网络监听软件 Sinffit 使用手册.doc

网络监听软件 Sinffit 使用手册Sniffit是由 Lawrence Berkeley 实验室开发的，运行于 Solaris,SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这一工具的一些命令行参数如下： -t检查发送到的数据包。 -s检查从发出的数据包。以上两个参数都可以用来选择一个IP地址范围，例如：-t 199.145.和 -s 19914 -p记录连接到的信包,port为0意味着所有的端口。port缺省值是0。注意：-t或-s适用于TCP/UDP数据包，对ICMP和IP也进行解释。而-p只用于TCP和UDP数据包。 -i交互模式，忽略其他参数。如下所示是一些能与除了，-i之外参数组合使用的命令行参数： -b等同于同时使用了-t和-s，而不管使用了-t和-s中的哪一个。 -a以ASCII形式将监听到的结果输出。 -A在进行记录时，所有不可打印字符都用来代替。 -P protocol选择要检查的协议，缺省为TCP。可能的选择有:IP、TCP、ICMP、UDP或它们的组合。假设有两台主机在一个子网中，一台正在运行sniffer，另一台主机的IP地址是nnn.nnn.nn.nn，一些例子如下：想要记录从主机nnn.nnn.nn.nn上的一些用户的口令：sniffit:/# sniffit -p 23 -t nnn.nnn.nn.nn想要记录到主机nnn.nnn.nn.nn的ftp服务：sniffit:/# sniffit -p 21 -l 0 -t nnn.nnn.nn.nn记录所有发出和发往主机nnn.nnn.nn.nn的电子邮件信息：sniffit:/# sniffit -p 25 -l 0 -b -t nnn.nnn.nn.nn &或者sniffit:/# sniffit -p 25 -l 0 -b -s nnn.nnn.nn.nn &想要使用有菜单的界面：sniffit:/# sniffit -i网络出现一些错误，想要查看控制消息：sniffit:/# sniffit -p icmp -b -s nnn.nnn.nn.nn 将口令记录在以nnn开始的文件中，可以用cat nnn*来查看：sniffit:/# sniffit -p 23 -A . -t nnn.nnn.nn.nn 或者sniffit:/# sniffit -p 23 -A -t 下面是运行sniffit的一个例子：# sniffit -a -A . -p 23 -t 11.22.33.入口参数的设置非常简单，为：-a接收所有信息；-A将不可打印字符用.代替；-p监听端口23；-t 目标地址在11.22.33 子网范围（可以只监听一台主机或者是源主机）。使用-s 参数可以指定监听的源主机。网络监听程序的人口参数其实非常简单，只要具有初步的网络知识便可以正确地使用它们。以下是监听到的部分结果：Packet ID from-1P.port-to IP.port) ： 112233411028-1122331423E.350 .!(.K.2P.”/.:.vt100.出现vtl00的字样，是使用Telnet服务时，源主机与目标主机进行终端类型协商，在这一阶段源主机告诉目标主机自己使用的终端类型，这是一次远程终端服务的开始。在这之后，很可能就会传输用户的登录名和口令字。这里很清楚，使用端口1028的是客户端，而使用端口23的是服务器端。Packet ID (from IPport-to IPport) ： 1122.33411028-1122331423E.+6. .!.K.2CP.!.Packet ID (from IP.port-to IP.port)：112233411028-1122331423E.+90 .!.:K.21P.!.Packet ID (fromIP.port_ to_ 1P.port) ： 112233411028-1122331423E.)： .!.K.21P.!.1Packet ID (fromIP.port-tO-1P.port) ： 112233411028-1122331423E.( ； .!.K.2JP.!.Packet ID (fromIP.port-tO-1P.port) ： 112233411028-1122331423E.). .!.K.2JP!.Packet ID (fIOmIP.port-to-1P.port) 11223341 1028-1122331423 -.E.). :.!.K.2JP.!.x.Packet ID (fIOmIP.Polt-tO-1P.port卜1122.33.411028-1122331423E.!.:.K.2KP.!.Packet ID (froln IP.port-to IP.port)：11.22.3341.1028-1122.33.1423E.). .!.K.2KP.!.gPacket ID (fromIP.port-to-1P.port卜112233.411028-1122331423E.(？ .!.K.2LP.!.可以看到，客户端向服务器发送出了几个包，其中有可打印字符，连起来就是“lxg这很可能就是用户名了。