开发学院网络安全安全技术 围堵局域网中“耳朵”:网络嗅探与监听 阅读

围堵局域网中“耳朵”:网络嗅探与监听

 2008-11-20 13:32:25 来源:WEB开发网   
核心提示: 修改自己的网卡驱动设置页,改Network Address为“00000e40b4a2”,围堵局域网中“耳朵”:网络嗅探与监听(9),即去掉分隔符的MAC地址最末位加1再次ping 192.168.1.4,正常的话应该不会看到任何回应,如果不巧发现嗅探器把其它计算机

修改自己的网卡驱动设置页,改Network Address为“00000e40b4a2”,即去掉分隔符的MAC地址最末位加1

再次ping 192.168.1.4,正常的话应该不会看到任何回应,因为局域网中不会存在任何与“00-00-0e-40-b4-a2”相符的MAC地址。

如果看到返回,则说明192.168.1.4很可能装有嗅探器。

另一种比较“恶毒”的方法是对被怀疑安装了嗅探器的计算机发送大量不存在的MAC地址的数据报,由于监听程序在进行分析和处理大量的数据包需要占用很多的CPU资源,这将导致对方计算机性能下降,这样我们只要比较发送报文前后该机器性能就能加以判断,但是如果对方机器配置比较高,这个方法就不太有效了。

除了主动嗅探的行为,还有一些机器是被入侵者恶意种植了带有嗅探功能的后门程序,那么我们就必须使用本机测试法了,其原理是建立一个原始连接(Raw Socket)打开自己机器的随机端口,然后再建立一个UDP连接到自己机器的任意端口并随意发送一条数据,正常情况下,这个方法建立的原始连接是不可能成功接收数据的,如果原始连接能接收这个数据,则说明机器网卡正处于“混杂”模式——嗅探器经常这么干,接下来的事情就不用我说了吧?

但是基本上没找到现成的工具可以使用,也可能是我的查找能力问题,但是其实这个问题很好解决:因为安装了嗅探器的机器是能接收到任何数据的,那么只要在这个机器上再次安装一个嗅探软件(不是ARP欺骗类型!)就能“共享”捕获的数据,正常情况下我们是只能看到属于自己IP的网络数据的,如果不巧发现嗅探器把其它计算机的数据也顺手牵羊了,并且由于ARP欺骗的存在,我们还可能嗅探到自己的计算机会定期发送一条ARP应答包出去……既然都做得那么明显了,那就不要客气把它灭了……

上一页  4 5 6 7 8 9 10  下一页

Tags:围堵 局域网 耳朵

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接