黑客技术精品PPT课件

合集下载

1黑客攻击手段和方式PPT课件

工具程序包来预防。 FAN识G对别在一是退般用出用户前户F注正A销N常GR响，OOT 权限将，之应以赋，免予保被R持系O原统O功T人权能员限查出
特洛伊木马
• 特洛伊程序的由来
– 特洛伊程序是由编程人员创造的。它的作者都有着自己的意图。这种意图可以是任意的。但是基于在Internet的安全的前题，一个特洛伊程序将要做的是下列两件事中的一件（或两者兼有）：
病毒
• 病毒
– 随着Internet的出现，病毒比以往具有更大的危害性。Internet大大的加速了病毒的传播速度。
– Network Toolbox - windows上的端口扫描器 – ISS公司（）的Internet Security Scanner等。
口令入侵
• 口令不会被解开，多数口令加密过程都是单向、不可逆的。
• 但是可以使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去取匹配原口令。
逻辑炸弹
逻辑炸弹是程序中的一部分，满足一定条件时激活某种特定的程序，并产生系统自毁，并附带破坏。
潜伏代码
逻辑炸弹
满足而爆炸
满足条件否？
网络炸弹
攻击IP协议的网络炸弹
IP IP
更
假长度攻击
新协议
处
理
用Telnet向80口发也可摧毁Windows NT
向139端必口须发对0字恶节意也攻可击摧的毁情W况in作do假ws设95/NT
口令入侵
找成到功
口令表
加密系统
No Image
字典
不比较同
口令入侵
口令设置的特别方法
• 口令中加空格 • 不要用字头加号码的方法 • 基于语句的口令：我是华工学人

2黑客攻击技术PPT课件

二、黑客攻击与防范技术
整体概述
一请在这里输入您的主要叙述内容
二
请在这里输入您的主要叙述内容
三请在这里输入您的主要叙述内容
提问与解答环节
Questions and answers
结束语 CONCLUSION
感谢参与本课程，也感激大家对我们工作的支持与积极的参与。课程后会发放课程满意度评估表，如果对我们课程或者工作有什么建议和意见，也请写在上边，来自于您的声音是对我们最大的鼓励和帮助，大家在填写评估表的同时，也预祝各位步步高升，真心期待着再次相会！
感谢观看
The user can demonstrate on projector or computer, or print the presentation and make it into a film

网络攻击技术PPT课件

高速缓存用于寸放与本计算机最近进行通信的其他计算机的netbios 名字和ip地址对。（3）、-r——本命令用于清除和重新加载netbios名字高速缓存。（4）、-a ip——通过ip显示另一台计算机的物理地址和名字列表，你所显示的内容就像对方计算机自己运行nbtstat -n一样。（5）、-s ip——显示实用其ip地址的另一台计算机的netbios连接表。
3、Tracert（Traceroute）命令：
命令格式： C:\> tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name 简单事例： C:\>tarcert Target
4、ipconfig命令：
命令格式：
注意必须指定适配器。
ipconfig命令（续）：
5、netstat命令：
命令格式：
C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数：
（1）、-s——本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如web浏览器）运行速度比较慢，或者不能显示web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。
NET USE {devicename | *} [password | *] /HOME NET USE [/PERSISTENT:{YES | NO}]
net use（续）：
①、建立IPC$空连接：
IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

黑客攻击防范与网络安全技术讲义课件

黑客攻击防范策略
CATALOGUE
03
03
对网络流量和日志进行监控和分析，及时发现异常行为和潜在的攻击活动。
01
定期进行系统安全漏洞扫描和风险评估，及时发现和修复潜在的安全隐患。
02
对网络设备和应用程序进行安全配置审核，确保安全设置符合最佳实践。
01
02
03
01
02
03
对员工进行定期的安全意识教育和培训，提高员工对网络安全的认识和防范意识。
总结词：黑客攻击的历史可以追溯到上世纪60年代，随着计算机技术和网络的不断发展，黑客攻击的手段和方式也在不断演变和升级。目前，黑客攻击已经成为全球性的问题，对个人和企业造成了巨大的经济损失和安全威胁。
网络安全技术基础
CATALOGUE
02
防火墙是用于阻止未经授权的通信进出网络的系统，通常由软件和硬件组成。
模拟攻击场景设置
按照应急响应预案，实施模拟攻击演练，检验应急响应小组的快速反应能力和协作能力。
演练过程实施
对演练过程进行全面评估，总结经验教训，提出改进措施，进一步提高应急响应能力。
演练结果评估
网络安全发展趋势与挑战
CATALOGUE
06
人工智能与机器学习在网络安全领域的应用
随着人工智能和机器学习技术的不断发展，这些技术将被广泛应用于检测和防御网络攻击，提高安全防护的效率和准确性。
黑客攻击防范与网络安全技术讲义课件
黑客攻击概述网络安全技术基础黑客攻击防范策略网络安全法律法规与道德规范网络安全事件应急响应网络安全发展趋势与挑战
contents
目录
黑客攻击概述
CATALOGUE
01
黑客攻击是指利用计算机系统、网络或应用程序中的漏洞或缺陷，非法获取、篡改或破坏数据、系统或网络的行为。根据攻击方式和目标的不同，黑客攻击可以分为不同类型的攻击，如拒绝服务攻击、恶意软件攻击、社交工程攻击等。

