更多細節,看下面就好,不過需要耐心。
嗅探器幾乎和互聯網壹樣古老。嗅探器是收集有用數據的常用方法,這些數據可以是用戶的賬號和密碼,壹些機密的商業數據等等。隨著互聯網和電子商務的日益普及,互聯網的安全性越來越受到人們的關註。在互聯網安全風險中扮演重要角色的嗅探器越來越受到人們的關註,所以今天我想介紹壹下嗅探器以及如何阻止它。
大多數黑客只想檢測內部網的主機並獲得控制權。只有那些“野心勃勃”的黑客才會安裝特洛伊木馬和後門程序並清除記錄,以便控制整個網絡。他們常用的是安裝嗅探器。
在內網上,黑客快速獲取大量賬號(包括用戶名和密碼)最有效的方法就是使用“嗅探器”程序。這種方法要求運行sniffer程序的主機和被監控的主機必須在同壹個以太網網段上,所以在外部主機上運行Sniffer是無效的。此外,您必須以root用戶身份使用sniffer程序來監聽以太網網段上的數據流。當我們談論以太網嗅探器時,我們必須談論以太網嗅探。
那麽什麽是以太網嗅探器呢?
以太網嗅探指的是攔截在以太網設備上傳輸的數據包,並發現感興趣的數據包。如果您找到壹個合格的包,請將其保存在日誌文件中。
走吧。這些條件通常是為包含“用戶名”或“密碼”的包設置的。其目的是將網絡層置於混雜模式,從而做壹些事情。
混雜模式意味著網絡上的所有設備都監聽總線上傳輸的數據,而不僅僅是它們自己的數據。根據第二章對以太網工作原理的基本介紹,我們可以知道,當壹個設備要向某個目標發送數據時,就向以太網廣播。連接到以太網總線的設備隨時都在接收數據。但是只需將您自己的數據傳遞給這臺計算機上的應用程序。
使用此功能,您可以將電腦的網絡連接設定為接受所有以太網。
網絡總線上的數據,從而實現嗅探。
Sniffer壹般運行在路由器或者具有路由器功能的主機上。這樣就可以監控到大量的數據。嗅探是二級攻擊。通常,攻擊者已經進入目標系統,然後使用嗅探器獲取更多信息。
Sniffer不僅可以獲取密碼或用戶名,還可以獲取更多的其他信息,比如壹個重要的信息,互聯網上傳輸的財務信息等等。嗅探器可以獲得幾乎任何通過以太網傳輸的數據包。黑客會使用各種方法來獲得系統的控制權,並留下重新入侵的後門,從而保證sniffer可以執行。在Solaris 2.x平臺上,sniffer程序通常安裝在/usr/bin或/dev目錄中。黑客還會巧妙地修改時間,讓sniffer程序看起來和其他系統程序同時安裝。
大多數以太網嗅探器程序在後臺運行,並將結果輸出到記錄文件中。黑客經常修改ps程序,使得系統管理員很難找到正在運行的嗅探程序。
以太網嗅探器程序將系統的網絡接口設置為混合模式。這樣,它可以監聽流經同壹以太網網段的所有數據包,而不管它的接收方或發送方是運行嗅探器的主機。該程序將黑客感興趣的用戶名、密碼和其他數據存儲到日誌文件中。黑客會等壹段時間,比如說壹周,然後回到這裏下載記錄的文件。
說了這麽多,有哪些常用詞可以用來介紹sniffer呢?
