-
端口監聽
鎖定
端口監聽是指對客户端(個人機器)所操作的一種信息記錄。端口監聽還用於實現對共享目錄訪問的監測和控制。
- 中文名
- 端口監聽
- 外文名
- Port monitor
- 特 指
- 指客户端所操作的一種信息記錄。
- 功 能
- 機器的IP地址併發出警告
- 缺 陷
- 只能監視固定的端口
端口監聽詳細描述
很多人都已經知道了可以藉助NETSTAT-AN來查看當前的連接與開放的端口,但NETSTAT並不萬能,比如你的Win95遭到OOB攻擊的時候,不等NETSTAT你就已經死機了。為此,出現了一種特殊的小工具——端口監聽程序。端口監聽並不是一項複雜的技術,但卻能解決一些局部問題,當OOB攻擊風行的時候,有些程序員期望藉助端口監聽的簡單方式堵住這一漏洞,於是就有了像CMPWATCH、ANTINUKE、NUKENABER等工具,而後來BO、NETBUS等流行起來,也有人試圖通過NUKENABER來監聽12345、31337這樣的端口,來發現木馬並防止黑客的攻擊,後來出現的一些專門針對BO設計的程序,如BS120的前期版本也主要是依靠端口監聽的方法,當然隨着木馬的日趨氾濫和木馬Server端端口的可定義性,這種方法還是被放棄了。
不過值得一提的是ANTINUKE,這雖然是一個只有幾十K的小程序,但他帶有一個反擊的功能,就是説,會用OOB攻擊的方式反擊向你139端口發包的人,而且它會使HACKTEK這樣的掃描器在掃描到139時發生溢出而終止,大家不妨實驗一下。
NUKENABER的優點在於他可以監聽多個端口,Portmagic也有這樣的功能。
端口監聽基本功能
端口監聽
有些端口監聽工具,不僅可以被動監聽,也提供了一些有意思的功能,比如fakeserv讓你的機器開放多個端口,使掃描者誤認為你開放了Wingate、TELNET等多種服務,忙了一塌糊塗,結果才發現是個騙局。不僅浪費時間,而且還被你記錄了IP。還有的讓你的機器開放12345、31337等端口,待到有人用木馬的客户端連接上來時,就發給他警告信息或利用木馬本身的漏洞讓他死機。
端口監聽監聽工具
sniffer軟件,主要作用是端口監聽,很不錯的,可以從網上下載。Catalyst2900XL/3500XL/2950系列交換機端口監聽配置 以下命令配置端口監聽:
portmonitor
端口監聽
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/5
portmonitorVLAN1
2.Catalyst4000,5000,and6000系列交換機端口監聽配置
端口監聽產品配置
端口監聽CiscoCATALYST
端口監聽
1、Catalyst2900XL/3500XL/2950系列交換機端口監聽配置(基於CLI)
以下命令配置端口監聽:
portmonitor
例如,F0/1和F0/2、F0/5同屬VLAN1,F0/1監聽F0/2、F0/5端口:
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/5
portmonitorVLAN1
2、Catalyst4000/5000/6000系列交換機端口監聽配置(基於IOS)
以下命令配置端口監聽:
setspan
端口監聽
端口監聽3COM
在3COM交換機中,端口監聽被稱為“RovingAnalysis”。網絡流量被監聽的端口稱作“監聽口”(MonitorPort),連接監聽設備的端口稱作“分析口”(AnalyzerPort)。
以下命令配置端口監聽:
指定分析口
featurerovingAnalysisadd,或縮寫fra
例如:
Selectmenuoption:featurerovingAnalysisadd
Selectanalysisslot:1
Selectanalysisport:2
指定監聽口並啓動端口監聽
featurerovingAnalysisstart,或縮寫frsta
例如:
Selectmenuoption:featurerovingAnalysisstart
Selectslottomonitor(1-12):1
Selectporttomonitor (1-8):3
停止端口監聽
featurerovingAnalysisstop,或縮寫frsto
端口監聽DELL
在Dell交換機中,端口監聽被稱為“端口鏡像”(PortMirroring)。使用交換機的管理界面,參數如下:
