木马信息窃取技术
手机木马原理
手机木马原理手机木马是一种恶意软件,通过潜藏在手机应用中感染设备并执行恶意操作。
其工作原理可分为以下几个步骤:1. 传播方式:手机木马可能通过多种方式传播,如通过恶意链接、应用下载或安装来自未知来源的应用等。
一旦用户点击或下载了木马应用,恶意软件便会开始植入和运行。
2. 植入手机系统:木马会试图植入到手机系统中,并获取系统级别的权限。
它会利用一些漏洞或系统安全性问题来获取这些权限,并绕过手机的防护机制。
3. 数据窃取:一旦木马植入成功并获取了系统权限,它就可以开始窃取用户的个人信息和敏感数据。
这些数据包括登录凭证、银行账户信息、个人通讯录等。
木马会将这些数据上传到远程控制服务器,供黑客使用或转售。
4. 远程控制:手机木马还可以被黑客远程操控。
黑客可以发送指令给木马,控制它执行各种操作,如发送短信、拍照、录音、窃取短信和通话记录等。
他们还可以利用木马发起网络攻击,感染其他设备或进行网络钓鱼。
5. 隐蔽性:为了不被用户察觉,手机木马通常会隐藏自己的图标和运行进程。
这使得用户很难察觉到手机已被感染,从而延长了恶意软件的潜伏时间。
为了保护手机免受木马感染,用户应采取以下措施:1. 下载应用时只从官方应用商店或可信的第三方应用市场下载,并注意应用的评论和评分,避免下载恶意或低评分的应用。
2. 及时更新手机操作系统和应用程序,以修复已知的漏洞和安全问题。
3. 安装可信的安全软件,及时扫描手机并清除潜在的恶意软件。
4. 禁用来自未知来源的应用安装选项,以防止恶意应用被安装。
5. 不点击来自陌生人或不可信来源的链接,尤其是不点击包含任何可疑内容的链接。
6. 注意手机的网络流量和电池消耗情况,以及不明原因的应用崩溃或手机反应迟钝等异常行为,可能是手机受到木马感染的迹象。
通过采取这些措施,用户可以增加手机木马感染的风险,保护个人信息的安全。
木马的常用伪装手段
木马的常用伪装手段在网络安全领域,木马是一种恶意软件,可以在不被用户察觉的情况下悄悄地进入计算机系统,实现盗取用户信息、破坏系统的行为。
因此,木马程序的伪装手段非常重要,可以使其更容易地潜入计算机系统。
以下是一些常用的木马伪装手段:1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件,例如浏览器插件、媒体播放器、下载器等,以此混淆用户的视觉,避免受到用户的怀疑,从而更容易渗透进入用户的系统。
2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任,而终端木马常常伴随着对受害者机器的远程控制,拥有非常广泛的攻击能力。
3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名,比如".txt"、".jpg"、".pdf"等,以绕过一些计算机安全防护软件的检测。
在实际应用过程中,我们应该避免打开不熟悉的文件。
4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中,然后利用漏洞自动执行,从而绕过了常规的安全检测。
例如,利用办公软件(Word、Excel等)中的宏病毒的攻击方式。
5. 嵌入加密模块有些木马程序会嵌入加密模块,使得其内容在传输过程中无法被轻易识别和拦截,从而达到对计算机系统的“偷窃”。
综上所述,木马程序有很多伪装手段,其中有些是非常难以被发现的。
因此,我们需要时刻保持警惕,使用网络安全软件来防范这些木马程序的攻击,同时也需要提高自己的网络安全意识,确保个人计算机和重要信息的安全。
除了上述常用的木马伪装手段,还有一些更高级的木马伪装手段。
这些高级伪装手段越来越普遍,它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。
以下是一些高级木马伪装技术:1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力,它们能够及时发现木马程序并抵御攻击。
因此,一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。