Packet ID (froln IP.port-to IP.port) ： 112233411028-1122331423E.)C .!.K.2WP.!.7Packet ID (from IP.port-to IP.port)：11.2233411028-1122.331423E.)D.0 .!.K.2WP.!.Packet ID (froln IP.port-tOP.port) ： 112233411028-1122.331423E.)D.0 .!.:.K.2WP.!.2Packet ID (fronI IP.port-to IP.port) ： 11223341.1028-11.22.331423E.)E. .!.K.2WP.!.1Packet ID (frOmIP.port-tO-1P.port卜112233411028-1122.331423E.)F. .!.K.2WP.!.2Packet ID (frorrt IP.port-to IP.port) ： 1122.33411028-1122.331423E.)c. .已.!.K.2WP.!.1PacketID (from IP.port-to IP.port)：1122.33.411028-1122.331423E.)H.0 .!.K.2MP.!.6Packet ID (from IP.port-to IP.port) ： 1122.33.411028-1122.331423E.)1 .!.K.2WP.!.又得到了一个字串，连起来是“721216”。这应该是用户的口令了。Packet10(fromIP.port-to-1P.port) ： 112233411028-1122.33.423E.)M.!.K.4P.E.ePacbt1D(fromIP.port-tO-1P.port) ： 112233411028-1028E.(N.!.K.4P.D.PaCketID(fromIP.port-to-1P.port) ： 112233411028-1028E.)0.!.K.4P.D.xPacket1D(fromIP.port-tO-1P.port) ： 112233411028-1028E.(P.0.!.K.4P.C.PacketID(fromIPport-to-1P.port) ： 112233411028-1122.33.1423E.)Q.!.K.4P.C.iPacket1D(fronlIP.port-to-1P.port) ： 112233411028-1122.3341.1028E、)R.!.K.4.P.B.tPacket1D(frolnIP.port-tO-1P.port) ： 112233411028-1028E.(3.!.K.4P.A.可以看到，这个用户执行了一个命令： exit。全部连起来，易知这个连接的有效部分是：.vtl00.1xg.721216.exit.事实上， sniffit完全可以产生这样一个综合的结果，并且在本目录下生成一个类似于xxx.xxx.xxx.xxx.nn-yyy.yyy.yyy.yyy.mm为文件名的文件。其中，xxx.xxx.xxx.xxx和yyy.yyy.yyy.yyy是两个IP地址，而mm和nn是通信双方的端口号。另外，这个工具还可以用在交互模式下，在此模式下：F1 or1 输入一个主机地址进行监听，该主机发送数据包。F2 or2 输入一个主机地址进行监听，该主机接收数据包。F3 or3 输入一个端口号进行监听，该主机是发送数据包的。F4 or4 输入一个端口号进行监听，该主机是接收数据包的。F5 or5 使用参数frOm IP frOm port to IP to port来启动一个程序。现在，在sniffit中，可以加入一种称为ToD的程序，英文名字是“TOuch ofDeatch”，也叫做“TCP杀手”。当监听到一个TCP连接（这个连接是某两台主机间的TCP连接，与监听程序所在的主机一点关系也没有）时，按下F5键，便可以将这个无辜的TCp连接切断。可以想象，当某一个用户好不容易连到一台主机，正准备工作时，连接突然中断，需要重新进行连接，这时候该多丧气呀。这种方法的原理其实很简单，只是向一个TCP连接的其中一台主机发送一个断开连接的IP包（将IP包的RST位设置为1）即可SNIFFER（嗅探器）-简介Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。 在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。 嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。为了对sniffer的工作原理有一个深入的了解，我们先简单介绍一下HUB与网卡的原理。预备知识HUB工作原理 由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。 交换式HUB的内部单片程序能记住每个口的MAC地址，以后就该哪个机器接收就发往哪个口，而不是像共享HUB那样发给所有的口，所以交换HUB下只有该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了，所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。网卡工作原理 再讲讲网卡的工作原理。网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。局域网如何工作 数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。 帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。 通常在局域网（LAN）中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。2、帧的目标区域具有“广播地址”。在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。