基于局域網IP包分析的軟件的開發(fā)摘要本文主要闡述了目前網絡安全的現狀、缺陷、面臨的威脅，提出了相應的防范措施，并介紹了網絡的常用協(xié)議。然后又介紹了WINSOCK技術和監(jiān)聽原理，并對最廣泛的監(jiān)聽工具SNIFFER做了簡單的概述。基于當前網絡很多威脅都是來自與自己電腦的漏洞與自己不能夠清楚的察覺到自己電腦是否正在被侵犯，雖然防火墻可以提供幫助，但它不能對低層的東西顯示給大家。本文主要研究的是對局域網的數據包監(jiān)聽并分析，采用WINSOCK技術實現的。在此工具中主要有監(jiān)聽和IP數據包分析，同時可以設置規(guī)則屏蔽數據通過3大主要功能，并能通過窗體清楚的顯示出來。它使人們可以每時每刻觀察到進入自己電腦的數據包，并能夠觀察到進行數據交流時對方的IP地址和所開放的端口號，及時對信息明朗化，預防和防止黑客端口的監(jiān)聽。關鍵詞監(jiān)聽工具WINSOCK技術IP數據包ABSTRACTTHISTEXTHASEXPLAINEDTHECURRENTSITUATION,DEFECT,THREATFACEDOFTHEONLINESECURITYATPRESENTMAINLY,HAVEPUTFORWARDTHECORRESPONDINGPRECAUTIONARYMEASURES,HASINTRODUCEDTHEDAILYAGREEMENTOFTHENETWORKRECOMMENDWINSOCKTECHNOLOGYANDMONITORPRINCIPLE,MONITORTOAMOSTEXTENSIVEONETOOLSNIFFERMAKETHESIMPLESUMMARY。ONTHEBASISOFNETWORKALOTOFTHREATTOCOMEFROMWITHONESOWNLOOPHOLEANDONESELFOFCOMPUTERCANNOTCLEARPERCEIVINGWHETHERONESOWNCOMPUTERISBEINGINFRINGEDATPRESENT,THOUGHTHEFIREWALLCANOFFERHELP,ITCANTSHOWTOTHETHINGOFTHELOWERTOEVERYBODYMAINRESEARCHOFTHISTEXTISWRAPPINGUPANDMONITORINGANDANALYSINGABOUTTHEDATAOFTHELAN,ADOPTWINCOCKTECHNOLOGYTOREALIZEMONITORANDWRAPUPANDANALYSE2GREATMAINFUNCTIONSWITHIPDATAMAINLYINTOOLONCE,ANDCANCOMEOUTTHROUGHTHEDISPLAYTHATTHEWINDOWBODYISCLEARITSPEOPLECANOBSERVEALLTHETIMETHEDATAWHICHENTERONESOWNCOMPUTERARECHARTERED,ANDCANOBSERVETHEOTHERSIDESIPADDRESSANDENDSLOGANSOPENEDWHILEEXCHANGINGTHEDATA,CLEARTOINFORMATIONINTIME,PREVENTTHEMONITORINGOFBLACKPORTSKEYWORDSMONITORTOOLWINSOCKTECHNOLOGYIPDATAPACK目錄摘要IIABSTRACTIII目錄IV引言11網絡安全面臨的威脅211什么是網絡安全212網絡安全隱患與威脅213幾種常見的威脅類型414威脅我國網絡安全的4個因素52網絡協(xié)議73WINSOCK技術與監(jiān)聽原理1131WINSOCK技術概述1132局域網與以太網監(jiān)聽原理144SNIFFER1741SNIFFER概述1742怎樣防范SNIFFER185基于WINSOCK技術捕獲IP包工具的設計與實現2251系統(tǒng)概述2252系統(tǒng)概要設計2253系統(tǒng)主要功能介紹2454實例分析2855數據包首部解析2956指定IP和端口的數據包的屏蔽30結論34參考文獻36附錄37謝辭41引言網絡安全正在日益受到廣大的計算機用戶的關注，特別是“911“事件的影響讓我們對網絡的安全有了更深一層的認識。在INTERNET上有一批熟諳網絡技術的人，其中不乏網絡天才，他們經常利用網絡上現存的一些漏洞，想方設法進入他人的計算機系統(tǒng)。有些人只是為了一飽眼福，或純粹出于個人興趣，喜歡探人隱私，這些人通常不會造成危害。但也有一些人是存著不良動機侵入他人計算機系統(tǒng)的，通常會偷窺機密信息，或將其計算機系統(tǒng)搗毀。這部分人我們稱其為INTERNET上的“黑客“。如今INTERNET火爆全球，可令人頭疼的問題也隨之而來，那就是由于“黑客“在網上的活動極具危害性及破壞性，網絡安全問題已成為網絡管理員頭等關心的大事，也是決定INTERNET命運的重要因素。實際上已經出現許多個體網絡由于自身安全受到威脅，而不得不被迫暫退出INTERNET的事件。然而從根本意義講，絕對安全的計算機是根本不存在的，絕對安全的網絡也是不可能的。只有存放在一個無人知嘵的秘室里，而又不插電的計算機才可以稱之為安全。只要使用，就或多或少存在著安全問題，只是程度不同而已。我們在探討網絡安全的時候，實際上是指一定程度的網絡安全。而到底需要多大的安全性，卻要完全依據實際需要及自身能力而定。網絡安全性越高，同時也意味著對網絡使用的不便。21世紀全世界的計算機都將通過INTERNET聯(lián)到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。