木马盗号原理
木马盗号原理木马盗号是指黑客利用木马程序对他人的账号进行非法入侵和盗取个人信息的行为。
其原理主要包括以下几个方面:首先,黑客通过各种手段将木马程序植入到目标计算机中。
这些手段可以包括利用漏洞进行远程攻击、通过网络钓鱼邮件诱导用户点击恶意链接或下载附件、或者通过社会工程学手段诱使用户自行安装木马程序等。
一旦木马程序成功植入目标计算机,黑客就可以通过远程控制的方式对目标计算机进行操作,包括盗取账号信息、窃取个人隐私、篡改系统设置等。
其次,木马程序通常会具有隐藏性和自启动功能。
它会在计算机系统中悄无声息地运行,并且具有自我复制和传播的能力,从而使得黑客能够长期控制目标计算机而不被发现。
此外,木马程序还可以利用系统的自启动功能,在计算机开机时自动加载并运行,从而保证黑客能够随时对目标计算机进行远程控制。
再次,木马程序会通过各种方式窃取用户的账号信息。
它可以监视用户的键盘输入,记录用户的账号和密码信息;它可以窃取用户的浏览器缓存和cookie,获取用户的网站登录凭证;它还可以窃取用户的邮件、社交网络和即时通讯软件的账号信息等。
通过这些手段,黑客可以轻易地获取用户的各种账号信息,从而实施盗号行为。
最后,黑客会利用盗取的账号信息进行非法活动。
这些活动可以包括利用盗取的账号信息进行网络诈骗、进行非法交易、窃取个人隐私、传播恶意软件等。
通过盗取账号信息,黑客可以轻易地冒充用户的身份进行各种违法和违规活动,给用户和社会带来严重的安全隐患和经济损失。
总之,木马盗号是一种危害严重的网络安全威胁,它利用木马程序对他人的账号进行非法入侵和盗取个人信息。
为了防范木马盗号行为,用户应当提高安全意识,加强账号信息保护,定期更新系统和安全软件,避免点击可疑链接和下载未经验证的文件,以及及时发现并清除潜在的木马程序。
同时,网络安全相关部门也应当加强对木马盗号行为的监测和打击,提高网络安全防护能力,共同维护网络空间的安全和稳定。
木马病毒原理
木马病毒原理
木马病毒是一种恶意软件,它隐藏在看似正常的程序中,通过欺骗用户获得访问权限,并在用户不知情的情况下潜伏和执行恶意活动。
木马病毒的原理是利用用户的信任,通常通过电子邮件附件、软件下载、插件安装等途径传播。
一旦被用户执行或安装,木马病毒就会在计算机上植入并开始运行。
木马病毒通常会创建一个与正常程序外观相似的图标,并在用户打开时隐藏自己的活动。
它可以通过网络传输个人隐私信息、窃取用户帐号密码、跟踪用户的在线活动、控制操作系统等。
木马病毒还可以通过远程控制指令控制受感染计算机的行为。
黑客可以利用木马病毒来进行恶意活动,例如远程监视、窃取敏感信息或发起分布式拒绝服务攻击。
为了保护计算机免受木马病毒的侵害,用户应该谨慎打开陌生邮件附件,只从可信任的网站下载软件,并定期使用安全软件进行全面系统扫描。
此外,及时更新操作系统和软件补丁也是防止木马病毒感染的重要步骤。
总之,木马病毒利用用户的信任并隐藏在正常的程序中,以实现窃取信息、控制操作系统等恶意活动。
用户应该保持警惕,并采取相应的安全措施,以保护个人计算机免受木马病毒的攻击。
木马的7种分类
木马的7种分类木马是一种恶意软件,通常指像木马一样隐藏在合法程序中,以迷惑用户并偷窃或破坏用户的数据和系统的程序。
木马的种类繁多,可以根据不同的特征进行分类。
下面是木马的7种分类:1. 远控木马远程控制木马是一种可以在远程控制的木马程序。
通过远程控制木马,黑客可以远程控制感染电脑,窃取用户的文件、账户信息、密码等。
远控木马通常会进行隐匿性处理,尽量减少对受害者电脑系统的影响,以达到长期或持续控制的效果。
2. 数据窃取木马数据窃取木马是一种专门用于窃取用户的敏感数据的木马程序。
这种类型的木马通常会窃取用户的账户信息、信用卡信息、密码等,然后通过网络传输到黑客的服务器上。
数据窃取木马对用户的隐私和安全造成了严重威胁,并且往往会导致财产损失。
3. 网络蠕虫木马网络蠕虫木马是一种具有自我复制和传播能力的木马程序。
它可以自动在网络上寻找漏洞并感染其他主机,从而扩大感染范围。
网络蠕虫木马的传播速度非常快,对网络安全造成了严重威胁,可能导致整个网络瘫痪。
