深入学习sniffer网络嗅探器.docVIP

深入学习sniffer网络嗅探器 资料来源：ZDNET 本文关键词：网络管理软件 Sniffer 随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。而在Internet安全隐患中扮演重要角色的是Sniffer和Scanner,本文将介绍Sniffer以及如何阻止Sniffer。 大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些雄心勃勃的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装Sniffer。 在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 Sniffer 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行Sniffer 是没有效果的。再者，必须以root的身份使用Sniffer 程序，才能够监听到以太网段上的数据流。 黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证Sniffer能够执行。在Solaris 2.x平台上，Sniffer 程序通常被安装在/usr/bin或/dev目录下。黑客还会巧妙的修改时间，使得Sniffer程序看上去是和其它系统程序同时安装的。 大多数 ethernet Sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的Sniffer程序。 ethernet Sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行Sniffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。 一、什么是Sniffer 与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。 以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数 据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为混杂 模式。 由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获 得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。 二、Sniffer工作原理 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧： 1、帧的目标区域具有和本地网络接口相匹配的硬件地址。 2、帧的目标区域具有广播地址。 在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。 而Sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种混杂方式时，该nc具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成promiscuous方式的能力） 可见，Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：Sniffer是极其安静的，它是一种消极的安全攻击。 通常Sniffer所要关心的内容可以分成这样几类： 1、口令： 我想这是绝大多数非法使用Sniffer的理由，Sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。 2、金融帐号： 许多用户很放心在网上使用自己的信用卡或现金帐号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。 3、偷窥机密或敏感的信息数据： 通过拦截数据包，入侵者可以很方