計算機網絡不同於電話電路。計算機網絡享有通信信道。* * *共享意味著壹臺計算機可以接收發送到其他計算機的信息。捕捉網絡中傳輸的數據信息,稱為竊聽。
以太網是使用最廣泛的計算機聯網方法。以太網協議將數據包信息發送到同壹環路中的所有主機。數據包報頭包含目標主機的正確地址。通常,只有具有該地址的主機才會接受該數據包。如果主機可以接收所有數據包,而不管數據包報頭的內容如何,這種模式通常稱為“混雜”模式。
因為在普通的網絡環境中,賬號和密碼信息在以太網中是明文傳輸的,壹旦入侵者獲得其中壹臺主機的root權限,將其置於混雜模式下竊聽網絡數據,就有可能入侵網絡中的所有計算機。
總之,sniffer是壹個黑客工具,是竊聽的工具。
二、嗅探器的工作原理
壹般來說,同壹網段內的所有網絡接口都具有訪問物理介質上傳輸的所有數據的能力,每個網絡接口也應該有壹個硬件地址,與網絡中存在的其他網絡接口的硬件地址不同。同時,每個網絡至少應該有壹個廣播地址。(代表所有接口地址),正常情況下,合法的網絡接口應該只響應兩種數據幀:
1.幀的目標區域具有與本地網絡接口相匹配的硬件地址。
2.幀的目標區域有壹個“廣播地址”。
當接收到上述兩種情況的數據包時,nc通過cpu產生壹個硬件中斷,可以引起操作系統的註意,然後將幀中包含的數據傳輸給系統進行進壹步處理。
Sniffer是壹種可以將本地nc狀態設置為Promiscuos狀態的軟件。當nc處於這種“混雜”模式時,nc有壹個“廣播地址”,它會為遇到的每個幀生成壹個硬件中斷,以提醒操作系統處理流經物理介質的每個數據包。(大多數nc都有能力進入混雜模式。)
可以看出,sniffer工作在網絡環境的底層,它會攔截網絡上正在傳輸的所有數據,通過相應的軟件處理,可以實時分析這些數據的內容,進而分析網絡狀態和整體布局。值得註意的是,sniffer極其安靜,是壹種消極的安全攻擊。
壹般來說,嗅探器應該關心的內容可以分為以下幾類:
1,密碼
我認為這是大多數非法使用嗅探器的原因。sniffer可以記錄以明文傳輸的userid和passwd。即使妳在網絡傳輸過程中使用了加密數據,sniffer記錄的數據也可能讓入侵者在家裏吃烤肉串的時候試圖破解妳的算法。
2.金融賬號
許多用戶在網上使用他們的信用卡或現金賬戶很舒服,但sniffer可以很容易地攔截用戶的姓名、密碼、信用卡號、有效期、賬號和在線傳輸的pin。
3.窺視機密或敏感的信息和數據。
通過攔截數據包,入侵者可以輕松記錄他人之間敏感信息的傳輸,或者幹脆攔截整個郵件對話。
4.刺探低級協議信息。
這是壹件很可怕的事情,我認為,通過記錄底層信息協議,比如記錄兩臺主機之間的網絡接口地址,遠程網絡接口ip地址,ip路由信息和tcp連接的字節序列號。這些信息如果被非法入侵者掌握,將對網絡安全造成極大危害。通常,有人使用sniffer來收集這些信息,只有壹個原因:他正在實施欺詐(通常ip地址欺詐需要您準確插入tcp連接的字節序列號,這將在後面的文章中指出)。如果有人很在意這個問題,sniffer只是他的前奏,以後的問題會大很多。對於高級黑客來說,我認為這是使用sniffer的唯壹理由。
2.嗅探器的工作環境
Snifffer是壹種可以捕獲網絡消息的設備。嗅探器的正確用途是分析網絡流量,以便發現相關網絡中的潛在問題。比如某段網絡運行不太好,消息發送很慢,我們不知道問題出在哪裏,這個時候就可以用sniffer對問題做出準確的判斷。
嗅探器的功能和設計有許多不同之處。有的只能分析壹個協議,有的可能可以分析上百個協議。壹般來說,大多數嗅探器至少可以分析以下協議:
1.標準以太網
2.TCP/IP
3.以太網所用協議之壹(Internet Packet eXchange)
4.DECNet
嗅探器通常是軟件和硬件的結合。專用嗅探器非常昂貴。另壹方面,免費的嗅探器花費不多,但得到的支持也不多。
嗅探器不同於壹般的鍵盤捕獲程序。鍵盤捕獲程序捕獲在終端上輸入的鍵值,而sniffer捕獲真實的網絡消息。嗅探器通過將網卡放在網絡接口上來實現這壹點——例如,將以太網卡設置為雜項模式。為了理解雜項收集模式,首先解釋局域網是如何工作的。
數據在網絡上以稱為幀(Ftame)的小單位傳輸。壹個框架由幾個部分組成,不同的部分執行不同的功能。(例如,以太網的前12字節存儲源地址和目的地址,它們告訴網絡數據的來源和目的地。以太網幀的其他部分存儲實際用戶數據、TCP/IP報頭或IPX報頭等。).
