2022年Sniffer含义及工作原理.docx

《2022年Sniffer含义及工作原理.docx》由会员分享，可在线阅读，更多相关《2022年Sniffer含义及工作原理.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年Sniffer含义及工作原理一.有关sniffer及sniffer的含义 sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。随着Internet及电子商务的日益普及,Internet的平安也越来越受到重视。在Internet平安隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今日我要向大家介绍一下介绍Sniffer以及如何阻挡sniffer。 大多数的黑客仅仅为了探测内部网上的主机并取得限制权，只有那些雄心勃勃的黑客，为了限制整个网络才会安装特洛伊木

2、马和后门程序，并清除记录。他们常常运用的手法是安装sniffer。在内部网上，黑客要想快速获得大量的账号（包括用户名和密码），最为有效的手段是运用 sniffer 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必需在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。再者，必需以root的身份运用sniffer 程序，才能够监听到以太网段上的数据流。谈到以太网sniffer，就必需谈到以太网sniffing。那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发觉感爱好的包。假如发觉符合条件的包，就把它存到一个log文件

3、中去。通常设置的这些条件是包含字username或password的包。它的目的是将网络层放到promiscuous模式，从而能干些事情。Promiscuous模式是指网络上的全部设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。依据其次章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时，它是对以太网进行广播的。一个连到以太网总线上的设备在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程序。利用这一点，可以将一台计算机的网络连接设置为接受全部以太网总线上的数据，从而实现sniffer。sniffer通常运行在路由器，或有路由器功能的主

4、机上。这样就能对大量的数据进行监控。sniffer属其次层次的攻击。通常是攻击者已经进入了目标系统，然后运用sniffer这种攻击手段，以便得到更多的信息。sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重要的信息，在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数据包。黑客会运用各种方法，获得系统的限制权并留下再次侵入的后门，以保证sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin 或/dev书目下。黑客还会奇妙的修改时间，使得sniffer程序看上去是和其它系统程序同时安装的。大多数以太

5、网sniffer程序在后台运行，将结果输出到某个记录文件中。黑客经常会修改ps程序，使得系统管理员很难发觉运行的sniffer程序。以太网sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到全部流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。 程序将用户名、密码和其它黑客感爱好的数据存入log文件。黑客会等待一段时间 - 比如一周后，再回到这里下载记录文件。讲了这么多，那么究竟我们可以用什么通俗的话来介绍sniffer呢？计算机网络与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的

6、数据信息就称为sniffing（窃听）。以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向全部主机发送数据包信息。数据包头包含有目标主机的正确地址。一般状况下只有具有该地址的主机会接受这个数据包。假如一台主机能够接收全部数据包，而不理睬数据包头内容，这种方式通常称为混杂 模式。由于在一个一般的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的全部计算机。一句话，sniffer就是一个用来窃听的黑客手段和工具。二、sniffer的工作原理通常在同一个网段的全部网络接口都有访问在物理

7、媒体上传输的全部数据的实力，而每个网络接口都还应当有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表全部的接口地址），在正常状况下，一个合法的网络接口应当只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。2、帧的目标区域具有广播地址。在接受到上面两种状况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统留意，然后将帧中所包含的数据传送给系统进一步处理。而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种混杂方式时，该nc具备广播地址，它对全部遭受到的每

8、一个帧都产生一个硬件中断以便提示操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成 promiscuous方式的实力）可见，sniffer工作在网络环境中的底层，它会拦截全部的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得留意的是：sniffer是极其宁静的，它是一种消极的平安攻击。通常sniffer所要关切的内容可以分成这样几类：1、口令我想这是绝大多数非法运用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中运用了加密的数据，sniffer记录的数据一

9、样有可能使入侵者在家里边吃肉串边想方法算出你的算法。2、金融帐号很多用户很放心在网上运用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.3、偷窥机密或敏感的信息数据通过拦截数据包，入侵者可以很便利记录别人之间敏感的信息传送，或者干脆拦截完全的email会话过程。4、窥探低级的协议信息。这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节依次号码等。这些信息由非法入侵的人驾驭后将对网络平安构成极大的危害，通常有人用sniffer收集这些信息

10、只有一个缘由：他正在进行一次欺诈，（通常的ip地址欺诈就要求你精确插入tcp连接的字节依次号,这将在以后整理的文章中指出）假如某人很关切这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是运用sniffer的唯一理由吧）二.sniffer的工作环境snifffer就是能够捕获网络报文的设备。嗅探器的正值用处在于分析网络的流量,以便找出所关切的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题推断。嗅探器在功能和设计方面有许多不同。有些只能分析一种协议，而

11、另一些可能能够分析几百种协议。一般状况下，大多数的嗅探器至少能够分析下面的协议：1.标准以太网2.TCP/IP3.IPX4.DECNet嗅探器通常是软硬件的结合。专用的嗅探器价格特别昂贵。另一方面，免费的嗅探器虽然不须要花什么钱，但得不到什么支持。嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的例如将以太网卡设置成杂收模式。（为了理解杂收模式是怎么回事，先说明局域网是怎么工作的）。数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字

12、节存放的是源和目的的地址，这些位告知网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告知操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成平安方面的问题。每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器（这一点于Internet地址系统比较相像）。当用户发送一个报文时，这些报文就会发送到LAN上全部可用的机器。在一般状况下，

13、网络上全部的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简洁的忽视这些数据）。假如某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上全部的报文和帧，假如一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。嗅探器可能造成的危害：1.嗅探器能够捕获口令2.能够捕获专用的或者机密的信息3.可以用来危害网络邻居的平安，或者用来获得更高级别的访问权限事实上，假如你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。（大家可以试试天行2的嗅探功能）一般我们只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关切的真正部分。工人，也可以嗅探给定接口上的全部报文，假如有足够的空间进行存储，有足够的那里进行处理的话，将会发觉另一些特别好玩的东西简洁的放置一个嗅探器宾将其放到随意什么地方将不会起到什么作用。将嗅探器放置