防御sniffer(嗅探器)技术和原理

防御sniffer(嗅探器)***技术及原理分析
sniffer可以获取用户账号和密码，可以获取商用机密数据等。
大多数人仅仅为了探测内网中的主机并取得控制权，只有那些“雄心勃勃”的人，为了控制整个网络才会安装特洛伊***和后门程序，并清除记录，他们经常使用的手法就是安装sniffer.

要求：
1.运行sniffer程序的主机和被监听的主机必须在同一个网段上
2.必须以root身份使用sniffer.
捕获在网络中传输的数据信息就称为sniffing
以太网sniffing指对以太网设备上传送的感兴趣的数据包(通常设置这些条件包含“username”“password”)进行监听，并存到一个log文件中。
它的目的是放到promiscuous模式(一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式)，从而能干些事情。
这种第二层次的***，通常是***者已经进入了目标系统(通过internet进入到了某一个局域网)之后才用sniffer
sniffer通常运行在路由器，或有路由功能的主机上。
***通过其他手段将sniffer安装在主机上，定期下载截获的数据包log文件。
总之：sniffer就是***的手段和工具，一旦***获得以太主机的权限，并将其置于“混杂”模式以窃听网络数据，有可能***整个局域网。

2.工作原理：
通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件(mac)地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址!(代表所有的接口地址)，在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有"广播地址"。

在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

而Sniffer就是一种能将本地nc状态设成(promiscuous)状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址!!!"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的nc具备置成 promiscuous方式的能力)

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：Sniffer是极其安静的，它是一种消极的安全***。
_________________________________________
通常Sniffer所要关心的内容可以分成这样几类：

1、口令

我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使***者在家里边吃肉串边想办法算出你的算法。

2、金融帐号

许多用户很放心在网上使用自己的信用卡或现金帐号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.

3、偷窥机密或敏感的信息数据

通过拦截数据包，***者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

4、窥探低级的协议信息。

这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法***的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，(通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出)如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。(对于高级的hacker而言，我想这是使用Sniffer***的唯一理由吧)

三.Sniffer的工作环境

snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：

1.标准以太网

2.TCP/IP

3.IPX

4.DECNet

嗅探器通常是软硬件的结合。专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。

嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的——例如将以太网卡设置成杂收模式。(为了理解杂收模式是怎么回事，先解释局域网是怎么工作的)。

数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。(例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。

帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。

每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器(这一点于Internet地址系统比较相似)。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。

在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应(换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据)。

如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它(包括其软件)就是一个嗅探器。

嗅探器可能造成的危害：

1.嗅探器能够捕获口令

2.能够捕获专用的或者机密的信息

3.可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限

事实上，如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。(大家可以试试天行2的嗅探功能)

一般我们只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西……

以上的相关内容就是对Sniffer含义及工作原理的介绍，望你能有所收获。

 

转载于:https://blog.51cto.com/honglingjin2011/496154