幀由壹種叫做網絡驅動的特殊軟件進行整形,然後通過網卡發送到網絡線路上。通過網線到達目的機器,在目的機器的壹端執行相反的過程。接收機器的以太網卡捕獲這些幀,告訴操作系統幀的到達,然後存儲它們。正是在這個傳輸和接收的過程中,嗅探器會造成安全問題。
局域網上的每個工作站都有其硬件地址。這些地址唯壹地代表網絡上的機器(類似於互聯網地址系統)。當用戶發送消息時,這些消息將被發送到局域網上所有可用的機器。
在正常情況下,網絡上的所有機器都可以“監聽”通過的流量,但不會響應不屬於它們的消息(換句話說,工作站A不會捕獲屬於工作站B的數據,而只是忽略它們)。
如果工作站的網絡接口處於雜項接收模式,它可以捕獲網絡上的所有消息和幀。如果壹個工作站以這種方式配置,它(包括它的軟件)就是壹個嗅探器。
嗅探器可能造成的危害:
1.嗅探器可以捕獲密碼。
2.能夠捕捉私人或機密信息。
3.它可以用來危害網絡鄰居的安全,或者獲得更高級別的訪問權限。
事實上,如果您的網絡上有未經授權的嗅探器,就意味著您的系統已經暴露給了其他人。(可以試試天行者2的嗅探功能。)
通常,我們只嗅探每個消息的前200到300個字節。用戶名和密碼包含在這壹部分,這是我們真正關心的部分。工作人員還可以嗅探給定接口上的所有消息。如果有足夠的空間存放和處理,他們會發現其他非常有趣的東西...
簡單地把壹個嗅探器對象放在任何地方都沒有用。將嗅探器放在被攻擊的機器或網絡附近,它將捕獲許多密碼。另壹個更好的方法是把它放在網關上。如果是這樣,我們就可以捕捉到該網絡與其他網絡之間的身份認證過程。這種方式會成倍增加我們可以攻擊的範圍。
3.誰會使用嗅探器?
可能大家都會知道誰會用sniffer,但不是每個用的人都是網絡高手,因為現在很多sniffer都成了傻子,oicq sniffer是前段時間用的最多的壹個。我想那些喜歡查朋友ip的朋友應該還記得吧。呵呵,我用過,當然現在不用了!
當然,系統管理員使用sniffer來分析網絡信息流量,找出問題出在網絡的什麽地方。壹個安全管理員可以同時使用多種嗅探器,並把它們遍布網絡,形成壹個入侵報警系統。Sniffer對於系統管理員來說是壹個非常好的工具,但也是黑客經常使用的工具。黑客安裝sniffer來獲取用戶名和賬戶、信用卡號、個人信息和其他信息,如果向不好的方向發展,會對妳或妳的公司造成很大的傷害。當他們得到這些信息時,黑客會使用密碼攻擊其他網站,甚至倒賣信用卡號碼。
3.嗅探器是如何在互聯網上實現的
在講這個問題之前,我們還應該講壹下以太網通信。壹般來說,同壹網段的所有網絡接口都具有訪問介質上傳輸的所有數據的能力,每個網絡接口也應該有壹個硬件地址,該地址不同於網絡中已有的其他網絡接口的硬件地址。同時,每個網絡至少應該有壹個廣播地址。正常情況下,合法的網絡接口應該只響應兩種數據幀:
1?幀的目標區域具有與本地網絡接口相匹配的硬件地址。
2?幀的目標區域有壹個“廣播地址”。
當收到上述兩種情況的數據包時,網卡通過cpu產生壹個硬件中斷。中斷可以引起操作系統的註意,然後將幀中包含的數據傳輸到系統進行進壹步處理。Sniffer是壹種可以將本地網卡的狀態設置為混雜模式的軟件。當網卡處於混雜模式時,網卡有壹個“廣播地址”,它會為遇到的每個幀生成壹個硬件中斷,以提醒操作系統處理每個數據包。(大多數網卡都能夠設置為混雜模式。
可以看出,sniffer工作在網絡環境的底層,它會攔截網絡上正在傳輸的所有數據。通過相應的軟件處理,可以實時分析這些數據的內容,進而分析網絡狀態和整體布局。值得註意的是,sniffer極其安靜,是壹種消極的安全攻擊。
4.我在哪裏可以得到嗅探器
我們說的Sniffer主要是在unix系統下使用,那些oicq的sniffer不在我們討論範圍內。
嗅探器是黑客最常用的入侵手段之壹。您可以在批準的網絡中運行sniffer,以了解它如何有效地危及本地機器的安全。
嗅探器可以是硬件或軟件。目前,軟件嗅探器是種類最多、應用最廣泛的,大多數黑客也使用軟件嗅探器。
以下是壹些也被廣泛用於調試網絡故障的嗅探器工具:
(1)商業嗅探器:
1.網絡綜合。
