linuxice

㈠ linux shell 怎麼寫

在進行linux測試時編寫腳本是必不可少的，Shell腳本的名稱可以隨便定義，也不要什麼後綴名，例如可以寫abc，smartzip這類名稱，運行時只要鍵入
./smartzip就能運行腳本了。。
每行命令開頭處不用就空格也行。。
第1部分. Linux 腳本編寫基礎
1.1 語法基本介紹
1.1.1 開頭
程序必須以下面的行開始（必須方在文件的第一行）：
#!/bin/sh
符號#!用來告訴系統它後面的參數是用來執行該文件的程序。在這個例子中我們使用/bin/sh來執行程序。
當編輯好腳本時，如果要執行該腳本，還必須使其可執行。
要使腳本可執行：
編譯 chmod +x filename 這樣才能用./filename 來運行
1.1.2 注釋
在進行shell編程時，以#開頭的句子表示注釋，直到這一行的結束。我們真誠地建議您在程序中使用注釋。
如果您使用了注釋，那麼即使相當長的時間內沒有使用該腳本，您也能在很短的時間內明白該腳本的作用及工作原理。
1.1.3 變數
在其他編程語言中您必須使用變數。在shell編程中，所有的變數都由字元串組成，並且您不需要對變數進行聲明。要賦值給一個變數，您可以這樣寫：
#!/bin/sh
#對變數賦值：
a="hello world"
# 現在列印變數a的內容：
echo "A is:"
echo $a
有時候變數名很容易與其他文字混淆，比如：
num=2
echo "this is the $numnd"
這並不會列印出"this is the 2nd"，而僅僅列印"this is the "，因為shell會去搜索變數numnd的值，但是這個變數時沒有值的。可以使用花括弧來告訴shell我們要列印的是num變數：
num=2
echo "this is the ${num}nd"
這將列印： this is the 2nd
1.1.4 環境變數
由export關鍵字處理過的變數叫做環境變數。我們不對環境變數進行討論，因為通常情況下僅僅在登錄腳本中使用環境變數。
1.1.5 Shell命令和流程式控制制
在shell腳本中可以使用三類命令：
1)Unix 命令:
雖然在shell腳本中可以使用任意的unix命令，但是還是由一些相對更常用的命令。這些命令通常是用來進行文件和文字操作的。
常用命令語法及功能
echo "some text": 將文字內容列印在屏幕上
ls: 文件列表
wc –l file ：計算文件行數
wc -w file：計算文件中的單詞數
wc -c file:計算文件中的字元數
cp sourcefile destfile: 文件拷貝
mv oldname newname : 重命名文件或移動文件
rm file: 刪除文件
grep 'pattern' file: 在文件內搜索字元串比如：grep 'searchstring' file.txt
cut -b colnum file: 指定欲顯示的文件內容範圍，並將它們輸出到標准輸出設備比如：輸出每行第5個到第9個字元cut -b5-9 file.txt千萬不要和cat命令混淆，
這是兩個完全不同的命令
cat file.txt: 輸出文件內容到標准輸出設備（屏幕）上
file somefile: 得到文件類型
read var: 提示用戶輸入，並將輸入賦值給變數
sort file.txt: 對file.txt文件中的行進行排序
uniq: 刪除文本文件中出現的行列比如： sort file.txt | uniq
expr: 進行數學運算Example: add 2 and 3expr 2 "+" 3
find: 搜索文件比如：根據文件名搜索find . -name filename -print
tee: 將數據輸出到標准輸出設備(屏幕) 和文件比如：somecommand | tee outfile
basename file: 返回不包含路徑的文件名比如： basename /bin/tux將返回 tux
dirname file: 返迴文件所在路徑比如：dirname /bin/tux將返回 /bin
head file: 列印文本文件開頭幾行
tail file : 列印文本文件末尾幾行
sed: Sed是一個基本的查找替換程序。可以從標准輸入（比如命令管道）讀入文本，並將
結果輸出到標准輸出（屏幕）。該命令採用正則表達式（見參考）進行搜索。不要和shell中的通配符相混淆。比如：將linuxfocus 替換為LinuxFocus ：cat text.file | sed 's/linuxfocus/LinuxFocus/' > newtext.fileawk: awk 用來從文本文件中提取欄位。預設地，欄位分割符是空格，可以使用-F指定其他分割符。
cat file.txt | awk -F, '{print $1 "," $3 }'這里我們使用，作為欄位分割符，同時列印第一個和第三個欄位。如果該文件內容如下： Adam Bor, 34, IndiaKerry Miller, 22, USA命令輸出結果為：Adam Bor, IndiaKerry Miller, USA

2) 概念: 管道, 重定向和backtick
這些不是系統命令，但是他們真的很重要。
管道 (|) 將一個命令的輸出作為另外一個命令的輸入。
grep "hello" file.txt | wc -l
在file.txt中搜索包含有」hello」的行並計算其行數。
在這里grep命令的輸出作為wc命令的輸入。當然您可以使用多個命令。
重定向：將命令的結果輸出到文件，而不是標准輸出（屏幕）。
> 寫入文件並覆蓋舊文件
>> 加到文件的尾部，保留舊文件內容。
反短斜線
使用反短斜線可以將一個命令的輸出作為另外一個命令的一個命令行參數。
命令：
find . -mtime -1 -type f -print
用來查找過去24小時（-mtime –2則表示過去48小時）內修改過的文件。如果您想將所有查找到的文件打一個包，則可以使用以下腳本：
#!/bin/sh
# The ticks are backticks (`) not normal quotes ('):
tar -zcvf lastmod.tar.gz `find . -mtime -1 -type f -print`
3）流程式控制制