当采用共享HUB，用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。如果局域网中某台机器的网络接口处于杂收（promiscuous）模式（即网卡可以接收其收到的所有数据包，下面会详细地讲），那么它就可以捕获网络上所有的报文和帧，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。Sniffer Sniffer原理 有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。首先，要知道SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫作杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在共享HUB下就能接收到这个网段的所有包，但是交换HUB下就只能是自己的包加上广播包。要想在交换HUB下接收别人的包，那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换HUB维护一个物理口（就是HUB上的网线插口，这之后提到的所有HUB口都是指网线插口）与MAC的表，所以可以欺骗交换HUB的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以SNIFFER到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器，如果要想不影响原来两方的通信，可以欺骗两方，让其都发给你的机器再由你的机器转发，相当于做中间人，这用ARP加上编程很容易实现。并且现在很多设备支持远程管理，有很多交换HUB可以设置一个口监听别的口，不过这就要管理权限了。利用这一点，可以将一台计算机的网络连接设置为接受所有以太网总线上的数据，从而实现sniffer。Sniffer就是一种能将本地网卡状态设成杂收状态的软件，当网卡处于这种“杂收”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的网卡具备置成杂收方式的能力）可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。 嗅探器造成的危害 sniffing是作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。所以，应该说snffer的危害是相当之大的，通常，使用sniffer是在网络中进行欺骗的开始。它可能造成的危害： 嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。 能够捕获专用的或者机密的信息。比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。 窥探低级的协议信息。这是很可怕的事，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正要进行一次欺骗（通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号），如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧） 事实上，如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。一般Sniffer只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程什么是sniffer和如何防止sniffer的监听 (阅览 8703 次)作者:Jason Drury 日期:NOV.11.2000翻译:春之律-简介:sniffers(嗅探器)几乎和internet有一样久的历史了.他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具. 不幸的是,crackers也会运行sniffers以暗中监视你的网络状况和窃走不同种类的数据.这篇文章讲讨论什嘛是sniffers,一些比较普遍的sniffers和如何保护自己不受损失.也讨论一种叫antisniff(防监听)的工具, 它可以自动运行并发现运行在你网络中的sniffers.什嘛是sniffer在单选性网络中, 以太网结构广播至网路上所有的机器, 但是只有预定接受信息包的那台计算机才会响应. 不过网路上其他的计算机同样会看到这个信息包,但是如果他们不是预定的接受者,他们会排除这个信息包. 当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态, 那么这台计算机就有能力浏览所有的在网络上通过的信息包.如果你是个internet历史方面的白痴并且在想sniffer这个词从何而来.Sniffer是最初是网络的产物.然后成为市场销售的领先者,人们开始称所有的网络分析器为sniffers.我猜测这些人是和管棉签叫Q-tip的人一样的.谁会使用sniffers?lan/wan 管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题.一个安全管理员可以同时用多种sniffers, 将它们放置在网络的各处,形成一个入侵警报系统.对于系统管理员来说sniffers是一个非常好的工具,但是它同样是一个经常被hackers使用的工具.crackers安装sniffer以获得用户名和账号,信用卡号码,个人信息,和其他的信息可以导致对你或是你的公司的极大危害如果向坏的方面发展.