網絡通用開發了多種產品。最重要的是專家嗅探器,不僅可以嗅探,還可以通過高性能的專用系統發送/接收數據包,幫助診斷故障。另壹個增強產品“分布式嗅探器系統”可以使用UNIX工作站作為嗅探器控制臺,並將嗅探器代理分發到遠程主機。
2.微軟的網絡監視器
對於壹些商業站點,可能需要同時運行多個協議——NetBEUI、IPX/SPX、TCP/IP、802.3和SNA。這時候很難找到壹個嗅探器來幫助解決網絡問題,因為很多嗅探器往往會把壹些正確的協議包當成錯誤包。微軟的Net Monitor(以前叫Bloodhound)可以解決這個問題。它可以正確區分Netware控制數據包和NT NetBios名稱服務廣播等唯壹數據包。(etherfind只會將這些數據包識別為0000類型的廣播數據包。)這個工具運行在MS Windows平臺上。它甚至可以通過MAC地址(或主機名)監控網絡統計數據和會話信息。只需單擊壹個會話就可以獲得tcpdump標準的輸出。過濾設置也是最簡單的,在壹個對話框中點擊要監控的主機即可。
(二)。嗅探器,壹個免費軟件
1.Sniffit由勞倫斯伯克利實驗室開發,運行於Solaris、SGI和Linux平臺上。可以選擇源地址和目的地址或地址集,也可以選擇監聽的端口、協議和網絡接口。默認情況下,這個嗅探器只接受包的前400個字節,這對於登錄會話來說剛剛好。
Snort:這個嗅探器有許多選項供您使用,並且是可移植的。它可以記錄壹些連接信息來跟蹤壹些網絡活動。
3.TCPDUMP:這個嗅探器非常有名。Linux和FreeBSD仍然與系統相連。是很多UNIX高手考慮的專業網絡管理工具。我記得TsutomuShimomura(應該叫下村侵)用自己的修改版TCPDUMP記錄了KEVINMITNICK對自己系統的攻擊。後來,他與美國聯邦調查局合作,抓住了凱文·米特尼克。後來,他寫了壹篇文章:用這些日誌記錄來描述攻擊,HowMitnick Hackett SutomushimomurawithaniPS EquanceTack。
(/~lspitz/snoop.html
(四)。Linux下的嗅探器工具
Linux下的嗅探工具,我推薦Tcpdump。
[1].安裝tcpdump
linux下tcpdump的安裝非常簡單,壹般有兩種安裝方式。壹種是以rpm包的形式安裝。另壹種是以源程序的形式安裝。
1.rpm包已安裝。
這種安裝形式是最簡單的安裝方法。軟件編譯後,rpm包是二進制格式。它可以通過rpm命令直接安裝,不需要修改任何東西。使用以下命令以超級用戶身份登錄:
#rpm -ivh tcpdump-3_4a5.rpm
這樣,tcpdump就可以成功安裝到您的linux系統中了。怎麽樣?很簡單。
2.源程序的安裝
既然rpm包的安裝很簡單,為什麽要用比較復雜的源程序安裝呢?事實上,linux最大的吸引力之壹就是它上面有許多軟件提供源程序,人們可以修改源程序以滿足自己的特殊需要。所以我特別推薦朋友們采用這種源程序的安裝方式。
第壹步是獲取源程序。在源程序的安裝方法上,首先要獲取tcpdump的源程序分發包。這個分發包有兩種形式,壹種是tar壓縮包(tcpdump-3_4a5.tar.Z),另壹種是rpm分發包(tcpdump-3_4a5.src.rpm)。這兩種形式的內容是壹樣的,唯壹不同的是壓縮方式。tar的壓縮包可以通過使用以下命令來解包:
#tar xvfz tcpdump-3_4a5.tar.Z
可以使用以下命令安裝rpm軟件包:
#rpm -ivh tcpdump-3_4a5.src.rpm
這樣,tcpdump的源代碼被提取到/usr/src/redhat/SOURCES目錄中。
第二步,做好編譯源程序前的準備活動。
在編譯源程序之前,最好確定已經安裝了庫文件libpcap,這是tcpdump軟件需要的庫文件。同樣,妳也應該有壹個標準的C語言編譯器。在linux下,標準的C語言編譯器壹般是gcc。在tcpdump的源程序目錄中。壹個文件是Makefile.in,configure命令自動從Makefile.in文件生成Makefile。在Makefile.in文件中,可以根據系統配置修改BINDEST和MANDEST的宏定義。默認值為
