此文章主要向大家講述的是Sniffer攻擊含義以及對(duì)其工作原理的描述，sniffers（嗅探器）幾乎與internet有一樣發(fā)展歷史了.Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶(hù)的帳號(hào)和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。

　　隨著Internet及電子商務(wù)的日益普及,Internet的安全也越來(lái)越受到重視。

　　一.有關(guān)sniffer及sniffer的含義

　　sniffers（嗅探器）幾乎和internet有一樣久的歷史了.Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶(hù)的帳號(hào)和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。隨著Internet及電子商務(wù)的日益普及,Internet的安全也越來(lái)越受到重視。在Internet安全隱患中扮演重要角色之一的Sniffer以受到越來(lái)越大的關(guān)注，所以今天我要向大家介紹一下介紹Sniffer以及如何阻止sniffer。

　　大多數(shù)的黑客僅僅為了探測(cè)內(nèi)部網(wǎng)上的主機(jī)并取得控制權(quán)，只有那些"雄心勃勃"的黑客，為了控制整個(gè)網(wǎng)絡(luò)才會(huì)安裝特洛伊木馬和后門(mén)程序，并清除記錄。他們經(jīng)常使用的手法是安裝sniffer。

　　在內(nèi)部網(wǎng)上，黑客要想迅速獲得大量的賬號(hào)（包括用戶(hù)名和密碼），zui為有效的手段是使用 "sniffer" 程序。這種方法要求運(yùn)行Sniffer 程序的主機(jī)和被監(jiān)聽(tīng)的主機(jī)必須在同一個(gè)以太網(wǎng)段上，故而在外部主機(jī)上運(yùn)行sniffer是沒(méi)有效果的。再者，必須以root的身份使用sniffer 程序，才能夠監(jiān)聽(tīng)到以太網(wǎng)段上的數(shù)據(jù)流。談到以太網(wǎng)sniffer，就必須談到以太網(wǎng)sniffing。

　　那么什么是以太網(wǎng)sniffer攻擊呢?

　　以太網(wǎng)sniffing是指對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè)Log文件中去。通常設(shè)置的這些條件是包含字"username"或"password"的包。

　　它的目的是將網(wǎng)絡(luò)層放到promiscuous模式，從而能干些事情。

　　Promiscuous模式是指網(wǎng)絡(luò)上的所有設(shè)備都對(duì)總線上傳送的數(shù)據(jù)進(jìn)行偵聽(tīng)，并不僅僅是它們自己的數(shù)據(jù)。根據(jù)第二章中有關(guān)對(duì)以太網(wǎng)的工作原理的基本介紹，可以知道：一個(gè)設(shè)備要向某一目標(biāo)發(fā)送數(shù)據(jù)時(shí)，它是對(duì)以太網(wǎng)進(jìn)行廣播的。一個(gè)連到以太網(wǎng)總線上的設(shè)備在任何時(shí)間里都在接受數(shù)據(jù)。不過(guò)只是將屬于自己的數(shù)據(jù)傳給該計(jì)算機(jī)上的應(yīng)用程序。

　　利用這一點(diǎn)，可以將一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接設(shè)置為接受所有以太網(wǎng)總線上的數(shù)據(jù)，從而實(shí)現(xiàn)sniffer。

　　sniffer通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。這樣就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用sniffer這種攻擊手段，以便得到更多的信息。

　　sniffer除了能得到口令或用戶(hù)名外，還能得到更多的其他信息，比如一個(gè)其他重要的信息，在網(wǎng)上傳送的金融信息等等。sniffer幾乎能得到任何以太網(wǎng)上的傳送的數(shù)據(jù)包。黑客會(huì)使用各種方法，獲得系統(tǒng)的控制權(quán)并留下再次侵入的后門(mén)，以保證sniffer能夠執(zhí)行。在Solaris 2.x平臺(tái)上，sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會(huì)巧妙的修改時(shí)間，使得sniffer程序看上去是和其它系統(tǒng)程序同時(shí)安裝的。

　　大多數(shù)以太網(wǎng)sniffer程序在后臺(tái)運(yùn)行，將結(jié)果輸出到某個(gè)記錄文件中。黑客常常會(huì)修改ps程序，使得系統(tǒng)管理員很難發(fā)現(xiàn)運(yùn)行的sniffer程序。

　　以太網(wǎng)sniffer程序?qū)⑾到y(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混合模式。這樣，它就可以監(jiān)聽(tīng)到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包，不管它的接受者或發(fā)送者是不是運(yùn)行sniffer的主機(jī)。 程序?qū)⒂脩?hù)名、密碼和其它黑客感興趣的數(shù)據(jù)存入log文件。黑客會(huì)等待一段時(shí)間 ----- 比如一周后，再回到這里下載記錄文件。

　　講了這么多，那么到底我們可以用什么通俗的話(huà)來(lái)介紹sniffer呢?

