Sniffer攻击以及⼯作原理详解
随着Internet及电⼦商务的⽇益普及,Internet的安全也越来越受到重视。
⼀.有关sniffer及sniffer的含义
sniffers(嗅探器)⼏乎和internet有⼀样久的历史了.Sniffer是⼀种常⽤的收集有⽤数据⽅法,这些数据可以是⽤户的帐号和密码,可以是⼀些商⽤机密数据等等。随着Internet及电⼦商务的⽇益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要⾓⾊之⼀的Sniffer以受到越来越⼤的关注,所以今天我要向⼤家介绍⼀下介绍Sniffer以及如何阻⽌sniffer。 ⼤多数的⿊客仅仅为了探测内部⽹上的主机并取得控制权,只有那些"雄⼼勃勃"的⿊客,为了控制整个⽹络才会安装特洛伊⽊马和后门程序,并清除记录。他们经常使⽤的⼿法是安装sniffer。 在内部⽹上,⿊客要想迅速获得⼤量的账号(包括⽤户名和密码),最为有效的⼿段是使⽤ "sniffer" 程序。这种⽅法要求运⾏Sniffer 程序的主机和被监听的主机必须在同⼀个以太⽹段上,故⽽在外部主机上运⾏sniffer是没有效果的。再者,必须以root 的⾝份使⽤sniffer 程序,才能够监听到以太⽹段上的数据流。谈到以太⽹sniffer,就必须谈到以太⽹sniffing。
那么什么是以太⽹sniffer攻击呢?
以太⽹sniffing是指对以太⽹设备上传送的数据包进⾏侦听,发现感兴趣的包。如果发现符合条件的包,就把它存到⼀个log⽂件中去。通常设置的这些条件是包含字"username"或"password"的包。
丙烯酸酯乳液
它的⽬的是将⽹络层放到promiscuous模式,从⽽能⼲些事情。
Promiscuous模式是指⽹络上的所有设备都对总线上传送的数据进⾏侦听,并不仅仅是它们⾃⼰的数据。根据第⼆章中有关对以太⽹的⼯作原理的基本介绍,可以知道:⼀个设备要向某⼀⽬标发送数据时,它是对以太⽹进⾏⼴播的。⼀个连到以太⽹总线上的设备在任何时间⾥都在接受数据。不过只是将属于⾃⼰的数据传给该计算机上的应⽤程序。
利⽤这⼀点,可以将⼀台计算机的⽹络连接设置为接受所有以太⽹总线上的数据,从⽽实现sniffer。
sniffer通常运⾏在路由器,或有路由器功能的主机上。这样就能对⼤量的数据进⾏监控。sniffer属第⼆层次的攻击。通常是攻击者已经进⼊了⽬标系统,然后使⽤sniffer这种攻击⼿段,以便得到更多的信息。 sniffer除了能得到⼝令或⽤户名外,还能得到更多的其他信息,⽐如⼀个其他重要的信息,在⽹上传送的⾦融信息等等。sniffer⼏乎能得到任何以太⽹上的传送的数据包。⿊客会使⽤各种⽅法,获得系统的控制权并留下再次侵⼊的后门,以保证sniffer能够执⾏。在Solaris 2.x平台上,sniffer 程序通常被
安装在/usr/bin 或/dev⽬录下。⿊客还会巧妙的修改时间,使得sniffer程序看上去是和其它系统程序同时安装的。
⼤多数以太⽹sniffer程序在后台运⾏,将结果输出到某个记录⽂件中。⿊客常常会修改ps程序,使得系统管理员很难发现运⾏的sniffer程序。
以太⽹sniffer程序将系统的⽹络接⼝设定为混合模式。这样,它就可以监听到所有流经同⼀以太⽹⽹段的数据包,不管它的接受者或发送者是不是运⾏sniffer的主机。程序将⽤户名、密码和其它⿊客感兴趣的数据存⼊log⽂件。⿊客会等待⼀段时间 ----- ⽐如⼀周后,再回到这⾥下载记录⽂件。
讲了这么多,那么到底我们可以⽤什么通俗的话来介绍sniffer呢?
