要点导航 1）安装VMWare虚拟机 2）使用Sniffer Pro截获数据包 3）使用影音神探检测网络 4）使用X-Scan扫描器 5）使用SuperScan扫描器

黑客一旦锁定了目标计算机之后就会使用各种不同的工具嗅探和扫描目标计算机，以获取目标计算机的IP地址和开放的端口，这样黑客就能够更快速地入侵电脑，因此用户需要了解黑客常用的嗅探工具和端口扫描工具。

本章主要介绍了安装VMware虚拟机、使用Sniffer Pro和影音神探嗅探目标计算机，使用X-Scan和SuperScan扫描目标计算机的端口等知识，最后介绍了使用网络新手IP隐藏器隐藏本地电脑的IP地址。

虚拟机是一个利用软件来模拟具有完成硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，通过虚拟机软件，用户可在虚拟机系统中进行各种黑客的攻击与防御工作，即使出现意外，也不会影响到本机系统的正常运行。 虚拟机可以像真正的计算机那样进行工作，如安装操作系统、安装应用程序、访问网 络资源等。当用户在虚拟机中作业时，无论系统感染病毒或是系统崩溃或被黑客攻击导致 死机，受到影响的都只是虚拟机上的操作系统，而不是物理计算机上的操作系统。而且， 使用虚拟机的恢复功能，可以马上恢复虚拟机到安装软件之前的状态，非常方便。

虚拟机一般分两种：一种是普通虚拟机，一种是Java虚拟机。

1）普通虚拟机 普通虚拟机就是指用户平时最经常用的，不采用任何其他特殊技术搭建的，通过虚拟 机软件模拟，营造出一个具有完整硬件系统功能的、运行在一个完全隔离环境中的计算机 系统。 虚拟机只是运行在物理计算机上的一个应用程序，但是对于在虚拟机中运行的应用程 序而言，它就像是在真正的计算机中进行工作。因此，当用户在虚拟机中执行了某些违法 或不当操作时，虚拟机也会出现系统崩溃的情况。不过，虚拟机系统的崩溃并不会对物理 计算机上的操作系统造成任何影响。因此，对于需要进行大量计算机实验的用户来说，使 用虚拟机是一个不错的选择。 目前流行的虚拟机软件有VMware和Virtual PC，它们都能在Windows系统上虚拟出多个计算机，用于安装Windows、Linux、OS/2、FreeBSD等操作系统，如右图所示即为安装了Windows XP操作系统的VMware虚拟机。

2）Java虚拟机

Java虚拟机简称JVM，它是一个想象中的机器，其原理与普通虚拟机类似，也是在物理计算机上通过软件模拟来创建虚拟环境。 Java虚拟机的最大特点就是能跨平台编译，因为一般的高级语言如果要在不同的平台 上运行，基本上都需要编译成不同的目标代码，而引入Java语言虚拟机后，Java语言在不 同平台上运行时不需要重新编译。Java虚拟机屏蔽了语言代码与具体平台相关的信息，使 得Java语言编译程序只需生成在Java虚拟机上运行的目标代码，就可以在多种平台上不加修改地运行。

安装VMware虚拟机程序

VMware是一个虚拟计算机软件，它使用户可以在一台机器上同时运行两个或更多Windows、Linux的虚拟机系统。

安装（略）。

嗅探器是一种监视网络数据运行的软件设备，既能用于合法网络管理，也能用于窃取网络信息，如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则等。非法嗅探器严重威胁网络安全性，因为它不但可以进行探测行为，而且容易随处插入，所以黑客常将它作为攻击武器。

1）嗅探器概述 在讲嗅探器之前，用户首先需要明白局域网数据传输的一些基本原理。

数据在网络上是以帧为单位传输的，帧由几部分组成，不同的部分执行不同的功能。 帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线 到达它们的目的工作站，并在目的工作站的一端执行相反的过程。接收端机器的以太网卡 捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。 然而，就是在这个传输和接收的过程中，存在安全方面的问题。 每一个在局域网上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到局域网上所有可用的机器中。在一般情况下，网络上所有的机器都可以"听"到通过的数据包，但对不属于自己的数据包则不予响应。也就是说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据。 而通过嗅探器，处于该网络中的用户就能够监听该网络中的数据包，并从捕获到的数据包中解析该数据包中的内容，其中包括一些用户账户及其口令。使用嗅探器监听网络的原理如下图所示。

