科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道从入门到精通 网络监听技术全解

从入门到精通 网络监听技术全解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,成为了普通的网络管理员想真正成长为资深的网络工程师的必经之路。

作者:中国IT实验室 来源:中国IT实验室 2008年4月21日

关键字: IP欺诈 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  Windows平台下的:

  Windump

  Windump是最经典的unix平台上的tcpdump的window移植版,和tcpdump几乎完全兼容,采用命令行方式运行,对用惯tcpdump的人来讲会非常顺手。目前版本是3.5.2,可运行在Windows 95/98/ME/Windows NT/2000/XP平台上

  Iris

  Eeye公司的一款付费软件,有试用期,完全图形化界面,可以很方便的定制各种截获控制语句,对截获数据包进行分析,还原等。对管理员来讲很容易上手,入门级和高级管理员都可以从这个工具上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP平台上

  unix平台下的:

  tcpdump

  不多说,最经典的工具,被大量的*nix系统采用,无需多言。

  ngrep

  和tcpdump类似,但与tcpdump最大的不同之处在于,借助于这个工具,管理员可以很方便的把截获目标定制在用户名,口令等感兴趣的关键字上。

  snort

  目前很红火的免费的ids系统,除了用作ids以外,被用来sniffer也非常不错,可以借助工具或是依靠自身能力完全还原被截获的数据。

  Dsniff

  作者设计的出发点是用这个东西进行网络渗透测试,包括一套小巧好用的小工具,主要目标放在口令,用户访问资源等敏感资料上,非常有特色,工具包中的arpspoof,macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。

  Ettercap

  和dsniff在某些方面有相似之处,也可以很方便的工作在交换机环境下

  提示:国内用户访问这个站点需要使用代理服务器。

  Sniffit

  被广泛使用的网络监听软件,截获重点在用户的输出。

  正途:网络监听解决邮件发送时间长问题

  在系统管理员看来,网络监听的主要用途是进行数据包分析,通过网络监听软件,管理员可以观测分析实时经由的数据包,从而快速的进行网络故障定位。

  我们可以举个例子: server是邮件服务器,下面带了很多的client用户,邮件服务器收发邮件工作正常,但下面的client用户总是抱怨发邮件时连接到邮件服务器后要等待很久的时间才能开始发送工作,问题出在哪里呢?

  在server上使用tcpdump对来自其中的一个client的数据包进行捕获分析,看看结果如何?

  server#tcpdump hostclient

  tcpdump: listening on hme0

  19:04:30.040578 client.1065 >server.smtp: S 1087965815:1087965815(0) win 64240 (DF)

  19:04:30.040613 server.smtp >client.1065: S 99285900:99285900(0) ack 1087965816 win 10136 (DF)

  19:04:30.040960 client.1065 >server.smtp: . ack 1 win 64240 (DF)

  client连接服务器的25端口,三次握手正常,没有问题,我们再往下看

  19:04:30.048862 server.33152 >client.113: S 99370916:99370916(0) win 8760 (DF)

  19:04:33.411006 server.33152 >client.113: S 99370916:99370916(0) win 8760 (DF)

  19:04:40.161052 server.33152 >client.113: S 99370916:99370916(0) win 8760 (DF)

  19:04:56.061130 server.33152 >client.113: R 99370917:99370917(0) win 8760 (DF)

  19:04:56.070108 server.smtp >client.1065: P 1:109(108) ack 1 win 10136 (DF)

  这里有问题了,我们看到server端试图连接client的113认证端口,然而client端并不会去回应它,server端从19点04分30秒到19点04分56秒尝试3次,费时26秒后,才放弃认证尝试,主动reset了client端的113端口,开始push后面的数据,而正是在这个过程中所花费的时间,使用户发送邮件时产生了漫长的等待。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章