网络监听攻击技术

来源： 作者： 时间：2008-03-17 Tag： 点击：

安全方面的考虑

DOS 攻击的检测与预防

　　我国还在网络的发展阶段，自然有网络“hacker”、“crack”出现，也正是由于是发展阶段，这些人的攻击手段一般靠一些工具，这些工具一般分为破解性和破坏性，破解性耗时长成功率低，而破坏性的工具较符合这些人的性格故受欢迎，而DOS攻击工具攻击方便，成功率高，一般是“hacker”的首选。

　　所谓的DOS攻击是一种拒绝服务攻击，它并不是入侵系统，而只是让系统崩溃，或处于拒绝连接状态，DOS攻击的方法主要是发送大量假的syn包使服务器忙于应答和等待假syn的请求无法对正常的连接作出反应，或发送大量的广播包利用某系系统对一些广播包会产生回应得bug来形成广播风暴阻塞网络，消耗服务器资源达到进攻目的。现在还出现了分布式的DOS攻击工具，它通过控制多台分机同时发送到攻击包，威力巨大，同时，DOS攻击还可能是另一种供给的前奏，这就是IP欺骗攻击（该攻击可以获得ROOT权限，危险系数最高），如果出现了DOS攻击但又不阻塞网络，且攻击目标不起眼，那么这很可能就是一个IP欺或TCP截取的开始，所以DOS攻击是一种破坏力大，效果明显，且暗藏杀机的攻击。

　　热而DOS攻击是较容易检测的，其攻击现象明显，攻击特征突出，通过对网络的槛听不难发现，如上所述我们已经可以从网络上槛听数据帧并能分析他们，于是编写一个程序使用户可以通过定义自己的规范与数据帧比较然后对符合规范的数据作出相应的反应，对于DOS攻击我们可以通过定义一个带有时间限制的规范来检测，如我们可以定义在1秒如出现100个以上的syn数据包为DOS攻击，然后定义处理方法，如MAIL,LOG,SHUTDOWN或与防火墙联动等。

IP冒用的检测与攻击

　　网络的飞速发展导致了原有的32位地址协议不能满足飞速扩充的庞大计算机群，。利益不能均分，导致了IP冒用的出现，使网络秩序产生混乱。

　　在这里先解释一下ARP协议的应用。ARP协议是将IP地址转换成MAC地址的协议，是局域网数据交流的基础，一台计算机是如何将自己和某一IP地址绑定？首先，一台计算机启动，他将向局域网发送其IP的ARP询问包，这是为了防止IP冲突，如无人回答，其将发送其IP的ARP应答包，向局域网申明绑定其物理地址和ip地址，如果没有在服务器上使用固定的ip/mac表那么没有ip使用权的计算机也可以乘机绑定ip，这就是ip冒用。

　　对网络监测的利用可以达到检测ip冒用的出现并对之进行攻击的目的。具体方法是将检测到的arp数据帧中的ip 和 eth 地址取出来与我们建立的对应表比较，如发现ip冒用的情况，则向其发送反向arp包使其网络中断实现攻击，该做法适用于那些无法控制路由器配置，又不想修改网关配置的网络管理。在程序中我采用的是被动式的arp查询，也就是不发arp查询包，可以说出了发攻击包外对网络没有增加另外的负担。

槛听技术在网络测试中的应用

　　网络槛听不只是网络管理的基础，还能应用在网络测试中，现在的网络测试工具大都建立在槛听基础上，对槛听到的数据帧的种类和数量进行统计，从而实现网络的测试。同理可以使用本槛听程序对数据分类统计达到测试网络的作用。

　　例如目前较多用到的网络测试：

　　1）检测广播包在网络中的负载，即检测广播包在所有包中的比例，只要在程序中比较数据帧中目的地址的物理地址为ff:ff:ff:ff:ff:ff与总帧数的比例就可得知。从而给出了配置VLAN等的数据基础。

　　2）检测网络中因冲突产生的坏数据帧的数量，因为共享式以太网采取的CSMA/CD协议，每台计算机发送信号时不能保证没有有其它计算机也在发送信号，而在发现冲突后就停止发送，故会产生一些损坏的数据帧，检测损坏的数据帧在网络数据中的比例是体现网络性能的重要参数，这种检测对于槛听程序而言和第一种检测大体相同，只是把统计的数据包改成冲突的数据帧，也就是数据帧大小小于64个字节的数据帧的数量，同理类是网络测试都可以通过槛听程序实现，由此我们可以分析出更合适具体情况的布线方法等等。

垃圾邮件过滤的初步实现

　　垃圾邮件就是过滤到那些我们不想接受的，内容不安全的电子邮件，由于电子邮件的服务特点，使得电子邮件成为当代社会信息传递的便捷途径之一，但同时也有一些人利用这一点发送不安全的危害社会的宣传，于是垃圾邮件过滤就成为了必要，由于当前邮件服务器管理的松懈，随便一个人有台计算机有个IP就可以组建服务器,使得邮件的来源相当复杂,所以要完全过滤不容易,但我们还是可以通过网络槛听来实现邮件的初步过滤.

　　第一种方法:就是屏蔽某些ip的swtp连接，通过槛听程序可以实现这点，如设定规则当源IP地址为****且TCP连接端口为25时就屏蔽连接。

　　第二种方法:由于很多电子邮件服务器允许邮件转发（这也是必要的，我们不可能能连接到每一台机），所以通过ip地址不一定可以屏蔽这个用户的邮件他可以通过其他的服务器转发，因此在第一种方法无效的情况下我们可以通过账号来屏蔽服务，由于电子邮件服务器的统一命令要求需要用户在发邮件时申明用户例如：mail from XXX@XXX ,所以我们可以通过槛听程序来发现我们不喜欢的用户并屏蔽，这要求我们对数据帧不仅分析报头，还要分析数据，将其与我们设定的字符串比较，如相同，则找到了屏蔽连接.

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：VLAN+路由器典型配置
下一篇：Iptables+squid 多网段透明代理的实现

◇eG Citrix 监控器	◇Ethernet的帧格式和结构
◇华为(Quidway AR18-22-24)路由器配置实例	◇简单利用路由黑洞解决DDOS流量攻击
◇我的linux试验题目	◇如何在HMC上激活网络时间协议NTP
◇Resin泛解析 - 三级域名最优应用方案	◇Resin多域名绑定 + 泛解析
◇resin 负载均衡	◇linksys wap54g 设置注意事项
◇acegi RememberMe&退出&匿名登陆	◇vnd命令~
◇LINUX网卡绑定	◇TCP包首部
◇IP包首部格式	◇指纹锁也不靠谱电脑“破解”六大事件!
◇linux配置网关	◇使用 SCTP 优化网络
◇IPv4/IPv6过渡技术和方案分析	◇用三个源码包libnet、libnids、libpcap轻松搭建Li
◇Extensible Messaging and Presence Protocol (XM	◇组建CISCO多层交换网络入门
◇CISCO多层交换机的初始配置和排错	◇实施和配置VLAN
◇理解和配置802.1Q/802.1S和802.1W生成树协议	◇理解和配置cisco特定的生成树协议特性和STP排错
◇配置第二层和第三层的特性	◇理解和配置VLAN间的路由选择
◇理解和配置多层交换	◇理解和配置cisco多层交换网络中的服务质量

91Linux!