文章內(nèi)容

認(rèn)識黑客入侵的利器嗅探軟件逐個了解

發(fā)布時(shí)間: 2012/7/4 15:13:49

嗅探器(也稱網(wǎng)絡(luò)分析器)是種能夠察看網(wǎng)絡(luò)傳輸、將其解碼并為網(wǎng)管提供可用的數(shù)據(jù)的一種軟件。網(wǎng)管可以使用它提供的數(shù)據(jù)來診斷網(wǎng)絡(luò)存在的問題。而惡意用戶還會利用嗅探器來從網(wǎng)絡(luò)上獲取存儲在文本中的密碼。下面列舉一些常用的專用嗅探器：NAI嗅探器(商用)、Wireshark(以前叫Ethereal，是一種Linux，Windows以及其他平臺上使用的開發(fā)源碼的圖形用戶界面的嗅探器)、TCPDump(開放源碼命令行嗅探器，在Unix類的操作系統(tǒng)上使用，如Linux或者FreeBSD)，還有它的Windows版——WinDump。

　　首先我們來說明一下一些網(wǎng)絡(luò)基本知識。大多數(shù)的以太網(wǎng)都是一根總線的拓?fù)浣Y(jié)構(gòu)，使用同軸電纜或者雙絞線和hub連通。網(wǎng)絡(luò)上的所有節(jié)點(diǎn)(計(jì)算機(jī)和其他設(shè)備)都可以通過同樣的線路通信，并且使用稱為載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)的方案依次發(fā)送數(shù)據(jù)。你可以把CSMA/CD看作是在一個很吵鬧的宴會中的兩人對話，你需要等一會兒，等別人說話的間歇才有機(jī)會發(fā)言。網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都有自己唯一的MAC(媒體訪問控制)地址，他們使用該地址互相發(fā)送信息包。通常，節(jié)點(diǎn)只會關(guān)注目的地是自己的MAC地址的那些信息包。但是如果網(wǎng)卡被設(shè)置成混雜模式的話，那它就會察看它連接的線路上的所有數(shù)據(jù)包。

　　為了減少沖突數(shù)量、降低嗅探不屬于某節(jié)點(diǎn)的數(shù)據(jù)的可能性，大多數(shù)網(wǎng)絡(luò)都使用了交換機(jī)。在網(wǎng)絡(luò)中，hub是種無源設(shè)備，它會將接收到的所有傳輸發(fā)送到它的所有端口。而交換機(jī)則察看它所連接的所有節(jié)點(diǎn)的MAC地址以及所在端口，然后把那些數(shù)據(jù)包只發(fā)給它的目標(biāo)節(jié)點(diǎn)。交換機(jī)大大降低了網(wǎng)路中的沖突數(shù)量，增大了網(wǎng)絡(luò)的吞吐量。理論上，使用交換機(jī)的網(wǎng)絡(luò)中，每個節(jié)點(diǎn)只能收到廣播消息(發(fā)給局域網(wǎng)上所有計(jì)算機(jī)的消息)以及專門發(fā)送給它的MAC地址的數(shù)據(jù)包，還有偶爾出現(xiàn)的不知道目標(biāo)地址的數(shù)據(jù)包。但是即使在局域網(wǎng)中使用交換機(jī)，它還是有可能被人使用某些交換機(jī)上的鏡像端口而嗅探(這些鏡像端口本來是網(wǎng)管分析網(wǎng)絡(luò)問題時(shí)使用的)，嗅探者可以誤導(dǎo)交換機(jī)使其將數(shù)據(jù)映射給所有端口或者使用一種稱為ARP病毒的技術(shù)(后面會詳細(xì)講到)。

　　以上講述的是以太網(wǎng)絡(luò)的一些基本知識，而WiFi(801.11a/801.11b/801.11g/801.11n)則與之完全不同。無線局域網(wǎng)很像使用hub的以太局域網(wǎng)。局域網(wǎng)中所有計(jì)算機(jī)都能看到發(fā)送給別的計(jì)算機(jī)的數(shù)據(jù)，但通常他們可以設(shè)置成忽略這些信息。(事實(shí)上，比這復(fù)雜，但是我篇幅有限，就不詳細(xì)講那錯綜復(fù)雜的80.211網(wǎng)絡(luò)了)。但如果網(wǎng)卡是設(shè)置成混雜模式的話，那么它就不會忽略發(fā)送給其他計(jì)算機(jī)的數(shù)據(jù)，而是會察看這些數(shù)據(jù)，允許使用嗅探器的用戶看到附在同一訪問點(diǎn)的發(fā)送給其他用戶的數(shù)據(jù)�；祀s模式在Windows和Linux(或者其他類似Unix的操作系統(tǒng))的有線網(wǎng)卡上運(yùn)行得很有效，但是并不是所有的無線網(wǎng)卡都能很好地支持該模式(比如Intel的叫做IPW2200的Centrino 802.11g芯片)。如果嗅探器的網(wǎng)卡不支持混雜模式，那么嗅探者就得把它附到無線網(wǎng)絡(luò)的WAP(無線接入點(diǎn))上才能看到其他數(shù)據(jù)。如果攻擊者使用的是Linux(或者類似Unix的操作系統(tǒng))，如果網(wǎng)卡支持的話，它可能可以使用監(jiān)聽模式。在監(jiān)聽模式下，無線網(wǎng)卡直接監(jiān)聽無線電波中的原始信息包而無需WAP的輔助。從攻擊者角度看，監(jiān)聽模式的好處是：由于不需要WAP，他們的活動不會留下任何痕跡，也不用在網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包。

