【正文】 re three buckets on the left of a scale at varying distances from the axis point, or moment. Bucket A, the furthest from the axis, represents the weight that the sniffer39。s 10 MAC address. As data is sent across the work, it is seen by every station on that segment. When a station receives a frame, it checks to see whether the destination MAC address of that frame is its own. As detailed in Exhibit 2, if the destination MAC address defined in the frame is that of the system, the data is absorbed and processed. If not, the frame is ignored and dropped. Promiscuous Mode A typical sniffer operates in promiscuous mode. Promiscuous mode is a state in which the NIC accepts all frames, regardless of the destination. MAC address of the frame. This is further detailed by Exhibit 3. The ability to support promiscuous mode is a prerequisite for a NIC to be used as a sniffer, as this allows it to capture and retain all of the frames that traverse the work. For softwarebased sniffers， the installed NIC must support promiscuous mode to capture all of the data on the segment. If a softwarebased sniffer is installed and the NIC does not support promiscuous mode, the sniffer will collect only information sent directly to the system on which it is installed. This happens because the system39。s ability to introduce a sniffer. The type of medium employed, the topology of the work, and the location of the sniffer are key factors that bine to determine the amount and type of information seen by the sniffer. 。 it is a device that provides connectivity between the Customer Premise Equipment (CPE), such as a router, and the demarcation point of the serial line. As illustrated in Exhibit 5, a probe is implemented to capture all the frames that traverse the CSU/DSU. Another way that the sniffer can gain access to the data stream is through a Y cable. A Y cable is connected between the CSU/DSU and the CPE. This is the most mon location for a Y cable because of the plicated characteristics of the actual connection to the service provider39。 therefore, the bucket may be full. As the sophistication of each area is amplified, more weight is added to the corresponding bucket, increasing the plexity of the attack but enhancing the effectiveness of the assault. This example attempts to convey the relationship between these key variables and the information collected by a sniffer. With further study, it is possible to move the buckets around on the bar to vary the impact each has on the scale. How Sniffers Work As one would imagine, there are virtually unlimited forms of sniffers。 