• 网站地图|收藏本站|数学学习|学习方法|电脑学习|教学大全|生活常识|句子大全|管理资料下载|范文大全
    •
    当前位置:来学啊学习教育电脑学习网络知识Sniffer简述(一)» 正文

    Sniffer简述(一)

    时间:10-14 10:16:34来源:http://www.laixuea.com 网络知识阅读:8286

    概要:什么是SNIFFER呢?一般我们在讲的SNIFFER程序是把NIC(网络适配卡,一般如以太网卡)置为一种叫promiscuous杂乱模式的状态,一旦网卡设置为这种模式,它就能是SNIFFER程序能接受传输在网络上的每一个信息包。普通的情况下,网卡只接受和自己的地址有关的信息包,即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式的信息,就需要系统支持bpf,LINUX下如SOCKET-PACKET,但一般情况下网络硬件和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包,所以为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始将的杂乱模式,一般情况下,要激活这种方式,必须内核支持这种伪设备bpfilter,而且需要ROOT用户来运行这种SNIFFER程序,所以大家知道SNIFFER需要ROOT身份安装,而你即使以本地用户进入了系统,你也嗅探不到ROOT的密码,因为不能运行SNIFFER。 基于SNIFFER这样的模式,可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器,由于

    Sniffer简述(一),标签:电脑网络知识,网络学习,http://www.laixuea.com
    什么是SNIFFER呢?

    一般我们在讲的SNIFFER程序是把NIC(网络适配卡,一般如以太网卡)置为一种叫promiscuous杂乱模式的状态,一旦网卡设置为这种模式,它就能是SNIFFER程序能接受传输在网络上的每一个信息包。普通的情况下,网卡只接受和自己的地址有关的信息包,即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式的信息,就需要系统支持bpf,LINUX下如SOCKET-PACKET,但一般情况下网络硬件和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包,所以为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始将的杂乱模式,一般情况下,要激活这种方式,必须内核支持这种伪设备bpfilter,而且需要ROOT用户来运行这种SNIFFER程序,所以大家知道SNIFFER需要ROOT身份安装,而你即使以本地用户进入了系统,你也嗅探不到ROOT的密码,因为不能运行SNIFFER。

    基于SNIFFER这样的模式,可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器,由于它接受任何一个在同一网段上传输的数据包,所以也就存在着SNIFFER可以用来捕获密码,EMAIL信息,秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法,夺取其他主机的控制权。

    下面描述了一些传输介质被****的可能性:

    Ethernet****的可能性比较高,因为Ethernet网是一个广播型的网络,困扰着INTERNET的大多数包****时间都是一些运行在一台计算机中的包****程序的结果。这台计算机和其他计算机,一个网关或者路由器形成一个以太网。

    FDDIToken-****的可能性也比较高,尽管令牌网内的并不是一个广播型网络,ring实际上,带有令牌的那些包在传输过程中,平均要经过网络上一半的计算机。但高的传输率将使****变得困难。

    ****线****的可能性中等,****线可以被一些与****公司协作的人或者一些有机会在物理上访问到线路的人搭线****,在微波线路上的信息也会被截获。在实际中,高速的MODEM比低速的MODEM搭线困难的多,因为高速MODEM引入了许多频率。

    IP通过有****的可能性比较高,使用有线电视信道发送IP数据包依靠RF调制线电视信道解调器,RF调制解调器使用一个TV通道用于上行,一个用于下行。

    在这些线路上传输的信息没有加密,因此,可以被一些可以物理访问到TV电缆的人截获。

    微波和****的可能性比较高,****电本来是一个广播型的传输媒介,任何一个有****电接受机的人可以截获那些传输的信息。

    现在多数的SNIFFER只监视连接时的信息包,原因是SNIFFER如果接受全部的信息包,一个是LOG记录极其大,而且会占用大量的CPU时间,所以在一个担负繁忙任务的计算机中进行****,由于占用的CPU和带宽就可以怀疑有SNIFFER在工作,当你觉得有异常现象的时候就先需要一些简单的方法检测。

    虽然可以使用PS或者netstat的命令去查看是否有可以进程和连接信息的转态,但入侵者改变了ps或者netstat程序也就不能发现这些程序了,其实修改ps命令只须短短数条SHELL命令,即可将****软件的名字过滤掉。

    下面的两个方法原理简单,但操作起来比较困难:

    1,对于怀疑运行****程序的机器,用正确的IP地址和错误的物理地址去PING,运行****程序的机器回有响应,这是因为正常的机器不接受错误的物理地址,处于****状态的机器能接受,如果他的IPSTACK不再次反向检查的话,就会响应,这种方法依赖系统的IPSTACK,对有些系统可能行不通。

    2,往网上发大量不存在的物理地址的包,由于****程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmpechodelay等方法)加以判断,这种方法难度较大点。

    一些流行的SNIFFER

    SNIFFIT:这是一个比较的SNIFFER,它由BrechtClearhout所写,这是你应该最先用的程序,这个SNIFFER默认状态下只接受最先的400个字节的信息包,这对于一次登陆会话进程刚刚好。:p

    SNORT:这个SNIFFER有很多选项供你使用并可移植性强,可以记录一些连接信息,用来跟踪一些网络活动。

    [1] [2]  下一页


    Tag:网络知识电脑网络知识,网络学习电脑学习 - 网络知识

    上一篇:教你Rootkit技术的木马知识(一)

    分类导航
    最新更新
    推荐热门