计算机⽹络与电话电路不同,计算机⽹络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在⽹络中传输的数据信息就称为sniffing(窃听)。
以太⽹是现在应⽤最⼴泛的计算机连⽹⽅式。以太⽹协议是在同⼀回路向所有主机发送数据包信息。数据包头包含有⽬标主机的正确地址。⼀般情况下只有具有该地址的主机会接受这个数据包。如果⼀台主机能够接收所有数据包,⽽不理会数据包头内容,这种⽅式通常称为"混杂" 模式。 由于在⼀个普通的⽹络环境中,帐号和⼝令信息以明⽂⽅式在以太⽹中传输,⼀旦⼊侵者获得其中⼀
台主机的root权限,并将其置于混杂模式以窃听⽹络数据,从⽽有可能⼊侵⽹络中的所有计算机。
德林老和尚⼀句话,sniffer就是⼀个⽤来窃听的⿊客⼿段和⼯具。
三维扫描仪工作原理⼆、sniffer攻击的⼯作原理
通常在同⼀个⽹段的所有⽹络接⼝都有访问在物理媒体上传输的所有数据的能⼒,⽽每个⽹络接⼝都还应该有⼀个硬件地址,该硬件地址不同于⽹络中存在的其他⽹络接⼝的硬件地址,同时,每个⽹络⾄少还要⼀个⼴播地址。(代表所有的接⼝地址),在正常情况下,⼀个合法的⽹络接⼝应该只响应这样的两种数据帧:
1、帧的⽬标区域具有和本地⽹络接⼝相匹配的硬件地址。
2、帧的⽬标区域具有"⼴播地址"。
在接受到上⾯两种情况的数据包时,nc通过cpu产⽣⼀个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进⼀步处理。
⽽sniffer就是⼀种能将本地nc状态设成(promiscuous)状态的软件,当nc处于这种"混杂"⽅式时,该nc具备"⼴播地址",它对所有遭遇到的每⼀个帧都产⽣⼀个硬件中断以便提醒操作系统处理流经该物理媒体上的每⼀个报⽂包。(绝⼤多数的nc具备置成promiscuous⽅式的能⼒)
可见,sniffer⼯作在⽹络环境中的底层,它会拦截所有的正在⽹络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进⽽分析所处的⽹络状态和整体布局。值得注意的是:sniffer是极其安静的,它是⼀种消极的安全攻击。
通常sniffer所要关⼼的内容可以分成这样⼏类:
1、⼝令
我想这是绝⼤多数⾮法使⽤sniffer的理由,sniffer可以记录到明⽂传送的userid和passwd.就算你在⽹络传送过程中使⽤了加密的数据,sniffer记录的数据⼀样有可能使⼊侵者在家⾥边吃⾁串边想办法算出你的算法。
2、⾦融帐号
许多⽤户很放⼼在⽹上使⽤⾃⼰的信⽤卡或现⾦帐号,然⽽sniffer可以很轻松截获在⽹上传送的⽤户姓名、⼝令、信⽤卡号码、截⽌⽇期、帐号和pin.