4. 金融木马金融木马是一种专门用于窃取用户银行账户信息和密码的木马程序。
它通常会伪装成银行网站或在线支付平台,诱使用户输入账户信息和密码,然后将这些信息发送给黑客。
金融木马对用户的银行账户和资金造成了重大威胁,可能导致财产损失。
5. 后门木马后门木马是一种可以在系统中留下后门,使黑客可以随时再次进入感染的电脑的木马程序。
后门木马通常会隐藏在系统的某个安全漏洞中,可以在系统重新启动后自动运行,从而对系统的安全造成了严重威胁。
6. 特洛伊木马特洛伊木马是一种通过伪装成合法和实用的软件,骗取用户下载和安装的木马程序。
特洛伊木马通常会隐藏在某个看似有用的软件中,一旦用户下载并安装,木马就会感染用户的电脑,窃取用户的数据。
7. 广告木马广告木马是一种通过弹出恶意广告或强制跳转广告网页的木马程序。
它通常会在感染的电脑中安装恶意的浏览器插件或改变浏览器的默认设置,以触发广告弹窗。
收集保密泄密小常识[整理版]
![收集保密泄密小常识[整理版]](https://img.taocdn.com/s3/m/419e3678dcccda38376baf1ffc4ffe473368fd84.png)
第一部分网络窃密泄密小常识1、网络窃密泄密的主要方式有哪些?一是网络窃听。
窃密者只要在网络的某条分支信道或者某台终端进行侦听,就可以截取网络中输送的数据包,对没有经过严格加密的重要数据和敏感信息进行窃取。
二是网络窃取。
常见的窃密方法主要有四种:暴力破解、木马技术、网络钓鱼、网络攻击。
三是网络收集。
为了从互联网搜集情报,一些国家谍报机构纷纷成立相应机构,专门负责在全球各个网站、论坛里搜集和分析各种国家秘密和军事情报。
2、木马的窃取技术有几种?木马的窃取技术经历了四个演变过程:一是击键记录。
黑客在木马程序里面设计了键盘“钩子”程序。
一旦你的电脑感染木马,钩子程序就会监听和记录所有的击键动作,然后把记录下的账户、密码等信息发送到黑客的指定邮箱。
如“网银大盗”木马,专门窃取网上银行密码。
二是屏幕快照。
由于用户通过“软键盘”可以避开木马的击键记录技术,于是黑客又琢磨出屏幕快照的方法。
比如“证券大盗”木马,通过屏幕快照将用户的登录界面连续保存为两张黑白图片,然后发送到指定的邮箱。
黑客通过对照图片中鼠标的点击位置,就可能破译出用户的账号和密码。
三是远程控制。
黑客通过木马对被感染的电脑实施远程控制,进行远程文件操作,查找和获取文件资料。
四是摆渡技术。
为了窃取不上网电脑的资料,黑客们又琢磨出新的招式:摆渡技术。
当你的U盘和移动硬盘等在被感染的上网电脑上使用时,也会被感染上木马。
如果这个U盘再用于涉密的办公电脑,木马就会自动收集硬盘上的文档资料和敏感信息,并悄悄地打包存储到U盘上。
一旦再将这个U盘再插入到上网电脑上使用,木马又会将U盘上的资料转移到上网电脑上并悄悄地发送出去。
整个过程是秘密、自动完成的,用户根本不会察觉到!3、什么是网络钓鱼?网络钓鱼是互联网上经常存在一些诱骗性的窃密活动,主要表现有两种方式:一是假冒网站。
假冒网站的网址和页码风格看起来与真实网站非常相似,诈骗者通常会将自己伪装成知名的银行、在线零售商和信用卡公司等,然后向用户散发假冒网站链接的有关消息,或者通过网址嫁接,诱使人上当受骗,泄露自己的财务数据,如信用卡号、账户名和口令等内容。
了解网络黑客的常见手法
了解网络黑客的常见手法网络黑客是指利用计算机技术和网络技术进行非法入侵、窃取信息或者破坏网络安全的人员。
他们利用各种手段和技术来攻击目标系统,造成严重的损失和影响。
了解网络黑客的常见手法对于保护个人信息和网络安全至关重要。
本文将介绍几种常见的网络黑客手法,以帮助读者增强对网络安全的认识和保护自己的网络环境。
1. 木马病毒木马病毒是一种隐藏在正常程序中的恶意代码,通过网络传播并在用户不知情的情况下进行破坏或窃取信息。
黑客通常会将木马病毒隐藏在伪装成正常文件或软件的程序中,一旦用户下载并运行该程序,木马病毒就会悄悄地安装在用户的计算机上。
一旦木马病毒成功安装,黑客就可以远程控制被感染的计算机,并进行各种非法操作。
2. 网络钓鱼网络钓鱼是一种通过伪造合法网站或电子邮件来骗取用户个人信息的手法。