本文的目的就是希望大家能對網絡的各種威脅有所認識，并能通過我所編寫的程序來進行自我保護。1網絡安全面臨的威脅11什么是網絡安全國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是為數據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡的安全理解為通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等。12網絡安全隱患與威脅INTERNET的安全隱患主要體現在下列幾方面（1）INTERNET是一個開放的、無控制機構的網絡，黑客（HACKER）經常會侵入網絡中的計算機系統(tǒng)，或竊取機密數據和盜用特權，或破壞重要數據，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。（2）INTERNET的數據傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。（3）INTERNET上的通信業(yè)務多數使用UNIX操作系統(tǒng)來支持，UNIX操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務。（4）在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協(xié)議中是憑著君子協(xié)定來維系的。（5）電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。（6）計算機病毒通過INTERNET的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網絡系統(tǒng)癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著計算機網絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡容易受黑客、惡意軟件和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)和銀行等傳輸敏感數據的計算機網絡系統(tǒng)而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。計算機網絡所面臨的威脅大體可分為兩種一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網絡系統(tǒng)資源的非法使有，歸結起來，針對網絡安全的威脅主要有三1人為的無意失誤如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。2人為的惡意攻擊這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。3網絡軟件的漏洞和“后門”網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。13幾種常見的威脅類型計算機網絡上的通信面臨以下的4種威脅截獲攻擊者從網絡上竊聽他人的通信內容。中斷攻擊者有意中斷他人在網絡上的通信。篡改攻擊者故意篡改網絡上傳送的報文。偽造攻擊著偽造信息在網絡上傳送。上述四種威脅可劃分為兩大類,即為被動攻擊和主動攻擊,上面的截獲信息的攻擊為被動攻擊,而篡改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。在被動攻擊中,攻擊者只是觀察和分析某一個協(xié)議數據單元PDU而不干擾信息流。即使這些數據對攻擊者來說是不易理解的,他也可通過觀察PDU的協(xié)議控制信息部分,了解正在通信的協(xié)議實體的地址和身份。研究PDU的長度和傳輸的頻度以便了解所交換的數據的性質。這種被動攻擊攻擊又稱為通信量分析主動攻擊是指攻擊者對某個連接中的通過的PDU進行各種處理。如有選擇地更改,刪除,延遲這些PDU當然還包括記錄和復制他們。還可在稍后的時間將以前錄下的PDU插入這個連接即重放攻擊。甚至還可將合成的或偽造的PDU送入到一個連接中去。所有主動攻擊都是上述各種方法的某種組合。但從類型上來看,自動攻擊又可進一步劃分為三種,即（1）更改報文流包括對通過連接的PDU的真實性,完整性和有序性的攻擊（2）拒絕報文服務指攻擊者或者刪除通過某一連接的所有PDU或者將對方或單方的所有PDU加以延遲,在2000年2月7日至9日美國的幾個著名網站遭黑客襲擊,使這些網站的服務器一直處于“忙“的狀態(tài),因而拒絕向發(fā)出請求的客戶提供服務這種攻擊方式被稱為拒絕服務DOSDENIALOFSERVICE若從因特網上的成千上萬的網站集中攻擊一個網站,則稱為分布式拒絕服務DDOSDISTRIBUTEDDENIALOFSERVICE。（3）偽造連接初始化攻擊者重放以前被已被記錄的合法連接初始化序列,或者偽造身份而企圖建立連接還有一種特殊的主動攻擊就是惡意程序的攻擊,惡意程序種類繁多,對網絡安全威脅叫大的主要有以下幾種計算機病毒一種會“傳染“其他程序的程序,“傳染“是通過修改其他程序來把自身或其變種復制進去完成的計算機懦蟲一種通過網絡的通信功能將自身從一個結點發(fā)送到另一個結點并啟動運行的程序特洛依木馬一種程序,他執(zhí)行的功能超出所聲稱的功能,如一個編譯程序除了執(zhí)行編譯任務以外,還把用戶的源程序偷偷地拷貝下來,則這種編譯程序就是一個特諾衣木馬,計算機病毒有時也以特諾衣木馬的形式出現邏輯炸彈一種當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序,如一個編譯程序,平時運行的很好,但當系統(tǒng)時間為13日又為星期五時,它刪去系統(tǒng)中所有的系統(tǒng)文件,這種程序就是一種邏輯炸彈。