反黑风暴- 第8部分

2。对端口进行扫描

Brute软件与其它扫描工具一样，也可以对计算机的端口进行扫描。【PortScan】选项卡是用来扫描目标计算机的TCP协议侦听端口的，一般来说一个服务器会同时是服务器、FTP服务器和邮件服务器，管理员想要知道什么服务在当前网络用户中使用频率最高，通过这个软件功能就可查看到。切换到【PortScan】选项卡，可看到该选项卡下的内容与【Brute】选项卡差不多。

在“PortSettings”栏中默认选中“UseList”复选框，用户可在“TCPPort”下拉列表中选择要扫描的端口。若选择“0＇all＇”选项，则可对下拉列表中的所有端口（下拉列表中只列出了一些典型的端口）进行扫描；若单击右边的按钮，则可在弹出的对话框中打开用户自定义的端口列表，并对文档中所包含的端口进行扫描。

若取消选中“UseList”复选框，则程序会自动扫描所有端口，但扫描过程会花费很长时间，特别是对长网段扫描时。若要对一个IP地址段内的计算机端口进行扫描，可在“Range”栏中的“IPRange”文本框中输入一个IP地址范围。也可以通过取消【Options】菜单下的【ClassC】菜单项，启用多网段扫描。

单击“Range”栏中的【Scan】按钮，即可对设置的IP地址的计算机的端口进行扫描。可以看出，在“Results”列表框中显示了很多扫描结果，为了完整地显示所有扫描结果，可选中“ResultOption”栏中的“ScrollBars”复选框，此时“Results”列表框中会出现水平和垂直滚动条，拖动相应的滚动条，即可查看没有显示的结果。

扫描结果中列出的端口就是目标主机上当前开放的端口，用户可从中查看哪些IP地址的计算机的开放端口多些，这些计算机的安全风险也就相应高些。

此时，一些黑客就会利用这个机会，对存在风险的计算机进行入侵，损害用户的计算机。若要降低计算机的安全风险，用户可以根据扫描的结果，对有安全隐患的端口进行关闭，起到防御的目的。

上述是对多个IP地址段内的目标计算机进行端口的扫描，如果要对单个IP地址计算机端口进行扫描，则在“Single”栏中的“puter/HostName”文本框中直接输入这个计算机的IP地址，单击这个区域中的【Scan】按钮即开始扫描。

4。1。2Windows系统安全检测器

Windows系统安全检测器即MBSA（MicrosoftBaselineSecurityAnalyzer），它是Microsoft针对普通用户的安全推出的安全检测程序，也是一款常用的扫描工具。该软件包含大部分的微软软件检测器，除了能够检测漏洞之外，还提供了详细的解决方案以及补丁下载地址。在利用该软件扫描时，它允许用户扫描一台或多台基于Windows操作系统的计算机，以发现常见的安全方面的配置错误，并检查操作系统和已安装的其他组件（InterInformationServices（IIS）和SQLServer），以发现安全方面的配置错误，及时通过推荐的安全更新进行修补。

下面介绍利用Windows系统安全检测器扫描计算机的具体操作方法。

步骤01在计算机中安装下载的MBSA程序，然后双击该程序的安装图标，运行软件，进入其主界面中。默认选择左侧列表中的“Wele”（欢迎）链接，在右侧的界面中可以指定扫描的计算机和扫描选项，其中“Scanaputer”表示扫描一台计算机，“Scanmorethanoneputer”表示扫描几台计算机，“Viewexistingsecurityreports”表示查看安全报告，但“Viewexistingsecurityreports”选项在第一次运行时，由于没有检测过而呈灰色的不可用状态。这里单击“Scanaputer”（扫描计算机）链接。

步骤02此时，右侧的界面显示内容，在该界面中可以设置扫描选项。

默认情况下，在“puterName”（计算机名称）下拉列表中选择的是本地计算机，可对本机进行扫描；若在“IPaddress”（IP地址）下拉列表中输入其他计算机的IP地址，则可对该IP地址的计算机进行扫描；在“Securityreportname”（安全报告名称）文本框中可以输入安全检测报告名称，这里保持默认名称；在“Options”（选项）选项区域中用户可根据需要选择要检测的选项。

【提示】

在“Options”选项区域中，选中“CheckforWindowsvulnerabilities”复选框可以检查Windows漏洞；选中“Checkforweakpasswords”复选框可以检查弱密码；选中“CheckforIISvulnerabilities”复选框可以检查IIS漏洞；选中“CheckforSQLvulnerabilities”复选框可以检查SQL漏洞；选中“Checkforsecurityupdates”复选框可以检查安全更新。

