今天你被嗅探了吗
robotom
http://blog.csdn.net/robotom
robotom@sina.com
如果说窃听器和针孔摄像头之类的专业设备对大多数普通人而言,似乎还是太遥远的事情,那么网上流传的各种网络嗅探工具(Sniffer)则是离我们很近的事情,因为这些嗅探工具往往都运行在局域网内,嗅探的目标也是在局域网内的机器。
什么是网络嗅探
我们都知道窃听,是偷听不属于自己的语音信息。网络嗅探,也类似,就是抓取不属于自己的网络通信数据。说白了就是机器A去获取别的机器之间的通信数据。正常情况下,A只管知道自己发给别的机器以及别的机器发给自己的通信数据就好了,但是网络嗅探,却是太平洋的警察,管的有点宽,它还抓取B和C之间的网络通信数据。
常见局域网嗅探工具
常见的有以下几种网络嗅探工具:
|
TCP Sniffer
|
嗅探局域网内的TCP连接活动
|
|
MSN Sniffer
|
嗅探局域网内的MSN活动,包括聊天记录
|
|
QQ Sniffer
|
嗅探局域网内的QQ活动,可以查看QQ号码
|
|
Http Sniffer
|
嗅探局域网内的HTTP活动,可以查看HTTP数据内容
|
局域网嗅探的罪魁祸首
提起局域网嗅探,不得不说一下以太网和网卡的工作方式。
以太网的工作方式
以太网是基于一种广播方式来传递数据的,就是说,以太网无法以一种点对点方式发送数据。假设一个局域网内有A,B,C,D,E五台机器,共五个网卡。如果A想向B发送一个数据包,那么实际上是向整个以太网发送的,所有的机器包括B,C,D,E都会收到这个数据包。
因此,以太网内没有那种只有两个机器知道的悄悄话,除非这个网内只有这两台机器。
那么有人要问,当收到一个数据包时,如何知道是否是发给自己的呢?这与网卡的物理地址有关。每个以太网卡都有一个世界范围内唯一的物理地址:MAC。通常以太网卡接收到数据包时,会判断数据包的目标地址是否是自己的MAC地址,如果不是,则不予处理,如果是,则交由上层操作系统软件处理。
万恶的混杂模式
那么又有人要问,这样每个网卡只处理处于自己的数据包,真个网络不是秩序井然吗,这跟网络嗅探有什么关系呢?以太网卡有一种模式叫做混杂模式,在这种模式下,不管接收到的数据包是否是自己的MAC地址,都转交给上层操作系统软件处理。那么如果在一个看似秩序井然的局域网内,有一个机器D,将网卡设置为混杂模式,那么它将能获取真个个网络上的通信数据。这里的通信数据,可能包含你用浏览器浏览的网页标题和网也内容,可能包含你与MSN或QQ好友的聊天记录,可能包含你发送或接收的电子邮件的内容。
常规网络应用协议的悲哀
稍微了解一些网络应用协议(比如HTTP, SMTP, POP3等)的人看到这里,可能已经想到些可怕的事情了。
常规的网络应用层协议有以下几种:
|
HTTP
|
超文本传输协议
|
访问Web网页时浏览器与服务器之间的交互通过此协议进行。
|
|
SMTP
|
简单邮件传送协议
|
发送电子邮件时客户端如Foxmail与服务器之间交互通过此协议进行。
|
|
POP3
|
邮局协议
|
查收电子邮件时客户端如Foxmail与服务器之间交互通过此协议进行
|
|
FTP
|
文件传送协议
|
以前常用的文件上传下载工具如CuteFTP与服务器之间交互通过此协议进行
|
你一定很难相信,这里列举的这些协议都是基于文本方式的。基于历史的原因,这些协议的确都是基于文件方式的,具体内容可参考各种RFC文档. 这就是说,如果把这些交互过程信息保存到一个文件里,那么你用记事本之类的软件就可以查看它的内容。
假如你所在的局域网内某个机器打开了混杂模式,并启动了SMTP嗅探工具,那么当你发送电子邮件时,它将能取得该邮件的全部信息,包括收件人,主题以及正文和附件。
以后当你在公司准备发送一个私人电子邮件给你的亲密的朋友时,你是否会有一种强烈的被偷窥感呢?
如果启动的是HTTP嗅探工具,那么你浏览的所有网页的网址、标题以及页面内容都将展示在嗅探者的电脑上。
人们的窥探欲越来越强
互联网从诞生到现在已经有几十年了。中国1994年正式加入互联网。嗅探(Sniffer)一词似乎伴随互联网准确说伴随以太网的诞生就有,但是直到最近两三年,嗅探才越来越火,可以说是猖獗。网上的各种嗅探工具随处可见随处可下载。据说有一个QQ Sniffer的工具,竟然还被评了奖。不得不说,网络越来越普及了,人们的窥探欲也越来越强了。
如果说,基于文本的常规应用协议,你要嗅探就嗅探吧,很多基于二进制的甚至加密的协议,也纷纷落马,逃不脱嗅探的魔掌。 比如MSN使用的MSNP协议,V9以前也是基于文本的协议,V9以后不知道改成二进制的没有; 去年闹得纷纷扬扬的MSN Sniffer,让很多使用MSN的人紧张了一阵子,许多公司明文要求员工使用MSN作为通信工具,不知道有没有某些特别的目的。又如QQ使用的协议,也有相应的嗅探工具,比如QQ Sniffer,据说可用于在网吧刺探美女MM的QQ号码,广大美女MM小心了。
嗅探时代的隐私
各种网络应用的数据,按照一定协议,追到底层,还是一个个的以太网数据包。而各种应用协议,要么是公开的标准协议,要么是基于文本方式,即使是私有加密过的二进制协议,经过各高手的无私奉献的辛勤工作,最终还是可以解析并还原成可读信息。
理论上来讲,在这个嗅探工具横行的网络时代,网络无隐.
面对嗅探,拔掉网线吗
这个时代,嗅探工具与反嗅探工具的力量悬殊。嗅探工具随处可见,反嗅探工具却鲜有踪迹。
被动嗅探难以探测
以太网的广播的工作方式决定了嗅探工具只需要被动的接收数据即可达到嗅探的目的。这一点决定了嗅探工具难以被探测到,尽管有一些传统的方法号称在原理上可以探测到局域网内是否存在嗅探,但是嗅探工具的制作者同样可以利用这一知识避免自己被探测到。可以说,目前技术的制约,无疑极大的将大了反嗅探工具的研制难度。
缺乏相关法律规范
目前没有任何法律明确规定禁止进行网络嗅探活动。在局域网用户的隐私保护方面,没有法律法规的制约,就难免出现混乱局面了。
呼吁尽快制定相关法律法规,规范网络嗅探这一人见人怕的领域,保护局域网用户的隐私。
面对局域网嗅探,我们能做什么呢?除了拔掉网线。
robotom
http://blog.csdn.net/robotom
robotom@sina.com
发表于 @ 2007年12月19日 22:16:00|评论(loading...)|编辑