信息安全与黑客技术_图文_图文

推荐一篇小说
“我是一名黑客”
这是一篇关于黑客技术小说，也是一篇很好的黑客入门教材。不管是从文笔还是黑客技术都写得很好，建议同学们阅读。
推荐一本书
《黑客攻防实战入门》
本书从“攻”、“防”两个不同的角度，通过现实中的入侵实例，并结合作者的心得体会，图文并茂地再现了网络入侵与防御的全过程。本书共分6章，系统地介绍了入侵的全部过程，以及相应的防御措施和方法。其中包括信息的搜集、基于认证的入侵及防御、基于漏洞的入侵及防御、基于木马的入侵及防御、入侵中的隐藏技术、入侵后的留后门以及清脚印技术。本书用图解的方式对每一个入侵步骤都进行了详细的分析，以推测入侵者的入侵目的；对入侵过程中常见的问题进行了必要的说明与解答；并对一些常见的入侵手段进行了比较与分析，以方便读者了解入侵者常用的方式、方法，保卫网络安全。
时间（年）
1995 2001 2003
黑客攻击的发展趋势
黑客攻击越来越容易实现，威胁程度越来越高
高
对攻击者知识和技巧的要求
各种攻击者的综合威胁程度
低
1980 1985
1990
时间（年）
1995 2001 2003
黑客与病毒的融合趋势
Window 木马攻击
嗅探高级扫描工具 IP欺骗
Melissa
个人经历
软件破解网络赚钱网络安全
如何学好信息安全与黑客技术
计算机和网络是基础实践是关键，反复练习体会还要有很好的耐心，要学会战胜自己同时最好也要学好英语一定要学会自学，学会利用网络和图书馆查找有关资料，找一个志同道合的朋友共同研究探讨效果更好。不要去攻击他人网站，因为那是违法行为。
信息安全——政治

黑客ppt

5.2 恶意软件——蠕虫与病毒的区别
病毒存在形式传染目标传播途径
寄生于其他对象中本地文件或本地磁盘通过感染文件和可移动磁盘进行传播；或者借助于人的帮助通过网络传播
蠕虫
以独立程序的形式存在网络中的主机通过网络传播
5.2 恶意软件——特洛伊木马的定义
特洛伊木马指那些表面上看起来有用，但暗地里执行非法操作的程序。一旦主机被植入木马，攻击者就可以随意控制受害者的主机，进行各种非法操作。两个基本特性
5.2 恶意软件——计算机病毒的感染机制（2）
感染对象2：可执行文件
可执行文件是病毒的首要感染对象，既包括普通的应用程序，又包括操作系统中可独立执行的程序或程序模块。多种感染技术：伴随式感染技术(如notepad)、覆盖式感染技术、插入式感染技术 ……
5.2 恶意软件——计算机病毒的感染机制（3）
SYN：5000 ACK：1001
SYN：5000 ACK：1001
. . .
. . .
5.1 LAND攻击防御
LAND攻击的检测比较容易，只需简单地判断数据包的源地址和目的地址是否相同即可。对于这种攻击，可通过适当配置防火墙设置或修改路由器的过滤规则来防止。
5.1 拒绝服务攻击实例——Teardrop
3. 配置边界路由器：部分DoS和DDoS攻击利用了ICMP报文，因此可在边界路由器上将ICMP报文过滤掉。
4. 采用负载均衡技术：将关键业务分布到多台服务器上，这样即便其中一台受到攻击，其他服务器仍然可以继续工作，以保证业务的连续性。
5.2 恶意软件——简介
恶意软件（malware）是攻击者植入受害者系统的一段恶意代码，它们使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。

