项设置对话框，在其中可以设置常规选项（如图1-56所示），扫描选项（如图1-57所示）等。

3.用流光扫描弱口令

流光软件可以探测POP3（Post Office Protocol 3，邮局协议版本3）、FTP（File Transfer Protocol，文本传输协议）、HTTP、SQL（Structured Query Language）、SMTP、IPC$（Internet Process Connection）等各种漏洞，并针对各种漏洞设计了不同的破解方案，可在有漏洞的系统上轻易得到被探测的用户密码。

具体的操作步骤如下。

步骤1：下载、安装并启动流光软件，即可进入其主窗口，如图1-58所示。

步骤2：选择【文件】→【高级扫描向导】菜单项，即可打开【设置】对话框，在“起始地址”和“结束地址”文本框中输入目标网段主机的开始和结束IP地址，在“目标系统”下拉列表中选择待检测的操作系统类型，勾选“获取主机”和“PING检查”复选框，在“检测项目”列表框中选择需要扫描的项目，如图1-59所示。

步骤3：单击【下一步】按钮，即可打开【PORTS】对话框，在其中设置所要扫描的端口号，如图1-60所示。根据向导提示单击【下一步】按钮，即可设置各检测项目的相关信息。当然，也可以直接采用默认设置。

步骤4：在设置完毕之后，即可进入【选项】对话框，在其中可根据需要选择猜解用户名字典、密码字典和保存扫描报告的路径，并选择相应的并发线程数目，如图1-61所示。

步骤5：单击【完成】按钮，即可完成设置并弹出【选择流光主机】对话框，在其中选择用于扫描的流光主机，如图1-62所示。

步骤6：如果只用本机扫描，则单击【开始】按钮，即可自动扫描。如果要选择目标机，则单击【详情】按钮，即可打开【Sensor管理工具】对话框，如图1-63所示。

步骤7：单击【新增】按钮，即可打开【安装Fluxay Sensor】对话框，在其中输入目标机的相应信息，如图1-64所示。单击【安装】按钮，在安装成功之后再单击【确定】按钮，即可完成设置操作。

步骤8：单击【开始】按钮，即可自动进行扫描，扫描完成后将自动生成一个HTML（Hyper Text Markup Language，超文本标记语言）格式的扫描报告，在其中显示了扫描到的用户密码，如图1-65所示。

除使用“高级扫描向导”配置高级扫描外，还可选择【探测】→【高级扫描工具】菜单项，在【高级扫描设置】对话框中设置进行扫描，如图1-66所示。如果用户只是希望对某一漏洞进行探测，例如对POP3邮箱的弱口令进行扫描，则需要进行如下的操作。

步骤1：在流光主窗口中右击“POP3主机”选项，从快捷菜单中选择【编辑】→【添加】选项，即可打开【添加主机】对话框，在其中输入要添加邮箱的名称，如图1-67所示。

步骤2：单击【确定】按钮，即可完成邮箱的添加操作，如图1-68所示。右击添加的邮箱并选择【编辑】→【从列表添加】选项，即可打开【打开】对话框，在其中选择创建的用户字典，如图1-69所示。

步骤3：单击【打开】按钮，即可将用户字典添加成功。单击“显示所有项目”选项，即可显示出所有将破解的用户列表，如图1-70所示。

步骤4：如果是大量用户，则选择【探测】→【简单模式探测】菜单项，在其中搜索出弱口令用户。如果是少量用户或添加的单个指定用户，则使用密码字典文件进行破解，即右击“解码字典或方案”选项，从快捷菜单中选择【编辑】→【添加】菜单项，即可搜索出相应的弱口令。