1.if
"if" 表達式 如果條件為真則執行then後面的部分：
if ....; then
....
elif ....; then
....
else
....
fi
大多數情況下，可以使用測試命令來對條件進行測試。比如可以比較字元串、判斷文件是否存在及是否可讀等等…
通常用" [ ] "來表示條件測試。注意這里的空格很重要。要確保方括弧的空格。
[ -f "somefile" ] ：判斷是否是一個文件
[ -x "/bin/ls" ] ：判斷/bin/ls是否存在並有可執行許可權
[ -n "$var" ] ：判斷$var變數是否有值
[ "$a" = "$b" ] ：判斷$a和$b是否相等
執行man test可以查看所有測試表達式可以比較和判斷的類型。
直接執行以下腳本：
#!/bin/sh
if [ "$SHELL" = "/bin/bash" ]; then
echo "your login shell is the bash (bourne again shell)"
else
echo "your login shell is not bash but $SHELL"
fi
變數$SHELL包含了登錄shell的名稱，我們和/bin/bash進行了比較。
快捷操作符
熟悉c語言的朋友可能會很喜歡下面的表達式：
[ -f "/etc/shadow" ] && echo "This computer uses shadow passwors"
這里 && 就是一個快捷操作符，如果左邊的表達式為真則執行右邊的語句。
您也可以認為是邏輯運算中的與操作。上例中表示如果/etc/shadow文件存在則列印」 This computer uses shadow passwors」。同樣或操作(||)在shell編程中也是可用的。這里有個例子：
#!/bin/sh
mailfolder=/var/spool/mail/james
[ -r "$mailfolder" ]' '{ echo "Can not read $mailfolder" ; exit 1; }
echo "$mailfolder has mail from:"
grep "^From " $mailfolder
該腳本首先判斷mailfolder是否可讀。如果可讀則列印該文件中的"From" 一行。如果不可讀則或操作生效，列印錯誤信息後腳本退出。這里有個問題，那就是我們必須有兩個命令：
-列印錯誤信息
-退出程序
我們使用花括弧以匿名函數的形式將兩個命令放到一起作為一個命令使用。一般函數將在下文提及。
不用與和或操作符，我們也可以用if表達式作任何事情，但是使用與或操作符會更便利很多。
2.case
case :表達式可以用來匹配一個給定的字元串，而不是數字。
case ... in
...) do something here ;;
esac
讓我們看一個例子。 file命令可以辨別出一個給定文件的文件類型，比如：
file lf.gz
這將返回：
lf.gz: gzip compressed data, deflated, original filename,
last modified: Mon Aug 27 23:09:18 2001, os: Unix
我們利用這一點寫了一個叫做smartzip的腳本，該腳本可以自動解壓bzip2, gzip 和zip 類型的壓縮文件：
#!/bin/sh
ftype=`file "$1"`
case "$ftype" in
"$1: Zip archive"*)
unzip "$1" ;;
"$1: gzip compressed"*)
gunzip "$1" ;;
"$1: bzip2 compressed"*)
bunzip2 "$1" ;;
*) echo "File $1 can not be uncompressed with smartzip";;
esac
您可能注意到我們在這里使用了一個特殊的變數$1。該變數包含了傳遞給該程序的第一個參數值。
也就是說，當我們運行：
smartzip articles.zip
$1 就是字元串 articles.zip
3. selsect
select 表達式是一種bash的擴展應用，尤其擅長於互動式使用。用戶可以從一組不同的值中進行選擇。
select var in ... ; do
break
done
.... now $var can be used ....
下面是一個例子：
#!/bin/sh
echo "What is your favourite OS?"
select var in "Linux" "Gnu Hurd" "Free BSD" "Other"; do
break
done
echo "You have selected $var"
下面是該腳本運行的結果：
What is your favourite OS?
1) Linux
2) Gnu Hurd
3) Free BSD
4) Other
#? 1
You have selected Linux
4.loop
loop表達式：
while ...; do
....
done
while-loop 將運行直到表達式測試為真。will run while the expression that we test for is true.
關鍵字"break" 用來跳出循環。而關鍵字」continue」用來不執行餘下的部分而直接跳到下一個循環。

