首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络管理

范伟导老师Sniffer课程资料(四)


http://www.gipsky.com/
<IMG src="http://www.net130.com/CMS/Files/Uploadimages/matrix3.GIF">

我们注意到这台机器向公网发出大量的ICMP包,那是在作什么?(同学们:在ping)

对!PING采用ICMP协议,ping可以用来扫描,也可以用来攻击。

扫描就是看那一台机器活着,接着扫描端口,在攻击,所以扫描是攻击主机的前奏。

另外,还可以用ping 来冲击路由器,或占用带宽,是一种DOS攻击。

大家看这个过程更像哪一种类型。

(同学们:扫描,DOS攻击)

一般情况下,扫描会是比较连续的地址,我们看这个地址并不连续,我们先排除扫描,当然不是绝对的,也有比较聪明的扫描。

有同学说,这是DOS攻击,那是冲击路由器,还是占用带宽?

(同学们:冲击路由器)

嘿,这次比较统一,我也觉得他在冲击路由器,我们看,他的目标地址基本不在一个网段,这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。所以对路由器有一定冲击。

一般来说,如果他想占用带宽的话,会发大包,我们发现,包的长度不大,并且一秒钟才发10几个包,所以对贷款冲击不大。

或许大家会觉得这没秒10几个包对路由器冲击也不大呀。大家想像一下,如果有很多机器在作这个操作,那影响就会很大。

大家自己在找一找,是否还有其他机器在作同类事情。

(同学们找出7台这样的机器)

好大家找出7台这样的机器,怎么找出来的?有同学用钢材的办法,有同学用过滤,都市好办法。

现在假设在你们的网络中出现这样的情况,我们发现了异常,接下来怎么做?

(同学们:找到这台机器)

然后呢?

我们可以看看这台机器的任务管理器,看看有什么不常见的进程,把他去掉,看是否解决。在看其他的机器,是否有类似的特征。

这是我的一个学员发给我的,当时他发现这7台机器都有一个特殊的进程,但是他的防病毒软件没有查出来。他手工解决了。

这很好说明用Sniffer可以比防病毒软件更快发现病毒,因为防病毒软件是后知后觉得,什么意思?防病毒软件必须有相应的特征才能查病毒。而Sniffer通过流量可以发现一些特征,一些异常。

但是有一点,我们不能拿Sniffer当防病毒软件用,那不是他的特长,同时也太低沽Sniffer的功能了(同学们笑)

好我们在看看扫描是怎么一回事,大家看这个trace file(范老师在演示,我就不写了)

先是ARP扫描,再端口扫描,接下来就是攻击了。

(编者:接着我们做了一个游戏,范老师让大家用Sniffer攻击他的机器,结果1台机器就把他的机器搞死了,这个就不细说了)

<IMG src="http://www.net130.com/CMS/Files/Uploadimages/art4.GIF">



本新闻共2页,当前在第1页 1 2
<< 用Sniffer抓包分析以太网帧 范伟导老师Sniffer课程资料(三) >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号