网络扫描与网络监听

网络扫描与网络监听第1页，共81页，2023年，2月20日，星期二概述本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中，网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。第2页，共81页，2023年，2月20日，星期二目录一.黑客概述

二.网络踩点三.网络扫描四.网络监听第3页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.1黑客的概念“黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代，是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵，只存在于各大院校与科研机构，技术人员使用一次计算机，需要很复杂的手续，而且计算机的效率也不高，为了绕过一些限制，最大限度地利用这些昂贵的计算机，一些程序员们就写出了一些简洁高效的捷径程序，这些程序往往较原有的程序系统更完善，这种行为被称为“Hack”,而“Hacker”就是从事这种行为的人。第4页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.1黑客的概念20世纪60、70年代，黑客一词仍是褒义词，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对计算机全身心投入，从事黑客活动意味着对计算机的最大潜能进行智力上的自由探索。随着互联网的日益扩大，逐渐形成了黑客群体。正是这些黑客，倡导了一场个人计算机革命，倡导了现代计算机的开放体系结构，打破了以往计算机技术只掌握在少数人手里的局面，是计算机发展史上的英雄。第5页，共81页，2023年，2月20日，星期二3.1黑客概述第6页，共81页，2023年，2月20日，星期二3.1黑客概述第7页，共81页，2023年，2月20日，星期二3.1黑客概述第8页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.1黑客的概念从黑客的起源来看，称计算机犯罪的人为黑客是对Hacker本质的误解，只会使用一些软件入侵系统的人根本没有任何资格和黑客这个词相提并论。黑客：首先应该在某项安全技术上有出众的能力，即技术上的行家，另外，还应具有自由、共享的精神和正义的行为，即热衷于解决问题，并能无偿帮助他人。第9页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.1黑客的概念黑客们为了与其他黑客相区别自封了三顶帽子，即“黑帽子”、“白帽子”和“灰帽子”。黑帽子：以入侵他人计算机系统为乐趣并进行破坏的人。白帽子：入侵系统进行安全研究并主动帮助别人修补漏洞的网络安全人员。灰帽子：指那些发现系统漏洞，并在公开场合探讨这些漏洞和安全防范措施的计算机技术爱好者。第10页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.2攻击的概念攻击是对系统全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。通常，“攻击”和“入侵”同指这样一种活动。第11页，共81页，2023年，2月20日，星期二3.1黑客概述3.1.3攻击的分类互联计算机的威胁来自很多形式。1980年，Anderson在其著名的报告中，对不同类型的计算机系统安全威胁进行了划分，他将入侵分为外部闯入、内部授权拥护的越权使用和滥用三种类型，并以此为基础提出了不同安全渗透的检测方法。目前，攻击分类的主要依据有：威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。第12页，共81页，2023年，2月20日，星期二3.1黑客概述1.按照威胁的来源，潜在入侵者的攻击可以被粗略地分成两类。外来人员攻击和内部人员攻击2.按照安全属性，Stalling将攻击分为四类，如图3.1所示。3.按照攻击方式，攻击可分为主动攻击和被动攻击。被动攻击包括窃听和监听。常用保护方法：加密。此攻击检测困难。主动攻击包括伪装、应答、修改文件、拒绝服务。此攻击难阻止、但可以检测、并修复。第13页，共81页，2023年，2月20日，星期二3.1黑客概述4.按照入侵者的攻击目的，可将攻击分为下面四类。

