捕獲數據包
在一個交換網絡環境下捕獲數據包比較困難,這主要是因為集線器和交換機在數據交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包發 送到除源端口外的所有端口,與集線器相連的所有機器都可以捕獲到通過它的數據包。而交換機支持端到端的連接,當一個數據包到達時交換機為它建立一個暫時的 連接,數據包通過這個連接傳到目的端口。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的數據包,可以用下面方法解決:
(1)把交換機的一個「spanning port」(生成端口)配置成像一個集線器一樣,通過這個端口的數據包不再與目的主機建立連接,而是廣播式 地發送給與此端口相連的所有機器。設置一個包捕獲主機,便可以捕獲到通過「spaning port」的數據包。但是,在同一時刻,交換機只能由一個端口 被設置成「spanning port」,因此,不能同時捕獲多台主機的數據包。
(2)在交換機之間,或路由器和交換機之間安裝一個集線器。通過集線器的數據包便可以被捕獲主機捕獲。
在用捕獲數據包獲取攻擊者的源地址的方法中,有兩個問題需要注意:一是保證包捕獲主機由足夠的存儲空間,因為如果在捕獲數據包時網絡吞吐量很大的話,硬盤很快會被填滿;二是在分析數據包時,可編制一段小程序自動分析,手工分析這麼多的數據是不可能的。
★ 搜索引擎----也許會有外的驚喜
利用搜索引擎獲得網絡攻擊者的源地址,從理論上講沒有什麼根據,但是它往往會收到意想不到的效果,給追蹤工作帶來意外驚喜。黑客們在Internet 上往往有他們自己的虛擬社區,他們在那兒討論網絡攻擊技術方法,同時炫耀自己的戰果。因此,在那裡經常會暴露他們攻擊源的信息甚至他們的身份。
利用搜索引擎追蹤網絡攻擊者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索網頁,搜索關鍵詞是攻擊主機所在域名、IP地址或主機名,看 是否有貼子是關於對上述關鍵詞所代表的機器進行攻擊的。雖然網絡攻擊者一般在發貼子時會使用偽造的源地址,但也有很多人在這時比較麻痹而使用了真實的源地 址。因此,往往可以用這種方法意外地發現網絡攻擊者的蹤跡。
由於不能保證網絡中貼子源地址的真實性,所以,不加分析的使用可能會牽連到無辜的用戶。然而,當與其方法結合起來使用時,使用搜索引擎還是非常有用的。
原文出處
在一個交換網絡環境下捕獲數據包比較困難,這主要是因為集線器和交換機在數據交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包發 送到除源端口外的所有端口,與集線器相連的所有機器都可以捕獲到通過它的數據包。而交換機支持端到端的連接,當一個數據包到達時交換機為它建立一個暫時的 連接,數據包通過這個連接傳到目的端口。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的數據包,可以用下面方法解決:
(1)把交換機的一個「spanning port」(生成端口)配置成像一個集線器一樣,通過這個端口的數據包不再與目的主機建立連接,而是廣播式 地發送給與此端口相連的所有機器。設置一個包捕獲主機,便可以捕獲到通過「spaning port」的數據包。但是,在同一時刻,交換機只能由一個端口 被設置成「spanning port」,因此,不能同時捕獲多台主機的數據包。
(2)在交換機之間,或路由器和交換機之間安裝一個集線器。通過集線器的數據包便可以被捕獲主機捕獲。
在用捕獲數據包獲取攻擊者的源地址的方法中,有兩個問題需要注意:一是保證包捕獲主機由足夠的存儲空間,因為如果在捕獲數據包時網絡吞吐量很大的話,硬盤很快會被填滿;二是在分析數據包時,可編制一段小程序自動分析,手工分析這麼多的數據是不可能的。
★ 搜索引擎----也許會有外的驚喜
利用搜索引擎獲得網絡攻擊者的源地址,從理論上講沒有什麼根據,但是它往往會收到意想不到的效果,給追蹤工作帶來意外驚喜。黑客們在Internet 上往往有他們自己的虛擬社區,他們在那兒討論網絡攻擊技術方法,同時炫耀自己的戰果。因此,在那裡經常會暴露他們攻擊源的信息甚至他們的身份。
利用搜索引擎追蹤網絡攻擊者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索網頁,搜索關鍵詞是攻擊主機所在域名、IP地址或主機名,看 是否有貼子是關於對上述關鍵詞所代表的機器進行攻擊的。雖然網絡攻擊者一般在發貼子時會使用偽造的源地址,但也有很多人在這時比較麻痹而使用了真實的源地 址。因此,往往可以用這種方法意外地發現網絡攻擊者的蹤跡。
由於不能保證網絡中貼子源地址的真實性,所以,不加分析的使用可能會牽連到無辜的用戶。然而,當與其方法結合起來使用時,使用搜索引擎還是非常有用的。
原文出處
全站熱搜
留言列表