黑客基础知识PPT课件

• 浏览器的安全性需要得到特别关注，浏览器和浏览器插件的漏洞是黑客们的最爱，flash player漏洞就是插件漏洞，这种漏洞是跨浏览器平台的，任何使用flash player的场合都可能存在这种风险。
.
43
恢复操作系统10屏幕保护在win7以上系统里同时按下winl组合快捷键就可以系统锁屏了这个锁屏方法在我们离开电脑时可以顺手就把系统给锁屏了十分方便11在win7以上系统里同时按下wini组合快捷键可以调出系统设置界面1213动态锁如果你在离开时忘记锁定电脑或平板电脑则当你走出蓝牙覆盖范围后不久windowshello便可以通过已与你的设备配对的手机进行自动锁定
• 10、已侵入电脑中的帐号不得清除或修改。
• 11、不得修改系统档案，如果为了隐藏自己的侵入而做的修改则不在此限，但仍须维持原来系统的安全性，不得因得到系统的控制权而将门户大开！
• 12、不将你已破解的帐号分享于你的朋友。
• 13、不要侵入或破坏政府机关的主机。
• 14、不会编程的黑客不是好黑客。
.
11
在Win7以上系统里，同时按下“WIN+I”组合快捷键，可以调出系统设置界面
.
12
.
13
动态锁
• 如果你在离开时忘记锁定电脑或平板电脑，则当你走出蓝牙覆盖范围后不久，Windows Hello 便可以通过已与你的设备配对的手机进行自动锁定。若要进行设置，你需要使用蓝牙将你的手机与电脑进行配对，然后选择“动态锁”下的复选框。
• 4、不要在bbs上谈论你hack的任何事情。
• 5、在post文章的时候不要使用真名。
• 6、正在入侵的时候，不要随意离开你的电脑。
.
7
• 7、不要在电话中谈论你作为黑客的任何事情。

常见黑客攻击及安全防御手段ppt课件

混合型威胁趋势
将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。
主动恶意代码趋势
制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。
防病毒软件历史
单机版静态杀毒
实时化反病毒
防病毒卡动态升级主动内核技术
自动检测技术：特征代码检测
单特征检查法基于特征标记免疫外壳
防病毒技术发展
第一代反病毒技术
采取单纯的病毒特征诊断，对加密、变形的新一代病毒无能为力；采用静态广谱特征扫描技术，可以检测变形病毒误报率高，杀毒风险大；静态扫描技术和动态仿真跟踪技术相结合；基于病毒家族体系的命名规则基于多位CRC校验和扫描机理启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块
电子邮件附件:

(已被使用过无数次的攻击方式)
文件共享: 针对所有未做安全限制的共享
MYDOOM的工作原理

W32.Novarg.A@mm [Symantec] ，受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件： %System%shimgapi.dll %temp%Message，这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启 3127到3198范围内的TCP端口进行监听； 3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。 4、对实施拒绝服务（DoS)攻击,创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日； 5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等； 6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送； 7、邮件内容如下：From: 可能是一个欺骗性的地址；主题:hi/hello等。

黑客攻击技术精品PPT课件

5.5 欺骗攻击及其防御
网络欺骗型攻击主要有Web欺骗、ARP欺骗等手段，除此之外还有IP地址欺骗、TCP 欺骗（在TCP数据包中使用伪造的IP地址）、 DNS欺骗（伪造主机域名）、电子邮件欺骗、源路由欺骗、以及口令欺骗等多种欺骗手段。
5.5 欺骗攻击及其防御
5.5.1 Web欺骗攻击
Web欺骗能够成功的关键是在受害者与其它 Web服务器之间设立攻击者的Web服务器，这种攻击在安全问题中称为“来自中间的攻击”。
栈(Stack) 堆(Heap)
内存高地址 0xFFFFFFFF
未初始化数据段（BSS）
初始化数据段（Data）代码段（Code）
内存低地址 0x00000000
5.4 缓冲区溢出攻击
5.4.1 何谓缓冲区溢出
3.缓冲区溢出攻击分类 1）缓冲区溢出攻击的方式与缓冲区属于哪个内存区域密不可分，因此，
…
…
函数返回地址Ret 栈基址指针EBP
缓冲区
NNNN(sledge) shellcode
NNNN(sledge) shellcode
RARARARA
程序跳转
… 溢出前
RARARARA 植入代码
… 溢出后
5.4 缓冲区溢出攻击
5.4.3 缓冲区溢出攻击代码的构造
（1）shellcode shellcode是实施攻击所要植入的攻击代码的核心部分，其功能是为攻击者提供主
机系统的一个shell。（2）填充数据
编写的shellcode能否得到执行，关键是让覆盖了的函数地址指向shellcode在堆栈中的入口地址。由于攻击者不能够准确的估计出shellcode在其堆栈中的位置，为了提高shellcode的命中率，往往需要在shellcode的前面安排一段填充数据（seledge）用于占位。（3）定位shellcode的返回地址