嗅探器分为软件和硬件两种。软件的嗅探器有Sniffer Pro、NetXray、Packetboy、Net Monitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下无法真正了解网络的故障和运行情况。硬件的嗅探器通常称为协议分析仪，一般都是商业性的，价格也比较贵。

本章所讲的嗅探器为一种软件，它能把包抓取下来，然后用户打开并查看其中的内 容，可以得到密码等。嗅探器只能抓取一个物理网段内的包，也就是说，用户和监听的目标中间不能有路由或其他屏蔽广播包的设备。所以对一般拨号上网的用户来说，是不可能利用嗅探器窃听到其他网络中的通信内容的。 当一个黑客成功地攻陷了一台主机，并拿到了root权限，如果他还想利用这台主机去攻击同一网段上的其他主机时，他就会在这台主机上安装一款嗅探器软件，对以太网设备上传送的数据包进行嗅探，从而监听感兴趣的包。如果发现符合条件的包，就会想方设法破译数据包的内容，如果在某数据包里面包含有某主机的账户以及密码，那么该主机就极有可能被黑客入侵。

1.Sniffer Pro 是一款非常优秀的便携式网管和应用故障诊断分析软件。不管是在有线网 络还是在无线网络中，网络管理人员都能够利用该软件进行实时的网络监视、数据包捕获 以及故障诊断分析。

2.影音神探 影音神探是一款能够监测流过网卡的数据并进行过滤分析的网络嗅探器，它使用了 WinPcap开发包，能快速找到所需要的网络信息，如音乐、视频、图片、文件等。

从端口的定义不难看出，一个端口就是一个潜在的通信通道，也就是一个入侵通道。黑客通过对目标计算机进行端口扫描，能得到许多有用的信息，除此之外，黑客也会扫描系统中的漏洞为入侵做好准备。

1）端口扫描原理

黑客在入侵电脑前，往往会对目标进行扫描，查看目标计算机开放了哪些端口，提供了哪些服务，做到知己知彼，这样才能在入侵电脑时更加得心应手。端口扫描通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用等。端口扫描行为的一个重要特征是在短时间内有很多来自相同的信息源地址传向不同的目的地端口的包。 对于用端口扫描进行攻击的人来说，攻击者基本可以做到在获得扫描结果的同时，使得自己很难被发现或者说很难被逆向追踪。隐藏源地址的方法很多，如发送大量的欺骗性端口扫描包，而其中只有一个是从真正的源地址来的。这样，即使全部包都被察觉，被记录下来，也没有人知道哪个是真正的信源地址，能发现的仅仅是曾经被扫描过的痕迹。 在手工进行扫描时，需要熟悉各种命令，以及对命令执行后的输出结果进行分析。而用扫描软件进行扫描则相对要简单许多，并且许多扫描软件都有分析数据的功能。

2）使用X-Scan扫描器, SuperScan扫描器

a. X-Scan是国内著名的综合扫描器之一，它完全免费，扫描功能强大，包括图形界面和 命令行方式，主要由国内著名的民间黑客组织"安全焦点"完成。

b. SuperScan是一款功能强大的扫描软件，对于一个网络管理员或者网络攻击者而言，它 是一款非常有用的工具。SuperScan不仅仅是一个端口扫描软件，除了最重要的端口扫描功 能之外，它还具有通过Ping功能来检验IP是否在线、IP和域名的相互转换等功能。

获取目标计算机的运行信息： SuperScan的"工具箱"提供了一系列的功能，只要用户输入目标计算机的IP或者URL 地址，就能够使用这些工具获取目标主机的主机名，判断目标主机是否运行等。

检测计算机的所有端口 用户如果要检测自己计算机的所有端口，则直接在"扫描"选项卡下输入本地电脑的 主机名或IP地址，然后单击 开始】按钮开始扫描，不再设置TCP端口和UDP端口扫描。

IP侦查防范技术

IP地址作为网络计算机的重要标识，是黑客首先需要了解的。获取IP地址的方法有很多，例如常用的就是在局域网内使用Ping命令，Ping对方在网络中的域名而获得IP；而比较有技术含量的就是截获并分析对方的网络数据包，对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP地址。

虽然侦查IP的方法多样，但用户可以隐藏IP的方法同样也有许多。就对付最有效的"数据包分析方法"而言，可以安装能够自动去掉发送数据包包头IP信息的"Norton Internet Security 2003"。但是，现在网络中最常用的隐藏IP地址的方法就是使用代理服务，这里通过使用一款比较适合个人用户的简易代理软件——网络新手IP隐藏器来介绍防范IP地址被侦查到的方法。