自学黑客（网络安全），一般人我劝你还是算了吧（自学网络安全学习路线--第十八章 网络监听及防御技术）【建议收藏】

一、自学网络安全学习的误区和陷阱

1.不要试图先成为一名程序员（以编程为基础的学习）再开始学习
我在之前的回答中，我都一再强调不要以编程为基础再开始学习网络安全，一般来说，学习编程不但学习周期长，而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间，容易半途而废。而且学习编程只是工具不是目的，我们的目标不是成为程序员。建议在学习网络安全的过程中，哪里不会补哪里，这样更有目的性且耗时更少

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的，于是就很容易用力过猛，陷入一个误区：就是把所有的内容都要进行深度学习，但是把深度学习作为网络安全第一课不是个好主意。原因如下：

【1】深度学习的黑箱性更加明显，很容易学的囫囵吞枣

【2】深度学习对自身要求高，不适合自学，很容易走进死胡同

3.不要收集过多的资料

网上有很多关于网络安全的学习资料，动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”，一下子购买十几本书，或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料，下面我会推荐一些自认为对小白还不错的学习资源，耐心往下看

二、学习网络安全的一些前期准备

1.硬件选择

经常会问我“学习网络安全需要配置很高的电脑吗？”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以，不要打着学习的名义重新购买机器…

2.软件选择

很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统，Linux虽然看着很酷炫，但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习

至于编程语言，首推Python，因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的，所以选择PHP也是可以的。其他语言还包括C++、Java…

很多朋友会问是不是要学习所有的语言呢？答案是否定的！引用我上面的一句话：学习编程只是工具不是目的，我们的目标不是成为程序员

（这里额外提一句，学习编程虽然不能带你入门，但是却能决定你能在网络安全这条路上到底能走多远，所以推荐大家自学一些基础编程的知识）

3.语言能力

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词，在与其他黑客交流技术或者经验时也会有障碍，所以需要一定量的英文和黑客专业名词（不需要特别精通，但是要能看懂基础的）

比如说：肉鸡、挂马、shell、WebShell等等

三、自学网络安全学习路线

重点内容
网络监听概述
监听技术
监听的防御

一、网络监听概述

1、网络监听概念

网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。
在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。
网络监听技术的能力范围目前只限于局域网。

2、相关网络基础

网络传输技术：广播式和点到点。
广播式网络传输技术：仅有一条通信信道，由网络上的所有机器共享。信道上传输的分组可以被任何机器发送并被其他所有的机器接收。
点到点网络传输技术：点到点网络由一对对机器之间的多条连接构成，分组的传输是通过这些连接直接发往目标机器，因此不存在发送分组被多方接收的问题。

网卡的四种工作模式
（1）广播模式：该模式下的网卡能够接收网络中的广播信息。
（2）组播模式：该模式下的网卡能够接受组播数据。
（3）直接模式：在这种模式下，只有匹配目的MAC地址的网卡才能接收该数据帧。
（4）混杂模式：（Promiscuous Mode）在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。

二、监听技术

1、局域网中的硬件设备简介

1．集线器
(1) 集线器的原理：
集线器（又称为Hub）是一种重要的网络部件，主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。
集线器工作在局域网的物理环境下，其主要应用在OSI参考模型第一层，属于物理层设备。它的内部采取电器互连的方式，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。

(2) 集线器的工作特点
依据IEEE 802.3协议，集线器功能是随机选出某一端口的设备，并让它独占全部带宽，与集线器的上联设备(交换机、路由器或服务器等)进行通信。集线器在工作时具有以下两个特点：
首先是集线器只是一个多端口的信号放大设备；
其次集线器只与它的上联设备(如上层Hub、交换机或服务器)进行通信，同层的各端口之间不会直接进行通信，而是通过上联设备再将信息广播到所有端口上。

2．交换机
(1) 交换机的原理：
交换机是一种网络开关（Switch）,也称交换器，由于和电话交换机对出入线的选择有相似的原理，因此被人称为交换机。
交换机在局域网的环境下，工作在比集线器更高一层链路层上。交换机被定义成一个能接收发来的信息帧，加以暂时存储，然后发到另一端的网络部件，其本质上就是具有流量控制能力的多端口网桥。

