本文是一簡單的關(guān)于SHIFFER的描述,對于不太知道SNIFFER的人來說可能適用,高手就免進(jìn)了,要深一層次的就看如袁哥,BACKEND寫的文章吧。 Ethernet監(jiān)聽的可能性比較高,因為Ethernet網(wǎng)是一個廣播型的網(wǎng)絡(luò),困擾著INTERNET的大多數(shù)包監(jiān)聽時間都是一些運行在一臺計算機(jī)中的包監(jiān)聽程序的結(jié)果。這臺計算機(jī)和其他計算機(jī),一個網(wǎng)關(guān)或者路由器形成一個以太網(wǎng)。 FDDIToken-監(jiān)聽的可能性也比較高,盡管令牌網(wǎng)內(nèi)的并不是一個廣播型網(wǎng)絡(luò),ring實際上,帶有令牌的那些包在傳輸過程中,平均要經(jīng)過網(wǎng)絡(luò)上一半的計算機(jī)。但高的傳輸率將使監(jiān)聽變得困難。 電話線監(jiān)聽的可能性中等,電話線可以被一些與電話公司協(xié)作的人或者一些有機(jī)會在物理上訪問到線路的人搭線竊聽,在微波線路上的信息也會被截獲。在實際中,高速的MODEM比低速的MODEM搭線困難的多,因為高速MODEM引入了許多頻率。 IP通過有監(jiān)聽的可能性比較高,使用有線電視信道發(fā)送IP數(shù)據(jù)包依靠RF調(diào)制線電視信道解調(diào)器,RF調(diào)制解調(diào)器使用一個TV通道用于上行,一個用于下行。 微波和監(jiān)聽的可能性比較高,無線電本來是一個廣播型的傳輸媒介,任何一個有無線電接受機(jī)的人可以截獲那些傳輸?shù)男畔ⅰ?/p>現(xiàn)在多數(shù)的SNIFFER只監(jiān)視連接時的信息包,原因是SNIFFER如果接受全部的信息包,一個是LOG記錄極其大,而且會占用大量的CPU時間,所以在一個擔(dān)負(fù)繁忙任務(wù)的計算機(jī)中進(jìn)行監(jiān)聽,由于占用的CPU和帶寬就可以懷疑有SNIFFER在工作,當(dāng)你覺得有異常現(xiàn)象的時候就先需要一些簡單的方法檢測。 SNIFFIT:這是一個比較的SNIFFER,它由BrechtClearhout所寫,這是你應(yīng)該最先用的程序,這個SNIFFER默認(rèn)狀態(tài)下只接受最先的400個字節(jié)的信息包,這對于一次登陸會話進(jìn)程剛剛好。:p SNORT:這個SNIFFER有很多選項供你使用并可移植性強(qiáng),可以記錄一些連接信息,用來跟蹤一些網(wǎng)絡(luò)活動。 TCPDUMP:這個SNIFFER很有名,F(xiàn)REEBSD還搭帶在系統(tǒng)上,是一個被很多UNIX高手認(rèn)為是一個專業(yè)的網(wǎng)絡(luò)管理工具,記得以前TsutomuShimomura(應(yīng)該叫下村侵吧)就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統(tǒng)的記錄,后來就配合FBI抓住了KEVINMITNICK,后來他寫了一文:使用這些LOG記錄描述了那次的攻擊,HowMitnickhackedTsutomuShimomurawithanIPsequenceattack(http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt) ADMsniff:這是非常有名的ADM黑客集團(tuán)寫的一個SNIFFER程序。 linsniffer:這是一個專門設(shè)計雜一LINUX平臺上的SNIFFER。 Esniffer:這個也是一個比較有名的SNIFFER程序。 Sunsniff:這個是用在SUNOS系統(tǒng)上的SNIFFER,此程序應(yīng)該在十年前推出的吧。 Solsniffer:這是個Solarissniffer,主要是修改了SunSniff專門用來可以 這些程序attrition收集起來了,大家可以到下面的URL下載: 一些流行的檢測SNIFFER的程序: http://www.attrition.org/security/newbie/security/sniffer/promisc.c--是一個很小的C程序,當(dāng)編譯好后,會查找本地機(jī)器上任何處于雜亂模式的NIC網(wǎng)絡(luò)適配卡。 http://www.attrition.org/security/newbie/security/sniffer/neped.c--是一個用來遠(yuǎn)程檢查任何嗅探活動的程序,可惜它只在LINUX下編譯,當(dāng)然你也可以簡單的使用ifconfig-a來檢查你的UNIX機(jī)器是否有PROMISC標(biāo)志。 http://www.l0pht.com/antisniff/這是L0pht寫的很好的反SNIFFER程序,L0PHT還打算公開LINUX版本上的源碼版本。 另外,如果機(jī)器上使用兩塊網(wǎng)卡,把一塊設(shè)置為雜亂模式,并把IP地址設(shè)置為0.0.0.0,另一塊卡處于正常的模式并是正確的地址,這樣將很難發(fā)現(xiàn)SNIFFER的存在。 一些資源: 大家可以到http://www.securityfocus.com/找到很多關(guān)于SNIFFER的程序, PHRACK54(FILE10)的文章awesomearticle很好的解釋了很多方法和技巧來對付SNIFFER,
什么是SNIFFER呢?