for-loop表達式查看一個字元串列表 (字元串用空格分隔) 然後將其賦給一個變數：
for var in ....; do
....
done
在下面的例子中，將分別列印ABC到屏幕上：
#!/bin/sh
for var in A B C ; do
echo "var is $var"
done
下面是一個更為有用的腳本showrpm，其功能是列印一些RPM包的統計信息：
#!/bin/sh
# list a content summary of a number of RPM packages
# USAGE: showrpm rpmfile1 rpmfile2 ...
# EXAMPLE: showrpm /cdrom/RedHat/RPMS/*.rpm
for rpmpackage in $*; do
if [ -r "$rpmpackage" ];then
echo "=============== $rpmpackage =============="
rpm -qi -p $rpmpackage
else
echo "ERROR: cannot read file $rpmpackage"
fi
done
這里出現了第二個特殊的變數$*，該變數包含了所有輸入的命令行參數值。
如果您運行showrpm openssh.rpm w3m.rpm webgrep.rpm
此時 $* 包含了 3 個字元串，即openssh.rpm, w3m.rpm and webgrep.rpm.
5. 引號
在向程序傳遞任何參數之前，程序會擴展通配符和變數。這里所謂擴展的意思是程序會把通配符（比如*）替換成合適的文件名，它變數替換成變數值。為了防止程序作這種替換，您可以使用引號：讓我們來看一個例子，假設在當前目錄下有一些文件，兩個jpg文件， mail.jpg 和tux.jpg。
1.2 編譯SHELL腳本
#ch#!/bin/sh mod +x filename
cho *.jpg ∪緩螅梢醞ü淙耄?./filename 來執行您的腳本。
這將列印出"mail.jpg tux.jpg"的結果。
引號 (單引號和雙引號) 將防止這種通配符擴展：
#!/bin/sh
echo "*.jpg"
echo '*.jpg'
這將列印"*.jpg" 兩次。
單引號更嚴格一些。它可以防止任何變數擴展。雙引號可以防止通配符擴展但允許變數擴展。
#!/bin/sh
echo $SHELL
echo "$SHELL"
echo '$SHELL'
運行結果為：
/bin/bash
/bin/bash
$SHELL
最後，還有一種防止這種擴展的方法，那就是使用轉義字元——反斜桿：
echo /*.jpg
echo /$SHELL
這將輸出：
*.jpg
$SHELL
6. Here documents
當要將幾行文字傳遞給一個命令時，here documents（譯者註：目前還沒有見到過對該詞適合的翻譯）一種不錯的方法。對每個腳本寫一段幫助性的文字是很有用的，此時如果我們四有那個 here documents就不必用echo函數一行行輸出。 一個 "Here document" 以
here document 就是一段特殊目的的代碼塊. 他使用I/O 重定向的形式來將一個命令序列傳遞到一個交互程序或者命令中, 比如ftp, cat, 或者ex文本編輯器.
1 COMMAND
limit string 用來劃定命令序列的范圍(譯者注: 兩個相同的limit string之間就是命令序列). 特殊符號
而here document 的形式看上去是如下的樣子:
1 #!/bin/bash
2 interactive-program
選擇一個名字非常詭異的limit string將會避免命令列表和limit string重名的問題.
下面是一個例子，在該例子中，我們對多個文件進行重命名，並且使用here documents列印幫助：
#!/bin/sh
# we have less than 3 arguments. Print the help text:
if [ $# -lt 3 ] ; then
cat
4)函數
如果您寫了一些稍微復雜一些的程序，您就會發現在程序中可能在幾個地方使用了相同的代碼，並且您也會發現，如果我們使用了函數，會方便很多。一個函數是這個樣子的：
functionname()
{
# inside the body $1 is the first argument given to the function
# $2 the second ...
body
}
您需要在每個程序的開始對函數進行聲明。
下面是一個叫做xtitlebar的腳本，使用這個腳本您可以改變終端窗口的名稱。
這里使用了一個叫做help的函數。正如您可以看到的那樣，這個定義的函數被使用了兩次。
#!/bin/sh
# vim: set sw=4 ts=4 et:
help()
{
cat shift by 2
--) shift;break;; # end of options
-*) echo "error: no such option $1. -h for help";exit 1;;
*) break;;
esac
done
echo "opt_f is $opt_f"
echo "opt_l is $opt_l"
echo "first arg is $1"
echo "2nd arg is $2"
您可以這樣運行該腳本：
cmdparser -l hello -f -- -somefile1 somefile2
返回的結果是：
opt_f is 1
opt_l is hello
first arg is -somefile1
2nd arg is somefile2
這個腳本是如何工作的呢？腳本首先在所有輸入命令行參數中進行循環，將輸入參數與case表達式進行比較，如果匹配則設置一個變數並且移除該參數。根據unix系統的慣例，首先輸入的應該是包含減號的參數.
第2部分 實例
現在我們來討論編寫一個腳本的一般步驟。任何優秀的腳本都應該具有幫助和輸入參數。並且寫一個偽腳本（framework.sh），該腳本包含了大多數腳本都需要的框架結構，是一個非常不錯的主意。這時候，在寫一個新的腳本時我們只需要執行一下命令：
cp framework.sh myscript
然後再插入自己的函數。
讓我們再看兩個例子：
（1）二進制到十進制的轉換
腳本 b2d 將二進制數 (比如 1101) 轉換為相應的十進制數。這也是一個用expr命令進行數學運算的例子：
#!/bin/sh
# vim: set sw=4 ts=4 et:
help()
{
cat
第3部分：調試
最簡單的調試命令當然是使用echo命令。您可以使用echo在任何懷疑出錯的地方列印任何變數值。這也是絕大多數的shell程序員要花費80%的時間來調試程序的原因。Shell程序的好處在於不需要重新編譯，插入一個echo命令也不需要多少時間。
shell也有一個真實的調試模式。如果在腳本"strangescript" 中有錯誤，您可以這樣來進行調試：
sh -x strangescript
這將執行該腳本並顯示所有變數的值。
shell還有一個不需要執行腳本只是檢查語法的模式。可以這樣使用：
sh -n your_script
這將返回所有語法錯誤