除了以上的幾種威脅還有黑客侵襲，密碼破解，系統(tǒng)漏洞，還有一些郵件，QQ炸彈等。這些都是表面已經被大家所熟悉的，而潛在的威脅也是不可忽視的，象千年蟲就是一個很好的例子，一段時間不會構成威脅，誰也說不好他什么時候爆發(fā)，防范工作更是防不勝防。14威脅我國網絡安全的4個因素目前我國的網絡發(fā)展也是一日千里，威脅的種類也不斷的在增加，隨時可能出現新的病毒，這是不能預料的，但針對目前來看對我國的網絡安全造成威脅主要有4個方面（1）網絡的開放性是目標系統(tǒng)容易遭受攻擊的固有弱點?；ヂ?lián)網的靈魂是“開放與共享”，這就給黑客提供了攻擊的便利。開放和安全在一定程度上相互矛盾，如果采取了太多的防范措施來保證安全，勢必會大大降低信息交流的效率，從而傷害“開放與共享”的初衷。（2）很多網站的脆弱性是由軟件引起的。大量的軟件有漏洞，黑客就利用漏洞進行攻擊。北京大學計算機科學系信息安全研究室主任陳鐘教授說，軟件漏洞是不可避免的。比如微軟的“視窗”操作系統(tǒng)，推出前先要進行內部測試，之后發(fā)出幾十萬份進行外部測試，即便如此，在其正式版本中，仍然漏洞多多，它的操作系統(tǒng)和網絡瀏覽器上，都發(fā)現過危害網絡安全的漏洞。北京中聯(lián)綠盟信息技術公司總經理沈繼業(yè)也指出，很多網站自行開發(fā)的程序，為黑客攻擊大開方便之門。某國內大型網上書店，其開發(fā)的用戶接口程序沒有有效的過濾，黑客可以從中輸入指令，并因此破壞了其數據庫。（3）一些公司為名譽起見，不積極追究黑客的法律責任。美國八大網站受到攻擊，但并未使其比較敏感的客戶資料泄露，因此在媒體上大炒而特炒；相反，一些公司被黑后損失更為嚴重慘重，反而無聲無息。國內有些公司為保證客戶對其的信任，不敢公布自己的損失，更不敢把黑客送上法庭，往往采取私了的方式，這種“姑息養(yǎng)奸”的做法就進一步助長了黑客的囂張氣焰。（4）目前關于網絡犯罪的法律還不健全?；ヂ?lián)網畢竟是新生事物，它對傳統(tǒng)的法律提出了挑戰(zhàn)。比如盜竊、刪改他人系統(tǒng)信息屬于犯罪行為，但僅僅是觀看，既不進行破壞，也不謀取私利算不算犯罪還比如網上有很多BBS，黑客在上邊討論軟件漏洞、攻擊手段等，這既可以說是技術研究，也可以說是提供攻擊工具，這又算不算犯罪呢更進一步說，提高網絡安全技術水平的有效途徑就是做黑客，以掌握網絡漏洞。2網絡協(xié)議因特網是一個發(fā)展非常活躍的領域。在1968年，它的早期研究成果開始嶄露頭角，后來便出現了它的前身ARPANET，ARPANET為表現因特網特性的試驗平臺做出了重大貢獻，1973年，因特網正式面世。從那時起，關于因特網的研究和努力就一直沒有間斷過，其中大部分努力都是圍繞著被稱為網絡的一個新型賽博空間所需要的標準而進行的。因特網協(xié)議及其標準與世界上任何其他事物的結構不同，它總是由一些機構或專業(yè)人士中的個人首先提出的。為了了解新的協(xié)議是如何出現并最終成為標準的，應該首先熟悉縮寫詞RFC，即REQUESTFORCOMMENT。它的發(fā)展變遷過程要追溯到1969年，起因是由于因特網的成員過于分散。正如這個詞的字面意思所示，這些文檔是一些實用文檔、方法、測試結果、模型甚至完整的規(guī)范。因特網社會的成員可以閱讀，也可以把意見反饋給RFC，如果這些想法（或基本原理）被社會接受，就有可能成為標準。在因特網社會中關于RFC的用法（MO）以及如何操作并沒有太大的變化。1969年，當時只有一個網絡，整個社會不超過一百位專業(yè)人員；隨著因特網的飛速發(fā)展，因特網不但需要一個機構來集中和協(xié)調這些成果，并且需要制定一個最低要求的準則，至少能在成員之間進行有效的通信并取得相互了解。1974年前后，擺在ARPANET面前的形勢很清晰了，通信聯(lián)絡需要進一步擴展，它需要的不僅是要能容納成倍增加的通信媒體，而且要了解早已存在于群組中的許多領域的意義。這個領域需要一個管理者。大約在1977年，隨著作為因特網實驗備忘錄（IEN）一部分的許多實驗的進行，著名的TCP/IP協(xié)議獲得了發(fā)展的動力。沒過多久（1986年），為了RFC討論的需要，需要建立一個由工程技術人員組成的、對標準的發(fā)展負責的工作機構，以便有效地引導因特網的發(fā)展成長，這樣，因特網工程工作組（INENG）成立了。今天，因特網工程部（IETF）和因特網研究部（TRTF）成為對因特網近期工程需求和遠期研究目標負責、并擔負重任的兩個工作組。這兩個組織曾直接隸屬于國際網絡執(zhí)行委員會（IAB），現在屬于因特網協(xié)會（1992年成立），這個協(xié)會最終也是為因特網技術的發(fā)展負責的。但是，如果你是一個因特網上的常客，可能對縮略詞IAB并不滿意，的確，在IAB的逐步發(fā)展并走向成熟過程中，IAB將它的名字改為“INTERNETARCHITECTUREBOARD”（由“ACTIVITIES”改為“ARCHITECTURE”），因為IAB在因特網發(fā)展的運作方面并沒起多大作用。談到RFC標準，那么首先考慮到的應該是RFC733。如果有關于標準的想法或對因特網有益的新技術，可以把它作為RFC提交給因特網社會。