【文章內(nèi)容簡(jiǎn)介】 別參見(jiàn)： ； 。 值得注意的是，現(xiàn)在互聯(lián)網(wǎng)上流傳著一些基于上面這兩種技術(shù)的腳本和程序，它們宣稱自己能準(zhǔn)確捕捉到局域網(wǎng)內(nèi)所有進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的主機(jī)，目前來(lái)講，這種說(shuō)法基本上是不可靠的，因?yàn)樯鲜黾夹g(shù)在實(shí)現(xiàn)中，除了要考慮網(wǎng)卡的硬件過(guò)濾外，還需要考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過(guò)濾。因?yàn)殡m然理論上網(wǎng)卡處于混雜模式的系統(tǒng)應(yīng)該接收所有的數(shù)據(jù)包，但實(shí)際上不同的操作系統(tǒng)甚至相同的操作系統(tǒng)的不同版本在 tcp/ip的實(shí)現(xiàn)上都有自己的一些特點(diǎn)，有可能不會(huì)接收這些理論上應(yīng)該接收的數(shù)據(jù)包。 除了上述幾種方式外，還有一些其他的方式，如：檢測(cè) hub燈，但相比局限性就更大了，只能作為上述模式的補(bǔ)充。 (完 …) —— Sniffer（嗅探器） sniffer就是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備。嗅探器的正當(dāng)用處在于 分析 網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。例如，假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文的發(fā)送比較慢，而我們又不知道問(wèn)題出在什么地方，此時(shí)就可以用嗅探器來(lái)作出精確的問(wèn)題判斷。 嗅探器在功能和設(shè)計(jì)方面有很多不同。有些只能 分析 一種 協(xié)議 ，而另一些可能能夠 分析 幾百種協(xié)議 。一般情況下，大多數(shù)的嗅探器至少能夠 分析 下面的 協(xié)議 ： 1．標(biāo)準(zhǔn) 以太網(wǎng) 2． TCP/IP 3． IPX 4． DECNet 嗅探器通常是軟硬件的結(jié)合。專用的嗅探器價(jià)格非常昂貴。另一方面，免費(fèi)的嗅探器雖然不需要花什么錢，但得不到什么支持。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過(guò)將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的 ——例如將以太網(wǎng)卡設(shè)置成雜收模式。（為了理解雜收模式是怎么回事，先解釋局域網(wǎng)是怎么工作的）。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀 (Ftame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。（例如， 以太網(wǎng) 的前 12個(gè)字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來(lái)源和去處。 以太網(wǎng) 幀的其他部分存放實(shí)際的用戶數(shù)據(jù)、 TCP/IP的報(bào)文頭或 IPX報(bào)文頭等等）。 (待續(xù) …) —— Sniffer（嗅探器） 幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)造成 安全 方面的問(wèn)題。 每一個(gè)在 LAN上的工作站都有其硬件地址。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)于 Inter地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到 LAN上所有可用的機(jī)器。 在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)（換句話說(shuō)，工作站 A不會(huì)捕獲屬于工作站 B的數(shù)據(jù)，而是簡(jiǎn)單的忽略這些數(shù)據(jù)）。 如果某在工作站的網(wǎng)絡(luò)接口處于雜收模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一個(gè)工作站被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。 嗅探器可能造成的危害： 1．嗅探器能夠捕獲口令 2．能夠捕獲專用的或者機(jī)密的信息 3．或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限 事實(shí)上，如果你在網(wǎng)絡(luò)上存在非授權(quán)的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。（大家可以試試天行 2的嗅探功能） 一般我們只嗅探每個(gè)報(bào)文的前 200到 300個(gè)字節(jié)。用戶名和口令都包含在這一部分中，這是我們關(guān)心的真正部分。工人，也可以嗅探給定接口上的所有報(bào)文，如果有足夠的空間進(jìn)行存儲(chǔ)，有足夠的那里進(jìn)行處理的話，將會(huì)發(fā)現(xiàn)另一些非常有趣的東西 …… 簡(jiǎn)單的放置一個(gè)嗅探器賓將其放到隨便什么地方將不會(huì)起到什么作用。將嗅探器放置于被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣將捕獲到很多口令，還有一個(gè)比較好的方法就是放在網(wǎng)關(guān)上。如果這樣的話就能捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過(guò)程。這樣的方式將成倍地增加我們能夠攻擊的 范圍。 (完 …) —— Sniffer（嗅探器） 網(wǎng)絡(luò)監(jiān)聽(tīng) Sniffer的工作原理 通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個(gè)網(wǎng)絡(luò)接口都還應(yīng)該有一個(gè)硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時(shí)，每個(gè)網(wǎng)絡(luò)至少還要一個(gè)廣播地址。