學習如何分析進出服務器的TCP/IP數據包

　　完全依賴于你的覺悟，數據包監測既是一個重要的管理工具，也可以成為一項邪惡的黑客技 術。事實上，它兩者皆是，一個好的數據包監測軟件通?？梢栽?STRONG>網絡管理和黑客技術工具包中同時找到。

　　黑客可以用數據包監測軟件監聽互聯網，并且追蹤一些敏感數據的交換如登錄對話和財經交 易。網絡管理員可以用數據包監測軟件檢測錯誤布線，損壞的數據包和其它網絡問題。

　　在本文中，我們覆蓋了開始進行數據包監測需知的所有內容，而沒有涉及太多陰暗面。通過 一個最流行工具軟件的實例，你將學習到在TCP/IP網上四處監聽的基本技術。文中闡述較為 詳細，以幫助你理解在查看數據包時確實能看到什么，并且介紹了IP欺騙技術。當然，我們 也提供了一個更多網絡資源的列表以滿足你所有監聽的需要。

一、什么是數據包監測？

　　數據包監測可以被認為是一根竊聽電話線在計算機-網絡中的等價物。當某人在“監聽”網絡 時，他們實際上是在閱讀和解釋網絡上傳送的數據包。

　　如果你在互聯網上，正通過其它計算機發送數據。發送一封電子郵件或請求下載一個網頁都 會使數據通過你和數據目的地之間的許多計算機。這些你傳輸信息時經過的計算機都能夠看 到你發送的數據。數據包監測工具允許某人截獲數據并且查看它。

　　互聯網和大多數數據網絡一樣，通過從一個主機發送信息數據包到另一個主機來工作。每個> 數據包包含有數據本身和幀頭，幀頭包含數據包的信息如它的目的地和來源。數據包的數據 部分包含發送到網絡的信息——它可能是電子郵件，網頁，注冊信息包括密碼，電子商務信 息包括信用卡號碼，和其它一切網絡上流動的東西。

　　基于TCP/IP協議的互聯網采用的體系結構是以太網，它的特點是把所有的數據包在網絡中廣 播。網絡為大多數計算機提供的接口是一個內置的以太網卡(也叫做網卡或NIC)。這些接口卡 默認提取出目標地址和自己的網卡地址一致的數據包而過濾掉所有其它的數據包。然而，以 太網卡典型地具有一個“混合模式”選項，能夠關掉過濾功能而查看經過它的所有數據包。 這個混合模式選項恰好被數據包監測程序利用來實現它們的監聽功能。

　　防火墻完全不能阻止數據包被監測。虛擬個人網絡(VPN)和加密技術也不能阻止數據包被監測 ，但能使它的危害小一點。要知道許多密碼在網絡上傳輸時是不加密的，有時即使已經加密 ，也不能挫敗一個數據包監測工具侵入系統的企圖。一個尋找登錄序列和監聽加密口令的入 侵者并不需要破譯口令為自己所用，而只需要依賴未經授權的加密版。

　　對于需要高度安全的系統，一個和數據包監測技術妥協的保護密碼的最好措施是執行“使用 一次即更改”的密碼方案——所以即使是一個不道德的黑客可能監測了登錄序列，密碼在下 一次試驗時就不起作用了。

二、用什么監測

　　實際上有幾百種可用的數據包監測程序，許多結合起來破譯和掃描特定類型的數據并被專門 設計為黑客的工具。我們在這里不討論任何尋找密碼或信用卡號的工具，但它們確實存在。 這類工具經常有內置的協議分析程序，它能夠幫助翻譯不同網絡協議的數據包，而不是提供 原始的數字數據。

　　一個最古老也最成功的數據包和網絡分析產品是由WildPackets (以前的AG 組)出品的Ether Peek。 EtherPeek已經存在了10年，堪稱互聯網時代真正的恐龍。他們提供Windows版 和Mac intosh版，每個都具有網絡管理員-導向的價格。這個工具軟件開始只是一個網絡分析器型的 數據包監測軟件，經過這些年的發展已經成為一個真正的網絡管理工具并具有網站監視和分 析等新的功能。在他們的網站有一個演示版，想要試驗的人可以去下載。

　　另一個能夠監視網絡活動捕獲和分析數據包的程序是TamoSoft的CommView。這個流行的監測 程序顯示網絡連接和IP統計數字，能夠檢查單獨的數據包，通過對IP協議TCP, UDP,和 ICMP 的完全分析解碼到最低層。完全訪問原始數據也只需要花費一個非常友好的價格$119（或者 是以更低的價格獲得個人許可證，它只能捕獲發送到你的PC的數據包）。TamiSoft的網站同 樣提供一個可以下載的演示版。

　　如果你運行微軟的Windows NT Server，將不必買任何東西——它有一個內置的數據包監測程 序叫做網絡監視器。要訪問它，進入網絡控制面板，選擇服務標簽，點擊添加并選擇網絡監 視工具和代理。一旦它已經安裝你就可以從程序菜單下的管理工具中運行網絡監視器。