(1)拒绝服务攻击：是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Synflooding(UDPflooding)，Pingofdeath，Smurf(Fraggle)，Teardrop，TCPRST攻击，Jot2，电子邮件炸弹，畸形消息攻击。(2)利用型攻击：是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。(3)信息收集型攻击：这类攻击并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。(4)假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。第14页，共81页，2023年，2月20日，星期二匿名电子邮件转发漏洞名称：ExchangeServer5.5匿名转发漏洞原理第15页，共81页，2023年，2月20日，星期二匿名电子邮件转发案例深圳市二十多个邮件服务器番禺东城小学Internet东城小学台湾日本第16页，共81页，2023年，2月20日，星期二匿名电子邮件转发造成危害网络堵塞给利用于反动宣传解决方法打补丁关闭该服务或端口25,110第17页，共81页，2023年，2月20日，星期二张三是一个大型软件公司的程序员，其工作是编写和测试一些工具软件。他所在的公司采用两班轮换制：白天进行程序开发和联机操作，晚上完成产品的批处理工作。张三通过访问工作负荷数据了解到，晚上的批处理工作是白天编程工作的补充。也就是说，再晚班时增加程序设计工作，不会太多的影响他人计算机的操作性能。张三利用晚班时间，花费几个小时的编程，开发了一个管理自己股票清单的程序，之后又回到公司产品批处理工作上，他的程序对系统消耗很小，耗材很少，几乎觉察不到。请问张三的行为违反法律吗？行为道德吗？信息安全案例第18页，共81页，2023年，2月20日，星期二问题讨论1资产拥有权问题。计算机资产与时间人员资产。只为公司的工作需要提供资源。2一人行为对他人的影响问题。尽管程序对系统消耗很小，程序也简单，一般情况也可能无影响。但不能保证程序中没有漏洞。如有就会对系统造成严重影响和故障。3普遍性问题。如果张三的行为可以接受，许多人都这样，就会影响系统和效率。4检测的可能性与处罚问题。不容易发觉不是不能检测到，如果公司确定他的行为不当，就会受到处罚。第19页，共81页，2023年，2月20日，星期二3.1黑客概述5.按照入侵者使用的技术手段，攻击技术主要分为以下四类。网络信息收集技术：包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。目标网络权限提升技术：包括本地权限提升和远程权限提升。目标网络渗透技术：包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。第20页，共81页，2023年，2月20日，星期二3.2网络踩点

踩点，也就是信息收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似，攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集，攻击者可获得目标系统的外围资料，如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后，就能够初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。第21页，共81页，2023年，2月20日，星期二3.2网络踩点肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就象傀儡。肉鸡可以是各种系统，如windows、linux、unix等，更可以是一家公司、企业、学校甚至是政府军队的服务器。如何检测呢？第22页，共81页，2023年，2月20日，星期二3.2网络踩点注意以下几种基本的情况：

1：QQ、MSN的异常登录提醒（系统提示上一次的登录IP不符）

2：网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录。

3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就像你平时在COPY文件。

第23页，共81页，2023年，2月20日，星期二3.2网络踩点5：当你准备使用摄像头时，系统提示，该设备正在使用中。6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。7：服务列队中出可疑程服务。8：宽带连接的用户在硬件打开后未连接时收到不正常数据包。（可能有程序后台连接）第24页，共81页，2023年，2月20日，星期二3.2网络踩点9：防火墙失去对一些端口的控制。10：上网过程中计算机重启。11：有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成。）12：一些用户信任并经常使用的程序（QQ`杀毒）卸载后。目录文仍然存在，删除后自动生成。13：电脑运行过程中或者开机的时候弹出莫名其妙的对话框第25页，共81页，2023年，2月20日，星期二3.2网络踩点我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。1．注意检查防火墙软件的工作状态比如金山网镖、360安全卫士等。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。第26页，共81页，2023年，2月20日，星期二3.2网络踩点2．推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。一般的木马连接，是可以通过这个工具查看到结果的。这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。第27页，共81页，2023年，2月20日，星期二3.2网络踩点3．使用360、金山清理专家等进行在线诊断，特别注意全面诊断的进程项清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。4．清理专家百宝箱的进程管理器可以查找可疑文件，帮你简单的检查危险程序所在。如何避免呢？

第28页，共81页，2023年，2月20日，星期二3.2网络踩点1.关闭高危端口2.及时打补丁即升级杀毒软件3.经常检查系统4.盗版WindowsXP存在巨大风险5.小心使用移动存储设备6.安全上网第29页，共81页，2023年，2月20日，星期二3.2网络踩点

踩点第30页，共81页，2023年，2月20日，星期二3.2网络踩点Intranet又称为企业内部网，是Internet技术在企业内部的应用。它实际上是采用Internet技术建立的企业内部网络，它的核心技术是基于Web的计算。Intranet的基本思想是:在内部网络上采用TCP/IP作为通信协议，利用Internet的Web模型作为标准信息平台，同时建立防火墙把内部网和Internet分开。当然Intranet并非一定要和Internet连接在一起，它完全可以自成一体作为一个独立的网络。第31页，共81页，2023年，2月20日，星期二3.2网络踩点whois（读作“Whois”，而非缩写）是用来查询域名的IP以及所有者等信息的传输协议。

whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过whois来实现对域名信息的查询。第32页，共81页，2023年，2月20日，星期二3.2网络踩点1．利用搜索引擎搜索引擎是一个非常有利的踩点工具，如Google具有很强搜索能力，能够帮助攻击者准确地找到目标，包括网站的弱点和不完善配置。比如，多数网站只要设置了目录列举功能，Google就能搜索出Indexof页面，如图3.2。第33页，共81页，2023年，2月20日，星期二3.2网络踩点打开Indexof页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图3.3。第34页，共81页，2023年，2月20日，星期二3.2网络踩点2．利用whois数据库除了搜索引擎外，Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于Internet地址分配、域名和个人联系方式等数据元素。攻击者可以从Whois数据库了解目标的一些注册信息。提供whois服务的机构很多，其中和中国最相关的机构及其对应网址如表3.2。第35页，共81页，2023年，2月20日，星期二3.2网络踩点下面给出一个例子，利用提供的whois服务查询信息，如图3.4、图3.5所示。第36页，共81页，2023年，2月20日，星期二3.2网络踩点下面给出一个例子，利用提供的whois服务查询信息，如图3.4、图3.5所示。第37页，共81页，2023年，2月20日，星期二3.2网络踩点3．利用DNS服务器DNS服务中维护的信息除了域名和IP地址的对应关系外，还有主机类型、一个域中的邮件服务器地址、邮件转发信息、从IP地址到域名的反向解析信息等。用nslookup程序可以从DNS服务器上查询一些网站的相关信息，如图3.6是查询和163.com得到的结果。第38页，共81页，2023年，2月20日，星期二3.3网络扫描扫描是进行信息收集的一种必要工具，它可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手；而对于管理员，扫描同样具备检查漏洞，提高安全性的重要作用。第39页，共81页，2023年，2月20日，星期二3.3网络扫描3.3.1安全漏洞概述通常，网络或主机中存在的安全漏洞是攻击者成功地实施攻击的关键。那么，什么是安全漏洞？安全漏洞产生的根源是什么？这些漏洞有哪些危害呢？第40页，共81页，2023年，2月20日，星期二3.3网络扫描1．安全漏洞的概念这里所说的漏洞不是一个物理上的概念，而是指计算机系统具有的某种可能被入侵者恶意利用的属性，在计算机安全领域，安全漏洞通常又称作脆弱性。简单地说，计算机漏洞是系统的一组特性，恶意的主体能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。第41页，共81页，2023年，2月20日，星期二3.3网络扫描2．漏洞存在原因现在Internet上仍然在使用的基础协议中，有很多早期的协议在最初设计时并没有考虑安全方面的需求。并且，Internet是一个快速变化的动态环境，要在这样一个基础设施并不安全、动态的、分布式的环境中保证应用的安全是相当困难的。正是由于Internet的开放性和其协议的原始设计，攻击者无需与被攻击者有物理上的接触，就可以成功地对目标实施攻击，而不被检测到或跟踪到。

第42页，共81页，2023年，2月20日，星期二3.3网络扫描另外，高速膨胀的应用类型也是漏洞存在的原因。产品开发周期短从技术角度来看，漏洞的来源主要有以下几个方面：（1）软件或协议设计时的瑕疵（2）软件或协议实现中的弱点（3）软件本身的瑕疵（4）系统和网络的错误配置第43页，共81页，2023年，2月20日，星期二3.3网络扫描3．漏洞的危害漏洞主要存在于操作系统、应用程序以及脚本中，它使得入侵者能够执行特殊的操作，从而获得不应该获得的权限。几乎每天都能在某些程序或操作系统中发现新的漏洞，许多漏洞都能导致攻击者获得root权限，从而可以控制系统并获得机密资料，导致公司或个人遭受巨大损失。不同的漏洞其表现形式不一样，危害也有大小之分，但是总的说来，安全漏洞危害系统的完整性、系统的可用性、系统的机密性、系统的可控性和系统的可靠性等。第44页，共81页，2023年，2月20日，星期二3.3网络扫描3.3.2为什么进行网络扫描很多入侵者常常通过扫描来发现存活的目标及其存在的安全漏洞，然后通过漏洞入侵目标系统。为了解决安全问题，网络管理员也常借助扫描器对所管辖的网络进行扫描，以发现自身系统中的安全隐患和存在的棘手问题，然后修补漏洞排除隐患。所以说扫描是一把双刃剑。为了解决安全隐患和提高扫描效率，很多公司和开发组织开发了各种各样的漏洞评估工具，这些漏洞评估工具也被称为扫描器，其种类繁多、性能各异。