(2) 交换机的工作特点
把每个端口所连接的网络分割为独立的LAN，每个LAN成为一个独立的冲突域。
每个端口都提供专用的带宽。这是交换机与集线器的本质区别，集线器不管有多少端口，都是共享其全部带宽。
转发机制。交换机维护有每个端口对应的地址表，其中保存与该端口连接的各个主机的MAC地址。

2、共享式局域网的监听技术

共享式局域网就是使用集线器或共用一条总线的局域网，它采用了载波检测多路侦听（Carries Sense Multiple Access with Collision Detection，简称CSMA/CD）机制来进行传输控制。
共享式局域网是基于广播的方式来发送数据的，因为集线器不能识别帧，所以它就不知道一个端口收到的帧应该转发到哪个端口，它只好把帧发送到除源端口以外的所有端口，这样网络上所有的主机都可以收到这些帧。

在正常的情况下，网卡应该工作在广播模式、直接模式，一个网络接口（网卡）应该只响应这样的两种数据帧：
与自己的MAC地址相匹配的数据帧（目的地址为单个主机的MAC地址）。
发向所有机器的广播数据帧（目的地址为0xFFFFFFFFFF）。

但如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式。
处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。

在共享式局域网中，集线器会广播所有数据，这时，如果局域网中一台主机将网卡设置成混杂模式，那么它就可以接收到该局域网中的所有数据了。
网卡在混杂模式工作的情况下，所有流经网卡的数据帧都会被网卡驱动程序上传给网络层。
共享式局域网监听示意图见下页。

链路层过滤：判断数据包的目的MAC地址。
网络层过滤：判断数据包的目的IP地址。
传输层过滤：判断对应的目的端口是否在本机已经打开。
因而，如果没有一个特定的机制，上层应用也无法抓到本不属于自己的“数据包”。

3、交换式局域网的监听技术

什么是交换式局域网
交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。
这些设备根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。
因为端口间的帧传输彼此屏蔽，因此节点就不担心自己发送的帧会被发送到非目的节点中去。

产生交换式局域网的原因：
系统管理人员常常通过在本地网络中加入交换设备，来预防sniffer(嗅探器)的侵入。
交换机工作在数据链路层，工作时维护着一张MAC地址与端口的映射表。在这个表中记录着交换机每个端口绑定的MAC地址。不同于HUB的报文广播方式，交换机转发的报文是一一对应的。

交换式局域网在很大程度上解决了网络监听的困扰。
但是交换机的安全性也面临着严峻的考验，随着嗅探技术的发展，攻击者发现了有如下方法来实现在交换式以太网中的网络监听：
溢出攻击
ARP欺骗（常用技术）

溢出攻击
交换机工作时要维护一张MAC地址与端口的映射表。
但是用于维护这张表的内存是有限的。如用大量的错误MAC地址的数据帧对交换机进行攻击，交换机就可能出现溢出。
这时交换机就会退回到HUB的广播方式，向所有的端口发送数据包，一旦如此，监听就很容易了。

ARP欺骗
计算机中维护着一个IP-MAC地址对应表，记录了IP地址和MAC地址之间的对应关系。该表将随着ARP请求及响应包不断更新。
通过ARP欺骗，改变表里的对应关系，攻击者可以成为被攻击者与交换机之间的“中间人”，使交换式局域网中的所有数据包都流经自己主机的网卡，这样就可以像共享式局域网一样分析数据包了。
dsniff和parasite等交换式局域网中的嗅探工具就是利用ARP欺骗来实现的。
ARP欺骗示意图见下页，具体过程会在欺骗攻击章节讲解。

三、网络监听工具举例

常用的网络监听工具

Tcpdump/Windump
Ngrep
Ethereal/Wireshark
Sniffer Pro
NetXray

1、Tcpdump/Windump的特点

Tcpdump/Windump是两个流行的命令行网络分析工具，它们具有以下特点：

1. 能够捕获和分析网络数据包，包括数据包的内容和各种协议的头部信息。
2. 支持多种操作系统，如Linux、Unix、Windows等。
3. 能够过滤和搜索网络数据包，提供各种过滤选项和表达式。
4. 能够将捕获到的网络数据包保存到文件中，以便离线分析。
5. 可以与其他工具结合使用，如Wireshark、Snort等。

