|
之前在當(dāng)?shù)氐囊黄诩夹g(shù)沙龍做了一個(gè)《網(wǎng)絡(luò)開(kāi)發(fā)那些事》的技術(shù)分享,講述了自己職業(yè)生涯從事的與網(wǎng)絡(luò)相關(guān)的開(kāi)發(fā)工作�����。在接觸這類開(kāi)發(fā)之前一直在從事業(yè)務(wù)系統(tǒng)或者單機(jī)系統(tǒng)的開(kāi)發(fā)����,說(shuō)真的那時(shí)感覺(jué)自己對(duì)程序員這個(gè)職業(yè)既沒(méi)有興趣也沒(méi)有多大能力,但是接觸了網(wǎng)絡(luò)相關(guān)的開(kāi)發(fā)之后��,慢慢的激發(fā)出了自己對(duì)這個(gè)行業(yè)的熱情和潛力,使自己找到了方向���。到底這類開(kāi)發(fā)工作有什么神奇的地方���?來(lái)吧,咱一起來(lái)看看��。
網(wǎng)絡(luò)開(kāi)發(fā)究竟有些什么�����?
從招聘網(wǎng)站上截取典型的幾段: 熟悉Socket編程�,熟悉Tcp/Ip協(xié)議棧; 熟悉TCP/IP協(xié)議�、UDP協(xié)議,有相關(guān)的協(xié)議開(kāi)發(fā)經(jīng)驗(yàn)��; 熟悉網(wǎng)絡(luò)編程/多線程編程技術(shù)����;
我們提取出其中的幾個(gè)關(guān)鍵詞:TCP/IP、Socket���、協(xié)議���、多線程,其實(shí)做網(wǎng)絡(luò)相關(guān)的開(kāi)發(fā)也就是以這幾個(gè)關(guān)鍵詞為主線�����。 我做的第一份與網(wǎng)絡(luò)有關(guān)的工作是與安全有關(guān)的:核心是基于TCP/IP 協(xié)議的分析�����,相關(guān)的工作與socket編程關(guān)系不大����,但必須要求熟悉TCP/IP協(xié)議的原理,今天這篇文章我就以此為專題�����。 想必有些朋友曾經(jīng)遇到過(guò)這樣的情形: 其實(shí)這些都是“基于TCP/IP 協(xié)議的分析”惹的禍��,這些結(jié)果都可以通過(guò)協(xié)議分析之后很直觀的展現(xiàn)出來(lái)�。大家可以看這么兩幅圖 
正是TCP/IP協(xié)議棧這種良好的分層設(shè)計(jì)為我們進(jìn)行協(xié)議分析提供了極大的便利,那么我們?cè)撊绾蝿?dòng)手呢����?
我們需要站在“巨人"的肩膀之上——pcap,我們截取維基百科上的定義來(lái)說(shuō)明一下他: In the field of computer network administration, pcap (packet capture) consists of an application programming interface (API) for capturing network traffic. Unix-like systems implement pcap in the libpcap library; Windows uses a port of libpcap known as WinPcap. 所以我們可以利用pcap庫(kù)來(lái)對(duì)抓取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行剝繭抽絲�����! 其實(shí)還有許多其他的”巨人“供我們繼續(xù)踩: 從其中我們還可以學(xué)習(xí)到做協(xié)議分析在架構(gòu)上一定要采用模塊化設(shè)計(jì)����,引入插件機(jī)制。
只是這么簡(jiǎn)單嗎�����?當(dāng)海量的網(wǎng)絡(luò)數(shù)據(jù)”噴涌而來(lái)“時(shí)你會(huì)面臨下面的困境 書(shū)籍推薦: 做好協(xié)議分析我認(rèn)為只需讀好一本書(shū)籍就好《TCP/IP詳解 卷1:協(xié)議》 tip:我們的網(wǎng)絡(luò)數(shù)據(jù)有多不安全——MSN消息是明文傳輸?shù)模ㄊ耪咭咽牛欢嗾f(shuō)壞話了)�����;曾經(jīng)的有些郵箱也是明文��,我曾經(jīng)在辦公網(wǎng)絡(luò)中抓取到很多人的郵箱密碼���;另外現(xiàn)在用假wifi對(duì)手機(jī)釣個(gè)魚(yú)的現(xiàn)象也時(shí)有發(fā)生...... 我工作中利用網(wǎng)絡(luò)協(xié)議分析來(lái)干什么���?——”抓木馬“�����,因?yàn)槟抉R除了本地行為和特征外其實(shí)還有很突出的網(wǎng)絡(luò)行為 反向鏈接是木馬最突出的一個(gè)行為特征�����,主要是為了應(yīng)付各級(jí)防火墻的外出松內(nèi)進(jìn)緊的防控策略���,但是我們可以利用這一特征來(lái)定位可疑的程序。 端口復(fù)用:殺毒軟件的端口掃描工具總是可以定位某些可疑端口���,躲在某些知名端口的數(shù)據(jù)通道里干壞事就成為某些木馬的生存之道��。 無(wú)端口技術(shù):就如金庸筆下的風(fēng)清揚(yáng)一樣����,只聞其名未見(jiàn)其蹤�����,從未抓到過(guò)�。
以上各種行為再加上一些應(yīng)用層協(xié)議的分析工作只能確定程序可疑,得靠上層的各種加權(quán)分析或者人為干預(yù)才能完全定性。但我一很牛的哥們(火星人)專門(mén)做木馬樣本的逆向工作����,找出特征值把網(wǎng)絡(luò)數(shù)據(jù)用匹配算法一比對(duì)一抓一個(gè)準(zhǔn)。 正是這份與我們現(xiàn)實(shí)生活有很多交集的工作勾起了我對(duì)開(kāi)發(fā)的興趣�,我記得我曾通過(guò)協(xié)議分析看哪個(gè)同事上***網(wǎng)站,通過(guò)木馬植入做同事的惡作劇���,還被親戚要求幫忙監(jiān)控孩子的網(wǎng)上行為......
本文出自 “永遠(yuǎn)的朋友” 博客����,請(qǐng)務(wù)必保留此出處http://yaocoder.blog.51cto.com/2668309/1553513
|