扫描就是通过向目标主机发送数据报文、然后根据响应获得目标主机的信息。根据扫描目的的不同，分类：

地址扫描、端口扫描、和漏洞扫描。第45页，共81页，2023年，2月20日，星期二3.3网络扫描3.3.3发现目标的扫描如果将扫描比拟为收集情报的话，扫描目标就是寻找突破口了。本节介绍基本的扫描技术和扫描技巧，利用这些技术和技巧可以确定目标是否存活在网络上，以及正在从事的工作类型。该类扫描目前主要有Ping扫描和ICMP查询两种。第46页，共81页，2023年，2月20日，星期二3.3网络扫描1．Ping扫描第47页，共81页，2023年，2月20日，星期二3.3网络扫描在“开始IP”和“结束IP”文本框分别输入需要进行Ping扫描的起始地址和结束地址，并单击右侧按钮将其加入右侧文本框，如图3.8所示。第48页，共81页，2023年，2月20日，星期二3.3网络扫描第49页，共81页，2023年，2月20日，星期二3.3网络扫描扫描完成后可以单击SuperScan提供的“查看HTML结果”按钮，查看主机存活情况，如图3.10所示。第50页，共81页，2023年，2月20日，星期二3.3网络扫描2．ICMP查询如果目标主机阻塞了ICMP回显请求报文，仍然可以通过使用其它类型的ICMP报文探测目标主机是否存活，并收集到各种关于该系统的有价值的信息。例如，向该系统发送ICMP类型为13的消息，若主机存活就能获得该系统的系统时间；发送ICMP类型为17的消息，若主机存活就能获得该目标主机的子网掩码。第51页，共81页，2023年，2月20日，星期二3.3网络扫描3.TCP扫射和UDP扫射另外，TCP扫射和UDP扫射也可用于发现目标是否存活。从TCP连接的三次握手过程可以知道，如果向目标发送一个SYN报文，则无论收到一个SYN/ACK报文还是一个RST报文，都表明目标处于存活状态，或向目标发送一个ACK报文，如果收到一个RST报文则表明目标存活。这就是TCP扫射的基本原理。如果向目标特定端口发送一个UDP数据报之后，接收到ICMP端口不可达的错误，则表明目标存活，否则表明目标不在线或者目标的相应UDP端口是打开的。这是UDP扫射的原理。第52页，共81页，2023年，2月20日，星期二3.3网络扫描3.3.4探测开放服务的端口扫描在找出网络上存活的系统之后，入侵者下一步就是要得到目标主机的操作系统信息和开放的服务。端口扫描就是发送信息到目标计算机的所需要扫描的端口，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。1．端口：80（HTTP）、21(FTP)、25（SMTP）标准端口：0~1023

非标准端口：1024~65535（木马入侵端口）2．端口扫描原理：向目标主机的服务端口发送探测数据包、并记录目标主机的响应。据此判断端口是打开还是关闭。3．常见的端口扫描技术：TCPconnect（全连接扫描）、TCPSYN(半连接扫描)、秘密扫描等。第53页，共81页，2023年，2月20日，星期二3.3网络扫描端口扫描分类

第54页，共81页，2023年，2月20日，星期二3.3网络扫描3.3.5漏洞扫描

漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。针对各种服务的漏洞是一个庞大的数字，在2001年一年中，仅微软就针对自己的产品一共发布了上百个安全漏洞，而其中接近一半都是IIS漏洞。这些庞大的漏洞全部由手工检测是非常困难的。第55页，共81页，2023年，2月20日，星期二3.3网络扫描

1．漏洞扫描技术的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。第56页，共81页，2023年，2月20日，星期二3.3网络扫描