当它们得到这些信息后,crackers将使用密码来进攻其他的internet 站点甚至倒卖信用卡号码.常见的sniffers在,有8页的sniffer工具.例如Websniff-指定嗅探websever的login(登入)/auth.(准许)信息到Altivore. Network AssociatesSniffer Pro也许是windows环境下最常用的sniffer了.有趣的是,Network Computing将Sniffer Pro放在了它的10 most important products of the decade(10年中10种最重要的工具)列表中的第七位.在这里可以找到全部列表:/1119/1119f1products_intro.html不同于其他的免费软件类sniffers,Sniffer Pro可以探测OSI RDFERENCE模式的7个层并且提供给你一个详细的分析报告.Sniffer是一个非常好的可以帮助你看到网络都在发生什嘛的好工具,不过你可以找到一些好的免费或是共享软件.UNIX下的sniffers,我比较倾向于snoop.Snoop是按Solaris的标准制作的,虽然Snoop不像是Sniffer Pro那样好,但是它是一个可定制性非常强的sniffer,在加上它是免费的(和Solaris附一起).谁能打败它的地位?你可以在极短时间内抓获一个信息包或是更加深的分析.如果你想学习如何使用snoop,看下面的url:/lspitz/snoop.html击败sniffers显而易见的,保护网络不受sniffer监听的方法就是不要让它们进入. 如果一个cracker不能通过你的系统进入的话,那么他们无法安装sniffers.我们是有可能防止这个的.但是从发现空前数目的安全漏洞并且大多数公司并没有足够能力来修复以来,crackers开始利用漏洞并安装sniffers.自从crackers看上一个大多数网络通讯流通的中心区域(防火墙或是代理服务器)时,他们便确定这是他们的攻击目标并将被监视.一些可能的受害者在服务器的旁边,这时候个人信息将被截获(webserver,smtp sever)一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段.接线器可以分割你的网络通讯并防止每一个系统看到每个信息包.但是这个解决方法的缺点就是太费钱.这种接线器是普通集线器价钱的两至三倍,但是它值这么多.另一个方法是,和那种接线器比就是加密术.Sniffer依然可以监视到信息的传送,但是显示的是乱码. 一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破.几乎所有的加密术将导致网络的延迟.加密术越强,网络沟通速度就越慢.系统管理员和用户需要在某个地方折中一下. 虽然大多数的系统管理员愿意使用市场上最好的加密术,但是世界上没有一个地方的网络安全用品制造商看起来获益很多.希望近期能有新的加密术,AES(高级加密标准),将提供更好的加密术和透明度给用户以让每个人都开心.有一些加密总是比没有加密要好的多.如果一个crakcer正在你的网络上运行sniffer并发现所有他/她收集的资料都是乱码,那么大多数会转移到其他的没有使用加密术的站点上.但是一份支票或是一个决心,hacker将会破解一个弱加密术标准.所以要变的聪明和提供一个强有力的加密术.Antisniff1999年,我们在L0pht Heavy Industries的兄弟发布了一个名为Antisniff的软件.它可以扫描你的网路并测试一台计算机是否运行在混杂模式(监听网路上每个数据包).这是一个很有用的工具因为如果你的网路上有sniffer,那么10次有9次,系统会被危及安全.这曾经发生在Computer Science Department at California State University - stanislaus.这里是他们贴在网站上的:一个sniffer程序被发现运行在Computer Science网路.Sniffer程序是被用来截获密码的.为了保护我们自己,请更换你的密码.最好用特殊的符号并大于8位的密码我确定一定有几百个相似的帖子在世界各地被发布但并不被公开.Antisniff也帮助你找到那些运行sniffer来寻找本地网路上错误的,但缺忘了要求授权的系统管理员.如果你需要运行一个sniffer,那么你应当先得到准许.如果安全系统管理员正在运行Antisniff并发现你正在运行一个sniffer,那么你要解释为什么你没有获得准许就运行sniffer.希望你的安全方针包括关于sniffers的部分并提供一些运行sniffers的指导.写的同时,Antisniff1.021版本是现在的版本.一个非常好的GUI有效于win95/98/nt机器. 一个命令行译本同样适用于Solaris,OpenBSD和linux.这个版本的antisniff只在单选性线路环境下运行.如果你的网路是又路由器和接线器组成的,那么Antisniff不具备和在单选性网路上的效用.你只能将它用在本地网络而不能通过路由和接线器.根据L0pht的网站来看,下一个版本的Antisniff将有能力通过路由和接线器判断一台计算机是否处于混杂状态.下一个版本的antisniff将对系统管理员十分有益因为集线器的价格正在下降并且大多数公司将提升到100M的速度.cracker依然可以安装sniffers,不同的是,你已经消除了他们获取数据包的能力了.