识破欺骗 教你简单方法查找黑客老巢(下)

  • 时间:
  • 浏览:1
  • 来源:3分彩下注平台-3分彩注册平台_3分彩官网平台





作者: 论坛下发 zdnet网络安全

CNETNews.com.cn

808-02-03 11:26:41

关键词: 攻击防范 黑客 网络欺骗

原始数据包----比较可靠的分析土方法

  因为着系统主机都不 被攻陷的因为着,就让利用系统日志获取攻击者的信息有时就不可靠了。全都,捕获原始数据包并对其数据进行分析,是选折 攻击源的从前重要的、比较可靠的土方法。

  包头数据分析

  表1是有另另有一三个原始数据包的IP包头数据。表中的第一行是最有用的数字。第一行的最后8位代表源地址。本例中的地址是0xd2、0x1d、0x84、0x96,对应的IP地址是210.45.132.80。通过分析原始数据包的包头数据,能必须获得较为可靠的网络攻击者的IP地址,因为着哪些数据不让被删除或修改。就让,你你你这些土方法也都不 完美无缺的,因为着攻击者对其数据包进行加密,对下发到的数据包的分析就没哪些用处了。

  表1 有另另有一三个IP包头数据

  0x0000 45c0 c823 0000 d806 8002 2c06 d21d 8496

  0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818

  0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34

  0x0080 9812 a5c6 0011 8386 9618 0000 a123 6907

  0x0040 55c5 0023 3401 0000 5805 b1c5 0000 0000

  0x0080 0000 0000 0000 0000 0000

  捕获数据包

  在有另另有一三个交换网络环境下捕获数据包比较困难,这主全都 因为着集线器和交换机在数据交换中本质的不同。集线器采用的是广播式传输,它不支持连接,全都 把包发送到除源端口外的所有端口,与集线器相连的所有机器都能必须捕获到通过它的数据包。而交换机支持端到端的连接,当有另另有一三个数据包到达时交换机为它建立有另另有一三个暂时的连接,数据包通过你你你这些连接传到目的端口。全都,在交换环境下抓包都不 一件容易的事。为了获得交换环境下的数据包,能必须用下面土方法防止:

  (1)把交换机的有另另有一三个“spanning port”(生成端口)配置成象有另另有一三个集线器一样,通过你你你这些端口的数据包不再与目的主机建立连接,全都 广播式地发送给与此端口相连的所有机器。设置有另另有一三个包捕获主机,便能必须捕获到通过“spaning port”的数据包。就让,在同一时刻,交换机必须由有另另有一三个端口被设置成“spanning port”,就让,必须同時 捕获多台主机的数据包。

  (2)在交换机之间,或路由器和交换机之间安装有另另有一三个集线器。通过集线器的数据包便能必须被捕获主机捕获。

  在用捕获数据包获取攻击者的源地址的土方法中,有有另另有一三个问題需用注意:一是保证包捕获主机由足够的存储空间,因为着因为着在捕获数据包时网络吞吐量很大搞笑的话,硬盘减慢会被填满;二是在分析数据包时,可编制一段小程序运行池池自动分析,手工分析那末多的数据是不因为着的。

  ★ 搜索引擎----是我不好会有外的惊喜

  利用搜索引擎获得网络攻击者的源地址,从理论上讲没哪些根据,就让它往往会收到意想必须的效果,给追踪工作带来意外惊喜。黑客们在Internet上往往有我门我门我门 你你你这些人的虚拟社区,我门我门我门 在那儿讨论网络攻击技术土方法,同時 炫耀你你你这些人的战果。就让,在那里时不不会暴露我门我门我门 攻击源的信息甚至我门我门我门 的身份。

  利用搜索引擎追踪网络攻击者的IP地址全都 使用你你你这些好的搜索引擎(如搜狐的搜索引擎)搜索网页,搜索关键词是攻击主机所在域名、IP地址或主机名,看是算是贴子是关于对上述关键词所代表的机器进行攻击的。虽然网络攻击者一般在发贴子不会使用伪造的源地址,但都不 全都人在这时比较麻痹而使用了真实的源地址。就让,往往能必须用你你你这些土方法意外地发现网络攻击者的踪迹。

  因为着必须保证网络中贴子源地址的真实性,全都,不加分析的使用因为着会牵连到无辜的用户。然而,当与其土方法结合起来使用时,使用搜索引擎还是非常有用的。