一般我們在講的SNIFFER程序是把NIC(網(wǎng)絡(luò)適配卡,一般如以太網(wǎng)卡)置為一種叫promiscuous雜亂模式的狀態(tài),一旦網(wǎng)卡設(shè)置為這種模式,它就能是SNIFFER程序能接受傳輸在網(wǎng)絡(luò)上的每一個信息包。普通的情況下,網(wǎng)卡只接受和自己的地址有關(guān)的信息包,即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使SNIFFER能接受處理這種方式的信息,就需要系統(tǒng)支持bpf,LINUX下如SOCKET-PACKET,但一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧是不支持接受或者發(fā)送與本地計算機(jī)無關(guān)的數(shù)據(jù)包,所以為了繞過標(biāo)準(zhǔn)的TCP/IP堆棧,網(wǎng)卡就必須設(shè)置為我們剛開始將的雜亂模式,一般情況下,要激活這種方式,必須內(nèi)核支持這種偽設(shè)備bpfilter,而且需要ROOT用戶來運行這種SNIFFER程序,所以大家知道SNIFFER需要ROOT身份安裝,而你即使以本地用戶進(jìn)入了系統(tǒng),你也嗅探不到ROOT的密碼,因為不能運行SNIFFER。
基于SNIFFER這樣的模式,可以分析各種信息包可以很清楚的描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器,由于它接受任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包,所以也就存在著SNIFFER可以用來捕獲密碼,EMAIL信息,秘密文檔等一些其他沒有加密的信息。所以這成為黑客們常用的擴(kuò)大戰(zhàn)果的方法,奪取其他主機(jī)的控制權(quán)。
下面描述了一些傳輸介質(zhì)被監(jiān)聽的可能性:
在這些線路上傳輸?shù)男畔]有加密,因此,可以被一些可以物理訪問到TV電纜的人截獲。
雖然可以使用PS或者netstat的命令去查看是否有可以進(jìn)程和連接信息的轉(zhuǎn)態(tài),但入侵者改變了ps或者netstat程序也就不能發(fā)現(xiàn)這些程序了,其實修改ps命令只須短短數(shù)條SHELL命令,即可將監(jiān)聽軟件的名字過濾掉。
下面的兩個方法原理簡單,但操作起來比較困難:
1,對于懷疑運行監(jiān)聽程序的機(jī)器,用正確的IP地址和錯誤的物理地址去PING,運行監(jiān)聽程序的機(jī)器回有響應(yīng),這是因為正常的機(jī)器不接受錯誤的物理地址,處于監(jiān)聽狀態(tài)的機(jī)器能接受,如果他的IPSTACK不再次反向檢查的話,就會響應(yīng),這種方法依賴系統(tǒng)的IPSTACK,對有些系統(tǒng)可能行不通。
2,往網(wǎng)上發(fā)大量不存在的物理地址的包,由于監(jiān)聽程序?qū)⑻幚磉@些包,將導(dǎo)致性能下降,通過比較前后該機(jī)器性能(icmpechodelay等方法)加以判斷,這種方法難度較大點。
一些流行的SNIFFER
方便的在Solair平臺上編譯。
http://www.attrition.org/security/newbie/security/sniffer/
http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt
是Shimomura寫的文章(HowMitnickhackedTsutomuShimomurawithanIPsequenceattack)
。也可以到http://www.l0pht.com/站點下載Antisniffer,這確實是一個不錯的工具。