作為IAB成員之一的RFC編輯，決定著RFC的發(fā)表，對任一正式文檔，RFC都有一種確定的風格和格式?，F今因特網上用到的主要協(xié)議有用戶數據報協(xié)議（UDP），次要文件傳輸協(xié)議（TFTP），網際協(xié)議（IP），因特網控制報文協(xié)議ICMP，傳輸控制協(xié)議TCP，地址轉換協(xié)議ARP，虛終端協(xié)議TELNET，反向地址轉換協(xié)議RARP，外部網關協(xié)議EGP版本2，引導協(xié)議BOOTP，路由信息協(xié)議RIP，距離向量多播路由協(xié)議DVMRP。下面對每項協(xié)議做一些簡單的介紹網際協(xié)議（IP）是廣泛用于公司、政府部門和因特網上的網絡協(xié)議。它支持許多個人、專業(yè)以及商業(yè)上的應用系統(tǒng)，像電子郵件、數據處理以及圖像、聲音的傳輸等。IP是一個無連接的數據報（報文）傳輸協(xié)議。用它來進行網上的尋址、路由選擇以及對傳輸和接收數據報進行控制。每個數據報都包括源地址和目的地址、控制信息以及傳向主機層或來自主機層的真實數據。IP數據報是進行網上（包括因特網）傳送的基本單位。由于IP是一個無連接協(xié)議，所以它不需要定義一個與邏輯網絡連接的關聯(lián)路徑。由于信息包是由路由器接收的，因此IP尋址信息常用來確定信息包到達其最終目的地址的最佳路由。這樣，盡管IP沒有關于數據路徑用法的控制，但當一個資源不可用時，它能為數據報重選路由。用戶數據報協(xié)議（UDP）為IP提供了一種不可靠、無連接的數據報傳輸服務。因此，此協(xié)議通常應用于面向事務的實用程序，如IP標準“簡單網絡管理協(xié)議（SNMP）”和“次要文件傳輸協(xié)議（TFTP）”。同下一節(jié)要討論的TCP一樣，UDP與IP協(xié)同工作用來傳送報文到目的地址，并提供協(xié)議端口以區(qū)分運行于單個主機上的軟件應用程序。然而，與TCP不同的是，UDP并不保證數據不丟失和不被復制，因此，如果要使數據傳輸可靠的話，一定要用TCP而不是UDP。傳輸控制協(xié)議（TCP）為IP提供了一種可靠的面向連接的傳輸層服務。由于它為非同類的計算機系統(tǒng)和網絡之間提供了很高的互操作能力，TCP/IP得到了迅速發(fā)展，從而使它走出學術理論領域而進入市場。該協(xié)議通過使用一個握手方案，提供了一種在主機之間建立、維護和終止邏輯連接的機制。另外，TCP提供了協(xié)議端口，從而可以通過每個包含目的端口和源端口號的消息，辨別運行于單一設備上的多道程序。TCP還通過單一的網絡連接對字節(jié)流、數據流的界定、數據確認、數據再傳輸以及多路復用的多重連接提供了可靠的傳輸。路由信息協(xié)議（RIP）是一個距離向量、內部網關協(xié)議（IGP），路由器用它來交換路由選擇信息，通過RIP向終端站和路由器提供在不同網絡進行動態(tài)選擇最佳路徑的信息。因特網控制報文協(xié)議（ICMP）是IP的一部分，其作用是處理錯誤報文和系統(tǒng)級報文，并將報文發(fā)送到糾錯網關或主機。它用的是IP的基本支持，看上去好像是一個更高級的協(xié)議，但是，ICMP確實是IP不可分割的一部分，且IP的每一部分都必須執(zhí)行它。控制報文的傳送是在這么幾種情況下，例如當數據報不能到達它的目的地時，或當網關轉發(fā)數據報失敗時（一般是由于沒有足夠的緩沖容量）。因特網組管理協(xié)議（IGMP）定義于RFC1112，它的形成是為了使多路訪問網絡上的主機能夠命令具有它們群組成員信息的本地路由器，它是通過主機多播IGMP的主機成員報告來實現的。這些多播路由器偵聽到這些信息后能夠與其他多播路由器交換群組成員信息，這里允許形成分發(fā)樹去傳遞多播數據報。邊界網關協(xié)議版本4（BGP4）是一個能使處于不同自治系統(tǒng)中的路由器進行路由信息交換的外部網關協(xié)議。BGP4還提供了一系列機制以方便CIDR，這是因為它提供了廣播一個任意長IP前綴的能力且由此消除了BGP中網絡“類”的概念。BGP使用TCP以確保交互式自治系統(tǒng)的信息的傳遞。僅當拓撲結構發(fā)生變化時產生更新信息，且更新信息只包含變化了的那部分信息，這減少了網上的通信量，也降低了為了使路由器間的路由表保持一致所需的開銷。地址轉換協(xié)議（ARP）是一種從主機因特網地址獲得其以太網地址的方法。發(fā)方廣播一個含有另一個主機因特網地址的ARP數據包，并等待它送回其以太網地址。每個主機都持有一個地址轉換高速緩存，以減少延遲和負載。ARP允許因特網地址獨立于以太網地址，但只有當所有主機都支持它時才能工作。反向地址轉換協(xié)議（RARP）提供了與前面所述的ARP相反的功能。RARP映像一硬件地址，也稱為MAC地址，到一IP地址。RARP主要用于無盤節(jié)點，當其首次初始化時，用來查找它們的因特網地址，其功能與BOOTP很相似。簡單網絡管理協(xié)議（SNMP）用于管理IP網絡上的節(jié)點。在IP安全因素中，某種程度上忽視了網絡設備自身的保護。SNMPV2使得對網絡設備的管理方法得到明顯加強。但由于略有爭議，SNMP的安全特性還有待于進一步完善。注意SNMPV2最初提出的一些方面的安全性被做成了可選擇的，有的在1996年3月根據因特網標準從SNMPV2的描述中清除掉了?，F在新的SNMPV2又有一個實驗性安全協(xié)議被提出。盡管如此，SNMP仍是一個用于監(jiān)視和控制IP路由器和連接網絡的標準協(xié)議。這個面向事務的協(xié)議描述了SNMP管理者與代理之間結構化管理信息的傳遞。