調試shell程序過程
用戶剛編寫完Shell程序中，不可避免的會有錯誤，這時我們可以利用Bsh中提供的跟蹤選項，該選項會顯示剛剛執行的命令及參數。用戶可以通過set命令打開-x選項或在啟動Shell使用-x選項將Shell設置成跟蹤模式。例如有下面代碼ice_tx:
if [ $# -eq 0 ]
then
echo "usage:sumints integer list"
exit 1
fi
sum=0
until [ $# -eq 0 ]
do
sum='expr $sum + $1'
shift
done
echo $sum
我們用跟蹤模式運行:
$sh -x ice_tx 2 3 4
結果顯示:
+[ 3 -eq 0 ]
+sum=0
+[ 3 -eq 0 ]
+expr 0+2
+sum=2
+shift
+[ 2 -eq 0 ]
+expr 2+3
+sum=5
+shift
+[ 1 -eq 0 ]
+expr 5+4
+sum=9
+[ 0 -eq 0 ]
+echo 9
9
從上面可以看出，跟蹤模式下Shell顯示執行的每一條命令以及該命令使用的變數替換後的參數值。一些控制字如if、then、until等沒顯示。

㈡ sniffer狀態

sniffer是竊聽的意思
應該就是竊聽狀態

sniffers(嗅探器)幾乎和internet有一樣久的歷史了.Sniffer是一種常用的收集有用數據方法，這些數據可以是用戶的帳號和密碼，可以是一些商用機密數據等等。隨著Internet及電子商務的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色之一的Sniffer以受到越來越大的關注，所以今天我要向大家介紹一下介紹Sniffer以及如何阻止sniffer。
大多數的黑客僅僅為了探測內部網上的主機並取得控制權，只有那些"雄心勃勃"的黑客，為了控制整個網路才會安裝特洛伊木馬和後門程序，並清除記錄。他們經常使用的手法是安裝sniffer。
在內部網上，黑客要想迅速獲得大量的賬號（包括用戶名和密碼），最為有效的手段是使用 "sniffer" 程序。這種方法要求運行Sniffer 程序的主機和被監聽的主機必須在同一個乙太網段上，故而在外部主機上運行sniffer是沒有效果的。再者，必須以root的身份使用sniffer 程序，才能夠監聽到乙太網段上的數據流。談到乙太網sniffer，就必須談到乙太網sniffing。
那麼什麼是乙太網sniffer呢?
乙太網sniffing是指對乙太網設備上傳送的數據包進行偵聽，發現感興趣的包。如果發現符合條件的包，就把它存到一個log文件中
去。通常設置的這些條件是包含字"username"或"password"的包。它的目的是將網路層放到promiscuous模式，從而能幹些事情。
Promiscuous模式是指網路上的所有設備都對匯流排上傳送的數據進行偵聽，並不僅僅是它們自己的數據。根據第二章中有關對乙太網的工作原理的基本介紹，可以知道：一個設備要向某一目標發送數據時,它是對乙太網進行廣播的。一個連到乙太網匯流排上的設備在任何時間里都在接受數據。不過只是將屬於自己的數據傳給該計算機上的應用程序。
利用這一點，可以將一台計算機的網路連接設置為接受所有以太
網匯流排上的數據，從而實現sniffer。
sniffer通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數據進行監控。sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然後使用sniffer這種攻擊手段，以便得到更多的信息。
sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個其他重要的信息，在網上傳送的金融信息等等。sniffer幾乎能得到任何乙太網上的傳送的數據包。黑客會使用各種方法，獲得系統的控制權並留下再次侵入的後門，以保證sniffer能夠執行。在Solaris 2.x平台上，sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會巧妙的修改時間，使得sniffer程序看上去是和其它系統程序同時安裝的。
大多數乙太網sniffer程序在後台運行，將結果輸出到某個記錄文件中。黑客常常會修改ps程序，使得系統管理員很難發現運行的sniffer程序。
乙太網sniffer程序將系統的網路介面設定為混合模式。這樣，它就可以監聽到所有流經同一乙太網網段的數據包，不管它的接受者或發送者是不是運行sniffer的主機。 程序將用戶名、密碼和其它黑客感興趣的數據存入log文件。黑客會等待一段時間 ----- 比如一周後，再回到這里下載記錄文件。
講了這么多，那麼到底我們可以用什麼通俗的話來介紹sniffer呢？
計算機網路與電話電路不同，計算機網路是共享通訊通道的。共享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網路中傳輸的數據信息就稱為sniffing（竊聽）。
乙太網是現在應用最廣泛的計算機連網方式。乙太網協議是在同一迴路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包，而不理會數據包頭內容，這種方式通常稱為"混雜" 模式。
由於在一個普通的網路環境中，帳號和口令信息以明文方式在乙太網中傳輸， 一旦入侵者獲得其中一台主機的root許可權，並將其置於混雜模式以竊聽網路數據，從而有可能入侵網路中的所有計算機。
一句話，sniffer就是一個用來竊聽的黑客手段和工具。
二、sniffer的工作原理
通常在同一個網段的所有網路介面都有訪問在物理媒體上傳輸的所有數據的能力，而每個網路介面都還應該有一個硬體地址，該硬體地址不同於網路中存在的其他網路介面的硬體地址，同時，每個網路至少還要一個廣播地址。（代表所有的介面地址），在正常情況下，一個合法的網路介面應該只響應這樣的兩種數據幀：
1、幀的目標區域具有和本地網路介面相匹配的硬體地址。
2、幀的目標區域具有"廣播地址"。
在接受到上面兩種情況的數據包時，nc通過cpu產生一個硬體中斷，該中斷能引起操作系統注意，然後將幀中所包含的數據傳送給系統進一步處理。
