五、
　　　　作为一个好的系统管理者，为了击败攻击者的攻击行动，最好的方法是了解攻击者的工作原理和机制。它们使用了那些工具，它们如何操作入侵等等。所以深入理解掌握我这里讲解的各种网络工具是很有必要的。
　　　　上面用实例的方式说到了了一个攻击者使用sniffer监听网络流来搜集用户名和密码。下面我们就详细说明sniffer是如何工作的。简单的说，sniffer是一个使你能检测你的网络接口接收到所有的数据报。一般情况下，计算机仅仅接受目的地址是自身的数据报，而sniffer使网络接口进入杂错模式，从而可以接受网卡收到的所有的数据报。
　　　　若你运行ifconfig eth0命令，会得到下面的结果：
　　 eth0 Linkencap:Ethernet HWaddr 00:C0:4F:E3:C1:8F
　　 inet addr:192.168.22.2 Bcast:192.168.22.255 Mask:255.255.255.0
　　 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
　　 RX packets:49448 errors:0 dropped:0 overruns:0 frame:0
　　 TX packets:33859 errors:0 dropped:0 overruns:0 carrier:0
　　 collisions:6 txqueuelen:100
　　 Interrupt:10 Base address:0x300
　　　　打开两个终端，一个终端里运行sniffer器-sniffit；
　　
　　 # sniffit -i
　　
　　　　另外一个虚拟终端里你可以再次运行ifconfig eth0。你将会发现输出中有下面的内容：
　　 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
　　　　注意和上面相比较，增加了一个单词'PROMISC' 这是杂错模式(promiscuous mode)的缩写,
　　　　sniffit是一个轻量级的，基于终端的sniffer器。你可以从http://reptile.rug.ac.be/~coder/sniffit/sniffit.html得到它。
　　　　另外一个类似的sniffer是netwatch,你可以从http://www.slctech.org/~mackay/netwatch.html得到它。
　　　　如果你不希望在系统中安装另外的sniffer，你可以使用系统中带有的一个工具：tcpdump 这个工具虽然不如前面两个工具那么华丽，但是她可以完成所有同样的功能。
　　 # tcpdump host www.linuxjournal.com -l | tee /tmp/tcpdump.out
　　　　其中-l指示tcpdump将输出数据存进入一个文件中。下面是输出的内容：
　　 16:41:49.101002 www2.linuxjournal.com.www > marcel.somedomain.com.1432: F
　　 2303148464:2303148464(0) ack 1998428290 win 16352
　　 16:41:49.101206 marcel.somedomain.com.1432 > www2.linuxjournal.com.www: . ack
　　 1 win 32120 (DF)
　　 16:41:50.001024 www2.linuxjournal.com.www > marcel.somedomain.com.1429: F
　　 1805282316:1805282316(0) ack 1988937134 win 16352
　　 16:41:50.001215 marcel.somedomain.com.1429 > www2.linuxjournal.com.www: . ack
　　 1 win 32120 (DF)
　　 16:41:50.840998 www2.linuxjournal.com.www > marcel.somedomain.com.1431: F
　　 1539885010:1539885010(0) ack 1997163524 win 16352
　　 16:41:50.841198 marcel.somedomain.com.1431 > www2.linuxjournal.com.www: . ack
　　 1 win 32120 (DF)
　　 16:41:51.494356 marcel.somedomain.com.1429 > www2.linuxjournal.com.www: P
　　 1:335(334) ack 1 win 32120 (DF)
　　 16:41:51.497003 marcel.somedomain.com.1433 > www2.linuxjournal.com.www: S
　　 2019129753:2019129753(0) win 32120
　　 (DF)
　　 16:41:51.671023 www2.linuxjournal.com.www > marcel.somedomain.com.1429:R
　　　　Linux系统中可以得到有很多种的sniffer。攻击者在入侵系统以后，也许会使用修改的ps命令来隐藏其运行的sniffer器。或者将其改为一个看上去很正常的进程的名称。

上一页  [1] [2] [3] [4] [5]