黑客通常会伪造银行、社交媒体或其他常见网站的登录页面,诱使用户输入账户和密码等个人敏感信息。
一旦用户输入了这些信息,黑客就可以利用这些信息进行非法活动,如盗取用户的财产或者冒充用户身份进行其他犯罪行为。
3. 拒绝服务攻击拒绝服务攻击(DDoS)是一种通过向目标服务器发送大量请求,使其无法正常工作的攻击方式。
黑客通常会利用多台被感染的计算机组成“僵尸网络”,同时向目标服务器发送大量请求,使其资源耗尽无法正常响应合法用户的请求。
这种攻击方式会导致目标服务器崩溃或者网络运行缓慢,造成用户无法正常访问网站或者进行在线交易等活动。
4. 密码破解密码破解是一种通过尝试不同的用户名和密码组合来获取合法用户账户权限的手法。
黑客通常会使用暴力破解软件或者字典攻击等方法,尝试大量的用户名和密码组合,直到找到正确的组合为止。
为了防止密码被黑客破解,用户应该使用复杂的密码组合,并定期更换密码。
5. 社交工程社交工程是一种通过欺骗和操纵人们的心理,获取他们的个人信息或者让他们执行某些操作的手法。
黑客通常会伪装成信任的人或者机构,通过电话、电子邮件或者社交媒体等方式与目标人员进行互动,诱使他们泄露个人敏感信息或者执行某些操作。
木马病毒的工作原理
木马病毒的工作原理
木马病毒是一种恶意软件,通过伪装成正常的程序或文件,悄悄地侵入计算机系统,然后进行各种恶意活动。
木马病毒的工作原理如下:
1. 伪装:木马病毒通常伪装成合法、有吸引力的文件或程序,比如游戏、应用程序、附件等。
用户误以为它们是正常的文件,从而下载、安装或打开它们。
2. 入侵:一旦用户执行了木马病毒,它会开始在计算机系统中执行。
木马病毒通常利用系统漏洞或安全弱点,通过各种方式渗透计算机系统,比如通过网络连接、邮件附件、插入可移动存储设备等。
3. 操作控制:一旦木马病毒成功入侵,黑客就可以获取对该计算机的远程控制权限。
黑客可以通过远程命令控制木马病毒执行各种恶意活动,比如窃取用户敏感信息、监控用户活动、劫持计算机资源等。
4. 数据盗窃:木马病毒可以通过键盘记录、屏幕截图、摄像头监控等方式获取用户的敏感信息,比如账号密码、银行信息、个人隐私等。
这些信息被黑客用于非法活动,比如盗用用户账号、进行网络钓鱼、进行网络诈骗等。
5. 破坏和传播:除了窃取信息,木马病毒还可能被黑客用于多种恶意用途。
它们可以删除、修改或破坏计算机上的文件和系统设置,导致系统崩溃或数据丢失。
木马病毒还可以充当“下
载器”,从远程服务器下载其他恶意软件,继续对计算机系统
进行攻击,或者利用计算机系统作为“僵尸网络”中的一员,传播垃圾邮件、进行分布式拒绝服务攻击等。
总结起来,木马病毒工作原理是通过伪装和入侵获取远程控制权限,然后执行各种恶意活动,包括窃取用户信息、破坏系统、传播其他恶意软件等。
用户应采取安全措施,比如安装防病毒软件、保持系统更新、谨慎下载和打开文件,以防止木马病毒的入侵。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是网络安全攻防技术中很重要的一种。
嗅探器(Sniffer)作为嗅探技术的一种技术实现,最初是网络管理员 检测网络通信的一种工具,是利用计算机的网络接口截获目的地
为其它计算机的数据报文的一种工作。
一个装载了嗅探器的木马,无异于有着灵敏嗅觉的猎犬,通过对 获得数据的分析处理,可以获得整个网络的网络状态、数据流动
从其原理和实现方式两角度讲解,讲解木
马是如何获得它们感兴趣的信息。
2
本次课程学习目标
学习完本次课程,您应该能够掌握:
木马信息窃取技术的嗅探技术 木马信息窃取技术的信息采集技术 木马信息窃取技术的行为采集技术
3
木马信息窃取技术
嗅探技术
信息采集技术
行为采集技术
4
嗅探技术
嗅探技术,是一种常用的收集有用数据信息的网络监听方法,
首先获得一个特定列表的快照。CreateToolhelp32Snapshot()函数提 供了该功能,函数声明如下: HANDLE WINAPI CreateToolhelp32Snapshot(DWORD dwFlags, DWORD th32ProcessID);
22
信息采集技术