步骤03设置完成后，单击“StartScan”链接，即可开始扫描计算机。

步骤04扫描完成后，会在右侧的界面中显示扫描结果。其中显示为“”，表示存在漏洞或者有更新补丁没有安装，可以单击“Howtocorrectthis”链接，下载最新的漏洞补丁；显示为“”表示没有任何安全问题。

步骤05若要同时扫描多台计算机，可在左侧的列表中单击“Pickmultipleputerstoscan”（选择多台计算机扫描）链接，在右侧界面中的“IPaddressrange”（IP地址范围）下拉列表中输入IP地址段，并设置其他选项。

步骤06单击“StartScan”链接，即可开始扫描IP地址段内的所有计算机。

步骤07在左侧列表框中单击“Pickasecurityreporttoview”（查看安全报告）链接，可以打开扫描报告界面。单击“Sortorder”（排序）下拉按钮，在其下拉列表中可以选择排列次序，对安全报告的内容进行排序。

第二章　数据拦截工具

黑客在入侵计算机时，会利用数据拦截工具获取计算机中的数据，盗取用户的信息，从而危害计算机的安全。本节将介绍几种嗅探器的功能以及使用它们拦截数据的方法。

4。2。1IRIS嗅探器

在介绍IRIS嗅探器的功能及使用方法之前，应该先来了解一下什么是网络嗅探器及其原理和功能。

1．什么是网络嗅探器

网络嗅探器，简单地说就是使我们能够“嗅探”到本地网络的数据，并检查进入计算机的信息包，快速找到用户所需要的网络信息（如音乐、视频、图片等文件）。它既能用于合法网络管理，也能用于窃取网络信息。

2．网络嗅探器的工作原理

网络嗅探器利用的是共享式的网络传输介质。共享即意味着网络中的一台计算机可以嗅探到传递给本网段中的所有计算机的信息。当用户向网络上的计算机发送信息时（这些信息都是通过网络适配器来控制的），网络适配器通过对目的地址进行检查，来判断是否是传递给自己的。如果是，则把信息传递给操作系统；否则，将发送的信息丢弃，不进行处理。因此，要达到窃取数据的目录，只需要在网络适配器上安装具有检测帧的软件，就可以将传输的数据拦截，并记录下来。

3．网络嗅探器的功能

通过上面的内容就可以大概了解网络嗅探器的主要功能就是在网络上窃取数据，只要是通过网络适配器的数据一般就能拦截下来。网络嗅探器除了这个功能外，还可以作为网络管理员排除网络故障的工具，通过与基准数据对比来查找故障的来源。

4．IRIS嗅探器的应用

IRIS是一款性能不错的嗅探器，利用它可以监视和收集网络中的各种数据信息，捕获和查看目标计算机使用网络的情况，可以从进入和发出的信息中查看和统计数据。实际上它就是一个装在电脑上的窃听器，监视通过电脑的数据。

下面介绍IRIS嗅探器的使用方法。

步骤01安装下载的IRIS嗅探器软件，并运行程序。在第一次运行该软件时，会弹出【Settings】对话框，需要用户手动指定要监听的网卡。在右侧的“Adapters”列表框中选中显示的网卡，并单击【确定】按钮即可。

步骤02此时，启动IRIS程序，进入其主界面中。

步骤03选择【Tools】→【Settings】菜单项，即可打开【Settings】对话框。默认选择左侧列表中的“Capture”（捕捉）选项，在右侧界面中可以设置有关捕获数据包的选项。其中“Runcontinuously”选项表示当存储数据缓冲区不够时，Iris将覆盖原来的数据包；“Stopcaptureafterfillingbuffer”表示当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录；选中“Scrollpacketslisttoensurelastpacketvisible”选项，可将新捕获的数据包附在以前捕获结果的后面并向前滚动；选中“UseAddressBook”选项，可使用AddressBook来保存mac地址，并记住mac地址和网络主机名。

步骤04在左侧列表中选择“Decode”（解码）选项，在右侧的界面中设置有关数据解码的选项。选中“UseDNS”选项，表示使用域名解析；单击【EditDNSfile】按钮，可以在弹出的对话框中编辑本地解析文件；“HTTPproxy”表示使用HTTP代理服务器，在其文本框中可以输入端口号，默认为80端口；选中“DecodeUDPDatagrams”复选框，表示解码UDP协议；选中“Scrollsessionslisttoensurelastsessionvisible”复选框，表示使新截获的数据包显示在捕获窗口的最上。