（代表所有的接口地址），在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀： 1．幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。 2．幀的目標(biāo)區(qū)域具有 廣播地址 。 在接受到上面兩種情況的數(shù)據(jù)包時(shí)， nc通過(guò) cpu產(chǎn)生一個(gè)硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理。 而 sniffer就是一種能將本地 nc狀態(tài)設(shè)成（ promiscuous）狀態(tài)的軟件，當(dāng) nc處于這種 混雜 方式時(shí)，該 nc具備 廣播地址 ，它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。（絕大多數(shù)的 nc具備置成 promiscuous方式的能力） 可見(jiàn)， sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí) 分析 這些數(shù)據(jù)的內(nèi)容，進(jìn)而 分析 所處的網(wǎng)絡(luò)狀態(tài)和整體布局。值得注意的是： sniffer是極其安靜的，它是一種消極的 安全 攻擊。 通常 sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類： (待續(xù) …) —— Sniffer（嗅探器） 網(wǎng)絡(luò)監(jiān)聽(tīng) Sniffer的工作原理 1．口令 我想這是絕大多數(shù)非法使用 sniffer的理由， sniffer可以記錄到明文傳送的 userid和， sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。 2．金融帳號(hào) 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào)，然而 sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和 pin. 3．偷窺機(jī)密或敏感的信息數(shù)據(jù) 通過(guò)攔截?cái)?shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個(gè)的 會(huì)話過(guò)程。 4．窺探低級(jí)的 協(xié)議 信息。 這是很可怕的事，我認(rèn)為，通過(guò)對(duì)底層的信息 協(xié)議 記錄，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口 ip地址、 ip路由信息和 tcp連接的字節(jié)順序號(hào)碼等。這些信息由非法入侵的人掌握后將對(duì)網(wǎng)絡(luò) 安全 構(gòu)成極大的危害，通常有人用 sniffer收集這些信息只有一個(gè)原因：他正在進(jìn)行一次欺詐，（通常的 ip地址欺詐就要求你準(zhǔn)確插入 tcp連接的字節(jié)順序號(hào)，這將在以后整理的文章中指出）如果某人很關(guān)心這個(gè)問(wèn)題，那么sniffer對(duì)他來(lái)說(shuō)只是前奏，今后的問(wèn)題要大得多（對(duì)于高級(jí)的 hacker而言，我想這是使用 sniffer的唯一理由吧）。 (完 …) —— Sniffer（嗅探器） 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer？簡(jiǎn)單的一個(gè)回答是你發(fā)現(xiàn)不了，因?yàn)樗麄兏揪蜎](méi)有留下任何痕跡。sniffer是如此囂張又安靜，如何知道有沒(méi)有 sniffer存在，這也是一個(gè)很難說(shuō)明的問(wèn)題，比較有說(shuō)服力的理由證明你的網(wǎng)絡(luò)有 sniffer目前有以下現(xiàn)象： 1．網(wǎng)絡(luò)通訊掉包率反常的高 通過(guò)一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況（不是 sniffer），向 ping這樣的命令會(huì)告訴你掉了百分幾的包。如果網(wǎng)絡(luò)中有人在 Listen，那么信息包傳送將無(wú)法每次都順暢的流到目的地。（這是由于 sniffer攔截每個(gè)包導(dǎo)致的） 2．網(wǎng)絡(luò)帶寬出現(xiàn)反常 通過(guò)某些帶寬控制器（通常是防火墻所帶），可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。在非高速信道上，如 56Kddn等，如果網(wǎng)絡(luò)中存在 sniffer，你應(yīng)該也可以察覺(jué)出網(wǎng)絡(luò)通訊速度的變化。 還有一個(gè)辦法是看看計(jì)算機(jī)上當(dāng)前正在運(yùn)行的所有程序。但這通常并不可靠，但你可以控制哪個(gè)程序可以在你的計(jì)算機(jī)上運(yùn)行。 在 Unix系統(tǒng)下使用下面的命令： ps aux 或： ps augx。 這個(gè)命令列出當(dāng)前的所有進(jìn)程，啟動(dòng)這些進(jìn)程的用戶，它們占用 CPU的時(shí)間，占用內(nèi)存的多少等等。 Windows系統(tǒng)下，按下 Ctrl+Alt+Del，看一下任務(wù)列表。不過(guò)，編程技巧高的 Sniffer即使正在運(yùn)行，也不會(huì)出現(xiàn)在這里的。 另一個(gè)方法就是在系統(tǒng)中搜索，查找可疑的文件。但可能入侵者用的是他們自己寫(xiě)的程序，所以都會(huì)給發(fā)現(xiàn) sniffer造成相當(dāng)大的困難。 還有許多工具，能用來(lái)看看你的系統(tǒng)會(huì)不會(huì)在雜收模式。從而發(fā)現(xiàn)是否有一個(gè) Sniffer正在運(yùn)行。 —— Sniffer（嗅探器） 怎樣防止被 sniffer 對(duì)于嗅探器如此強(qiáng)大的‘靈敏度’，我們力求作到： 1．檢測(cè)和消滅嗅探器 2．會(huì)話加密 3．將數(shù)據(jù)隱藏，使嗅探器無(wú)法發(fā)現(xiàn) 4．加密 你最關(guān)心的可能是傳輸一些比較敏感的數(shù)據(jù)，如用戶 ID或口令等等。有些數(shù)據(jù)是沒(méi)有經(jīng)過(guò)處理的，一旦被 sniffer，就能獲得這些信息。解決這些問(wèn)題的辦法是加密。 我們