sniffer:
什么是sniffer?就是接收网络中的所有数据(不管是不是自己的)的一种手段。
网络管理员可以用它来进行网络信息采集,进而解决网络问题。
黑客可以用来非法获得其他人的用户名和密码等隐私数据。
需要的条件:1.网络接口的混杂模式 2.sniffer软件
原理:tcp/ip网络工作在lan环境下,使用的是载波帧听模式。也就是说,源主机发送网络帧后,
此网络环境内的所有主机,都会收到此帧。但是非目的主机在检查这个包不属于自己后,会丢掉此包,
不再理会。目的主机才会把它送到上层协议进行处理。
如果把主机网络接口设为混杂模式,那么它会处理所有接收到的包,不管是不是它的,这样就实现了监听功能。
和tcp/ip类似的令牌环、netware网络都有一个轮训的机制,所以也不可避免会受这种方式的监听。
但是因为交换机和路由环境下,网络包不会广播发送,所以跨网段网络不会受影响。
仔细研究交换机的工作原理,是有办法在交换机环境下进行sniffer攻击的。
因为交换机在刚开始工作时,使用广播的方式发送数据包,
执行过几次arp的查询后,会记录接口和ip地址的对应关系,再有类似的包通过,他会直接转发到相应的接口,不再广播。
如果使用工具软件发送大量错误的arp信息,会使交换机无法存储arp记录。那么他在接收到数据包后,不知该发送到哪儿,
仍然会广播发送,这样就实现了交换环境下的广播目的,进而实施监听。
但是这种情况会造成网络风暴,容易被网络管理人员发现。
常用的sniffer软件:
Tcpdump
SniffiT
这些免费的sniffer软件并不能完全实现sniffer的全部功能。
网卡的混杂模式:
厂家生产网卡是按着一定的标准,一般网卡在出厂时,都可以置成混杂模式,只有一些老式网卡不支持。
如何识别自己用了sniffer?
查看网卡是否在混杂模式
查看是否有sniffer进程
查看是否有sniffer程序
sniffer造成的危害:
由于sniffer只能在局域网环境才能实施,而且他的目的是接收网络数据,所以他不会造成直接的危害。
但是黑客窃听到的个人隐私,却有可能造成网络隐患。
拨号上网,,宽带上网这种方式是不需要害怕sniffer的,因为不存在广播网络环境。
防范sniffer:
1.数据传输的加密,ssh或者https
2.密码的加密传输
3.交换网络环境的使用