2．漏洞扫描技术的分类和实现方法基于网络系统漏洞库，漏洞扫描大体包括：CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等，这些漏洞扫描基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。漏洞扫描还包括没有相应漏洞库的各种扫描，比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等，这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。第57页，共81页，2023年，2月20日，星期二3.3网络扫描好的扫描工具是黑客手中的利器，也是网络管理员手中的重要武器。这里介绍三款著名的扫描器，它们均为开源或者免费的扫描器，也是迄今为止最好的扫描器。第58页，共81页，2023年，2月20日，星期二3.3网络扫描1．Nmap：扫描器之王Nmap（NetworkMapper，网络映射器）是一款开放源代码的网络探测和安全审核的工具。它可以在大多数版本的Unix系统中运行，并且已经被移植到了Windows系统中。它主要在命令行方式下使用，可以快速地扫描大型网络，也可以扫描单个主机。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些主机提供什么服务（应用程序名和版本），那些服务运行在什么操作系统（包括版本信息），它们使用什么类型的报文过滤器/防火墙，等等。虽然Nmap通常用于安全审核，但许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。第59页，共81页，2023年，2月20日，星期二3.3网络扫描2．Nessus：分布式的扫描器

Nessus是一种用来自动检测和发现已知安全问题的强大扫描工具，运行于Solaris、FreeBSD、GNU/Linux等系统，源代码开放并且可自由地修改后再发布，可扩展性强，当一个新的漏洞被公布后很快就可以获取其新的插件对网络进行安全性检查。它的一个很强大的特性是它的客户/服务器技术。服务器负责进行安全扫描，客户端用来配置、管理服务器端，客户端和服务器端之间的通信使用SSL加密。服务器可以放置在网络中的不同地方来获得不同的信息。一个中央客户端或者多个分布式客户端可以对所有的服务器进行控制。这些特性为渗透测试者提供了很大的灵活性。第60页，共81页，2023年，2月20日，星期二3.3网络扫描3．X-Scan：国内最好的扫描器

X-Scan是国内最著名的综合扫描器之一，完全免费，是不需要安装的绿色软件，其界面支持中文和英文两种语言，使用方式有图形界面和命令行方式两种，支持windows9x/NT4/2000操作系统。该扫描器是由国内著名的网络安全组织“安全焦点”（）开发完成的，支持多线程并发扫描，能够及时生成扫描报告。它可以对远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞和拒绝服务漏洞等进行扫描，并把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估，提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞。第61页，共81页，2023年，2月20日，星期二3.3网络扫描4．例子：X-scan的使用X-scan是一款功能强大的综合扫描工具，其图形界面如图3.12所示。第62页，共81页，2023年，2月20日，星期二3.3网络扫描

扫描前首先进行参数设置。打开“设置”->“扫描参数”，如图3.13所示；点击“检测范围”->“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”->“扫描模块”设置扫描内容，如图3.15所示。第63页，共81页，2023年，2月20日，星期二3.3网络扫描

扫描前首先进行参数设置。打开“设置”->“扫描参数”，如图3.13所示；点击“检测范围”->“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”->“扫描模块”设置扫描内容，如图3.15所示。第64页，共81页，2023年，2月20日，星期二3.3网络扫描

扫描前首先进行参数设置。打开“设置”->“扫描参数”，如图3.13所示；点击“检测范围”->“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”->“扫描模块”设置扫描内容，如图3.15所示。第65页，共81页，2023年，2月20日，星期二3.3网络扫描

扫描参数设置完，点击工具栏中的三角形的开始按钮，即开始按照设定对范围内的主机进行扫描，扫描过程的界面如图3.16所示。第66页，共81页，2023年，2月20日，星期二3.3网络扫描

扫描结束后，生成html格式的扫描报告，如图3.17所示。根据扫描结果，我们可以获知哪些主机在线，这些主机开放了哪些端口/服务，又存在着哪些安全漏洞等。第67页，共81页，2023年，2月20日，星期二3.4网络监听

网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等方面的极大安全隐患。网络监听在安全领域引起人们普遍注意始于1994年，在那一年2月，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。这事件可能是互联网上最早的大规模的网络监听事件了，它使早期网络监听从“地下”走向了公开，并迅速在大众中普及开来。第68页，共81页，2023年，2月20日，星期二3.4网络监听3.4.1Hub和网卡的工作原理以太网等很多网络是基于总线方式的，物理上是广播的，就是当一台机器向另一台机器发送数据时，共享Hub先接收数据，然后再把它接收到的数据转发给Hub上的其它每一个接口，所以在共享Hub所连接的同一网段的所有机器的网卡都能接收到数据。而对于交换机，其内部程序能够记住每个接口的MAC地址，能够将接收到的数据直接转发到相应接口上的计算机，