《黑客常用攻击技术》课件

3
电子商务网站信息泄露事件分析
评估黑客如何窃取电子商务网站客户信息，并提供保护建议以防范类似事件。
结论
1 加强网络安全意识的重要性
每个人都应该理解网络安全的重要性，并采取积极主动的保护措施。
2 提高防范能力的方法
通过学习安全知识和使用有效的安全工具来提高个人和组织的网络安全防御能力。
教育和警惕用户，识别和避免点击可疑链接和提供个人信息。
网络安全法律法规和处罚措施
了解网络安全法律法规可以帮助我们避免犯罪行为并保护自己的合法权益。
网络安全案例分析
1
微博被黑客攻击事件分析
探讨黑客如何入侵微博，并提供预防措施以保护用户信息。
2
网络游戏被盗用事件分析
解析黑客如何盗用网络游戏账号，并分享防范措施以提升账户安全。
SQL注入攻击
通过向应用程序的数据库查询中插入恶意SQL语句，以获取未经授权的访问权限。
CSRF攻击
利用用户的身份，以用户不知情的方式执行恶意操作。
渗透测试
渗透测试是一种主动评估网络和系统安全的方法。它可以帮助组织发现潜在的漏洞，并采取相应的防御措施。
网络攻击防御技术
1
强密码的应用
使用复杂且唯一的密码可以有效防止黑客猜测和破解。
《黑客常用攻击技术》 PPT课件
# 黑客常用攻击技术
网络安全基础概述
网络安全对于保护个人隐私和保护机密信息至关重要。了解网络威胁的种类可以帮助我们更好地理解黑客攻击技术。

常见漏洞类型及攻击方法
缓冲区溢出攻击
利用程序设计中的漏洞，将恶意代码注入到缓冲区，从而控制目标系统。
XSS攻击
通过向网站注入恶意脚本，攻击者可以窃取用户信息或劫持用户会话。

经典黑客技术入门级教材PPT课件

• 武士 “Samurai” 被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。
• 幼虫 “Lara” 一个崇拜真正黑客的初级黑客
黑客命名（3）
• 欲望蜜蜂“Wannabee” 处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险
通过对whois数据库的查询，黑客能够得到以下用于发动攻击的重要信息：
注册机构，得到特定的注册信息和相关的whois服务器；
2.whois查询 whois是目标Internet域名注册数据库。目前，可用的whois数据库很多，例如，查询com、net、edu及org等结尾的域名可通过得到，而查询美国以外的域名则应通过查询得到相应whois 数据库服务器的地址后完成进一步的查询。
• 黑边黑客（Dark-Side）是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客
• 半仙 “Demigod” 一个具有多年经验在黑客团体具有世界级声誉的黑客。
11.1 黑客的动机
黑客的动机究竟是什么？在回答这个问题前，我们应对黑客的种类有所了解，原因是不同种类的黑客动机有着本质的区别。从黑客行为上划分，黑客有 “善意”与“恶意”两种，即所谓白帽（White Hat）及黑帽（Black Hat）。白帽利用他们的技能做一些善事，而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反，黑帽主要从事一些破坏活动，从事的是一种犯罪行为。
（1）因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。
（2）内联网与Internet内容类似，但主要关注内部网络的独立地址空间及名称空间。

《黑客防范技术》课件

黑客入侵的目的和手段
黑客通过入侵系统来达到各种不同的目的，并利用各种手过获取敏感信息来进行非法活动，如身份盗窃或勒索。
2
金钱诈骗
黑客利用入侵后的访问权限从企业或个人获取金钱。
3
破坏
黑客可能有意破坏系统、数据库或网络，导致服务中断或数据损失。
常见的黑客攻击技术
黑客使用各种攻击技术来获取系统的控制权或访问未授权的信息。
教育和培训人员
培训用户识别和避免常见的黑客攻击技术。
总结和建议
掌握黑客防范技术可以保护个人、组织和社会免受黑客攻击的威胁。
1
了解威胁
了解不同类型的黑客攻击和入侵手段。
2
采取防范措施
使用安全软件、更新软件和加密敏感数据。
3
持续学习
随着黑客攻击技术的不断演变，保持学习并适应新的防范技术。
钓鱼攻击
通过伪装成合法的实体，欺骗用户输入其敏感信息。
恶意软件攻击
通过安装恶意软件，黑客可以控制设备或窃取信息。
勒索软件攻击
黑客加密用户文件，并勒索赎金以解密文件。
黑客入侵后的应急处理措施
当黑客入侵系统时，快速采取应急处理措施可以减轻损害并保护敏感信息。
1 隔离受感染的系统
防止黑客继续扩散或破坏其他系统。
2 立即更改密码
替换受攻击系统中的所有密码，以防止黑客重新获取访问权限。
3 恢复和修复
通过修复或恢复受攻击的系统，确保其安全性和可用性。
黑客防范的最佳实践
采取一些最佳实践可以帮助您保护系统、数据和个人隐私免受黑客攻击。
使用强密码
使用长度较长且包含各种字符的密码。
定期更新软件
确保所有软件都是最新版本，以修复已知漏洞。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