而sniffer就是一種能將本地nc狀態設成（promiscuous）狀態的軟體，當nc處於這種"混雜"方式時，該nc具備"廣播地址"，它對所有遭遇到的每一個幀都產生一個硬體中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。（絕大多數的nc具備置成 promiscuous方式的能力）
可見，sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的數據，並且通過相應的軟體處理，可以實時分析這些數據的內容，進而分析所處的網路狀態和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。
通常sniffer所要關心的內容可以分成這樣幾類：
1、口令
我想這是絕大多數非法使用sniffer的理由，sniffer可以記錄到明文傳送的userid和passwd.就算你在網路傳送過程中使用了加密的數據，sniffer記錄的數據一樣有可能使入侵者在家裡邊吃肉串邊想辦法算出你的演算法。
2、金融帳號
許多用戶很放心在網上使用自己的信用卡或現金帳號，然而sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin.
3、偷窺機密或敏感的信息數據
通過攔截數據包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者乾脆攔截整個的email會話過程。
4、窺探低級的協議信息。
這是很可怕的事，我認為，通過對底層的信息協議記錄，比如記錄兩台主機之間的網路介面地址、遠程網路介面ip地址、ip路由信息和tcp連接的位元組順序號碼等。這些信息由非法入侵的人掌握後將對網路安全構成極大的危害，通常有人用sniffer收集這些信息只有一個原因：他正在進行一次欺詐，（通常的ip地址欺詐就要求你准確插入tcp連接的位元組順序號,這將在以後整理的文章中指出）如果某人很關心這個問題，那麼sniffer對他來說只是前奏，今後的問題要大得多。（對於高級的hacker而言，我想這是使用sniffer的唯一理由吧）
二.sniffer的工作環境
snifffer就是能夠捕獲網路報文的設備。嗅探器的正當用處在於分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。
嗅探器在功能和設計方面有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析下面的協議：
1.標准乙太網
2.TCP/IP
3.IPX
4.DECNet
嗅探器通常是軟硬體的結合。專用的嗅探器價格非常昂貴。另一方面，免費的嗅探器雖然不需要花什麼錢，但得不到什麼支持。
嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網路報文。嗅探器通過將其置身於網路介面來達到這個目的——例如將乙太網卡設置成雜收模式。（為了理解雜收模式是怎麼回事，先解釋區域網是怎麼工作的）。
數據在網路上是以很小的稱為幀(Ftame)的單位傳輸的幀由好幾部分組成，不同的部分執行不同的功能。（例如，乙太網的前12個位元組存放的是源和目的的地址，這些位告訴網路：數據的來源和去處。乙太網幀的其他部分存放實際的用戶數據、TCP/IP的報文頭或IPX報文頭等等）。
幀通過特定的稱為網路驅動程序的軟體進行成型，然後通過網卡發送到網線上。通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀，並告訴操作系統幀的到達，然後對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會造成安全方面的問題。
每一個在LAN上的工作站都有其硬體地址。這些地址唯一地表示著網路上的機器（這一點於Internet地址系統比較相似）。當用戶發送一個報文時，這些報文就會發送到LAN上所有可用的機器。
在一般情況下，網路上所有的機器都可以「聽」到通過的流量，但對不屬於自己的報文則不予響應（換句話說，工作站A不會捕獲屬於工作站B的數據，而是簡單的忽略這些數據）。
如果某在工作站的網路介面處於雜收模式，那麼它就可以捕獲網路上所有的報文和幀，如果一個工作站被配置成這樣的方式，它（包括其軟體）就是一個嗅探器。
嗅探器可能造成的危害：
1.嗅探器能夠捕獲口令
2.能夠捕獲專用的或者機密的信息
3.可以用來危害網路鄰居的安全，或者用來獲取更高級別的訪問許可權
事實上，如果你在網路上存在非授權的嗅探器就以為著你的系統已經暴露在別人面前了。（大家可以試試天行2的嗅探功能）
一般我們只嗅探每個報文的前200到300個位元組。用戶名和口令都包含在這一部分中，這是我們關心的真正部分。工人，也可以嗅探給定介面上的所有報文，如果有足夠的空間進行存儲，有足夠的那裡進行處理的話，將會發現另一些非常有趣的東西……
簡單的放置一個嗅探器賓將其放到隨便什麼地方將不會起到什麼作用。將嗅探器放置於被攻擊機器或網路附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網關上。如果這樣的話就能捕獲網路和其他網路進行身份鑒別的過程。這樣的方式將成倍地增加我們能夠攻擊的范圍。
三.誰會使用sniffers
可能誰都回知道誰會使用sniffer，但是並不是每個使用它的人都是網路高手，因為現在有很多的sniffer都成了傻瓜似的了，前段時間用的最多的不外乎oicq sniffer。我想那些喜歡查好友ip的朋友都應該記得它吧。呵呵，我都使用過它，現在當然不用了啊！
當然系統管理員使用sniffer來分析網路信息交通並且找出網路上何處發生問題。一個安全管理員可以同時用多種sniffer, 將它們放置在網路的各處,形成一個入侵警報系統。對於系統管理員來說sniffer是一個非常好的工具,但是它同樣是一個經常被黑客使用的工具.駭客安裝sniffer以獲得用戶名和賬號,信用卡號碼,個人信息,和其他的信息可以導致對你或是你的公司的極大危害如果向壞的方面發展。當它們得到這些信息後,駭客將使用密碼來進攻其他的internet 站點甚至倒賣信用卡號碼。
三.sniffer是如何在網路上實施的
談這個問題之前還應該先說一下Ethernet的通訊。通常在同一個網段的所有網路介面都有訪問在媒體上傳輸的所有數據的能力，而每個網路介面都還應該有一個硬體地址，該硬體地址不同於網路中存在的其它網路介面的硬體地址，同時，每個網路至少還要一個廣播地址。在正常情況下，一個合法的網路介面應該只響應這樣的兩種數據幀：
1�幀的目標區域具有和本地網路介面相匹配的硬體地址。