BINDEST = @sbindir @
MANDEST = @mandir @
第壹個宏值表示安裝tcpdump的二進制文件的路徑名,第二個宏值表示tcpdump手冊頁的路徑名。您可以修改它們以滿足系統的要求。
第三步,編譯源程序。
使用源目錄中的配置腳本,該腳本從系統中讀取各種所需的屬性。並根據Makefile.in文件自動生成Makefile進行編譯。使用make命令,按照Makefile中的規則編譯tcpdump的源程序。使用make install命令安裝tcpdump的編譯後的二進制文件。
總而言之:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# ./配置
#制造
#進行安裝
[2].tcpdump的使用
Tcpdump采用命令行方式,其命令格式為:
Tcpdump [-adeflnNOpqStvx] [-c數量] [-F文件名]
[-i網絡接口] [-r文件名] [-s snaplen]
[-T類型] [-w文件名] [表達式]
1的期權介紹。tcpdump
-a將網絡地址和廣播地址轉換成名稱;
-d以人們能理解的匯編格式給出匹配包的代碼;
-dd以C語言程序段的格式給出匹配包的代碼;
-ddd以十進制形式給出匹配數據包的代碼;
-e在輸出行上打印數據鏈路層的報頭信息;
-f以數字形式打印外部互聯網地址;
-l以緩沖行的形式產生標準輸出;
-n不要將網絡地址轉換成名稱;
-t不要在每行輸出上打印時間戳;
-v輸出壹個稍微詳細的信息,例如ttl和服務類型信息可以包含在ip包中;
-vv輸出詳細的消息信息;
-c tcpdump將在收到指定數量的數據包後停止;
-F從指定文件中讀取表達式,並忽略其他表達式;
-i指定要偵聽的網絡接口;
-r從指定文件中讀取包(這些包壹般由-w選項生成);
-w直接把包寫入文件,不需要分析打印;
-T直接將截獲的報文解釋為指定類型的報文,常見的類型有rpc(遠程過程調用)和snmp(簡單網絡管理協議);)
2.tcpdump表達式簡介
Expression是壹個正則表達式,tcpdump使用它作為過濾消息的條件。如果壹個消息滿足表達式的條件,它將被捕獲。如果沒有給定條件,網絡上的所有數據包都將被攔截。
表達式中通常有以下類型的關鍵字。壹類關鍵字主要包括主機、網和端口,如主機210.27.48.2,表示210.27.48.2是主機,網202.0.0.0表示202.0.0。如果未指定類型,則默認類型為host。
二是確定傳播方向的關鍵字,主要包括src、dst、dst或src、dst、src,表示傳播方向。比如src 210.27.48.2表示ip包中的源地址是210.27.48.2,DST NET 202.0.0.0表示目的網絡地址是202.0.0。如果未指定direction關鍵字,則默認為src或dst關鍵字。
三是協議的關鍵詞,主要包括fddi、ip、arp、rarp、tcp、udp等類型。Fddi表示fddi(分布式光纖數據接口網絡)上特定的網絡協議,但實際上是“以太”的別名。fddi和ether具有相似的源地址和目的地址,因此FDDI協議數據包可以作為ether數據包來處理和分析。其他幾個關鍵字表示受監控包的協議內容。如果沒有指定協議,tcpdump將監聽所有協議的數據包。
除了這三類關鍵字,其他重要的關鍵字如下:gateway,broadcast,less,greater,還有三個邏輯運算,否定運算是‘not’!,and運算是'與',' &;& amp;“或”運算是“或”,“;”;
這些關鍵詞可以組合起來,形成強大的組合條件,滿足人們的需求。這裏舉幾個例子來說明。
(1)攔截210.27.48.1主機收發的所有數據包:
#tcpdump主機210.27.48.1
(2)要攔截主機210.27.48.1和主機210.27.48.2或210.27.48.3之間的通信,請使用命令:(在命令行中使用括號時,請確保
