作者：海东青
个人网站：www.dirtysea.com

windump 的使用技巧 

现在的网络入侵行为日益猖獗，传统的系统级安全检测，在很多时候已经失去了作用。

现在模拟一个网络环境：一台Windows 2000 Server操作系统的web服务器。一般这种服务器都在网络的非军事区（DMZ）中，它被攻击的可能性最大，至少目前的攻击一般都是基于这种服务器的。
在这台服务器上有个内核级后门Hxdef100（这个后门大家应该听说过吧！不仅它自己能隐藏在Windows系统中，而且能隐藏服务，端口，进程等等），对于这种情况，一般的系统管理员很难发现它。
但是，从数据流来看，就很简单，连接信息如下图所示：


C:> windump –vv –i 2 –n 
13:45:13.956853 192.168.1.1.3164 > 192.168.1.2.1864: S 87334271:87334271(0) win 65535 (DF)
13:45:14.059243 192.168.1.2.1864 > 192.168.1.1.3164: S 4138420249:4138420249(0) ack 87334272 win 32120 (DF)
13:45:14.059475 192.168.1.1.3164 > 192.168.1.2.1864: . 87334272:87334272(0) ack 4138420250 win 65535 (DF)

入侵者192.168.1.1用nc连接192.168.1.2:1864,由于在服务器192.168.1.2中有Rootkit屏蔽了端口1864，所以在使用netstat –na这个命令时，就不会显示1021的连接信息，而通过windump就会发现连接信息，以上就是nc的三次握手的情况。
其实，有很多管理员他们仅仅考虑的是系统级安全，用netstat –na检测系统信息，对于系统内核级后门而言，这些信息会被屏蔽，或者这些检测工具已经被木马化了，这就是他们的盲区，而我认为数据流级的安全，就像windump的抓包这样的检测，相比之下更为重要了！