駐留于工作站上的SNMP管理者發(fā)出查詢去收集路由器的狀態(tài)、配置和執(zhí)行信息網絡時間協(xié)議（NTP）是一個建立在TCP/IP之上的協(xié)議，通過在因特網上參考無線電裝置、原子時鐘以及其他時鐘，確保對本地時間的準確記錄。此協(xié)議能在很長一段時間內使分布式時鐘同步在毫秒級。動態(tài)主機配置協(xié)議（DHCP）是1994年末由MICROSOFT在35版本的NT服務器上所介紹的一個協(xié)議。這個協(xié)議提供了一種動態(tài)分配IP地址到IBMPC的一種方法，前提是這些PC上運行的是MICROSOFTWINDOWS并且處于局域網中。系統(tǒng)管理員分配一個IP地址范圍給DHCP，且在LAN上的每一客戶PC都配有各自的TCP/IP軟件，這些軟件的作用是從DHCP服務器請求一個IP地址請求和授權過程使用可控時間段租用的概念。3WINSOCK技術與監(jiān)聽原理31WINSOCK技術概述WINSOCK是為上層應用程序提供的一種標準網絡接口。上層應用程序不用關心WINSOCK實現的細節(jié)，它為上層應用程序提供透明的服務。WINSOCK2是WINDOWSSOCKET的20版本。WINSOCK2引入的一個新功能就是打破服務提供者的透明，讓開發(fā)者可以編寫自己的服務提供者接口程序，即SPI程序。SPI以動態(tài)鏈接庫（DLL）的形式存在，它工作的應用層，為上層API調用提供接口函數。WINSOCK2是一個接口，不是一個協(xié)議。作為接口，它只能發(fā)現和利用底層傳輸協(xié)議完成通信。下面對SOCK進行詳細介紹SOCK套接字先看定義TYPEDEFUNSIGNEDINTU_INTTYPEDEFU_INTSOCKETSOCKET相當于進行網絡通信兩端的插座，只要對方的SOCKET和自己的SOCKET有通信聯(lián)接，雙方就可以發(fā)送和接收數據了。三種常用類型（1）流式套接字STREAMSOCKET定義DEFINESOCK_STREAM1流式套接字提供了雙向、有序的、無重復的以及無記錄邊界的數據流服務，適合處理大量數據。它是面向聯(lián)結的，必須建立數據傳輸鏈路，同時還必須對傳輸的數據進行驗證，確保數據的準確性。因此，系統(tǒng)開銷較大。（2）數據報套接字DATAGRAMSOCKET定義DEFINESOCK_DGRAM2數據報套接字也支持雙向的數據流，但不保證傳輸數據的準確性，但保留了記錄邊界。由于數據報套接字是無聯(lián)接的，例如廣播時的聯(lián)接，所以并不保證接收端是否正在偵聽。數據報套接字傳輸效率比較高。（3）原始套接字RAWPROTOCOLINTERFACE定義DEFINESOCK_RAW3原始套接字保存了數據包中的完整IP頭，前面兩種套接字只能收到用戶數據。因此可以通過原始套接字對數據進行分析。SOCKET開發(fā)所必須需要的文件以WINSOCKV20為例頭文件WINSOCK2H庫文件WS2_32LIB動態(tài)庫W32_32DLL一些重要的定義（1）數據類型的基本定義這個大家一看就懂。TYPEDEFUNSIGNEDCHARU_CHARTYPEDEFUNSIGNEDSHORTU_SHORTTYPEDEFUNSIGNEDINTU_INTTYPEDEFUNSIGNEDLONGU_LONG（2）網絡地址的數據結構舊的網絡地址結構的定義，為一個4字節(jié)的聯(lián)合STRUCTIN_ADDRUNIONSTRUCTU_CHARS_B1,S_B2,S_B3,S_B4S_UN_BSTRUCTU_SHORTS_W1,S_W2S_UN_WU_LONGS_ADDRS_UNDEFINES_ADDRS_UNS_ADDR/CANBEUSEDFORMOSTTCP新的網絡地址結構的定義非常簡單，就是一個無符號長整數UNSIGNEDLONG。舉個例子IP地址為127001的網絡地址是什么呢請看定義DEFINEINADDR_LOOPBACK0X7F000001（3）套接字地址結構1、SOCKADDR結構STRUCTSOCKADDRU_SHORTSA_FAMILY/ADDRESSFAMILY/CHARSA_DATA14/UPTO14BYTESOFDIRECTADDRESS/SA_FAMILY為網絡地址類型，一般為AF_INET，表示該SOCKET在INTERNET域中進行通信，該地址結構隨選擇的協(xié)議的不同而變化，因此一般情況下另一個與該地址結構大小相同的SOCKADDR_IN結構更為常用，SOCKADDR_IN結構用來標識TCP/IP協(xié)議下的地址。換句話說，這個結構是通用SOCKET地址結構，而下面的SOCKADDR_IN是專門針對INTERNET域的SOCKET地址結構。SOCKADDR_IN結構STRUCTSOCKADDR_INSHORTSIN_FAMILYU_SHORTSIN_PORTSTRUCTIN_ADDRSIN_ADDRCHARSIN_ZERO8SIN_FAMILY為網絡地址類型，必須設定為AF_INET。SIN_PORT為服務端口，注意不要使用已固定的服務端口，如HTTP的端口80等。如果端口設置為0，則系統(tǒng)會自動分配一個唯一端口。SIN_ADDR為一個UNSIGNEDLONG的IP地址。SIN_ZERO為填充字段，純粹用來保證結構的大小。將常用的用點分開的IP地址轉換為UNSIGNEDLONG類型的IP地址的函數UNSIGNEDLONGINET_ADDRCONSTCHARFARCP用法UNSIGNEDLONGADDRINET_ADDR“1921884“如果將SIN_ADDR設置為INADDR_ANY，則表示所有的IP地址，也即所有的計算機。