深入学习sniffer网络嗅探器

深入学习 sniffer 网络嗅探器资料来源：ZDNET本文关键词：网络管理软件 Sniffer随着 Internet 及电子商务的日益普及,Internet 的安全也越来越受到重视。而在 Internet 安全隐患中扮演重要角色的是 Sniffer 和 Scanner,本文将介绍 Sniffer 以及如何阻止 Sniffer。大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些“雄心勃勃“ 的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装 Sniffer。在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码） ，最为有效的手段是使用 “Sniffer“ 程序。这种方法要求运行 Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行 Sniffer 是没有效果的。再者，必须以 root 的身份使用 Sniffer 程序，才能够监听到以太网段上的数据流。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证 Sniffer 能够执行。在 Solaris 2.x 平台上，Sniffer 程序通常被安装在/usr/bin 或/dev 目录下。黑客还会巧妙的修改时间，使得 Sniffer 程序看上去是和其它系统程序同时安装的。大多数 “ethernet Sniffer“程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改 ps 程序，使得系统管理员很难发现运行的 Sniffer 程序。“ethernet Sniffer“程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行 Sniffer 的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入 log 文件。黑客会等待一段时间 - 比如一周后，再回到这里下载记录文件。一、什么是 Sniffer与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为 sniffing（窃听） 。以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数 据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂 “ 模式。由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获 得其中一台主机的 root 权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。二、Sniffer 工作原理通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。 （代表所有的接口地址） ，在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。2、帧的目标区域具有“广播地址 “。在接受到上面两种情况的数据包时，nc 通过 cpu 产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而 Sniffer 就是一种能将本地 nc 状态设成（promiscuous ）状态的软件，当 nc 处于这种“混杂“ 方式时，该 nc 具备“ 广播地址“，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。 （绝大多数的 nc 具备置成promiscuous 方式的能力）可见，Sniffer 工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：Sniffer 是极其安静的，它是一种消极的安全攻击。通常 Sniffer 所要关心的内容可以分成这样几类：1、口令：我想这是绝大多数非法使用 Sniffer 的理由，Sniffer 可以记录到明文传送的 userid 和passwd.就算你在网络传送过程中使用了加密的数据，Sniffer 记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。2、金融帐号：许多用户很放心在网上使用自己的信用卡或现金帐号，然而 Sniffer 可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和 pin。3、偷窥机密或敏感的信息数据：通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的 email 会话过程。4、窥探低级的协议信息：这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口 ip 地址、ip 路由信息和 tcp 连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用 Sniffer 收集这些信息只有一个原因：他正在进行一次欺诈， （通常的 ip 地址欺诈就要求你准确插入 tcp 连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么 Sniffer 对他来说只是前奏，今后的问题要大条得多。 （对于高级的 hacker 而言，我想这是使用 Sniffer 的唯一理由吧） 。三、哪里可以得到 SnifferSniffer 是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行 Sniffer，了解它是如何有效地危及本地机器安全。Sniffer 可以是硬件，也可以是软件。现在品种最多,应用最广的是软件 Sniffer, 绝大多数黑客们用的也是软件 Sniffer。以下是一些也被广泛用于调试网络故障的 Sniffer 工具：商用 Sniffer：1 Network General.Network General 开发了多种产品。最重要的是 Expert Sniffer，它不仅仅可以 sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品“Distrbuted SnifferSystem“可以将 UNIX 工作站作为 Sniffer 控制台，而将 Snifferagents（代理）分布到远程主机上。2 Microsofts Net Monitor对于某些商业站点，可能同时需要运行多种协议-NetBEUI、IPX/SPX、TCP/IP、802.3和 SNA 等。这时很难找到一种 Sniffer 帮助解决网络问题，因为许多 Sniffer 往往将某些正确的协议数据包当成了错误数据包。Microsoft 的 Net Monitor（以前叫 Bloodhound）可以解决这个难题。它能够正确区分诸如 Netware 控制数据包、NTNetBios 名字服务广播等独特的数据包。 （etherfind 只会将这些数据包标识为类型 0000 的广播数据包。 ）这个工具运行在 MS Windows 平台上。它甚至能够按 MAC 地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得 tcpdump 标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。免费软件 Sniffer1 Sniffit 由 Lawrence Berkeley 实验室开发，运行于 Solaris、SGI 和 Linux 等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个Sniffer 默认状态下只接受最先的 400 个字节的信息包，这对于一次登陆会话进程刚刚好。2 SNORT：这个 Sniffer 有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。3 TCPDUMP：这个 Sniffer 很有名，linux,FREEBSD 还搭带在系统上，是一个被很多UNIX 高手认为是一个专业的网 络管理工具，记得以前 TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的 TCPDUMP 版本来记录了 KEVINMITNICK 攻击他系统的记录，后来就配合 FBI 抓住了 KEVINMITNICK，后来他写了一文：使用这些 LOG 记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack(/security/newbie/security/Sniffer/shimomur.txt)4 ADMsniff:这是非常有名的 ADM 黑客集团写的一个 Sniffer 程序。5 linSniffer:这是一个专门设计杂一 LINUX 平台上的 Sniffer。6 ESniffer:这个也是一个比较有名的 Sniffer 程序。7 SolSniffer:这是个 SolarisSniffer，主要是修改了 SunSniff 专门用来可以方便的在Solair 平台上编译。8 Ethereal 是一基于 GTK的一个图形化 Sniffer。9 Gobbler(for MSDOSWin95) 、Netman 、NitWit、Ethload.等等。四、Sniffer 的安装使用我主要以 sniffit 为例分别介绍在 nt 和 linux 下的应用。1 在 linux 下的 sniffit 安装 :软件的安装1、用 tarzvfxsniffit.*.*.*.tgz 将下载下来的 sniffit.*.*.*.tgz 解