通讯

安全入门之一之局域网窥探

摘要 为什么会出现所谓的msn/QQ sniffer[1][2],为什么一台机器能捕获其它机器的信息。 这些现象让大多数不懂网络的人感到困惑,也感到害怕,因为个人隐私可能 被某些不良人员(包括很多只是好奇的人)所利用,更严重的是一些信息可以 被利用来作出更大的危害,那么我们来了解下这其中的原理,以及个人和网络 管理人员如何察觉和避免这种窥探。 Sniffer的原理 如图所示,有多台pc终端交换机上构成一个局域网,当PC1向其它机器发送消息时, 根据交换机的不同有两种模式 1) 如果交换机是管理模式,他会记录下每一口所连计算机的MAC地址(一种网卡 的物理地址,无法更改)当交换机收一个消息帧,会根据目标地址来决定发往哪个 端口。 2) 如果交换机是passive,那么交换机收到消息帧会向交换机的每一个口复制发送一 份并且发送。 能够被窥探者利用的是第二种模式,即交换机会向每一个口上的网卡发送数据帧,但 是为什么一般情况上不会发生问题,是因为网卡也有两种工作模式: 1) 一般模式,网卡只接收目标地址是自己的数据帧,其它数据帧被丢弃。 2) 混杂模式(promiscuous mode)网卡接收所有到达网卡的数据帧。 把交换机的第二种情况和网卡的混杂模式综合起来,就使得一台机器能捕捉到局域网 内所有通讯的数据包,加以分析就形成了我们所看到的msn,qq和其它的消息。 为什么网卡可以设置成混杂模式? 这多半是由于网络监控的需要,但是一般的使用者也能很轻松的把自己的网卡设置成 混杂模式。 1) 最简单的办法,多款著名的packet capture自由软件直接提供了混杂模式功能,比 如ethereal (Google it), 应用它能直接捕获局域网的数据包。 2) 对于Linux机器,可以直接修改其驱动,重新编译装载即可,关于修改网上有很多 文章,http://www.linuxdiyf.com/viewarticle.php?id=52177 3) 对于windows机器,利用winpcap做应用程序来实现, http://www.leftworld.net/wenzhang/show/1816.html 如何反sniffer 如何反sniffer是我们最关心的问题,可以从两个方面来分析 第一是个人,个人可以通过给通讯加密,使得捕获者即使获得数据包也无法读懂内容, 当然如果它还能成功破译那就是另外的问题。现在网上能直接下载msn,qq的发sniffer软 件[3][4], 它的原理就是给通讯加密;不要直接使用telnet,而用ssh等。 第二对于网络管理员,有两种途径 一是不要使用广播式的hub或者交换机来连接局域网(很可能处于经费考虑没法解决)。 二是成功的监控网络上是否有sniffer,也就是网络上是否出现混杂模式的网卡,最直接的 办法是ping本机,如果得到其它机器的icmp响应就证明那台机器是处于混杂模式;或者把 监控软件安装在客户端,一旦有sniffer就及时报告。 总结 以上只是对网络捕获的初步分析,有待深入,文档会继续更新。 引用 【1】 msn sniffer http://www.effetech.com/msn-sniffer/ 【2】 QQ sniffer http://www.skycn.com/soft/550.html 【3】 SimpLite For ICQ 2.1.3 anti-sniffer 【4】 SimpLite For MSN Messenger

神奇的Tor带你冲浪自由的百科全书Wiki

很久的时候就听说过 Wiki(维基百科全书),也在很多的地方看到过Wiki的链接,每次好奇的点击过去,总是无法打开的失望,从此以后头脑中多了一份对于Wiki的牵挂,一份不舍,为什么我就上不去呢? 最后,我看到了一些关于Tor的介绍,标题起的就很吸引人—–跨越人造的鸿沟:Tor代理服务器。看了之后,大概的有了些印象,下面是wiki上摘录的一些: Tor是第二代 onion routing(洋葱路由)的一种实现,用户通过Tor可以在因特网上进行 匿名交流。最初该项目由 美国海军研究实验室(US Naval Research Laboratory)赞助。 2004年晚些时候,Tor成为 电子前哨基金会(Electronic Frontier Foundation, EFF)的一个项目。2005年后期,EFF不再赞助Tor项目,但他们继续维持Tor的官方网站。 匿名外连 Tor用户在本机运行一个洋葱代理服务器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网络中构成虚拟环路(virtual circuit)。 Tor是在7层protocol stack中的application layer进行加密(也就是按照’onion’的模式)而它之所以被称为onion是因为它的结构就跟洋葱相同,你只能看出它的外表而想要看到核心就必须 把它层层的剥开。即每个router间的传输都经过symmetric key来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以 保持通讯安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚拟环路来进行。 进入Tor网络后,加密信息在路由器间传递,最后到达“退出节点”(exit node),明文数据从这个节点直接发往原来的目的地。对于目的主机而言,是从“退出节点”发来信息。 由于在TCP数据流的级别通讯,Tor显得卓然独立于其他匿名网络。通过使用Tor,一般的应用程序都可以实现匿名,比如IRC、即时通讯,以及浏览网页。浏览网页时,Tor常常与Privoxy联合使用,Privoxy是一个代理服务器,可以在应用层增加保护隐私。 有了Tor之后,我们就可以自由的上自己想上的网站了,这个要比一般的代理服务器好了很多。我们在 Tor的官方站点上可以下载,安装后将socket代理设置为localhost:9050,你就可以自由冲浪了。 Tor的页面中有祥细的 教程,那里的英文也不是很难,几个简单的步骤就搞定了。而且tor还专门针对firefox有一个torbutton的扩展,可以通过这个扩展来快速的切换是否使用tor。 不多说了,enjoy it~~~~~~~~~