【51CTO.com快譯】朋友，您聽說(shuō)過(guò)嗅探一詞嗎?一般而言，它是指：秘密地調(diào)查某些內(nèi)容，以檢索出機(jī)密的信息。而從信息安全的角度來(lái)看，嗅探是指：竊聽流量，或?qū)⒘髁柯酚傻娇梢圆东@，分析和監(jiān)控的目標(biāo)處。如果用在“正道”上，我們可以通過(guò)執(zhí)行嗅探，來(lái)分析網(wǎng)絡(luò)的使用情況，對(duì)網(wǎng)絡(luò)問(wèn)題進(jìn)行故障排查，以及通過(guò)監(jiān)控會(huì)話來(lái)進(jìn)行各種開發(fā)與測(cè)試。不過(guò)，我們?cè)诖擞懻摰氖潜?ldquo;用歪了”的嗅探攻擊，及其如何從復(fù)雜數(shù)據(jù)集中提取有意義的信息。

[[329541]]

定義嗅探攻擊

在互聯(lián)網(wǎng)世界中，攻擊者可以使用應(yīng)用程序、網(wǎng)絡(luò)、以及主機(jī)級(jí)別的硬件設(shè)備，通過(guò)執(zhí)行嗅探，以讀取或截獲任何網(wǎng)絡(luò)數(shù)據(jù)包中的文本信息。此類信息包括：用戶名、密碼、密鑰、銀行賬號(hào)、交易記錄等任何有價(jià)值的內(nèi)容。我們可以簡(jiǎn)單地將此類攻擊在技術(shù)上等同于物理竊取。

嗅探動(dòng)機(jī)：

• 獲取用戶名和密碼。
• 竊取銀行和交易的相關(guān)信息。
• 監(jiān)控電子郵件和聊天消息。
• 實(shí)施身份信息盜竊。

嗅探的類型

嗅探可分為主動(dòng)和被動(dòng)兩種。顧名思義，主動(dòng)是指：攻擊者為了獲取信息而進(jìn)行的一系列活動(dòng)或交互。而在被動(dòng)狀態(tài)下，攻擊者只是隱蔽且被動(dòng)地獲取信息。下面，讓我們看看兩者的特點(diǎn)：

(1) 被動(dòng)嗅探：

此類嗅探往往發(fā)生在集線器(hub)上。由于集線器設(shè)備可以在某個(gè)端口上接收流量，然后在所有其他端口上重新轉(zhuǎn)發(fā)該流量，因此，如果攻擊者將嗅探器放置在集線器上，則可以直接捕獲所有流經(jīng)集線器的網(wǎng)絡(luò)流量。而且，嗅探器可以長(zhǎng)時(shí)間“安靜”地在那里監(jiān)控網(wǎng)絡(luò)中的一舉一動(dòng)。不過(guò)，如今隨著集線器使用的減少，以及被交換機(jī)所取代，這種攻擊方式已顯得比較老套了。

(2) 主動(dòng)嗅探：

交換機(jī)能夠?qū)W習(xí)帶有目標(biāo)MAC地址的CAM(二層交換機(jī)地址)表。根據(jù)該表，交換機(jī)可以決定將哪個(gè)網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到何處。在主動(dòng)嗅探時(shí)，嗅探器將使用大量虛假的請(qǐng)求發(fā)往交換機(jī)，以填滿CAM表。CAM滿后，交換機(jī)將不得不把網(wǎng)絡(luò)流量，以“合法”的形式發(fā)往所有端口，進(jìn)而方便攻擊者進(jìn)行嗅探。

網(wǎng)絡(luò)攻擊的種類

• MAC泛洪：如上文所述，大量的MAC地址涌入交換機(jī)，以使CAM表溢出，并方便嗅探的執(zhí)行。
• DNS緩存中毒：攻擊者通過(guò)更改DNS的緩存記錄，以便將請(qǐng)求重定向到惡意網(wǎng)站，進(jìn)而捕獲這些流量。由于這些惡意網(wǎng)站在外觀上酷似真實(shí)的合法網(wǎng)站，因此極具欺騙性。用戶一旦輸入與賬戶相關(guān)的登錄信息，就會(huì)立即被嗅探到。
• 邪惡雙胞胎攻擊(Evil Twin Attack)：攻擊者通過(guò)惡意軟件來(lái)更改受害者的DNS，并通過(guò)設(shè)置一對(duì)DNS，來(lái)響應(yīng)各種請(qǐng)求。據(jù)此，攻擊者可以輕松地嗅探流量，并將其重新路由到自己設(shè)定的目標(biāo)網(wǎng)站。
• MAC欺騙：為了收集到所有連接著交換機(jī)的MAC地址，攻擊者將嗅探設(shè)備的MAC地址，設(shè)置為與目標(biāo)主機(jī)相同，以嗅探并截獲發(fā)往目標(biāo)主機(jī)的消息。

如何識(shí)別嗅探器?

