51CTO推薦：Sniffer安全技術(shù)從入門到精通

學(xué)習(xí)Sniffer的概念以及原理應(yīng)用是Sniffer安全技術(shù)的基礎(chǔ)，那么對于Sniffer安全技術(shù)的掌握我們應(yīng)該如何入手呢？下面讓我們逐一向你介紹。

一、什么是Sniffer呢？

一般我們在講的Sniffer程序是把NIC（網(wǎng)絡(luò)適配卡，一般如以太網(wǎng)卡）置為一種叫promiscuous雜亂模式的狀態(tài)，一旦網(wǎng)卡設(shè)置為這種模式，它就能是Sniffer程序能接受傳輸在網(wǎng)絡(luò)上的每一個信息包。普通的情況下，網(wǎng)卡只接受和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接受處理這種方式的信息，就需要系統(tǒng)支持bpf，LINUX下如SOCKET-PACKET，但一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧是不支持接受或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)包，所以為了繞過標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始將的雜亂模式，一般情況下，要激活這種方式，必須內(nèi)核支持這種偽設(shè)備bpfilter，而且需要ROOT用戶來運行這種Sniffer程序，所以大家知道Sniffer需要ROOT身份安裝，而你即使以本地用戶進(jìn)入了系統(tǒng)，你也嗅探不到ROOT的密碼，因為不能運行Sniffer。

基于Sniffer這樣的模式，可以分析各種信息包可以很清楚的描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機器，由于它接受任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著Sniffer可以用來捕獲密碼，EMAIL信息，秘密文檔等一些其他沒有加密的信息。所以這成為黑客們常用的擴大戰(zhàn)果的方法，奪取其他主機的控制權(quán)。

二、傳輸介質(zhì)被監(jiān)聽的可能性：

Ethernet監(jiān)聽的可能性比較高，因為Ethernet網(wǎng)是一個廣播型的網(wǎng)絡(luò)，困擾著INTERNET的大多數(shù)包監(jiān)聽時間都是一些運行在一臺計算機中的包監(jiān)聽程序的結(jié)果。這臺計算機和其他計算機，一個網(wǎng)關(guān)或者路由器形成一個以太網(wǎng)。

FDDIToken-監(jiān)聽的可能性也比較高，盡管令牌網(wǎng)內(nèi)的并不是一個廣播型網(wǎng)絡(luò)，ring實際上，帶有令牌的那些包在傳輸過程中，平均要經(jīng)過網(wǎng)絡(luò)上一半的計算機。但高的傳輸率將使監(jiān)聽變得困難。

電話線監(jiān)聽的可能性中等，電話線可以被一些與電話公司協(xié)作的人或者一些有機會在物理上訪問到線路的人搭線竊聽，在微波線路上的信息也會被截獲。在實際中，高速的MODEM比低速的MODEM搭線困難的多,因為高速MODEM引入了許多頻率。

IP通過有監(jiān)聽的可能性比較高，使用有線電視信道發(fā)送IP數(shù)據(jù)包依靠RF調(diào)制線電視信道解調(diào)器，RF調(diào)制解調(diào)器使用一個TV通道用于上行，一個用于下行。
在這些線路上傳輸?shù)男畔]有加密，因此，可以被一些可以物理訪問到TV電纜的人截獲。

微波和監(jiān)聽的可能性比較高，無線電本來是一個廣播型的傳輸媒介，任何一個有無線電接受機的人可以截獲那些傳輸?shù)男畔ⅰ?/P>

現(xiàn)在多數(shù)的Sniffer只監(jiān)視連接時的信息包，原因是Sniffer如果接受全部的信息包，一個是LOG記錄極其大，而且會占用大量的CPU時間，所以在一個擔(dān)負(fù)繁忙任務(wù)的計算機中進(jìn)行監(jiān)聽，由于占用的CPU和帶寬就可以懷疑有Sniffer在工作，當(dāng)你覺得有異?，F(xiàn)象的時候就先需要一些簡單的方法檢測。

雖然可以使用PS或者netstat的命令去查看是否有可以進(jìn)程和連接信息的轉(zhuǎn)態(tài)，但入侵者改變了ps或者netstat程序也就不能發(fā)現(xiàn)這些程序了，其實修改ps命令只須短短數(shù)條SHELL命令，即可將監(jiān)聽軟件的名字過濾掉。