2�幀的目標區域具有「廣播地址」。

在接受到上面兩種情況的數據包時，網卡通過cpu產生一個硬體中斷。該中斷能引起操作系統注意，然後將幀中所包含的數據傳送給系統進一步處理。而sniffer就是一種能將本地網卡狀態設成雜亂模式（promiscuous Mode）的軟體。當網卡處於雜亂模式時，該網卡具備「廣播地址」，它對所有遇到的每一個幀都產生一個硬體中斷以提醒操作系統處理每一個報文包。（絕大多數的網卡具備設置成雜亂模式的能力。
可見，sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的數據。通過相應的軟體處理，可以實時分析這些數據的內容，進而分析所處的網路狀態和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。
四.哪裡可以得到sniffer
我們講的sniffer，主要是在unix系統下運用的，至於那些oicq sniffer就不在我們討論的范圍。
Sniffer是黑客們最常用的入侵手段之一。你可以在經過允許的網路中運行sniffer，了解它是如何有效地危及本地機器安全。
Sniffer可以是硬體，也可以是軟體。現在品種最多,應用最廣的是軟體Sniffer,絕大多數黑客們用的也是軟體Sniffer。
以下是一些也被廣泛用於調試網路故障的sniffer工具：
（一）.商用sniffer：
1. Network General.
Network General開發了多種產品。最重要的是Expert Sniffer，它不僅僅可以sniff，還能夠通過高性能的專門系統發送/接收數據包，幫助診斷故障。還有一個增強產品"Distrbuted Sniffer System"可以將UNIX工作站作為sniffer控制台，而將sniffer agents（代理）分布到遠程主機上。
2. Microsoft's Net Monitor
對於某些商業站點，可能同時需要運行多種協議--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種sniffer幫助解決網路問題，因為許多sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的Net Monitor（以前叫Bloodhound）可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NT NetBios名字服務廣播等獨特的數據包。（etherfind只會將這些數據包標識為類型0000的廣播數據包。）這個工具運行在MS Windows 平台上。它甚至能夠按MAC地址（或主機名）進行網路統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpmp標準的輸出。過濾器設置也是最為簡單的，只要在一個對話框中單擊需要監視的主機即可。