DEFINEINADDR_ANYU_LONG0X00000000（4）主機地址先看定義STRUCTHOSTENTCHARFARH_NAME/OFFICIALNAMEOFHOST/CHARFARFARH_ALIASES/ALIASLIST/SHORTH_ADDRTYPE/HOSTADDRESSTYPE/SHORTH_LENGTH/LENGTHOFADDRESS/CHARFARFARH_ADDR_LIST/LISTOFADDRESSES/DEFINEH_ADDRH_ADDR_LIST0/ADDRESS,FORBACKWARDCOMPAT/H_NAME為主機名字。H_ALIASES為主機別名列表。H_ADDRTYPE為地址類型。H_LENGTH為地址類型。H_ADDR_LIST為IP地址，如果該主機有多個網卡，就包括地址的列表。另外還有幾個類似的結構，這里就不一一介紹了。（5）常見TCP/IP協(xié)議的定義DEFINEIPPROTO_IP0DEFINEIPPROTO_ICMP1DEFINEIPPROTO_IGMP2DEFINEIPPROTO_TCP6DEFINEIPPROTO_UDP17DEFINEIPPROTO_RAW25532局域網與以太網監(jiān)聽原理（1）什么是網絡監(jiān)聽網絡監(jiān)聽是黑客們常用的一種方法。當成功地登錄進一臺網絡上的主機，并取得了這臺主機的超級用戶的權限之后，往往要擴大戰(zhàn)果，嘗試登錄或者奪取網絡中其他主機的控制友。而網絡監(jiān)聽則是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。在網絡上，監(jiān)聽效果最好的地方是在網關、路由器、防火墻一類的設備處，通常由網絡管理員來操作。使用最方便的是在一個以太網中的任何一臺上網的主機上，這是大多數黑客的做法。（2）局域網監(jiān)聽的基本原理根據IEEE的描述，局域網技術是“把分散在一個建筑物或相鄰幾個建筑物中的計算機、終端、大容量存儲器的外圍設備、控制器、顯示器、以及為連接其它網絡而使用的網絡連接器等相互連接起來，以很高的速度進行通訊的手段。局域網具有設備共享、信息共享、可進行高速數據通訊和多媒體信息通信、分布式處理、具有較高的兼容性和安全性等基本功能和特點。目前局域網主要用于辦公室自動化和校園教學及管理，一般可根據具體情況采用總線形、環(huán)形、樹形及星形的拓撲結構。對于目前很流行的以太網協(xié)議，其工作方式是將要發(fā)送的數據包發(fā)往連接在一起的所有主機，包中包含著應該接收數據包主機的正確地址，只有與數據包中目標地址一致的那臺主機才能接收。但是，當主機工作監(jiān)聽模式下，無論數據包中的目標地址是什么，主機都將接收（當然只能監(jiān)聽經過自己網絡接口的那些包）。在因特網上有很多使用以太網協(xié)議的局域網，許多主機通過電纜、集線器連在一起。當同一網絡中的兩臺主機通信的時候，源主機將寫有目的的主機地址的數據包直接發(fā)向目的主機。但這種數據包不能在IP層直接發(fā)送，必須從TCP/IP協(xié)議的IP層交給網絡接口，也就是數據鏈路層，而網絡接口是不會識別IP地址的，因此在網絡接口數據包又增加了一部分以太幀頭的信息。在幀頭中有兩個域，分別為只有網絡接口才能識別的源主機和目的主機的物理地址，這是一個與IP地址相對應的48位的地址。傳輸數據時，包含物理地址的幀從網絡接口（網卡）發(fā)送到物理的線路上，如果局域網是由一條粗纜或細纜連接而成，則數字信號在電纜上傳輸，能夠到達線路上的每一臺主機。當使用集線器時，由集線器再發(fā)向連接在集線器上的每一條線路，數字信號也能到達連接在集線器上的每一臺主機。當數字信號到達一臺主機的網絡接口時，正常情況下，網絡接口讀入數據幀，進行檢查，如果數據幀中攜帶的物理地址是自己的或者是廣播地址，則將數據幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個幀丟棄。對于每一個到達網絡接口的數據幀，都要進行這個過程。然而，當主機工作在監(jiān)聽模式下，所有的數據幀都將被交給上層協(xié)議軟件處理。而且，當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一臺主機處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網（使用了不同的掩碼、IP地址和網關）的主機的數據包。也就是說，在同一條物理信道上傳輸的所有信息都可以被接收到。另外，現在網絡中使用的大部分協(xié)議都是很早設計的，許多協(xié)議的實現都是基于一種非常友好的、通信的雙方充分信任的基礎之上，許多信息以明文發(fā)送。因此，如果用戶的賬戶名和口令等信息也以明文的方式在網上傳輸，而此時一個黑客或網絡攻擊者正在進行網絡監(jiān)聽，只要具有初步的網絡和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分。同理，正確的使用網絡監(jiān)聽技術也可以發(fā)現入侵并對入侵者進行追蹤定位，在對網絡犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網絡犯罪的有力手段。（3）以太網中監(jiān)聽原理在電話線路和無線電、微波中監(jiān)聽傳輸的信息比較好理解，但是人們常常不太理解為什么局域網中可以進行監(jiān)聽。