总的来说，Tcpdump/Windump是一种强大的网络分析工具，可以帮助网络管理员和安全工程师了解网络流量和发现网络安全问题。

2、Ngrep的特点

Ngrep是一个强大的网络分组抓取工具，具有以下特点：

1. 可以通过正则表达式搜索网络流量数据包，实现灵活的过滤和匹配。

2. 支持多种协议，包括TCP、UDP、ICMP等。

3. 可以对抓取到的数据包进行实时解析和显示，提供详细的协议分析信息。

4. 支持多种输出格式，包括标准输出、文件输出、json输出等。

5. 可以在命令行界面下直接使用，支持快速、方便的抓包操作。

6. 支持基于BPF过滤器的数据包抓取，可以更加细致地控制抓包范围和内容。

3、Ethereal/Wireshark的特点

Ethereal/Wireshark的特点如下：

1. 免费且开源：Ethereal/Wireshark是一款完全免费的网络协议分析工具，并且它是开放源代码的，任何人都可以自由地查看、学习和修改它的代码。

2. 多平台支持：Ethereal/Wireshark可以在多种操作系统上运行，包括Windows、Linux、Mac OS X和UNIX等。

3. 支持多种协议：Ethereal/Wireshark支持分析多种网络协议，包括TCP/IP、HTTP、FTP、SMTP、POP3、DNS等等。

4. 强大的过滤功能：Ethereal/Wireshark提供了强大的过滤功能，可以对捕获的网络数据进行过滤，帮助用户快速找出需要的信息。

5. 易于使用：Ethereal/Wireshark提供了友好的用户界面，使得使用者可以方便地进行网络协议分析和数据捕获。

6. 支持加密协议：Ethereal/Wireshark可以解密多种加密协议，包括SSL和TLS等。

7. 支持多种捕获方式：Ethereal/Wireshark支持多种网络数据捕获方式，包括本地网卡、远程网卡和文件捕获等等。

8. 支持多种输出方式：Ethereal/Wireshark可以将分析结果以多种格式输出，包括文本、HTML、XML、CSV等。

9. 社区支持：Ethereal/Wireshark拥有庞大的用户社区，用户可以从社区中获取支持、学习和分享。

4、Sniffer Pro的特点

Sniffer Pro是一个网络探测工具，其特点包括：

1. 支持多种网络协议，可以对TCP/IP、UDP、HTTP、SMTP、FTP等常用协议进行分析和监测。

2. 提供详细的网络流量分析功能，包括流量统计、流量导出等。

3. 支持实时监控和离线分析，可以进行实时抓包分析和离线回放分析。

4. 具有强大的过滤功能，可以过滤不需要的数据包，方便用户快速找到需要的数据。

5. 支持远程控制和配置，可以对远程的网络设备进行控制和配置。

6. 具有易用性和可扩展性，可以根据自己的需要进行定制和扩展，满足不同用户的需求。

5、NetXray的特点

NetXray是一款网络协议分析工具。它的特点包括：

1. 支持多种网络协议：NetXray支持多种网络协议，包括TCP/IP、HTTP、SMTP、POP3、FTP等。

2. 可视化呈现网络流量：NetXray可以可视化地呈现网络流量，包括分组大小、分组类型、源地址、目标地址等信息，方便用户进行网络分析。

3. 提供高级过滤功能：NetXray提供高级过滤功能，用户可以根据多种条件（例如协议类型、源/目标IP地址、端口号等）来过滤网络流量，以便更快速地查找和定位问题。

4. 支持实时捕获：NetXray支持实时捕获网络流量，用户可以快速地获取关键信息。此外，它还支持将捕获的数据导出为PCAP文件，以便离线分析。

5. 用户友好的界面：NetXray的界面简单易用，用户可以快速上手进行网络分析。同时，它还提供了丰富的帮助文档和教程，协助用户更好地使用该工具。