（二）.免費軟體sniffer
1. Sniffit由Lawrence Berkeley 實驗室開發，運行於Solaris、SGI和Linux等平台。可以選擇源、目標地址或地址集合，還可以選擇監聽的埠、協議和網路介面等。這個SNIFFER默認狀態下只接受最先的400個位元組的信息包，這對於一次登陸會話進程剛剛好。
2. SNORT：這個SNIFFER有很多選項供你使用並可移植性強，可以記錄一些連接信息，用來跟蹤一些網路活動。
3. TCPDUMP：這個SNIFFER很有名，linux,FREEBSD還搭帶在系統上，是一個被很多UNIX高手認為是一個專業的網路管理工具，記得以前TsutomuShimomura（應該叫下村侵吧）就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄，後來就配合FBI抓住了KEVINMITNICK，後來他寫了一文：使用這些LOG記錄描述了那次的攻擊，
( http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt )
4. ADMsniff:這是非常有名的ADM黑客集團寫的一個SNIFFER程序。
5. linsniffer:這是一個專門設計雜一LINUX平台上的SNIFFER。
6. Esniffer:這個也是一個比較有名的SNIFFER程序。
7. Solsniffer:這是個Solarissniffer，主要是修改了SunSniff專門用來可以方便的在Solair平台上編譯。
8. Ethereal是一基於GTK＋的一個圖形化Sniffer
9. Gobbler(for MS－DOS＆Win95)、Netman、NitWit、Ethload...等等。
（三）.UNIX下的sniffer
UNIX下的sniffer，我比較傾向於snoop.Snoop是按Solaris的標准製作的,雖然Snoop不像是Sniffer Pro那樣好,但是它是一個可定製性非常強的sniffer,在加上它是免費的(和Solaris附一起).誰能打敗它的地位?你可以在極短時間內抓獲一個信息包或是更加深的分析.如果你想學習如何使用snoop,看下面的url:
http://www.enteract.com/~lspitz/snoop.html
（四）.Linux下的sniffer工具
Linux下的sniffer工具，我推薦Tcpmp。
[1].tcpmp的安裝
在linux下tcpmp的安裝十分簡單，一般由兩種安裝方式。一種是以rpm包的形式來進行安裝。另外一種是以源程序的形式安裝。
1． rpm包的形式安裝
這種形式的安裝是最簡單的安裝方法，rpm包是將軟體編譯後打包成二進制的格式，通過rpm命令可以直接安裝，不需要修改任何東西。以超級用戶登錄，使用命令如下：
#rpm -ivh tcpmp-3_4a5.rpm
這樣tcpmp就順利地安裝到你的linux系統中。怎麼樣，很簡單吧。
2． 源程序的安裝
既然rpm包的安裝很簡單,為什麼還要採用比較復雜的源程序安裝呢?其實，linux一個最大的誘人之處就是在她上面有很多軟體是提供源程序的，人們可以修改源程序來滿足自己的特殊的需要。所以我特別建議朋友們都採取這種源程序的安裝方法。
· 第一步 取得源程序 在源程序的安裝方式中，我們首先要取得tcpmp的源程序分發包，這種分發包有兩種 形式，一種是tar壓縮包(tcpmp-3_4a5.tar.Z),另一種是rpm的分發包(tcpmp-3_4a5.src.rpm)。這兩種 形式的內容都是一樣的，不同的僅僅是壓縮的方式.tar的壓縮包可以使用如下命令解開：
#tar xvfz tcpmp-3_4a5.tar.Z
rpm的包可以使用如下命令安裝:
#rpm -ivh tcpmp-3_4a5.src.rpm
這樣就把tcpmp的源代碼解壓到/usr/src/redhat/SOURCES目錄下.

· 第二步 做好編譯源程序前的准備活動
在編譯源程序之前，最好已經確定庫文件libpcap已經安裝完畢，這個庫文件是tcpmp軟體所需的庫文件。同樣，你同時還要有一個標準的c語言編譯器。在linux下標準的c 語言編譯器一般是gcc。 在tcpmp的源程序目錄中。有一個文件是Makefile.in，configure命令就是從Makefile.in文件中自動產生Makefile文件。在Makefile.in文件中，可以根據系統的配置來修改BINDEST 和 MANDEST 這兩個宏定義，預設值是
BINDEST = @sbindir @
MANDEST = @mandir @
第一個宏值表明安裝tcpmp的二進制文件的路徑名，第二個表明tcpmp的man 幫助頁的路徑名,你可以修改它們來滿足系統的需求。

· 第三步 編譯源程序
使用源程序目錄中的configure腳本，它從系統中讀出各種所需的屬性。並且根據Makefile.in文件自動生成Makefile文件，以便編譯使用.make 命令則根據Makefile文件中的規則編譯tcpmp的源程序。使用make install命令安裝編譯好的tcpmp的二進制文件。
總結一下就是:
# tar xvfz tcpmp-3_4a5.tar.Z
# vi Makefile.in
# . /configure
# make
# make install

[2].Tcpmp的使用
tcpmp採用命令行方式，它的命令格式為：
tcpmp [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]
[ -i 網路介面 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達式 ]

1. tcpmp的選項介紹
-a 將網路地址和廣播地址轉變成名字；
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出；
-dd 將匹配信息包的代碼以c語言程序段的格式給出；
-ddd 將匹配信息包的代碼以十進制的形式給出；
-e 在輸出行列印出數據鏈路層的頭部信息；
-f 將外部的Internet地址以數字的形式列印出來；
-l 使標准輸出變為緩沖行形式；
-n 不把網路地址轉換成名字；
-t 在輸出的每一行不列印時間戳；
-v 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息；
-vv 輸出詳細的報文信息；
-c 在收到指定的包的數目後，tcpmp就會停止；
-F 從指定的文件中讀取表達式,忽略其它的表達式；
-i 指定監聽的網路介面；
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)；
-w 直接將包寫入文件中，並不分析和列印出來；
-T 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc （遠程過程 調用）和snmp（簡單網路管理協議；）

2. tcpmp的表達式介紹
表達式是一個正則表達式，tcpmp利用它作為過濾報文的條件，如果一個報文滿足表達式的條件，則這個報文將會被捕獲。如果沒有給出任何條件，則網路上所有的信息包將會被截獲。
在表達式中一般如下幾種類型的關鍵字，一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0 指明 202.0.0.0是一個網路地址，port 23 指明埠號是23。如果沒有指定類型，預設的類型是host.
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字，則預設是src or dst關鍵字。
第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數據介面網路)上的特定的網路協議，實際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議，則tcpmp將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,''；
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
(1)想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpmp host 210.27.48.1
(2) 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用括弧時，一定要
#tcpmp host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpmp tcp port 23 host 210.27.48.1