6 Packet sniffers and Network Monitors Jim S. Tiller, C1SSP and Bryan D. fish, CISSP Communications take place in forms that range from simple voice conversations to plicated manipulations of light. Each type of munication is based on two basic principles: wave theory and particle theory. In essence, munication can be established by the use of either, frequently in concert with a carrier or medium to provide transmission. An example is the human voice. The result of wave munications using the air as the signalcarrying medium is that two people can talk to each other. However, the atmosphere is a mon medium, and anyone close enough to receive the same waves can intercept and surreptitiously listen to the discussion. For puter munications, the process is exponentially more plicated。 在攻擊者的 掌控下 ，網(wǎng)絡(luò)嗅探器可以用來 獲悉 多種 不同 類型的信息。 因?yàn)樾盘柕膫鬏斠ㄟ^廣闊的空間，竊聽者在可以接受信號的地方安放竊聽裝置將會(huì)遇到一些麻煩。這些設(shè)備 必須 通過空氣 將 信號傳輸 到 接收站。然而，微波爐可以 清潔各種碟子 ，或者干脆通過 碟子 本身。一旦 嗅探器的拓?fù)浣Y(jié)構(gòu) 和 幀格式配置 ， —— 以太網(wǎng)嗅探器被配置為 以太網(wǎng) 幀 格式 —— 如果能夠收集數(shù)據(jù)通信流。 第三個(gè)連接器上的 “ Y” 型電纜是免費(fèi)的， 并且 可以連接 到一個(gè)嗅探器。 5 嗅探器可以訪問數(shù)據(jù)流的另一種方法是通過一個(gè) “ Y” 型電纜。 嗅探器可以訪問數(shù)據(jù)流的方法之一是通過一個(gè)探頭。 廣域網(wǎng) 通信的拓?fù)浣Y(jié)構(gòu)要簡單得多。 —— 雖然 在 通常 情況下，這種 信息 不敏感 ，攻擊者可以利用這些信息來 獲悉 有關(guān)網(wǎng)絡(luò)的 其他 更多信息。 在混雜模式下沒有運(yùn)行能力的基于硬件的嗅探器，就如沒有參加正常網(wǎng)絡(luò)通信的裝置幾乎是無用的。 對 基于軟件的嗅探器 來說 ，安裝網(wǎng)卡必須支持混雜模式下捕獲所有數(shù)據(jù) 部分。 不論目的地在哪，混雜模式是網(wǎng)卡接受所有幀的一種狀態(tài)。詳細(xì)圖表 2，如果 該目的網(wǎng)絡(luò)地址被確認(rèn)為系統(tǒng)幀中 ，數(shù)據(jù) 即 被 接受 和處理。 以太網(wǎng)是基于這個(gè)地址唯一標(biāo)識(shí)。因此，任何系統(tǒng)上的共享網(wǎng)段 優(yōu)于 特定網(wǎng)段上的所有通信 。 在雙信道中，兩個(gè)系統(tǒng)可以同時(shí)傳輸數(shù)據(jù) ， 電信號 在 電纜 上發(fā)生 碰撞 。在電話會(huì)議上 ， 兩個(gè)或 更多的人 在 同一時(shí)間 發(fā)言 ，在此期間很短的時(shí)間 內(nèi) ， 每個(gè)人都是沉默的 ，等著 決定 是否繼續(xù)。今天 所使用的通信形式 ，以太網(wǎng)使用嗅探器是最容易 引發(fā) 安全漏洞 的 。例如， 在 微波發(fā)射塔收集數(shù)據(jù) 中 ，為以太網(wǎng)設(shè)計(jì) 的 嗅探器就幾乎無用。由于每個(gè)地區(qū)的復(fù)雜程度被放大，更多的 重量 添加到相應(yīng)的桶，增加攻擊的復(fù)雜性，但 增強(qiáng) 攻 擊的有效性。例如，如果 CAT5 是可用介質(zhì) 那么媒介 桶C 可能是空的。最接近軸線的軸點(diǎn)，也是三個(gè)軸點(diǎn)中最不重要的，由水桶 C 代表。 在軸線 左側(cè) 的 不同距離 處 有三個(gè) 水桶 。 如果可以訪問令牌環(huán)網(wǎng)，在各個(gè)樓層間收集所有的數(shù)據(jù)也是可行的。 這個(gè)邏輯推理的一個(gè)基本例子是一個(gè)簡單的以太網(wǎng)網(wǎng)絡(luò) 通過多個(gè)樓層連接到互聯(lián)網(wǎng)。 嗅探器的位置是收集到的信息的數(shù)量和類型的決定性因素。 拓?fù)浣Y(jié)構(gòu)，媒體， 位置 網(wǎng)絡(luò)拓?fù)溆袔追N不同的形式，每種形式用不同的介質(zhì)實(shí)現(xiàn)物理通信。如果 它被 放置在 網(wǎng)絡(luò) 的正確區(qū)域 ，他們可以收集非常敏感 類型 的數(shù)據(jù)。為了減 少 任何解釋的問題，嗅探器 最好與數(shù)據(jù)竊聽的安全方面解釋這個(gè)整體的目標(biāo)相符合。然而，在許多領(lǐng)域中，網(wǎng)絡(luò)監(jiān)視器是一 個(gè)設(shè)備或系統(tǒng) 來 收集有關(guān)網(wǎng)絡(luò)的統(tǒng)計(jì)數(shù)字。第二部分 提出了為評估這些缺陷的嚴(yán)重性的方法 。 擅自使 用網(wǎng)絡(luò)嗅探器 、 分析儀或 監(jiān)聽器表明了對于信息安全的一種基本風(fēng)險(xiǎn) 。通過分析截獲的通 信 的各種屬性，管理員可以收集 用于 診斷或檢測 網(wǎng)絡(luò) 的性能問題的信息。盡管如此， 計(jì)算機(jī)通信很容易被攻擊，在用同樣的方式時(shí)會(huì)話可以被監(jiān)聽 ：隨著通信 的 建立， 一些關(guān)于通信可達(dá)性的缺陷會(huì)以這樣或那樣的形式存在 。波 通信 使用空氣作為信號承載介質(zhì)的結(jié)果是，兩個(gè)人可以互相交談。 1 譯文標(biāo)