三、如何監測

　　好了，現在你的手頭至少有一個流行的數據包監測軟件的測試版了，我們要開始研究事情的 真相了，看一看我們實際上能從這些數據包中學到什么。本文將以Tamisoft的CommView為例 。但同樣的概念和功能在其它的數據包監測產品中也很容易適用。

　　開始工作以前，我們需要打開監測功能，在CommView中通過從下拉菜單中選擇網絡適配器， 然后按下開始捕獲按鈕，或從文件菜單中選擇開始捕獲。如果發生網絡阻塞，你應該立即看 到一些行為。

　　CommView和大多數數據包監測軟件一樣，有一個顯示IP網絡信息的屏幕和一個顯示數據包數 據的屏幕。在默認方式下你將看到IP統計頁。你應該能夠在你的瀏覽器中輸入一個URL，或檢 查你的e-mail，看這個屏幕接收通訊兩端的IP地址數據。

　　除了兩端的IP地址，你應該看到端口號，發送和接受的數據包數，對話的方向（誰發送第一 個數據包），兩個主機間對話的次數，和有效的主機名。CommView能和可選擇的SmartWhoIs 模塊相結合，所以在IP列表中右擊IP號將提供一個查找信息返回關于這個IP號的所有已知的 注冊信息。如果你用popmail型的帳號查收電子郵件，將在IP列表中看到一條線，端口號為1 10，標準popmail端口。你訪問任意網站都會在端口80產生一條線，參見圖A。

　　查明某些數據包來自于哪兒是數據包監測程序最普通的應用之一。通過運行一個程序如Smar tWhoIs，你能夠把數據包監測程序所給出的鑒定結果——IP和以太網地址擴展到潛在的更有 用的信息，如誰管理一個IP地址指向的域。一個IP地址和以太網地址對于要追蹤一個無賴用 戶來說沒有太多作用，但他們的域管理員可能非常重要。

　　在CommView中點擊數據包標簽可以在它們經過時看到實際的數據包。這樣的視圖意義很含糊 ，而且如果你懼怕十六進制，這不是適合你的地方。有一個數據包列表，其中每個數據包都 有一個獨一無二的數據包編號。在列表視圖中你也可以看到數據包的協議（如TCP/IP），MA C (以太網)地址，IP地址和端口號。

　　在CommView數據包窗口中間的窗格中你可以看到在列表中選擇的無論什么數據包的原始數據 。既有數據包數據的十六進制表示也有一個清楚的文本翻譯。底部的窗格顯示了IP數據包的 解碼信息，包括數據包在IP, TCP, UDP, 和 ICMP層的完整分析，參見圖B。

　　如果你正在和這些信息打交道，那么你不是在進行繁重的網絡故障排除工作，就是在四處窺 探。翻譯十六進制代碼不是這篇文章討論的范圍，但應用正確的工具，數據包可以被解開而 看到其內容。

　　當然這些并不是用一個數據包檢測軟件所能做的一切——你也可以復制數據包，為捕獲數據 包建立規則和過濾器，以成打不同的方式獲得各種統計數字和日志。功能更加強大的工具不 僅限于可以查看，記錄和分析發送和交換數據包，利用它們不費多少功夫就可以設想出一些狡猾的應用程序。

四、IP欺騙和更多資源

　　一個完全不友好的數據包監測應用程序是一種IP欺騙技術。這時，一個不道德的用戶不僅查 看經過的數據包，而且修改它們以獲得另一臺計算機的身份。

　　當一個數據包監測程序在兩臺正在通訊的計算機段內時，一個黑客就能監聽出一端的身份。 然后通過找到一個信任端口的IP地址并修改數據包頭使數據包看起來好象來自于那個端口達 到攻擊連接的目的。這類活動通常伴隨著一個對偽造地址的拒絕服務攻擊，所以它的數據包 不會被入侵干擾。

　　關于數據包監測和IP欺騙技術的信息成噸，我們僅僅描述了對TCP/IP數據包操作的一些表面 知識。在開始數據包監測以前最好深入了解TCP/IP和網絡——這樣做更有意義。這里是一個 為那些想要進一步研究這個問題的人們提供的附加的資源列表。

ZDNet's Computer Shopper Network Utilities
Packetstorm's packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeek
EtherPeek
TamoSoft, makers of CommView
Opt Out is a great program worth looking at and the site has a wealth of information about packet sniffing
An overview of the TCP/IP Protocol Suite

　　最后一句警告——小心你監測的場所。在你家里的PC上運行一個數據包監測程序學習TCP/IP ，或者是在你控制的局域網運行以解決故障是一回事，在別人的網絡上偷偷地安裝卻是另一 回事。機敏的網絡管理員在集中注意力時會發現監測他們網絡的人，并且他們通常不會很高 興。