其中dwFlags表示快照类型为进程信息、进程线程信息、堆栈信息、 线程信息还是模块信息。th32ProcessID表示进程 ID号,当查询线程 信息、堆栈信息和模块信息时有效。 获得一个快照后,就可以从快照中查询。获得快照中信息的函数都很
6
嗅探技术
ARP协议 IP地址是主机在网络层中的地址。数据链路层是不能够识 别IP地址的,但网卡、交换机等都工作在数据链路层,所以如 果要想将网络层中的数据报交给目的主机,必须要在数据链路 层封装为有 MAC 地址的帧后才能发送。但是 32bit 的 IP 地址和 48bit的MAC地址之间没有简单的映射关系。
交换机,并且没有采用其它策略。
15
嗅探技术
嗅探技术的实现
设计Sniffer的基本思想就是:置网卡于混杂模式、捕获数据 包、分析数据包。一般来讲,Windows 环境下编程实现网络监
听有三种方案可供选择:
NDIS(Network Driver Interface Specification) , 由 Microsoft 和 3Com 公司联合开发,是 Windows 中“通信协议程序”和“网络
情况和个人主机的帐户等敏感信息,为后续的攻击做好充分的准
备。
5
嗅探技术
嗅探技术原理
以太网
计算机与局域网的连接是通过主机机箱内的网卡。网卡向下 负责打包数据报为帧(数据传输的最小单位)发送到局域网,向
上接收正确的帧并交付网络层处理。
以太网网卡一般具有四种接收工作模式:
广播(Broadcast )模式,可以接收局域网内目的地址为广播地址( 全1地址)的所有数据报; 多播(Multicast)模式,可以接收目的地址为多播地址的所有数据报 ; 直接( Directory )模式,也就是单播( Unicast )模式,只接收目的 地址为本机MAC地址的所有数据报; 混杂(Promiscuous)模式,能够接收通过网卡的所有数据报。
类似,或者以First结尾,或者以Next结尾,分别表示快照中的第一个
信息和下一个信息。表 3中列举了常用的获得快照信息的函数.
例如,获得一个系统中所有进程的快照后,用Process32First() 取出快照中的第一个进程信息,之后循环使用Process32Next()获 得快照中的下一个进程信息。最后使用CloseHandle()销毁快照, Process32First等相关API函数的详细用法请参见MSDN文档。
得信息为攻击目的的。
Windows为我们提供一系列获得和设置系统信息的 API接口, 通过调用这些API函数,我们可以获得系统的各种信息,表 2列 出了其中的几个常用函数。获取信息可以有多种途径,例如要 获取操作系统信息可以通过 GetVersionEx() 直接获取,也可以 通过注册表得到相关信息。
要不断地向主机A和主机B发送伪造的ARP应答包。
修改本地MAC地址 也可以通过修改本地MAC地址为目标主机MAC地址来实现嗅探。把主机C的 MAC地址修改为目标主机B的MAC地址,交换机会将MACB和端口c对应起来。 在以后收到目的地址为MACB的数据报后,交换机会将包从端口c发送出去。这 样就达到了监听的目的。但同样地,这种方法只适用于动态生成地址映射表的
A和B要进行通信,发送数据帧1给主机B,但主机B和嗅探主机C 都可以收到,所以我们只要想办法使主机C的网卡接收这些数据帧就 可以了。而网卡也恰好提供了这样一种工作模式——混杂模式。在 混杂模式下,网卡会接收流经本地主机的所有数据帧。
10
嗅探技术
交换式网络的嗅探技术 交换机维护一张地址映射表,地址映射表记录网络节点与 MAC地址的对应关系,当需要向目的地址发送数据时,交换机 在地址映射表中查找这个MAC地址的节点位置,然后直接向这 个位置的节点发送;如果没有找到匹配项,交换机可能会向除 接收端口外的所有端口发送该数据报。在交换机的每个端口, 都需要足够的缓存来记忆这些MAC地址。
表2 系统信息函数列表
21
信息采集技术
这里我们介绍三种获得进程信息的方法:
ToolHelp32 Tool Help函数为我们提供了获得进程、线程、模块和堆栈信
息的方法。快照(Snapshot)是Tool Help函数的核心。一个快照