　　計(jì)算機(jī)網(wǎng)絡(luò)與電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通訊通道的。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱(chēng)為sniffing（竊聽(tīng)）。

　　以太網(wǎng)是現(xiàn)在應(yīng)用zui廣泛的計(jì)算機(jī)連網(wǎng)方式。以太網(wǎng)協(xié)議是在同一回路向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的正確地址。一般情況下只有具有該地址的主機(jī)會(huì)接受這個(gè)數(shù)據(jù)包。如果一臺(tái)主機(jī)能夠接收所有數(shù)據(jù)包，而不理會(huì)數(shù)據(jù)包頭內(nèi)容，這種方式通常稱(chēng)為"混雜" 模式。

　　由于在一個(gè)普通的網(wǎng)絡(luò)環(huán)境中，帳號(hào)和口令信息以明文方式在以太網(wǎng)中傳輸， 一旦入侵者獲得其中一臺(tái)主機(jī)的root權(quán)限，并將其置于混雜模式以竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，從而有可能入侵網(wǎng)絡(luò)中的所有計(jì)算機(jī)。

　　一句話(huà)，sniffer就是一個(gè)用來(lái)竊聽(tīng)的黑客手段和工具。

　　二、sniffer攻擊的工作原理

　　通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個(gè)網(wǎng)絡(luò)接口都還應(yīng)該有一個(gè)硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時(shí)，每個(gè)網(wǎng)絡(luò)至少還要一個(gè)廣播地址。（代表所有的接口地址），在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：

　　1、幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。

　　2、幀的目標(biāo)區(qū)域具有"廣播地址"。

　　在接受到上面兩種情況的數(shù)據(jù)包時(shí)，nc通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理。

　　而sniffer就是一種能將本地nc狀態(tài)設(shè)成（promiscuous）狀態(tài)的軟件，當(dāng)nc處于這種"混雜"方式時(shí)，該nc具備"廣播地址"，它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。（絕大多數(shù)的nc具備置成 promiscuous方式的能力）

　　可見(jiàn)，sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。

　　通常sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類(lèi)：

　　1、口令

　　我想這是絕大多數(shù)非法使用sniffer的理由，sniffer可以記錄到明文傳送的userid和passwd.就算你在網(wǎng)絡(luò)傳送過(guò)程中使用了加密的數(shù)據(jù)，sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。

　　2、金融帳號(hào)

　　許多用戶(hù)很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào)，然而sniffer可以很輕松截獲在網(wǎng)上傳送的用戶(hù)姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和pin.

　　3、偷窺機(jī)密或敏感的信息數(shù)據(jù)

　　通過(guò)攔截?cái)?shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個(gè)的會(huì)話(huà)過(guò)程。

　　4、窺探低級(jí)的協(xié)議信息。

　　這是很可怕的事，我認(rèn)為，通過(guò)對(duì)底層的信息協(xié)議記錄，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口IP地址、ip路由信息和tcp連接的字節(jié)順序號(hào)碼等。這些信息由非法入侵的人掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害，通常有人用sniffer收集這些信息只有一個(gè)原因：他正在進(jìn)行一次欺詐，（通常的ip地址欺詐就要求你準(zhǔn)確插入tcp連接的字節(jié)順序號(hào),這將在以后整理的文章中指出）如果某人很關(guān)心這個(gè)問(wèn)題，那么sniffer對(duì)他來(lái)說(shuō)只是前奏，今后的問(wèn)題要大得多。（對(duì)于的hacker而言，我想這是使用sniffer攻擊的*理由吧）

　　三.sniffer的工作環(huán)境

　　snifffer就是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備。嗅探器的正當(dāng)用處在于分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。例如,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好,報(bào)文的發(fā)送比較慢,而我們又不知道問(wèn)題出在什么地方,此時(shí)就可以用嗅探器來(lái)作出的問(wèn)題判斷。

嗅探器在功能和設(shè)計(jì)方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：

　　1.標(biāo)準(zhǔn)以太網(wǎng)

　　2.TCP/IP

　　3.IPX

　　4.DECNet

　　嗅探器通常是軟硬件的結(jié)合。的嗅探器價(jià)格非常昂貴。另一方面，免費(fèi)的嗅探器雖然不需要花什么錢(qián)，但得不到什么支持。

　　嗅探器與一般的鍵盤(pán)捕獲程序不同。鍵盤(pán)捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過(guò)將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的——例如將以太網(wǎng)卡設(shè)置成雜收模式。（為了理解雜收模式是怎么回事，先解釋局域網(wǎng)是怎么工作的）。

　　數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱(chēng)為幀（Ftame）的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。（例如，以太網(wǎng)的前12個(gè)字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來(lái)源和去處。以太網(wǎng)幀的其他部分存放實(shí)際的用戶(hù)數(shù)據(jù)、TCP/IP的報(bào)文頭或IPX報(bào)文頭等等）。

　　幀通過(guò)特定的稱(chēng)為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)造成安全方面的問(wèn)題。

　　每一個(gè)在LAN上的工作站都有其硬件地址。這些地址*地表示著網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)于Internet地址系統(tǒng)比較相似）。當(dāng)用戶(hù)發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。

　　在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)（換句話(huà)說(shuō)，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單的忽略這些數(shù)據(jù)）。

　　如果某在工作站的網(wǎng)絡(luò)接口處于雜收模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一個(gè)工作站被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。

　　嗅探器可能造成的危害：

　　1.嗅探器能夠捕獲口令

　　2.能夠捕獲的或者機(jī)密的信息

　　3.可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更別的訪問(wèn)權(quán)限

　　事實(shí)上，如果你在網(wǎng)絡(luò)上存在非*的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。（大家可以試試天行2的嗅探功能）

　　一般我們只嗅探每個(gè)報(bào)文的前200到300個(gè)字節(jié)。用戶(hù)名和口令都包含在這一部分中，這是我們關(guān)心的真正部分。工人，也可以嗅探給定接口上的所有報(bào)文，如果有足夠的空間進(jìn)行存儲(chǔ)，有足夠的那里進(jìn)行處理的話(huà)，將會(huì)發(fā)現(xiàn)另一些非常有趣的東西……

　　以上的相關(guān)內(nèi)容就是對(duì)Sniffer含義及工作原理的介紹，望你能有所收獲。