三、下面的兩個Sniffer監(jiān)聽程序方法原理簡單，但操作起來比較困難：

1，對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去PING，運行監(jiān)聽程序的機器回有響應(yīng)，這是因為正常的機器不接受錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接受，如果他的IPSTACK不再次反向檢查的話，就會響應(yīng)，這種方法依賴系統(tǒng)的IPSTACK，對有些系統(tǒng)可能行不通。

2，往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降，通過比較前后該機器性能（icmpechodelay等方法）加以判斷，這種方法難度較大點。

四、一些流行的Sniffer

◆SNIFFIT：這是一個比較的Sniffer，它由BrechtClearhout所寫，這是你應(yīng)該最先用的程序，這個Sniffer默認(rèn)狀態(tài)下只接受最先的400個字節(jié)的信息包，這對于一次登陸會話進(jìn)程剛剛好。

◆SNORT：這個Sniffer有很多選項供你使用并可移植性強，可以記錄一些連接信息，用來跟蹤一些網(wǎng)絡(luò)活動。

◆TCPDUMP：這個Sniffer很有名，F(xiàn)REEBSD還搭帶在系統(tǒng)上，是一個被很多UNIX高手認(rèn)為是一個專業(yè)的網(wǎng)絡(luò)管理工具，記得以前TsutomuShimomura（應(yīng)該叫下村侵吧）就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統(tǒng)的記錄，后來就配合FBI抓住了KEVINMITNICK，后來他寫了一文：使用這些LOG記錄描述了那次的攻擊，HowMitnickhackedTsutomuShimomurawithanIPsequenceattack

具體參見http://www.attrition.org/security/newbie/security/Sniffer/shimomur.txt

◆ADMsniff:這是非常有名的ADM黑客集團寫的一個Sniffer程序。

◆linSniffer:這是一個專門設(shè)計雜一LINUX平臺上的Sniffer。

◆ESniffer:這個也是一個比較有名的Sniffer程序。

◆Sunsniff:這個是用在SUNOS系統(tǒng)上的Sniffer，此程序應(yīng)該在十年前推出的吧。

◆SolSniffer:這是個SolarisSniffer，主要是修改了SunSniff專門用來可以方便的在Solair平臺上編譯。

這些程序attrition收集起來了，大家可以到下面的URL下載：

http://www.attrition.org/security/newbie/security/Sniffer/

五、一些流行的檢測Sniffer的程序：

◆http://www.attrition.org/security/newbie/security/Sniffer/promisc.c--

是一個很小的C程序，當(dāng)編譯好后，會查找本地機器上任何處于雜亂模式的NIC網(wǎng)絡(luò)適配卡。

◆http://www.attrition.org/security/newbie/security/Sniffer/neped.c--

是一個用來遠(yuǎn)程檢查任何嗅探活動的程序，可惜它只在LINUX下編譯，當(dāng)然你也可以簡單的使用ifconfig-a來檢查你的UNIX機器是否有PROMISC標(biāo)志。

◆http://www.l0pht.com/antisniff/

這是L0pht寫的很好的反Sniffer程序，L0PHT還打算公開LINUX版本上的源碼版本。

另外，如果機器上使用兩塊網(wǎng)卡，把一塊設(shè)置為雜亂模式，并把IP地址設(shè)置為0.0.0.0，另一塊卡處于正常的模式并是正確的地址，這樣將很難發(fā)現(xiàn)Sniffer的存在。

六、關(guān)于Sniffer的一些資源：

◆http://www.securityfocus.com/

這里可以找到很多關(guān)于Sniffer的程序， PHRACK54（FILE10）的文章awesomearticle很好的解釋了很多方法和技巧來對付Sniffer

◆http://www.attrition.org/security/newbie/security/Sniffer/shimomur.txt

這里是Shimomura寫的文章(HowMitnickhackedTsutomuShimomurawithanIPsequenceattack)

◆http://www.l0pht.com/

這里可以下載AntiSniffer，這確實是一個不錯的工具。

關(guān)于Sniffer的概念以及應(yīng)用資料的介紹就向你講解到這里，希望對你了解和學(xué)習(xí)Sniffer技術(shù)有所幫助。