甚至有人問能不能監(jiān)聽不在同一網段的信息。下面就講述在以太網中進行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。對于一個施行網絡攻擊的人來說，能攻破網關、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設備，對網絡進行監(jiān)控，或者使用一些專門的設備，運行專門的監(jiān)聽軟件，并防止任何非法訪關。然而，潛入一臺不引人注意的計算機中，悄悄地運行一個監(jiān)聽程序，一個黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個擔負繁忙任務的計算機中進行監(jiān)聽，可以立即被管理員發(fā)現。4SNIFFER41SNIFFER概述以太網SNIFFING是指對以太網設備上傳送的數據包進行偵聽，發(fā)現感興趣的包。如果發(fā)現符合條件的包，就把它存到一個LOG文件中去。通常設置的這些條件是包含字“USERNAME“或“PASSWORD“的包。它的目的是將網絡層放到PROMISCUOUS模式，從而能干些事情。PROMISCUOUS模式是指網絡上的所有設備都對總線上傳送的數據進行偵聽，并不僅僅是它們自己的數據。根據第二章中有關對以太網的工作原理的基本介紹，可以知道一個設備要向某一目標發(fā)送數據時，它是對以太網進行廣播的。一個連到以太網總線上的設備在任何時間里都在接受數據。不過只是將屬于自己的數據傳給該計算機上的應用程序。利用這一點，可以將一臺計算機的網絡連接設置為接受所有以太網總線上的數據，從而實現SNIFFER。SNIFFER通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數據進行監(jiān)控。SNIFFER屬第二層次的攻擊。通常是攻擊者已經進入了目標系統(tǒng)，然后使用SNIFFER這種攻擊手段，以便得到更多的信息。SNIFFER除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個其他重要的信息，在網上傳送的金融信息等等。SNIFFER幾乎能得到任何以太網上的傳送的數據包。SNIFFERS嗅探器幾乎和INTERNET有一樣悠久的歷史了。他們是最早的一個允許系統(tǒng)管理員分析網絡和查明哪里有錯誤發(fā)生的工具。不幸的是CRACKERS也會運行SNIFFERS以暗中監(jiān)視你的網絡狀況和竊走不同種類的數據。在單選性網絡中,以太網結構廣播至網路上所有的機器,但是只有預定接受信息包的那臺計算機才會響應。不過網路上其他的計算機同樣會“看到“這個信息包,但是如果他們不是預定的接受者,他們會排除這個信息包。當一臺計算機上運行著SNIFFER的時候并且網絡處于監(jiān)聽所有信息交通的狀態(tài),那么這臺計算機就有能力瀏覽所有的在網絡上通過的信息包。如果你是個INTERNET歷史方面的白癡并且在想SNIFFER這個詞從何而來。SNIFFER是最初是網絡的產物然后成為市場銷售的領先者,人們開始稱所有的網絡分析器為“SNIFFERS“。我猜測這些人是和管棉簽叫QTIP的人一樣的。LAN/WAN管理員使用SNIFFERS來分析網絡信息交通并且找出網絡上何處發(fā)生問題。一個安全管理員可以同時用多種SNIFFERS,將它們放置在網絡的各處,形成一個入侵警報系統(tǒng)。對于系統(tǒng)管理員來說SNIFFERS是一個非常好的工具,但是它同樣是一個經常被HACKERS使用的工具。CRACKERS安裝SNIFFER以獲得用戶名和賬號,信用卡號碼,個人信息,和其他的信息可以導致對你或是你的公司的極大危害如果向壞的方面發(fā)展。當它們得到這些信息后,CRACKERS將使用密碼來進攻其他的INTERNET站點甚至倒賣信用卡號碼。我比較傾向于SNOOPSNOOP是按SOLARIS的標準制作的,雖然SNOOP不像是SNIFFERPRO那樣好,但是它是一個可定制性非常強的SNIFFER,在加上它是免費的和SOLARIS附一起。誰能打敗它的地位你可以在極短時間內抓獲一個信息包或是更加深的分析。42怎樣防范SNIFFER顯而易見的,保護網絡不受SNIFFER監(jiān)聽的方法就是不要讓它們進入。如果一個CRACKER不能通過你的系統(tǒng)進入的話,那么他們無法安裝SNIFFERS我們是有可能防止這個的。但是從發(fā)現空前數目的安全漏洞并且大多數公司并沒有足夠能力來修復以來,CRACKERS開始利用漏洞并安裝SNIFFERS。自從CRACKERS看上一個大多數網絡通訊流通的中心區(qū)域防火墻或是代理服務器時,他們便確定這是他們的攻擊目標并將被監(jiān)視。一些可能的“受害者“在服務器的旁邊,這時候個人信息將被截獲WEBSERVER,SMTPSEVER一個好的方式來保護你的網絡不受SNIFFER監(jiān)視是將網絡用以太網接線器代替普通的集線器分成盡可能多的段。接線器可以分割你的網絡通訊并防止每一個系統(tǒng)“看到“每個信息包但是這個解決方法的缺點就是太費錢。這種接線器是普通集線器價錢的兩至三倍,但是它值這么多。另一個方法是,和那種接線器比就是加密術SNIFFER依然可以監(jiān)視到信息的傳送,但是顯示的是亂碼。一些加密術的缺點是速度問題和使用一個弱加密術比較容易被攻破幾乎所有的加密技術將導致網絡的延遲。加密術越強,網絡溝通速度就越慢。系統(tǒng)管理員和用戶需要在某個地方折中一下。雖然大多數的系統(tǒng)管理員愿意使用市場上最好的加密術,但是世界上沒有一個地方的網絡安全用品制造商看起來獲益很多。