#tcpdump主機210.27.48.1和\ (210.27.48.2或210.27.48.3 \)
(3)如果您想要獲取主機210.27.48.1與除主機210.27.48.2之外的所有主機通信的ip數據包,請使用以下命令:
#tcpdump ip主機210.27.48.1和!210.27.48.2
(4)如果您想獲得主機210.27.48.1接收或發送的telnet數據包,請使用以下命令:
#tcpdump tcp端口23主機210.27.48.1
3.tcpdump輸出結果介紹
下面我們介紹幾個典型的tcpdump命令的輸出信息。
(1)數據鏈路層標題信息
使用# tcpdump-ehost ice命令。
Ice是用linux的主機,她的MAC地址是0: 90: 27: 58: AF: 1A。
H219是壹個SUN工作站,它的MAC地址是8: 0: 20: 79: 5b: 46。前面命令的輸出如下:
21:50:12.847509 eth 0 & lt;8:0:20:79:5b:46 0:90:27:58:af:1a IP 60:h 219.33357 & gt;ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
解析:21: 50: 12是顯示時間,847509是身份證號,eth0表示數據包是從網絡接口設備發出的,8:0:20:79:5b:46是主機H219的MAC地址,表示數據包是從源地址H219發出的。0:90:27:58:af:1a是主機ICE的MAC地址,表示數據包的目的地址是。Ice.telnet表示數據包從主機H219的端口33357發送到主機Ice的端口TELNET(23)。ack 22535表示對序列號為222535的數據包的響應。win 8760表示發送窗口大小為8760。
(ARP報文的TCPDUMP輸出信息
使用命令#tcpdump arp。
輸出結果是:
22:32:42.802509 eth 0 & gt;arp who-has路由告訴ice (0:90:27:58:af:1a)
22:32:42.802902 eth 0 & lt;arp回復路由為-at 0:90:27:12:10:66(0:90:27:58:af:1a)
解析:22:32:42是時間戳,802509是身份證號,eth 0 >;表示數據包是從主機發出的,arp表示是ARP請求包,who-has ROUTE tell ICE表示是主機ICE請求主機路由的MAC地址。0:90:27:58:af:1a是主機ICE的MAC地址。
(TCP包的輸出信息
TCPDUMP捕獲的TCP數據包的壹般輸出信息是:
src & gtdst:標誌數據-序列號確認窗口緊急選項
src & gtDst:表示從源地址到目的地址,flags是TCP包中的標誌信息,s是SYN標誌,F (FIN),P (PUSH),R (RST)。”(未標註);Data-seqno是數據包中數據的序列號,ack是下壹次期望的序列號,window是接收緩沖區的窗口大小,urgent表示數據包中是否有緊急指針。選項是壹個選項。
(UDP包的輸出信息
TCPDUMP捕獲的UDP數據包的壹般輸出信息是:
route . port 1 & gt;ice.port2: udp lenth
UDP非常簡單。上面的輸出行顯示,從主機路由的端口1發送的UDP數據包被發送到主機ICE的端口2。類型為UDP,數據包長度在lenth以上。我將詳細介紹TCPDUMP的安裝和使用,希望對大家有所幫助。想要熟練使用LINUX環境下的嗅探工具TCPDUMP,需要在實踐中總結經驗,充分發揮其威力。
(windows平臺上的嗅探器
我推薦netxray和sniffer pro軟件。大家肯定都用過,這裏簡單介紹壹下。
netxray的使用說明
1.1.1.1-2.2 . 2-3.3 . 3-4.4 . 4這是壹個通過ShareHub連接的局域網。
5.5.5.5,這是壹個8080端口。
開始捕捉,