DestinationPort(目的地端口):定義端口通信要鏡像到的端口號;
SourcePort(源端口):定義被鏡像端口的端口號。
Add(添加):添加端口鏡像操作。
Type(類型):指定要鏡像的端口通信類型。可能的字段值包括:“RX”-表示鏡像進入網絡的數據;“TX”-表示鏡像流出網絡的數據;Both()-表示鏡像所有數據。
Status(狀態):表示端口的狀態。可能的字段值包括:“Active”-表示端口被啓用;“NotActive”-表示端口被禁用。
Remove(刪除):刪除端口鏡像會話。可能的字段值包括:“已選取”-刪除端口鏡像會話;“未選取”-保留端口鏡像會話。
端口監聽具體設置
1、在PortMirroring對話框中的DestinationPort中選中目的端口(鏡像端口),再單擊Add按鈕;
2、在系統將打開“AddSourcePort”(添加源端口)頁面中,定義“SourcePort”(源端口)和“Type”(類型)字段,並單擊“ApplyChanges”(應用更改),使系統接收更改。
(注:如果需要從端口鏡像會話刪除副本端口,請打開“PortMirroring”(端口鏡像)頁面,選取“Remove”(刪除)複選框,再單擊“ApplyChanges”(應用更改)。系統將刪除端口鏡像會話,並更新設備。)
以下命令配置端口監聽:
指定分析口
CLI命令實例:
Console(config-if)#portmonitor1/e8
Console#showportsmonitor
SourceportDestinationPortTypeStatus
---------------------------------------
1/e11/e8RX,TXActive
NetCore交換機端口監聽配置
NetCore交換機中,端口監聽被稱為“端口鏡像”(PortMirroring)。
交換機提供四種監視狀態:
Off關閉Mirror功能
Rx捕獲被監視端口的接收數據
Tx捕獲被監視端口的發送數據
Both捕獲被監視端口的接收和發送的數據
進入NetCore的超級終端,在主菜單中輸入“5”進入端口鏡像設置界面,輸入“1”設置端口鏡像狀態。
如設置端口1為鏡像端口,端口8為被鏡像端口,捕獲該端口的接收和發送數據。
配置命令如下:
1.選擇配置的選項(1,off,2.Rx,3.Tx,4.Both):4
2.選擇捕獲端口:1
3.選擇被鏡像端口:8
按Esc鍵退回鏡像設置界面,設置成功。
Intel交換機端口監聽配置
配置端口監聽步驟如下:
●在navigation菜單,點擊Statistics下的MirrorPorts,彈出MirrorPorts信息。
●在ConfigureSource列中點擊端口來選擇源端口,彈出MirrorPortsConfiguration。
●進行源端口設置:
●源端口是鏡像流量的來源口,鏡像口是接收來自源端口流量的端口。
●點擊Apply確定
可以選擇三種監聽的方式:
1.連續(Always):鏡像全部流量。
2.週期(Periodic):在一定週期內鏡像全部流量。鏡像週期在SamplingIntervalconfiguration中設置。
3.禁止(Disabled):關閉流量鏡像。
Avaya交換機端口監聽配置
在Avaya交換機用户手冊中,端口監聽被稱為“端口鏡像”(PortMirror)。
以下命令配置端口監聽:
{set|clear}PortMirror
設置端口偵聽:
setportmirrorsource-port
mirror-portsampling[max-packets-sec
][piggyback-port]
禁止端口監聽:
clearportmirror
命令中,
mod-port-range指定端口的範圍;
mod-port-spec指定特定的端口;
piggyback-port指定雙向鏡像的端口;
sampling指定鏡像週期;
max-packets-sec僅在sampling設置為periodic時使用,指定監聽口每秒最多的數據報數量。
華為交換機端口監聽配置
華為交換機用户手冊中,端口監聽被稱為“端口鏡像”(PortMirroring)。
使用HuaweiLanswitchView管理系統添加一個鏡像端口:
選擇DeviceSetup或StackSetup。
點擊PortMirroring。
點擊Reflectfrom並選擇流量將被鏡像的端口。
點擊Reflectto並選上面所選擇的端口上的
