2024年4月3日发(作者:)

一.有关sniffer及sniffer的含义

sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数

据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。随着Internet

及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重

要角色之一的Sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍Sniffer

以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑

客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。他们经常使用的手

法是安装sniffer。

在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是

使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一

个以太网段上,故而在外部主机上运行sniffer是没有效果的。再者,必须以root的身份

使用sniffer 程序,才能够监听到以太网段上的数据流。谈到以太网sniffer,就必须谈到

以太网sniffing。

那么什么是以太网sniffer呢?

以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。如果

发现符合条件的包,就把它存到一个log文件中去。通常设置的这些条件是包含字

"username"或"password"的包。

它的目的是将网络层放到promiscuous模式,从而能干些事情。

Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅

是它们自己的数据。根据第二章中有关对以太网的工作原理的基本介绍,可以知道:一个

设备要向某一目标发送数据时,它是对以太网进行广播的。一个连到以太网总线上的设备

在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程序。

利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从

而实现sniffer。

sniffer通常运行在路由器,或有路由器功能的主机上。这样就能对大量的数据进行监

控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统,然后使用sniffer这

种攻击手段,以便得到更多的信息。

sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个其他重要的

信息,在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数据包。黑

客会使用各种方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。

在Solaris 2.x平台上,sniffer 程序通常被安装在/usr/bin 或/dev目录下。黑客还会巧妙

的修改时间,使得sniffer程序看上去是和其它系统程序同时安装的。

大多数以太网sniffer程序在后台运行,将结果输出到某个记录文件中。黑客常常会修

改ps程序,使得系统管理员很难发现运行的sniffer程序。

以太网sniffer程序将系统的网络接口设定为混合模式。这样,它就可以监听到所有流

经同一以太网网段的数据包,不管它的接受者或发送者是不是运行sniffer的主机。 程序

将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如

一周后,再回到这里下载记录文件。