嗅探器既可能是安裝在某個(gè)系統(tǒng)上的軟件，又可能是嵌入式的硬件設(shè)備，還可能是DNS級(jí)別的嗅探器或其他網(wǎng)絡(luò)節(jié)點(diǎn)。如您所知，網(wǎng)絡(luò)在邏輯上被分為7層，每一層都有著各自的專屬任務(wù)。那么嗅探攻擊到底發(fā)生在哪一層上呢?總的說(shuō)來(lái)，嗅探器可以從各個(gè)層次上捕獲PDU(協(xié)議數(shù)據(jù)單元)，其中最常見的是第3層(網(wǎng)絡(luò))和第7層(應(yīng)用)。而針對(duì)每一層的協(xié)議，目前都存在著非安全版本，以及對(duì)應(yīng)的安全版本。下面我們來(lái)討論那些容易受到嗅探攻擊的協(xié)議：

(1) HTTP：

超文本傳輸協(xié)議位于OSI模型的第7層。作為一個(gè)應(yīng)用層協(xié)議，它以純文本形式傳輸信息，這一般適用于靜態(tài)的、或不需要用戶輸入任何信息的網(wǎng)站。其顯著缺點(diǎn)是：任何人都可以在通信雙方之間設(shè)置一個(gè)中間人攻擊(Man-in-the-Middle Attack，MITM)的代理，用來(lái)接受所有流量，甚至修改某些數(shù)據(jù)流。隨著Web 2.O時(shí)代的到來(lái)，為了用戶之間交互的安全性，我們需要使用HTTP的安全版本(即HTTPS)，來(lái)保證數(shù)據(jù)流在離開第7層時(shí)就已經(jīng)被加密了。

(2) TELNET：

Telnet是一種客戶端-服務(wù)器協(xié)議，它可以通過(guò)虛擬終端來(lái)提供通信功能。由于Telnet在默認(rèn)情況下并不加密通信內(nèi)容，因此那些有權(quán)訪問(wèn)到客戶端和服務(wù)器所連接的交換機(jī)或集線器的攻擊者，都可以嗅探到Telnet的通信內(nèi)容，進(jìn)而獲取用戶名和密碼等信息。用作不安全Telnet的替代協(xié)議，SSH能夠?qū)α髁窟M(jìn)行加密，進(jìn)而保證數(shù)據(jù)的機(jī)密性和完整性。

(3) FTP：

FTP常被用于在客戶端和服務(wù)器之間傳輸文件。為了進(jìn)行身份驗(yàn)證，F(xiàn)TP使用了純文本的用戶名和密碼機(jī)制。不過(guò)，和Telnet類似，攻擊者完全可以通過(guò)嗅探流量，以獲取身份憑據(jù)，進(jìn)而訪問(wèn)到服務(wù)器上的所有文件。FTP既可以通過(guò)SSL/TLS來(lái)進(jìn)行加固，也可以被更安全的SFTP(SSH的文件傳輸協(xié)議)所代替。

(4) POP：

電子郵件客戶端可以使用POP協(xié)議，從郵件服務(wù)器上下載郵件。由于同樣使用純文本機(jī)制進(jìn)行通信，因此該協(xié)議也容易受到嗅探攻擊。其后續(xù)的版本--POP2和POP3，都比原始版本要安全得多。

(5) SNMP：

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)可被用于與網(wǎng)絡(luò)上的受管理設(shè)備進(jìn)行通信。對(duì)于通信過(guò)程中的各種往來(lái)消息，SNMP使用社區(qū)字符串(community string)來(lái)執(zhí)行客戶端的身份驗(yàn)證。由于community string傳輸?shù)氖敲魑男问降拿艽a，因此SNMP早已被SNMP V2和V3所取代，其中V3被認(rèn)為是最新且最安全的。