网络资源Sniffer Technologies. / (2 November 2000)SecurityFocus / (31 October 2000)L0pht Heavy Industries, Inc. AntisSniff Technical Details. /antisniff/tech-paper.html (31 October 2000)Morrissey, Pete. The 10 Most Important Products of the Decade. October 2, 2000 /1119/1119f1products_7.html (8 November 2000)Machrone, Bill. How Do I Hack Thee /zdnn/stories/comment/0,5859,2385238,00.html (1 November 2000)Edwards, Mark Joseph. Antisniff Beta 2 /Articles/Index.cfm?ArticleID=7258&SearchString=antisniff (1 November 2000)Sprenger, Polly. L0pht Releases AntiSniff 23 July 1999 /news/technology/0,1282,20913,00.html (1 November 2000)California State University Stanislaus February 5, 1995 /studnote.html (3 November 2000)Spitzner, Lance. The Secrets of Snoop. /lspitz/snoop.html (9 November 2000)Book ReferencesAnonymous, Maximum Security, SAMS, 1998Skoudis, Edward Current Hacker Tools and New Hacker Capabilities, SANS December 19, 1999原文件:/infosecFAQ/sniffers.htm 略有改动转载请著名作者,译者和出处嗅探器(sniffer)在网络安全领域是一把双刃剑，一方面常被黑客作为网络攻击工具，从而造成密码被盗、敏感数据被窃等安全事件；另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。嗅探器是企业必不可少的网络管理工具。本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例，介绍如何借助sniffer来诊断网络故障，从而保障网络高效安全地运行。 简介 嗅探器(sniffer)又称为包嗅探器，是用来截获计算机网络通信数据的软件或硬件。与电话电路不同，计算机网络是共享通信通道的，从而意味着每台计算机都可能接收到发送给其它计算机的信息，捕获在网络中传输的数据信息通常被称为监听(sniffing)。嗅探器常常作为一种收集网络中特定数据的有效方法，是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。 嗅探器工作在网络环境中的底层，可以拦截所有正在网络上传送的数据，从而成为网络安全的一个巨大威胁。通过对网络进行嗅探，一些恶意用户能够很容易地窃取到绝密文档和敏感数据，因此嗅探器经常被黑客当作网络攻击的一种基本手段。 任何工具都有弊有利，嗅探器既可以作为黑客获得非法数据的手段，但同时对网络管理员来讲又是致关重要的。通过嗅探器，管理员可以诊断出网络中大量的不可见模糊问题。这些问题通常会涉及到多台计算机之间的异常通信，而且可能会牵涉到多种通信协议。借助嗅探器，管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。这些信息为管理员判断网络问题及优化网络性能，提供了十分宝贵的信息。 作为一种发展比较成熟的技术，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用，倍受网络管理员的青睐。可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降；也可以用来判断是否有黑客正在攻击网络系统。如果怀疑网络正在遭受攻击，通过嗅探器截获的数据包可以确定正在攻击系统的是什么类型的数据包，以及它们的源头，从而可以及时地做出响应，或者对网络进行相应的调整，以保证网络运行的效率和安全。 网络管理员在检测网络故障及维护网络正常通信的过程中，经常需要借助嗅探器提供的某些功能。一般的嗅探器都提供以下一些功能： 1. 自动从网络中过滤及转换有用的信息； 2. 将截获的数据包转换成易于识别的格式； 3. 对网络环境中的通讯失败进行分析； 4. 探测网络环境下的通讯瓶颈； 5. 检测是否有黑客正在攻击网络系统，以阻止其入侵； 6. 记录网络通信过程。 本文介绍如何在Linux平台下利用嗅探器来截获在网络中传递的数据信息，从而检测出是否存在网络瓶颈，以及可能存在的网络故障。在Linux平台下可用的嗅探器非常多，各自的功能和长处也不尽相同，本文主要以Tcpdump、Ethereal和EtherApe三种嗅探器为例，讲述如何利用各自的优点来对Linux网络的性能和故障进行系统的分析和检测。 Tcpdump Tcpdump是一个命令行方式的网络流量监测工具。它诞生的时间较早，是许多图形化嗅探器的雏形。 Ethereal Ethereal是一个图形化的网络流量监测工具，比命令行方式的Tcpdump友好很多，可以实时地观看捕获过程。 EtherApe EtherApe也是一个图形化的网络流量监测工具。与Ethereal不同，EtherApe可以通过对主机间的连接进行检测，图形化地显示网络活动，因而能更加直观地显示出整个网络所处的状态。 