希望近期能有新的加密術,AES高級加密標準,將提供更好的加密術和透明度給用戶以讓每個人都開心。有一些加密總是比沒有加密要好的多。如果一個CRAKCER正在你的網絡上運行SNIFFER并發(fā)現所有他/她收集的資料都是亂碼,那么大多數會轉移到其他的沒有使用加密術的站點上但是一份支票或是一個決心,HACKER將會破解一個弱加密術標準所以要變的聰明和提供一個強有力的加密術。1999年,在L0PHTHEAVYINDUSTRIES的兄弟發(fā)布了一個名為ANTISNIFF的軟件。它可以掃描你的網路并測試一臺計算機是否運行在混雜模式監(jiān)聽網路上每個數據包。這是一個很有用的工具因為如果你的網路上有SNIFFER,那么10次有9次,系統(tǒng)會被危及安全。這曾經發(fā)生在COMPUTERSCIENCEDEPARTMENTATCALIFORNIASTATEUNIVERSITYSTANISLAUS這里是他們貼在網站上的“一個SNIFFER程序被發(fā)現運行在COMPUTERSCIENCE網路SNIFFER程序是被用來截獲密碼的。為了保護我們自己,請更換你的密碼。最好用特殊的符號并大于8位的密碼“我確定一定有幾百個相似的帖子在世界各地被發(fā)布但并不被公開。ANTISNIFF也幫助你找到那些運行SNIFFER來尋找本地網路上錯誤的,但卻忘了要求授權的系統(tǒng)管理員。如果你需要運行一個SNIFFER,那么你應當先得到準許。如果安全系統(tǒng)管理員正在運行ANTISNIFF并發(fā)現你正在運行一個SNIFFER,那么你要解釋為什么你沒有獲得準許就運行SNIFFER。希望你的安全方針包括關于SNIFFERS的部分并提供一些運行SNIFFERS的指導。寫的同時,ANTISNIFF1021版本是現在的版本。一個非常好的GUI有效于WIN95/98/NT機器。一個命令行譯本同樣適用于SOLARIS,OPENBSD和LINUX。這個版本的ANTISNIFF只在單選性線路環(huán)境下運行如果你的網路是又路由器和接線器組成的,那么ANTISNIFF不具備和在單選性網路上的效用。你只能將它用在本地網絡而不能通過路由和接線器。根據L0PHT的網站來看,下一個版本的ANTISNIFF將有能力通過路由和接線器判斷一臺計算機是否處于混雜狀態(tài)。下一個版本的ANTISNIFF將對系統(tǒng)管理員十分有益因為集線器的價格正在下降并且大多數公司將提升到100M的速度CRACKER依然可以安裝SNIFFERS,不同的是,你已經消除了他們獲取數據包的能力了。要防止SNIFFER并不困難，有許多可以選用的方法。但關鍵是都要有開銷。所以問題在于你是否舍得開銷。你最關心的可能是傳輸一些比較敏感的數據，如用戶ID或口令等等。有些數據是沒有經過處理的，一旦被SNIFFER，就能獲得這些信息。解決這些問題的辦法是加密。（1）加密我們介紹以下SSH，它又叫SECURESHELL。SSH是一個在應用程序中提供安全通信的協(xié)議。它是建立在客戶機/服務器模型上的。SSH服務器的分配的端口是22。連接是通過使用一種來自RSA的算法建立的。在授權完成后，接下來的通信數據是用IDEA技術來加密的。這通常是較強的，適合與任何非秘密和非經典的通訊。SSH后來發(fā)展成為FSSH，提供了高層次的，軍方級別的對通信過程的加密。它為通過TCP/IP網絡通信提供了通用的最強的加密。如果某個站點使用FSSH，用戶名和口令成為不是很重要的一點。目前，還沒有人突破過這種加密方法。即使是SNIFFER，收集到的信息將不再有價值。當然最關鍵的是怎樣使用它。SSH和FSSH都有商業(yè)或自由軟件版本存在。（2）比較容易接受的是使用安全拓撲結構。這聽上去很簡單，但實現是很花錢的。玩過一種智力游戲嗎，它通常有一系列數字組成。游戲的目的是要安排好數字，用最少的步驟，把它們按遞減順序排好。當處理網絡拓撲時，就和這個游戲一樣。下面是一些規(guī)則一個網絡段必須有足夠的理由才能信任另一網絡段。網絡段應該考慮你的數據之間的信任關系上來設計，而不是硬件需要。這就建立了，讓我們來看看。第一點一個網絡段是僅由能互相信任的計算機組成的。通常它們在同一個房間里，或在同一個辦公室里。比如你的財務信息，應該固定在建筑的一部分。注意每臺機器是通過硬連接線接到HUB的。HUB再接到交換機上。由于網絡分段了，數據包只能在這個網段上別SNIFFER。其余的網段將不可能被SNIFFER。所有的問題都歸結到信任上面。計算機為了和其他計算機進行通信，它就必須信任那臺計算機。作為系統(tǒng)管理員，你的工作是決定一個方法，使得計算機之間的信任關系很小。這樣，就建立了一種框架，你告訴你什么時候放置了一個SNIFFER，它放在那里了，是誰放的等等。如果你的局域網要和INTERNET相連，僅僅使用防火墻是不夠的。入侵者已經能從一個防火墻后面掃描，并探測正在運行的服務。你要關心的是一旦入侵者進入系統(tǒng)，他能得到些什么。你必須考慮一條這樣的路徑，即信任關系有多長。舉個例子，假設你的WEB服務器對某一計算機A是信任的。那么有多少計算機是A信任的呢。又有多少計算機是受這些計算機信任的呢用一句話，就是確定最小信任關系的那臺計算機。在信任關系中，這臺計算機之前的任何一臺計算機都可能對你的計算機進行攻擊，并成功。你的任務就是保證一旦出現的SNIFFER，它只對最小范圍有效。SNIFFER往往是攻擊者在侵入系統(tǒng)后使用的，用來收集有用的信息。因此，防止系統(tǒng)被突破是關鍵。系統(tǒng)安全管理員要定期的對所管理的網絡進行安全測試，