被监听的网络通常包括以下几种：
– 以太网：当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。
– FDDI、Token-ring：数据包沿环传送，高的传输率使监听变得困难。
– 搭线监听：可以被一些与电话公司协作的人或有机会在物理上访问到线路的人利用电话线监听。通过有线电视信道传送IP被监听的可能性高，会被一些可以物理上访问到TV电缆的人截获。
数字信号到达一台主机的网络接口时，在正常情况下，对于每一个到达网络接口的数据帧，都要进行检查：
– 如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，即IP 层软件。否则，就将这个帧丢弃。
然而，当主机工作在混杂模式下，则所有的数据帧都将被交给上层协议软件处理。
能不能监听不在同一个网段计算机传输的信息？答案是否定的！一台计算机只能监听经过自己网络接
口的那些信包，即只能捕获同一个物理网段内的包，就是说你和监听目标之间没有路由（交换）或其它屏蔽广播包的设备，才能接收到传输的所有信息。
局域网的这种工作方式，一个形象的例子是，大房间就像是一个共享的信道，里面的每个人好像是一台主机。
• 网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。
• 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。
• 但在网络中，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。
对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。
然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的，也是大多数黑客的做法。
协议分析器的功能
捕获数据包：
– 监视某个网络实体，捕获所有流经该实体的数据。高端协议分析器还可以制定捕获的计划和触发条件。
数据包统计：
– 对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，可打印出各种直观的图表和报表。
在以太网中，填写了物理地址的帧从网络接口（即网卡）中发送出去，传送到物理线路上。
在Internet上，有许多这样的局域网，几台甚至十几台主机通过一条电缆或一个集线器连在一起。
如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能到达线路上每一台主机。
当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。
过滤数据
– 通过过滤，有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗。
数据包解码
– 从捕获的0/1比特流表示的数据包中识别出封装的头部信息、净负荷，并且要能适合多种协议的数据包解码。
读取其他协议分析器的数据包格式
– 利用其他协议分析器获得的数据，提高工作效率，扩大工作能力。
黑客技术
——协议分析攻击
协议分析攻击
协议分析器通过捕获网络上的数据包来获取网络上的有关信息，以监视网络的运行，从而发现网络中出现的问题。
• 网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。
但是，网络接口不能识别IP地址。在网络接口，带有IP 地址的数据包又被封装以太帧的帧头。在帧头中，包含了网络接口能识别源主机和目的主机的物理地址。物理地址与IP地址对应，一个IP地址对应一个物理地址。
发向局域网之外的帧中携带的是网关的物理地址，由网关决定向何处发送。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。
人们所说的话是信息包，在大房间中到处传播。
当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反映，进行处理。
其余的人听到了这些谈话，只能从发呆中猜测，是否在监听他人的谈话。
– 微波、无线电波：属广播型传输媒介，任何人都可利用接收器截获信息。
以太网中可以监听的原因
网卡的工作模式：
– 广播模式：该模式下的网卡能够接收网络中的广播信息。 – 组播模式：设置在该模式下的网卡能够接收组播数据。 – 直接模式：只有目的网卡才能接收该数据。 – 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，
而无论该数据是否是传给它的。
前三种是默认模式，正常情况下，据帧 – 发向所有机器的广播数据帧
以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收信包。
• 可见，协议分析器工作在网络环境中的底层，它会 “嗅”到所有在网络上传输的数据。
• 由于在一个以太网中，账号和口令都是以明文形式传输的，因此一旦入侵者获取了其中一台主机的管理员权限，并将其配置成混杂模式，它就有可能对网络中的其他所有计算机发起攻击。
当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于混杂模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。
但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。
在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。
但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。