警惕IP数据包窃听

IP数据包窃听是一把名符其实的双刃剑：既是网络系统管理员必不可缺的工具，又是一种穷凶极恶的黑客武器。你在系统管理员和黑客的工具箱中都能找到IP数据包窃听软件！黑客用它来偷取网上的登录信息(用户名、密码等)，系统管理员用它来侦测损坏的数据包和其它网络问题。

　　下面我们就要开始接触IP数据包窃听了，请系好安全带(坐在第一排的一位读者手开始发抖了)……包括怎样进行IP数据包窃听(坐在最后一排的一位读者跳起来，头撞在了天花板上(哼，当然不会把那些穷凶极恶的手段教给你)。

　　一、IP数据包窃听是咋回事？

　　我们完全可以把IP数据包窃听比做电话窃听。当你上网时，你是在通过其它计算机传递数据。发送E-mail或下载网页的数据包要经过很多计算机的中转才能到达目的地，或从目的地到达你的计算机。这些中转数据包的主机能通过IP数据包窃听技术捕获途经它的数据包信息！了解一点TCP/IP协议常识的人都知道，互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括刚才提到的E-mail、网页、登录信息(用户名、密码)、电子商务信息(信用卡密码)等。

　　现在，大多数网络主机都使用以太网卡。在默认设置下，以太网卡只接受到达本地的数据包，而过滤掉其它数据包。但以太网卡有一个“混杂模式”选项，可以关掉过滤功能，从而检查途经网卡的所有数据包——这是IP数据包窃听得以实现的根本原因！

　　防火墙和加密技术都不能阻止包窃听。黑客窃听到经过加密的口令后，用不着解密就可以使用它(只需原样转发)！如果你的口令非常重要，最好使用“一次性”口令——用完一个口令后就换个新的。这样，即使黑客窃取到你上一次使用的密码，使用时也失效了。

　　二、用什么窃听？

　　网上有成百上千的包窃听程序，EtherPeek就是一个古老而有用的网络数据包分析工具，具有强大的网络监控与分析功能。另一款是TamoSoft公司的CommView能检验每个单独的数据包并对底层协议进行全面分析。如果你运行的是Win NT，用不着装其它包窃听程序，其本身就自带有一个：网络监控器(Network monitor)。在“网络控制面板”的“服务”标签卡中，点击“添加”按钮，然后选择“网络监控工具与代理”。当网络监控器被装上之后，你就可以在程序菜单的“管理工具”中运行它了。当然，上述工具也都是网管们常用的好东东(笔者：当然，要不岂不会被酷鱼揍死？)，这把双刃剑就看落在谁的手里了。

　　三、窃听程序如何工作？

　　下面，我们就以CommView为例，看看IP数据包窃听程序是怎样工作的。

　　首先，运行CommView后，在工具栏正中的下拉菜单中选中一个网络适配卡，如选中“D-link DE-528 Ethernet PCI Adapter”。然后，从“文件”下拉菜单中选择“Start Capture”。CommView的主屏幕是通过IP Statistics、Packets、Logging、Rules四个活页卡进行管理的。如果这时有数据包从网卡通过，你马上就可以在IP Statistics中看到效果了！如果没有，打开一个网页或收发E-mail试试看！看到接牧和发送数据包双方的IP地址了吧！除了IP地址，你还能看到端口号、发送和接收到的数据包的数量、主机名等信息。如果你选中“SmartWhoIs”模式，在IP列表中选中一个IP地址，右键单击，程序会锁定该IP，并返回有关注册信息。

　　这时，如果检查你的POP信箱，你会在IP列表中看到一行IP地址端口为110通用的-POP信箱端口。同样，你访问任何一个WEB站点都会出现一串端口为80的IP地址。

　　下面，点击“Packets”活页卡，就可以窥视数据包主体部分的内容了。在“Packets”活页卡上主要分两栏。上一栏依次为：总共经过的IP包量、协议名称、MAC地址、IP地址、端口等。在下一栏中，左边是十六进位制的原始数据，右边是一些文本内容。借助一些软件，能将这些十六进位的天书翻译出来……这里就暂不讨论了(想做坏事啊？没门。举这个例子是为了让大家知道黑客并不神秘)。

　　四、IP地址冒充

　　IP数据包窃听最为险恶的应用就要算是IP地址冒充了。这时，黑客不仅仅只是看看途经其网卡的IP包，而是为达到其险恶用心而更改数据包的内容！

　　当包窃听程序运行于两台进行数据交换的主机之间的一个节点上时，黑客能窃取一方的身份，然后冒充其身份。去年哄动一时的D.O.S.(Denial-Of-Service拒绝服务)攻击就是这样冒充IP地址而得逞的。