步骤05在左侧列表中选择“Guard”（防护）选项，在右侧的界面中可以设置“Enablealarmsour”（报警）和“Logtofi”（日志）等选项。选中“Enablealarmsound”复选框，表示当发现合乎规则的数据包时发出提示声音；在“Playthiswavefile”文本框中可以设置警报声音路径，声音格式是。wav；选中“Logtofile”复选框，表示启动日志文件，这样当符合规则的数据包被截获后将被记录在日志文件中；选中“IgnoreallLANconnections”复选框，则IRIS将不接受本地网络的数据包。若未选中该复选框，则IRIS会接受所有的数据包（包括本机收发出的）。“Ignoreconnectionsonthese》》”表示过滤指定端口（port），在列表中可以选择。

步骤06在左侧的列表选择“Miscellaneouse”（杂项）选项，在右侧的界面中会显示该选项包含的内容。其中，在“Packetbuffer”文本框中可设置用来保存捕获数据包最多个数（默认值是2000个）；在“Stopwhenfreediskspacedrops”文本框中可设置当磁盘空间低于该值时，Iris将会停止捕获和记录数据；选中“EnableCPUoverloadprotection”复选框，当CPU的占用率连续4秒钟达到100％时，IRIS会停止运行，等到恢复正常后才开始纪录；选中“StartautomaticallywithWindows”复选框，可以把IRIS加入到启动组中；选中“Checkupdatewhenprogramstart”复选框，则会在启动时检查本软件的更新情况。

步骤07在设置完成后单击【确定】按钮，返回IRIS软件的主界面中。选择【Tools】→【Schedules】菜单项，即可打开【Schedules】对话框。在其中单击【New】按钮，新建一个任务。

步骤08在右侧界面中单击相应的方块即可变为白色，表示不需要捕获网卡情况的时间段。

步骤09单击【OK】按钮，即可返回IRIS软件的主界面中开始扫描，扫描的结果显示了目标计算机使用网络的情况。

4。2。1SmartSniff嗅探器

SmartSniff嗅探器可以对通过用户网络适配器的TCP/IP数据包进行侦测捕获，以Ascii或Hex码显示网卡数据信息，如HTTP、SMTP、POP3、FTP、DNS等。虽然该软件是一款非常小的数据包捕获工具，但却是一种威胁性极大的攻击工具。

下面讲述SmartSniff嗅探器的使用方法。

步骤01在计算机上安装SmartSniff程序并启动该软件，进入其主界面中。选择【选项】→【捕捉选项】菜单项，即可打开【捕捉选项】对话框。在“捕捉方法”选项区域中默认选择“原始端口（Windows2000/XP）”选项，在“选择网络适配器”列表框中选择显示的适配器。

步骤02单击【确定】按钮，返回SmartSniff软件的主界面中。选择【选项】→【高级选项】菜单项，即可打开【高级选项】对话框，在其中可以设置要捕捉的内容及捕捉内容文字的颜色（支持彩色代码显示）。

步骤03单击【确定】按钮，返回SmartSniff软件的主界面中。选择【查看】→【选择工具栏】菜单项，即可打开【列栏设置】对话框。在列表框中可以设置要显示的内容，并可使用【上移】和【下移】按钮调整列栏。

步骤04单击【确定】按钮，在主界面中选择【文件】→【开始捕捉】菜单项，即可开始捕捉通过网络适配器的数据。捕捉结果将会显示在界面上方的列表框中。

步骤05要查看捕捉到的数据的详细信息，可在上方的列表框中选择一个结果，在界面下方的列表框中即可显示出来。双击上方列表框中的任意一个结果，可打开【属性】窗口，查看其捕捉信息。

4。2。3用SpySniffer嗅探下载地址

SpySniffer也是一款实用的嗅探软件，利用它可以捕获IP包、ARP包等网络数据。它不仅可以告诉用户哪台计算机连接到你的系统，而且还可以告诉用户它们进行了哪些操作。一旦有用户攻击你的计算机，该软件还可以获取攻击的证据。

下面介绍一下SpySniffer软件的具体使用方法。

1．安装SpySniffer软件后的准备工作

将下载的SpySniffer压缩包解压后，在计算机中进行安装。安装完成后，要正式使用该软件，需要对其进行相应的配置。其具体的操作步骤如下：

步骤01在计算机中第一次安装SpySniffer时，安装完成后，会弹出【Settings】对话框。在列表框中需要选择要监听的对象。

步骤02在左侧列表中选择“Action”选项，在右侧的界面中可选择当缓冲满时应采取的措施，以及记录文件保存的路径等信息。

步骤03在左侧列表中选择“Miscellaneous”选项，在右侧界面中的“Packetbuffer”数值框中可以设置用来保存捕获数据包最多个