网络监控工具的使用 本节就几个具体的工具来谈谈网络监控系统的使用。 1.NFR BackOfficer Friendly NFR BackOfficer Friendly是Network Flight Recorder公司发布的一个用来监控Back Orifice的工具,它现有的最高版本为1.01版本(发布时间是1999年5月3日),可以运行在:Windows 95、Windows 98、Windows NT Server 4.0、Windows NT Workstation 4.0 v,此外,NFR公司还推出了Unix系统下的版本。这个工具可以设定的监听端口为:Back Orifice、FTP、Telnet、SMTP、HTTP、POP3、IMAP2。下面用实例介绍一下其功能。 如果你的微机上安装了NFR BackOfficer Friendly系统,当有人对于该计算机进行扫描的时候,NFR监控工具立即做出类似下面的报警(假设对方IP为202.122.32.15): Thu Jul 22 15:11:42 FTP connection from 202.122.32.15 Thu Jul 22 15:11:42 Telnet connection from 202.122.32.15 Thu Jul 22 15:11:42 SMTP connection from 202.122.32.15 Thu Jul 22 15:11:45 HTTP empty request from 202.122.32.15 Thu Jul 22 15:11:45 POP3 connection from 202.122.32.15Thu Jul 22 15:11:51 HTTP request from 202.122.32.15: HEAD /. ... Thu Jul 22 15:12:40 Telnet connection from 202.122.32.15 Thu Jul 22 15:12:50 Telnet login attempted from 202.122.32.15: user: root, password: root Thu Jul 22 15:13:01 Telnet login attempted from 202.122.32.15:user: ftp, password: ftp Thu Jul 22 15:13:24 Telnet login attempted from 202.122.32.15: user: root, password: root888 Thu Jul 22 15:13:33 Telnet login attempted from 202.122.32.15: user: hell, password: hello Thu Jul 22 15:13:40 Telnet login attempted from 202.122.32.15: user: shit, password: shit Thu Jul 22 15:13:47 Telnet login attempted from 202.122.32.15: user: user, password: user Thu Jul 22 15:13:51 Telnet login attempted from 202.122.32.15: user: guest, password: guest 这名试图入侵者在扫描了这台计算机后,发现该台机器的21口(FTP),23口(Telnet)都开着,他立刻Telnet这台机器,NFR可以在没有Telnet、FTP的条件下,模拟出Telnet,FTP的登录过程,而且在Telnet上去后,还给了入侵者试试密码的机会,请参看上面警报提示中的内容。 入侵者的尝试登录过程被我们完整地记录下来,但对于有些经验的入侵者而言,这种模拟还是很容易被识别出来,一是Telnet上去后没有任何提示,只是出现一个login,在输入密码后,出现passwd,输入密码后就可以发现输入的密码是明文的,而且它对错误登录没有次数限制,从这三点上就应该可以判断出这是一个“陷阱”了。 这种网络监控软件还可以有其他的一些用途,比如很多刚上网的人都喜欢去聊天室聊天,而且很想知道IP地址,一是可能想知道对方是从哪里来的,二是可能想用些工具踢踢人,但现在很多聊天室都屏蔽了可以看到聊天者IP的功能,这时你就可以试一试NFR的这个工具。 使用方法很简单,先看看你自己的IP(在Dos窗口下打winipcfg就行了),把你的NFR工具运行起来,监视好80口,然后跟你的聊天伙伴说:“嘿!这里有个主页不错,地址是xxx.xxx.xxx.xxx(你自己的IP),你来看看,只要他对这个IP有了任何的动作,NFR的监控就会立刻告诉你他的IP地址,当然这样你的IP也暴露了。当然看别人IP的方法还很多,这里讲的仅仅是就这个监控工具而言的。