网络监听和信息截获,网络安全的思考。
来源:互联网 发布:4.0绩点算法 编辑:程序博客网 时间:2024/05/16 18:04
任何东西,一旦形成公共的约定,就有人想方设法钻它的漏洞或者破坏它!
网络的传输从UDP开始,发现UDP是不安全的,它会把信息发给所有相关的网络和终端。
于是TCP解决了这个问题,这个面向连接的协议,能够保证通信双方的连接状态,然而三次握手机制却带来了
SYN洪水等攻击,所谓:道高一尺,魔高一丈!
现有的多数协议都是TCP/IP衍生的,如大家熟悉的FTP文件传输协议,HTTP超文本传输协议,TELNET……
这些技术给我们带来便利的同时,也给我们带来了,另一方面的痛苦,我们来看看吧。
下面我们就切掉数据库这个“累赘”做一个简单的ASP网站:
一个简单的后台登陆页面,账号admin密码bugaosuni,呵呵……
工具可以用VS6.0,也可以使用DreamWeaver,甚至你高手一点,直接用记事本都没问题,我们就用记事本吧!
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%><%'vbscript - simpleif request("act") = "login" thenif request.Form("txtUser") = "admin" and request.Form("txtPass") = "bugaosuni" then response.write("Welcome!")else response.write("Access Denied!")end if response.Endend if%><html><head><title>登录演示</title></head><body><form action="?act=login" method="post"><table><tr><td>账号:</td><td><input name="txtUser" type="text" /></td></tr><tr><td>密码:</td><td><input name="txtPass" type="password" /></td></tr><tr><td colspan="2"><input name="btnSub" type="submit" value=" 提交 " /></td></tr></table></form></body></html>
很简单的一个登陆页面,不要数据库,管理账号密码定死,实际的网站应该带有防SQL注入等等,简单起见,我们就这样了
我们用虚拟机架设服务器,把这个保存为index.asp
然后我们访问她,输入地址直接打开,如下图
这时候,有三个人最可能知道这个密码,你自己(除非你乱输)或旁边的人,网站管理员(不太可能),黑客。
我们自己来扮演一下黑客吧,新手过把瘾,老手别笑
账号密码正确,提交成功,可以进行后台相关操作,但是这时我们看到另外进行的一个过程:
不错,是sniffer,一个网管常用的网络检测工具,可以检测网络丢包,拥堵,跟踪等,也可以被“坏人”利用。
不要被英文的界面和奇怪的面板吓坏,我们这么来吧
额……截图时候,鼠标搞错地方了,应该是Capture菜单,Define Filter打开对话框
选择Advanced选项卡,展开IP节点
勾选http复选框,点击确定自动关闭这个对话框,如果这时,有人按照第一步的方式登录后台,我们就看到下面的东东!
停止监听并显示,得到如下图所示的结果:
甚至可以用Socket或者WinInet API cookie欺骗伪造提交这样的表单,直接一键登录!
恶心了吧,至于你吐不吐,反正我旁边有人吐了……
当然,大型的网站有很多技术用于防范别人监听得到这些敏感信息,不过多数中小型企业,仍然是这样的编程方式,
然而,即便在复杂的方式也可以用更高的技术,搞到手。黑客搞掉搜狐,致使天龙八部私服泛滥就是一个例子。
当年,搜狐投资1.2亿完成建设后,每年赚多少?10亿?100亿?只有张朝阳知道的最清楚,然而黑客这么一下子,客户
至少跑掉35%。
所以,各位老总,不要忽视你单位技术员的重要性,不要认为他无所是处,技术高一些的技术员往往性格有些怪癖……
不时请他吃饭,完全不过分!也希望大家不要太紧张,这只不过是个例子,至于是否得到还得看网络连接,所以网关和防
火墙的重要性就体现出来了……
2011-8-26 于深圳
- 网络监听和信息截获,网络安全的思考。
- SMS 信息的监听、截获与回复
- 网络安全的哲学思考
- 计算机通信网络安全的思考
- 计算机网络安全实验总结 本部分主要包括计算机网络操作系统的配置,网络扫描,网络监听,网络入侵。
- DDoS防范和全局网络安全网络的应对
- DDoS防范和全局网络安全网络的应对
- 关于网络分层,和网络安全的一些总结
- EditText中进行文字截获和事件监听
- 对于信息监理的思考和展望
- 用Ethereal截获的网络数据包
- 基于SPI的LSP网络封包截获
- android 截获网络数据包的方法
- 网络连接状态的监听和判断
- 信息与网络安全相关参考资料的下载
- 网络安全靠法制,网络信息内容管理又增两细则
- 糟糕的移动安全:可以截获的imsi信息
- 信息安全技术实验一:网络监听实验
- c# using用法
- Struts 2+Jquery+JSON(登录验证)
- Delphi驱动开发研究第七篇--与用户进程通讯(共享内存篇)
- Java Reflection 操作实例 (JAVA反射)
- pthread_mutex互斥锁多进程共享
- 网络监听和信息截获,网络安全的思考。
- PHP获取文件后缀名的几种方法
- 一个关于NTFS权限/DTS/ASP.Net的问题解决过程
- SQL Server 用户登录
- class 文件 拷贝 操作 类
- 什么是云计算
- java 解析 json 字符串
- Delphi驱动开发研究第八篇--注册表
- C++primer笔记(六)