本文目录一览：

• 1、网络安全警察是怎样查处黑客的，是通过查找其IP地址么
• 2、sniffer状态代表的是什么呢
• 3、蜜罐技术的工作原理
• 4、计算机被黑客攻击，如何反向追踪IP原始攻击地址？

网络安全警察是怎样查处黑客的，是通过查找其IP地址么

网络安全警察是通过查找其IP地址的。

网警抓黑客的主要技术是计算机取证技术，又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学，是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术，即删除或者隐藏证据从而使网警的取证工作无效。

扩展资料：

分析数据常用的手段有：

1．用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说：在上午10点的时候发生了入侵事件，那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。

2．由于黑客在入侵时会删除数据，所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。

3．对系统中所有加密的文件进行解密 。

4．用MD5对原始证据上的数据进行摘要，然后把原始证据和摘要信息保存。

上面的就是网警在取证时所要进行技术处理的地方，然后根据分析的结果(如IP地址等等)来抓人。

sniffer状态代表的是什么呢

本文是一简单的关于SHIFFER的描述，对于不太知道SNIFFER的人来说可能适用，

高手就免进了，要深一层次的就看如袁哥，BACKEND写的文章吧。

I 什么是SNIFFER呢？

一般我们在讲的SNIFFER程序是把NIC（网络适配卡，一般如以太网卡）置为一种

叫promiscuous杂乱模式的状态，一旦网卡设置为这种模式，它就能是SNIFFER程序

能接受传输在网络上的每一个信息包。普通的情况下，网卡只接受和自己的地址

有关的信息包，即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式

的信息，就需要系统支持bpf，LINUX下如SOCKET-PACKET，但一般情况下网络硬件

和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包，所以为了绕过

标准的TCP/IP堆栈，网卡就必须设置为我们刚开始将的杂乱模式，一般情况下，

要激活这种方式，必须内核支持这种伪设备bpfilter，而且需要ROOT用户来运行

这种SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安装，而你即使以本地用户

进入了系统，你也嗅探不到ROOT的密码，因为不能运行SNIFFER。

　 基于SNIFFER这样的模式，可以分析各种信息包可以很清楚的描述出网络的结构

和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着

SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以

这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。

　 下面描述了一些传输介质被监听的可能性：

Ethernet 监听的可能性比较高，因为Ethernet网是一个广播型的网络，困扰着

INTERNET的大多数包监听时间都是一些运行在一台计算机中的包监听

程序的结果。这台计算机和其他计算机，一个网关或者路由器形成一个

以太网。

FDDI Token- 监听的可能性也比较高，尽管令牌网内的并不是一个广播型网络，

ring实际上，带有令牌的那些包在传输过程中，平均要经过网络上一

　 半的计算机。但高的传输率将使监听变得困难。

电话线　监听的可能性中等，电话线可以被一些与电话公司协作的人或者一些

　 有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也

　 会被截获。在实际中，高速的MODEM比低速的MODEM搭线困难的多，

　因为高速MODEM引入了许多频率。

IP通过有监听的可能性比较高，使用有线电视信道发送IP数据包依靠RF调制

线电视信道　解调器，RF调制解调器使用一个TV通道用于上行，一个用于下行。

　 在这些线路上传输的信息没有加密，因此，可以被一些可以物理上　

　 访问到TV电缆的人截获。

微波和 监听的可能性比较高，无线电本来上一个广播型的传输媒介，任何一

无线电 一个无线电接受机的人可以截获那些传输的信息。

现在多数的SNIFFER只监视连接时的信息包，原因是SNIFFER如果接受全部

的信息包，一个是LOG记录极其大，而且会占用大量的CPU时间，所以在一个担负

繁忙任务的计算机中进行监听，由于占用的CPU和带宽就可以怀疑有SNIFFER在工作，

当你觉得有异常现象的时候就先需要一些简单的方法检测。

虽然可以使用PS或者netstat的命令去查看是否有可以进程和连接信息的转态，

但入侵者改变了ps或者netstat程序也就不能发现这些程序了，其实修改ps命令只

须短短数条SHELL命令，即可将监听软件的名字过滤掉。

　 下面的两个方法原理简单，但操作起来比较困难：

1，对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去PING，运行

监听程序的机器回有响应，这是因为正常的机器不接受错误的物理地址，处于监

听状态的机器能接受，如果他的IP STACK不再次反向检查的话，就会响应，这种

方法依赖系统的IP STACK，对有些系统可能行不通。

2，往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能

下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断，这种方法

难度较大点。

一些流行的SNIFFER

SNIFFIT：这是一个比较的SNIFFER，它由Brecht Clearhout所写，这是你应该最先

用的程序，这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次

登陆会话进程刚刚好。：p

SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，

用来跟踪一些网络活动。

TCP DUMP：这个SNIFFER很有名，FREEBSD还搭带在系统上，是一个被很多UNIX高手

认为是一个专业的网络管理工具，记得以前Tsutomu Shimomura （应该叫下村

侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVIN MITNICK攻击他系统的

记录，后来就配合FBI抓住了KEVIN MITNICK，后来他写了一文：使用这些LOG

记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack

()

ADMsniff:这是非常有名的ADM黑客集团写的一个SNIFFER程序。

linsniffer:这是一个专门设计杂一LINUX平台上的SNIFFER。

Esniffer:这个也是一个比较有名的SNIFFER程序。

Sunsniff:这个是用在SUNOS系统上的SNIFFER，此程序应该在十年前推出的吧。

Solsniffer:这是个Solaris sniffer，主要是修改了SunSniff专门用来可以

方便的在Solair平台上编译。

这些程序attrition收集起来了，大家可以到下面的URL下载：

一些流行的检测SNIFFER的程序：

--

是一个很小的C程序，当编译好后，会查找本地机器上任何处于杂乱模式的NIC网络

适配卡。

--

是一个用来远程检查任何嗅探活动的程序，可惜它只在LINUX下编译，当然你

也可以简单的使用'ifconfig -a'来检查你的UNIX机器是否有PROMISC标志。

这是L0pht写的很好的反SNIFFER程序，L0PHT

还打算公开LINUX版本上的源码版本。

　 另外，如果机器上使用两块网卡，把一块设置为杂乱模式，并把IP地址设置

为0.0.0.0，另一块卡处于正常的模式并是正确的地址，这样将很难发现SNIFFER的

存在。

蜜罐技术的工作原理

蜜罐的主要原理包括以下几个方面:

第一,网络欺骗。

使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。

第二,数据捕获。

一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。

第三,数据分析。

要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。

第四,数据控制。

数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。

首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”

设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

计算机被黑客攻击，如何反向追踪IP原始攻击地址？

如果在受攻击前，安装了网络侦测软件，那么在遭到攻击时可以直接显示黑客IP。除此之外，基本上就只能依靠防火墙了。

购买一个硬件防火墙并安装，如果遭到攻击，硬件防火墙不但会自动拦截，还可以查看连接日志找出对方IP。

软件防火墙现在大多也提供了在检测到遭到攻击时自动屏蔽网络连接、自动“隐身”的功能，并且自动给出对方IP。

不过需要注意的一点是，现在很多黑客都采用了动态/伪装IP来逃避追踪，因此追踪到IP之后一定要及时利用，可能片刻之后就会失效了。