3. tcpmp 的輸出結果介紹
下面我們介紹幾種典型的tcpmp命令的輸出信息
(1) 數據鏈路層頭信息
使用命令#tcpmp --e host ice
ice 是一台裝有linux的主機，她的MAC地址是0：90：27：58：AF：1A
H219是一台裝有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一條命令的輸出結果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析：21：50：12是顯示的時間， 847509是ID號，eth0 <表示從網路介面eth0 接受該數據包，eth0 >表示從網路介面設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它表明是從源地址H219發來的數據包. 0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是表明該數據包是IP數據包,60 是數據包的長度, h219.33357 > ice.telnet 表明該數據包是從主機H219的33357埠發往主機ICE的TELNET(23)埠. ack 22535 表明對序列號是222535的包進行響應. win 8760表明發送窗口的大小是8760.

(2) ARP包的TCPDUMP輸出信息
使用命令#tcpmp arp
得到的輸出結果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該數據包, arp表明是ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTE的MAC地址。 0:90:27:58:af:1a是主機ICE的MAC地址。

(3) TCP包的輸出信息
用TCPDUMP捕獲的TCP包的一般輸出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP包中的標志信息,S 是SYN標志, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明數據包中是否有緊急指針. Options是選項.

(4) UDP包的輸出信息
用TCPDUMP捕獲的UDP包的一般輸出信息是：
route.port1 > ice.port2: udp lenth
UDP十分簡單，上面的輸出行表明從主機ROUTE的port1埠發出的一個UDP數據包到主機ICE的port2埠，類型是UDP， 包的長度是lenth上面，我就詳細介紹了TCPDUMP的安裝和使用，希望會對大家有所幫助。如果想要熟練運用TCPDUMP這個LINUX環境下的SNIFFER利器，還需要大家在實踐中總結經驗，充分發揮它的威力。
（五）.windows平台上的sniffer
我推薦netxray和sniffer pro軟體，想必大家都用過他們，不過我在這兒還要再簡單介紹一下他們。
netxray的使用說明
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 這是一個ShareHub連接下的區域網

5.5.5.5 這是一個8080埠上的http/ftp proxy

Internet

啟動Capture，

㈢ ad17中selection filter在哪裡

ad17中selection filter在ldapsearch 還是ICE在linux上，還是windows上的相關工具。

Editor dwgEditor = doc.Editor; PromptEntityOptions entityPrompt = new PromptEntityOptions(" 請選擇要文字實體<回車結束>");entityPrompt.SetRejectMessage(" 請選擇文字實體");entityPrompt.AddAllowedClass(typeof(DBText)。

特點：

伴隨著互聯網的發展，Linux得到了來自全世界軟體愛好者、組織、公司的支持。它除了在伺服器方面保持著強勁的發展勢頭以外。

在個人電腦、嵌入式系統上都有著長足的進步。使用者不僅可以直觀地獲取該操作系統的實現機制，而且可以根據自身的需要來修改完善Linux，使其最大化地適應用戶的需要。

Linux不僅系統性能穩定，而且是開源軟體。其核心防火牆組件性能高效、配置簡單，保證了系統的安全。在很多企業網路中，為了追求速度和安全，Linux不僅僅是被網路運維人員當作伺服器使用，甚至當作網路防火牆，這是Linux的一大亮點。

㈣ linux系統的特點是什麼

Linux系統特徵

Linux系統有文本編輯界面和圖形用戶界面（GUI）。其特徵包括:多用戶、多任務、多平台、可編程SHELL、提供源代碼、模擬終端、支持多種文件系統及強大的網路功能等。

多用戶：多個用戶（六個）能同時從相同或不同的終端（終端號：tty1~tty6）上用同一個應用程序的副本進行工作。在控制台，切換終端的命令是：ALT+F1~F6；在模擬終端窗口（ps/0~n）是：SHIFT+ALT+F1~F6。

多任務：可同時執行多個程序，程序之間互不妨礙。與WINDOWS的多任務不同，Linux將系統沒有用到的剩餘物理內存全部用來做硬碟的高速緩存。筆者曾經打開三個xterm，分別用於查找文件、調試程序、發郵件。而且還可以指定某一個程序在後台運行，指定某一些程序在特定的時間內運行（at命令）。

多平台：Linux能在X86平台上運行，也能移植到其他平台。

可編程SHELL：SHELL是解釋並執行命令的系統外殼程序。通過編寫SHELL程序，使得系統更加個性化；而且在一些程序中具有C語言的功能。

提供源代碼：Linux是自由軟體，源代碼完全公開，可以自行編譯內核，修改和擴充操作系統，進行二次開發。

Linux支持的文件系統很多，例如：EXT3、NFS、VFS、ISO9660、MSDOS等等。

網路功能：較全面的實現了TCP/IP、SLIP、PPP、PLIP協議，功能強大。