479.htm

unix高级编程原吗

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center">               ● UNIX网络编程                       (BM: clown)                </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p   align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="12.htm">上一层</a>][<a href="480.htm">下一篇</a>]
<hr><p align="left"><small>发信人: cloudsky (晓舟·轩辕明月), 信区: Security <br>
标  题: 再论反监听 <br>
发信站: 武汉白云黄鹤站 (Wed Dec 29 19:47:41 1999), 站内信件 <br>
首先非常感谢 skyfly 前面的介绍，解答了我一个迷惑很久的问题。 <br>
上次从清华搞回linux源代码编译运行前自以为是地修改了 <br>
下面这条语句中的mac地址，以前我以为只要是fake mac就可以 <br>
到达探测效果，没有想到还有其他窍道。现在用下面这条语句，就可 <br>
以同时针对windows和linux了 <br>
memcpy( arp_pkt.dst_mac, "\xff\0\0\0\0\0", 6 );  /* ff:00:00:00:00:00 */ <br>
估计源代码也是书写错误，不应该是\255\255\255\255\255\0的， <br>
这种情况下只能监测出linux下的混杂模式网卡，而不能探测到NetXray的存在。 <br>
因为发送出去的是AD:AD:AD:AD:AD:0，这个fake mac依旧发现了SOCK_PACKET的存在， <br>
但没有发现NetXray的存在。而ff:00:00:00:00:00发现了NetXray和IPMan的存在， <br>
后者也就意味着所有使用Vpacket.vxd的都将被发现，包括网络刺客和S-Term。 <br>
不过 pred 也指出过，对网卡的promisc模式的监测是根据操作系统的不同反应来进行 <br>
的，监视的时候可以不装任何协议，这样就查不出promisc模式的网卡了。 <br>
虽然我没有在不装任何协议的情况下进行过监听，但 pred 指出的这个问题应该是存在 <br>
  <br>
的。建议这样，把某台已经可以正常连入Lan的Pwin98的所有协议都卸载掉，重新安装 <br>
NetXray或者直接使用IPMan进行监听，就知道效果如何了。尤其是那种专门用来进行 <br>
局域网分析的硬件设备，估计这个程序是监测不到它们的存在。话说回来，有几个 <br>
会在自己本机不装网络协议的情况下进行监听呢，所以还是很有实际意义的。 <br>
只要启动了NetXray，网卡就进入了混杂模式，这个可以从它即使不进行监听也会报告网 <br>

  <br>
络冲突包出现得到证实，同样Boy系列的工具、LinkViewPro等等都一样，只要启动了， <br>
  <br>
即使没有进行监听，也会设置网卡到混杂模式，退出后取消混杂模式。但是使用Vpacke <br>
t.vx <br>
d <br>
的那些工具不是的，网络刺客，如果你不选择进行监听，网卡依旧在普通模式。不知道 <br>
  <br>
使用packet.sys的NT下的监听工具又是怎么个样子，没测试过。在Linux下，如果你 <br>
是root用户，ifconfig eth0 promisc后，运行antisniff，发现也被监测到了，可以 <br>
逗别人玩玩嘛，让他来找你麻烦，然后开始诡辩。 <br>
虽然使用过L0pht的antisniff，一直奇怪为什么自己从清华弄来的源代码不行而它的 <br>
1.01可以，今天经skyfly一解释，明白啦，再次感谢 skyfly 。看来了解原理是一回事 <br>
  <br>
情，深入了解后加以利用又是另外一回事情，早该用NetXray看看antisniff发了些什么 <br>
探 <br>
测包出来的，sigh <br>
如果探测出来有混杂模式网卡存在，你该怎么办，办法是冷静，不要气汹汹地去找人， <br>
  <br>
没有意义，也不要无聊地进行所谓的自卫反击，目前最严重的问题是监听BBS，这个 <br>
可以通过使用ssh解决，华中站等Y2K危机过了，可以考虑使用sshd。 <br>
最后需要说明的是，这种监测是发送了大量报文到网络上的，网络分析软件会立刻发现 <br>

出 <br>
现异常高峰报文，如果你监测0-255范围，结果255的兄弟立刻断线，你就无法发现他刚 <br>
才 <br>
监听过你。而且，最好不要频繁监测，网络负载都被你拖下来了，还说什么其他的。矛 <br>
盾 <br>
的对立面呀，还是赶快使用IPV6以及SSL吧，要不就只好依赖于革命自觉性(鬼相信)。 <br>
-- <br>
            我问飘逝的风：来迟了？ <br>
            风感慨：是的，他们已经宣战。 <br>
            我问苏醒的大地：还有希望么？ <br>
            大地揉了揉眼睛：还有，还有无数代的少年。 <br>
            我问长空中的英魂：你们相信？ <br>
            英魂带着笑意离去：相信，希望还在。 <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="12.htm">上一层</a>][<a href="480.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>