　　由于WiFi網(wǎng)絡(luò)使用的安全協(xié)議各有不同，因此嗅探WiFi網(wǎng)絡(luò)變得更加復(fù)雜。如果你的網(wǎng)卡支持混雜模式并且你能使用WEP(也就是說你知道WEP密鑰)連接到無線網(wǎng)絡(luò)，你就可以嗅探幾乎所有你想要獲得的信息。如果網(wǎng)絡(luò)使用的是WPA，就沒那么容易了，因?yàn)榧词鼓阒烂艽a，你也不一定能解碼那些你沒有參與的網(wǎng)絡(luò)對話中的所有數(shù)據(jù)。但是，你卻有可能進(jìn)行ARP病毒攻擊或者使用其它的MitM(有人參與其中)攻擊，從而獲得數(shù)據(jù)路由。

　　網(wǎng)管們應(yīng)當(dāng)注意嗅探器的很多合法用途。網(wǎng)管可以用它們找出網(wǎng)絡(luò)上出問題的計(jì)算機(jī)，比如占用太多帶寬，網(wǎng)絡(luò)設(shè)置錯誤或者正在運(yùn)行惡意軟件等等。我覺得它們在找出黑客攻擊方面非常有用，我可以用它們嗅探自己的服務(wù)器找出那些不正常的傳輸。學(xué)會用嗅探器來找出網(wǎng)絡(luò)的問題的話，每個系統(tǒng)管理員都能很好地完成自己的工作，我推薦你們使用Wireshark，因?yàn)樗敲赓M(fèi)的、跨平臺的并且能夠找到大量的相關(guān)資料(可以從本文結(jié)尾的鏈接中找到更多信息)。

　　那些想要繞過安全措施的人也可以用嗅探器。很多流行的應(yīng)用協(xié)議把登陸憑證(用戶名和密碼)以純文本的形式傳遞或者使用加密性差的形式傳送。這些不安全的協(xié)議包括FTP、Telnet、POP3、SMTP還有HTTP基本驗(yàn)證。這種情況下應(yīng)盡量使用替代它們的SFTP，SSH(安全保護(hù)套件)，以及HTTPS(SSL)。也許你很難從FTP協(xié)議切換到別的協(xié)議，因?yàn)槭褂孟馭FTP這樣更安全的協(xié)議的客戶端并不一定總是有。較新版本的Windows(命令行的ftp.exe以及圖形用戶界面形式的瀏覽器)都支持FTP客戶端，但是你也可以下載支持SFTP的Filezilla和PSFTP的免費(fèi)客戶端。有些嗅探器擁有很強(qiáng)的提取密碼的能力，比如Cain，Dsniff以及Ettercap。這三個都是免費(fèi)或者開放源碼的。Cain只支持Windows而Dsniff和Ettercap通常在Unix環(huán)境中運(yùn)行，但也有相應(yīng)的Windows版本。
　　ARP欺騙/ARP病毒

　　ARP是指地址解析協(xié)議，它允許網(wǎng)絡(luò)將IP地址解析成MAC地址。基本上，ARP是這樣工作的：當(dāng)某個使用局域網(wǎng)IP的主機(jī)想要與另一臺主機(jī)聯(lián)絡(luò)的時(shí)候，它需要那臺主機(jī)的MAC地址。首先，它會查詢自己的ARP緩存(想要查看你的ARP緩存，在命令行中輸入ARP)，看看是否已經(jīng)知道那臺主機(jī)的MAC地址，如果沒有，它會發(fā)出廣播ARP請求，詢問誰擁有我正在找的主機(jī)的IP地址? 如果擁有該地址的主機(jī)收到該ARP請求，它就會用自己的MAC地址響應(yīng)，于是兩臺主機(jī)就可以使用IP進(jìn)行對話了。通常，在像以太網(wǎng)這樣使用Hub或者801.11b標(biāo)準(zhǔn)的總線網(wǎng)絡(luò)中，所有NICs(網(wǎng)絡(luò)接口卡)為混雜模式的主機(jī)都能收到所有的傳輸，但是在使用交換機(jī)的網(wǎng)絡(luò)中卻有所不同。交換機(jī)會查看發(fā)送給它的數(shù)據(jù)，并只把數(shù)據(jù)包傳給它的目標(biāo)MAC地址所屬主機(jī)。使用交換機(jī)的網(wǎng)絡(luò)更安全一些并且能夠提高網(wǎng)速，因?yàn)樗话褦?shù)據(jù)包發(fā)給需要去的地方。但是仍然有突破這種網(wǎng)絡(luò)的方法。使用Arpspoof(Dsniff的部分功能)，Ettercap或者Cain我們就可以欺騙局域網(wǎng)中的其他主機(jī)，告訴它們，我們就是它們要找的那個主機(jī)，把它們傳輸通過我們來轉(zhuǎn)發(fā)。