3、偷窥机密或敏感的信息数据
通过拦截数据包,⼊侵者可以很⽅便记录别⼈之间敏感的信息传送,或者⼲脆拦截整个的email会话过程。
金水翠峰
4、窥探低级的协议信息。
通络灸这是很可怕的事,我认为,通过对底层的信息协议记录,⽐如记录两台主机之间的⽹络接⼝地址、远程⽹络接⼝ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由⾮法⼊侵的⼈掌握后将对⽹络安全构成极⼤的危害,通常有⼈⽤sniffer收集这些信息只有⼀个原因:他正在进⾏⼀次欺诈,(通常的ip地址欺诈就要求你准确插⼊tcp连接的字节顺序号,这将在以后整理的⽂章中指出)如果某⼈很关⼼这个问题,那么sniffer对他来说只是前奏,今后的问题要⼤得多。(对于⾼级的hacker⽽⾔,我想这是使⽤sniffer攻击的唯⼀理由吧)
三.sniffer的⼯作环境
snifffer就是能够捕获⽹络报⽂的设备。嗅探器的正当⽤处在于分析⽹络的流量,以便出所关⼼的⽹络中潜在的问题。例如,假设⽹络的某⼀段运⾏得不是很好,报⽂的发送⽐较慢,⽽我们⼜不知道问题出在什么地⽅,此时就可以⽤嗅探器来作出精确的问题判断。
嗅探器在功能和设计⽅⾯有很多不同。有些只能分析⼀种协议,⽽另⼀些可能能够分析⼏百种协议。⼀般情况下,⼤多数的嗅探器⾄少能够分析下⾯的协议:
1.标准以太⽹
2.TCP/IP
3.IPX
4.DECNet
嗅探器通常是软硬件的结合。专⽤的嗅探器价格⾮常昂贵。另⼀⽅⾯,免费的嗅探器虽然不需要花什么钱,但得不到什么⽀持。
嗅探器与⼀般的键盘捕获程序不同。键盘捕获程序捕获在终端上输⼊的键值,⽽嗅探器则捕获真实的⽹络报⽂。嗅探器通过将其置⾝于⽹络接⼝来达到这个⽬的——例如将以太⽹卡设置成杂收模式。(为了理解杂收模式是怎么回事,先解释局域⽹是怎么⼯作的)。
数据在⽹络上是以很⼩的称为帧(Ftame)的单位传输的帧由好⼏部分组成,不同的部分执⾏不同的功能。(例如,以太⽹的前12个字节存放的是源和⽬的的地址,这些位告诉⽹络:数据的来源和去处。以太⽹帧的其他部分存放实际的⽤户数据、TCP/IP 的报⽂头或IPX报⽂头等等)。
帧通过特定的称为⽹络驱动程序的软件进⾏成型,然后通过⽹卡发送到⽹线上。通过⽹线到达它们的⽬的机器,在⽬的机器的⼀端执⾏相反的过程。接收端机器的以太⽹卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进⾏存储。就是在这个传输和接收的过程中,嗅探器会造成安全⽅⾯的问题。
每⼀个在LAN上的⼯作站都有其硬件地址。这些地址唯⼀地表⽰着⽹络上的机器(这⼀点于Internet地址系统⽐较相似)。当⽤户发送⼀个报⽂时,这些报⽂就会发送到LAN上所有可⽤的机器。
纺织材料与应用在⼀般情况下,⽹络上所有的机器都可以“听”到通过的流量,但对不属于⾃⼰的报⽂则不予响应(换句话说,⼯作站A不会捕获属于⼯作站B的数据,⽽是简单的忽略这些数据)。
如果某在⼯作站的⽹络接⼝处于杂收模式,那么它就可以捕获⽹络上所有的报⽂和帧,如果⼀个⼯作站被配置成这样的⽅式,它(包括其软件)就是⼀个嗅探器。
嗅探器可能造成的危害:
1.嗅探器能够捕获⼝令
2.能够捕获专⽤的或者机密的信息
3.可以⽤来危害⽹络邻居的安全,或者⽤来获取更⾼级别的访问权限
事实上,如果你在⽹络上存在⾮授权的嗅探器就以为着你的系统已经暴露在别⼈⾯前了。(⼤家可以试试天⾏2的嗅探功能)
⼀般我们只嗅探每个报⽂的前200到300个字节。⽤户名和⼝令都包含在这⼀部分中,这是我们关⼼的真正部分。⼯⼈,也可以嗅探给定接⼝上的所有报⽂,如果有⾜够的空间进⾏存储,有⾜够的那⾥进⾏处理的话,将会发现另⼀些⾮常有趣的东西……
以上的相关内容就是对Sniffer含义及⼯作原理的介绍,望你能有所收获。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议