優(yōu)秀嗅探工具

(1) Wireshark：

作為一款開源的數(shù)據(jù)包捕獲器和分析器，Wireshark支持Windows和Linux等操作系統(tǒng)。而作為Tcpdump的替代品，該工具是基于GUI的。Wireshark使用pcap去監(jiān)控和捕獲那些來(lái)自網(wǎng)絡(luò)接口的數(shù)據(jù)包，并根據(jù)IP地址、協(xié)議和許多其他參數(shù)，對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。不同的數(shù)據(jù)包可以基于相關(guān)性被分組或標(biāo)記。據(jù)此，我們可以按需進(jìn)行選擇和分解。

(2) dSniff：

dSniff可以被用于對(duì)各種網(wǎng)絡(luò)協(xié)議進(jìn)行分析和密碼嗅探。它可以從FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、以及IMAP等協(xié)議中獲取信息。

(3) Microsoft network monitor：

顧名思義，它可以被用于針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲、分析、以及故障排查。在功能上，該軟件支持大量(300多種)協(xié)議、無(wú)線監(jiān)控模式、以及碎片消息的重組等。

(4) Debookee：

它是一款付費(fèi)工具，可用于監(jiān)控和分析網(wǎng)絡(luò)。不論目標(biāo)設(shè)備是筆記本電腦、網(wǎng)絡(luò)設(shè)備、甚至是電視，它都可以攔截和分析來(lái)自其所在子網(wǎng)中數(shù)據(jù)流量。通常，Debookee能夠提供如下三種模塊：

• 網(wǎng)絡(luò)分析模塊：掃描已連接的設(shè)備，攔截子網(wǎng)中的流量，掃描TCP端口，對(duì)HTTP、DNS、TCP、以及DHCP協(xié)議在網(wǎng)絡(luò)層面上進(jìn)行分析和監(jiān)控，分析VoIP呼叫等。
• WiFi監(jiān)控模塊：提供覆蓋范圍內(nèi)的各種AP、無(wú)線客戶端、WiFi統(tǒng)計(jì)等詳細(xì)信息。
• SSL/TLS解密模塊：支持監(jiān)控和分析各種安全協(xié)議。

防范嗅探攻擊的措施

(1) 連接到受信任的網(wǎng)絡(luò)中：請(qǐng)不要為了“蹭網(wǎng)”，連接隔壁咖啡店提供的不受信任的免費(fèi)Wi-Fi。攻擊者往往會(huì)利用用戶缺乏網(wǎng)絡(luò)安全意識(shí)的特點(diǎn)，在公共網(wǎng)絡(luò)中實(shí)施流量嗅探，或者自行創(chuàng)建與既有網(wǎng)絡(luò)ID相似的新網(wǎng)絡(luò)，以誘騙受害者“入局”。特別是在機(jī)場(chǎng)，您會(huì)發(fā)現(xiàn)有許多名稱類似“免費(fèi)機(jī)場(chǎng)Wi-Fi”的無(wú)線網(wǎng)絡(luò)。說(shuō)不定其中就暗藏著攻擊者的嗅探器節(jié)點(diǎn)。因此，請(qǐng)您只連接到家庭或辦公室之類受信任的網(wǎng)絡(luò)中。

(2) 加密!加密!加密!重要的事情說(shuō)三遍：請(qǐng)對(duì)離開本系統(tǒng)的所有流量進(jìn)行加密，以確保即使流量被嗅探到，攻擊者也將無(wú)法理解其“字面意思”。例如：使用了HTTPS協(xié)議加密流量的網(wǎng)站，顯然比只使用HTTP的網(wǎng)站更加安全。當(dāng)然，值得注意的是：?jiǎn)渭兊募用芤膊⒎侨f(wàn)無(wú)一失，攻擊者很可能會(huì)通過(guò)捕獲大量的數(shù)據(jù)，運(yùn)用解密工具來(lái)尋找特征，進(jìn)而破解。因此，請(qǐng)您根據(jù)深度防御原則(defense in depth principle)，做好多層次的安全加固。

(3) 網(wǎng)絡(luò)掃描和監(jiān)控：您必須定期對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描，以查找可能以span模式捕獲流量的入侵嘗試，或是任何類型的惡意設(shè)備。此外，我們還需要實(shí)時(shí)監(jiān)控目標(biāo)網(wǎng)絡(luò)，以盡早發(fā)現(xiàn)那些處于混雜模式的設(shè)備，以及網(wǎng)絡(luò)中被安置的嗅探器。

原標(biāo)題：What Is a Sniffing Attack? ，作者：Abhinav cynix 

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】