4.命令行嗅探器Windump

Windump不仅是一个嗅探器，而且是一个网络报文分析程序。可获得与网络的报文相关的大量的重要底层信息，且能够诊断所有类型的网络问题。

下面举例介绍一下Windump工具的使用方法。

例1：在“命令提示符”窗口中运行"windump-D"命令，即可列出本机可供抓包的全部接口，如图1-71所示。

小技巧　当本机存在多个网卡时，使用"windump-D"命令非常有用。例如，某用户机器装有3块网卡，若只抓第二块网卡上的包，可用"windump-D"列出机器上所有的网卡，再指定只抓第二块网卡的包，只需继续输入“Windump I 2（2指网卡序号）”即可。

例2：在“命令提示符”窗口的命令提示符下输入"windump-n host 192.168.0.12"命令，即可只抓关于192.168.0.12主机的包（不管包的方向），如图1-72所示。

例3：也可以通过在命令提示符下输入"windump-n host 192.168.0.12 and udp port 514"命令，则表示只抓关于主机192.168.0.12上udp（User Datagram Protocol，用户数据报协议）协议端口为514的包。

例4：在命令提示符下输入"windump-n net 10.45"命令，则表示只抓10.45网段的包（不管包的方向）。

例5：在命令提示符下输入"windump-n host！133.191.1.1"命令，则表示抓所有非133.191.1.1有关的包。

5.经典嗅探器Iris

Iris网络流量分析监测工具可以帮助系统管理员轻易地捕获和查看用户的使用情况，可以同时检测到进入和发出的信息流，则会自动进行存储和统计，偏重于查看和管理。

具体的操作步骤如下。

步骤1：初次启动Iris时会要求选择绑定网卡，在其中选择好需要绑定的适配器，如图1-73所示。单击【确定】按钮，即可进入"Iris"主窗口。单击工具栏上的 按钮，即可捕捉所有流经的数据帧，如图1-74所示。

步骤2：Iris可以捕获所在网段里所有的数据包，单击【捕获】按钮图标，主窗口被分为3个窗格：左侧“封包解码器”窗格用树型结构显示着每个数据包的详细结构以及数据包每个部分所包含的数据；右下角“封包编辑器”窗格分左右两部分，左边显示数据包的十六进制信息，右边则显示对应的ASCII值；右上角“封包列表”窗格显示所有流经的数据包列表（新产生的数据包自动添加到列表里）。在选中特定的数据包之后，其详细信息将会呈树型显示在“封包解码器”窗格中。

步骤3：单击左侧"Iris"栏目中的【解码】按钮图标，即可对捕获的数据包进行分析，如图1-75所示，其主窗口也分为三个窗格。左边的“主机活动”窗格用于列出按照服务类型显示的树型结构的主机传输信息；选中某个服务之后，客户机和服务器之间的会话信息就会显示在“会议列表视图”窗格中，选中某个会话记录可在“会议数据视图”窗格里显示解码后的信息；在“会议列表视图”窗格中每个会话的属性有服务器、客户机、服务器端口、客户机端口、客户机物理地址，还有服务器到客户机的数据量、客户机到服务器的数据量以及总的数据量；右下角的“会议数据视图”窗格显示解码后的会话信息。

步骤4：流经Sniffer的数据很多，但大部分都没什么实际用处，可以通过“过滤器”设置仅处理需要的信息以减少系统资源占用。单击Iris主窗口中的【过滤器】图标，即可弹出如图1-76所示的配置窗口。

步骤5：单击 按钮，即可按图表形式展示与本机相连数据量最大的10台主机，如图1-77所示。

在其中可以用多种方式显示（包括饼图、柱状图等），还可在底部状态栏上切换数据包类型（IP包、MAC包或IPX包）。据此可以查出可疑连接（显然数据通信量最大的几个连接主机都值得怀疑）。

该工具还可以显示QQ聊友的IP地址，在状态栏上切换到IP类型（因为它采用TCP/IP协议）后，给聊友发一个信息，图表中马上就可以显示对方的IP地址。

提示　硬件过滤是确保选中混杂模式，以确保可捕捉当前网段的数据包。 kG9eLFXhST2p0EIMhB3pwYDKlam/s7xj5Gw6I6mTJMfQa8d7MF0VdVyBzNqENA0p