是系统内存中进程、线程、模块或堆栈当前状态的只读拷贝。所 以,当我们使用快照查询进程信息时,并没有直接进入操作系统 内部,也不具有长久性(只是进行查询一瞬间的状态)。 使用快照可以分为三个步骤:
计算机共享带宽,并且需要处理网段内的所有数据报。
9
嗅探技术
集线器
源 地 的 址 地 : 帧 址 M 1 : A M CA A , C B , IP A IP B
帧1 帧1
主机A IP地址:IPA MAC:MACA
目
主机B IP地址:IPB MAC:MACB
主机C,嗅探主机 IP地址:IPC MAC:MACC
样以广播方式处理数据报。这种方法不适合采用静态地址映射表的交换机,
而且也不是所有交换机都采用这种转发处理方式。
13
嗅探技术
上述方法属于对交换机的DDoS攻击。还可以采取欺骗的方法修改交换机 的地址映射表。主机C 可以发送源地址为主机B 的伪造包,让交换机修改地 址映射表,将MACB和端口c对应起来,就可以对主机B的通信进行监听了。
对于第三层交换机,地址映射表中存储的不仅仅是MAC地 址了,而是MAC地址与IP地址的地址映射表。交换机在对一个 数据流进行路由后,将会产生一个MAC地址和IP地址的地址映 射。 11
嗅探技术
MACB在哪 个端口? MACB在 端口b „„ MACA—端口a MACB—端口b MACC—端口c „„
20
信息采集技术
函数名 GetComputerName( SetComputerName) GetComputerNameEx( SetComputerNameEx) GetKeyboardType GetWindowsDirectory GetUserName( GetUserNameEx) GetVersionEx GetAdaptersInfo GlobalMemoryStatus 描述 获取(设置)本地主机的NetBIOS名字 获取(设置)本地主机的NetBIOS名或者 DNS名 获得当前键盘信息 获得Windows目录 获得(以某种格式获得)当前登陆用户名 获得当前运行的操作系统版本信息 获得主机网卡相关信息 获取系统内存相关信息
8
嗅探技术
共享式网络的嗅探技术 以太网的共享特性决定了嗅探能够成功。由于以太网是基 于广播方式传送数据的,所有数据报都会被传送到每一个主机节 点,当网卡被设置成混杂模式时,无论监听到的数据帧目的地址 如何,网卡都能予以接收。在局域网中,集线器是一种共享介 质采用单工数据操作的网络设备,工作在物理层。集线器对接 收到的数据包采用广播的方式进行转发,即连接到集线器上的
设备驱动器”之间通信的规范,它为协议通讯程序操作网络设备
提供标准的接口,支持计算机通过不同的协议栈与网络相连。
16
嗅探技术
Raw Socket(原始套接字),起初是Unix上最流行的网络编程接口 之一,后来微软将它引入到Windows中并得以实现。
Packet32和WinPcap (windows packet capture)都是免费的基于 Windows 平台下的网络接口, 为Win32 应用程序提供访问网络 底层的能力,并且它们工作于驱动层,效率很高。前者是微软的 一个实现版本,后者是UNIX 下的Libpcap移植到Windows下的产 物。
主机C,嗅探主机 IP地址:IPC MAC:MACC
12
嗅探技术
在交换式网络环境下,要想达到嗅探的目的,可以有三个攻击 点,一是交换机,二是目标主机,再有就是改变自己了。
发送大量虚假MAC地址数据报 交换机虽然可以维护一张端口-MAC的地址映射表,但是由于交换机内存 有限,地址映射表的大小也就有限。如果主机C发送大量虚假MAC地址的数 据报,快速填满地址映射表。交换机在地址映射表被填满后,就会像HUB一
17
嗅探技术
方法
Raw Socket
优点
实现简单 可以对网卡进行 任意操作,可以 抓取原始数据包 提供应用程序接 口,复杂的内部 操作由DLL完成
缺点
只能抓到IP包, 对与IP同层(如 ARP)的其它数 据包无能为力 驱动程序开发代 价大 实现的Sniffer需 要安装相应的链 接库才能运行
补充
只能获得数据包 的一份拷贝 可截断数据流, 不仅仅获得一份 拷贝 只能获得数据包 的一份拷贝