sniffer工作原理 在基于TCP/IP协议的局域网中，当数据由应用层自上而下传递时，首先在网络层形成IP数据包，然后再向下到达数据链路层，由数据链路层将IP数据包分割为数据帧，加上以太网包头后向下发送到物理媒体上。以太网包头中包含着本地主机和目标主机的MAC地址，位于链路层的数据帧是依靠48位的MAC地址而非IP地址来寻址的，网络接口卡的驱动程序不会关心IP数据包的目的IP地址。它所需要的仅仅是数据包中的MAC地址。 当局域网内的主机都通过集线器(HUB)等方式连接时，一般采用的是共享式的连接。这种共享式的连接有一个很明显的特点：发送数据时物理上采用的是广播方式。当一台主机向另一台主机发送数据时，共享式的HUB会将接收到的所有数据向HUB上的每个端口转发。也就是说，当主机根据MAC地址发送数据包时，尽管发送端主机告知目标主机的地址，但并不意味着一个网络内的其它主机不能监听到发送端和接收端之间传递的数据。因此从理论上说，当采用共享式连接时，位于同一网段的每台主机都可以截获在网络中传输的所有数据。 正常情况下，局域网内同一网段的所有网卡虽然都具有访问在物理媒体上传输的所有数据的能力，但通常一个网卡只响应以下两种数据帧： 数据帧的目标MAC地址与网卡自身的MAC地址一致； 数据帧的目标MAC地址为广播地址。 只有当接收到上面两种类型的数据帧时，网卡才会通过CPU产生一个硬件中断，然后再由操作系统负责处理该中断，对帧中所包含的数据做进一步处理。也就是说，虽然网络上所有主机都可以“监听”到所有的数据，但对不属于自己的报文不予响应，只是简单地忽略掉这些数据。 但是，如果网络中的某台主机不愿意忽略掉不属于自己的数据帧，只需将网卡设置为混杂(Promiscuous)模式，对接收到的每一个帧都产生一个硬件中断，以提醒操作系统处理经过该网卡的每一个数据包，这样网卡就可以捕获网络上所有的数据了。如果一台主机的网卡被配置为混杂模式，那么该主机及其相关的软件就构成了一个嗅探器。 嗅探器工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，通过借助相应的软件进行处理。嗅探器可以实时分析这些数据的内容，进而可以帮助网络管理员分析整个网络的状态、性能或故障。正因如此，在检测网络故障时，嗅探器对管理员来说是一种不可或缺的强力工具合理选择VPN SSL VPN的强劲发展势头似乎表明，它将取代IPSec VPN，不过仔细分析你会发现，二者并不矛盾 选购理想的虚拟专用网对企业用户来说相当困难，当前盛行的说法是：风头渐劲的SSL VPN将迅速赶超并有可能替代传统的IPSec VPN，这更加大了选购决策的难度。当然，有人坚持认为:SSL VPN这个灰姑娘很快会大放光彩，IPSec VPN将随之黯然失色。这更是为近期业界的喧闹加了一把火。 业内人士认为，IPSec被淘汰的传闻说得过早了，但在远程访问领域，无疑出现了非常明显的一股潮流远离IPSec，这股潮流源于一些非常实际的原因。 稳步发展 Infonetics Research是一家国际市场调研和咨询公司，也是VPN领域的主要专业公司。它称，SSL VPN取得了长足发展，以至2003年许多IPSec VPN厂商将继续宣布推出基于SSL的产品。这一幕现在已经呈现在世人面前，诺基亚、思科及其它大玩家纷纷推出了围绕SSL产品的解决方案。 尽管如此，SSL仍旧不会取代IPSec，Infonetics如此认为。因为站点到站点连接缺少理想的SSL解决方案，而说到远程访问，许多公司考虑之后，可能为了不同的远程访问而同时部署SSL和IPSec，但在近期，这种情况不太可能成为主导性潮流。 据Infonetics最近发表的报告表明，IPSec对VPN而言仍是主导性的隧道和加密技术。不过同时，SSL将不断获得吸引力。到2005年，74%的移动员工将依赖VPN（比2003年增加15%），预计增长率主要来自SSL，这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。 现在的问题在于，在这个市场的早期阶段，许多厂商在如何给基于SSL的产品定位上似乎没有明确态度。到底把SSL VPN（又叫做应用层VPN网关产品）视为与IPSec竞争还是互补？这还是个营销难题。 Infonetics认为，SSL产品最终的定位最好与IPSec互补。大多数IPSec厂商将开发或购进应用层VPN技术，添加到自己的产品线当中。这种互补性定位对市场能否成功至关重要。如果在今后12个月，在该领域领先市场的厂商决定在SSL和IPSec之间挑起竞争，那么整个市场将会遭殃。 区别何在 在设计上，IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。就这点而言，IPSec仍是站点到站点连接的不二选择，但用于其它远程访问活动的SSL VPN也引起了人们的兴趣。 不过，首次登台亮相时，IPSec VPN被认为与其它远程访问解决方案相比有一大优势。IPSec VPN的诱人之处包括，它采用了集中式安全和策略管理部件，从而大大缓解了维护需求。 然而，近期传统的IPSec VPN出现了两个主要问题：首先，客户软件带来了人力开销，而许多公司希望能够避免；其次，某些安全问题也已暴露出来，这些问题主要与建立开放式网络层连接有关。 首选方案 许多专家认为，就通常的企业高级用户（Power User）和LAN-to-LAN连接所需要的直接访问企业网络功能而言，IPSec无可比拟。然而，典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。因而，如果需要更全面的、面向基于浏览器应用的访问，以及面向远程员工、把所有办公室连