　　即使是使用交換機(jī)的網(wǎng)絡(luò)，攻擊者也可以很容易地從恢復(fù)啟動CD中使用Dsniff或者Ettercap，來進(jìn)行ARP欺騙并將傳輸轉(zhuǎn)為通過它們來進(jìn)行。這些工具甚至能夠自動解析出用戶名和密碼，這給使用者提供極大的便利。如果攻擊者在網(wǎng)關(guān)和FTP服務(wù)器之間進(jìn)行ARP欺騙，那么它就能嗅探傳輸并在用戶試圖從站點(diǎn)外獲取數(shù)據(jù)的時(shí)候提取用戶名和密碼，使用SMTP和POP3也是一樣。即使是用SFTP、SSL以及SSH，仍然可以用Ettercap嗅探密碼，因?yàn)樵摴ぞ呖梢源砟切╊愋偷倪B接。用戶可能會收到警告說，他們試圖獲得的服務(wù)器的公共密鑰已經(jīng)被修改，或者可能不合法，但是我們中有多少人只是將那些信息關(guān)閉而根本不讀呢?

　　圖1中的圖片說明了ARP欺騙/ARP病毒如何工作的�；旧�，攻擊者跟Alan的電腦說，他就是Brain的電腦，反之亦然。這樣，攻擊者把Alan和Brain之間的網(wǎng)絡(luò)傳輸全部接收過來了。一旦攻擊者在兩個節(jié)點(diǎn)之間進(jìn)行了ARP欺騙，他就可以用任何他喜歡的工具進(jìn)行嗅探(TCPDump、Wireshark、Ngrep等等)。在網(wǎng)關(guān)和電腦之間進(jìn)行ARP欺騙的話，攻擊者可以看到電腦正在發(fā)送和從網(wǎng)上接收的所有數(shù)據(jù)。本文中我只會講到如何使用這些工具。

　　使用Dsniff和Ettercap快速演示ARP欺騙

　　讓我們從Dug Song的、支持Dsniff的ARPspoof程序開始吧。我使用的Unix版本，但是你可以找到Win32版本的。運(yùn)行Dsniff最簡單的方法就是從恢復(fù)啟動CD啟動。首先你應(yīng)該確定包轉(zhuǎn)發(fā)已經(jīng)開啟，不然我們的機(jī)器會丟棄所有我們想要嗅探的主機(jī)之間的傳輸，導(dǎo)致服務(wù)無響應(yīng)。我用的一些工具會自動進(jìn)行這項(xiàng)工作(比如Ettercap)，但是保險(xiǎn)起見，你也許會希望自己來做這件事。根據(jù)操作系統(tǒng)的不同，你可以使用如下的命令：

　　Linux：

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　BSD：

　　sysctl -w net.inet.ip.forwarding=1

　　現(xiàn)在你的計(jì)算機(jī)將把轉(zhuǎn)發(fā)所有的傳輸，現(xiàn)在你可以開始ARP欺騙了。我們假設(shè)你想要嗅探一個主機(jī)和網(wǎng)關(guān)之間的所有傳輸，這樣你就可以看到它發(fā)送到網(wǎng)絡(luò)上的所有數(shù)據(jù)。如果想要獲得雙向的所有傳輸，你應(yīng)當(dāng)使用如下2個命令行：

　　arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null

　　arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null

　　“& >/dev/nul”部分是為了使它在終端運(yùn)行起來更容易，但是為了debug，你可能想要忽略它�，F(xiàn)在你可以使用你想要的任何套件來嗅探連接。新手的話，我推薦使用Dsniff，它支持ARPspoof來嗅探純文本密碼。用Dsniff開始嗅探，你只需退出到命令窗口并輸入：

　　dsniff

　　Dsniff找到用戶名和密碼后，它會將它們顯示在屏幕上。如果你想要查看所有其他傳輸，我推薦你使用TCPDump或者 Wireshark。如果想要停止ARP欺騙，輸入如下命令：

　　killall arpspoof

　　這會關(guān)閉上面啟動的2個Arpspoof。

　　另一個很棒的工具是Ettercap，它相當(dāng)于ARP病毒和密碼嗅探界的瑞士軍刀。我通常在非互動模式中使用它，但是默認(rèn)情況下它的交互界面非常友好，使用起來很方便。如果你想要使用Ettercap來進(jìn)行ARP病毒，你可以使用下面示范的命令例句。如果我們的目標(biāo)是網(wǎng)絡(luò)上的所有主機(jī)，想要嗅探每個節(jié)點(diǎn)之間的所有傳輸，我們可以用下列命令：

　　ettercap -T -q -M ARP // //

　　你應(yīng)當(dāng)謹(jǐn)慎的使用上面那段命令，因?yàn)槿绻岩粋€大網(wǎng)絡(luò)中所有的傳輸都通過一臺很慢的計(jì)算機(jī)的話，那么這很有可能使整個網(wǎng)絡(luò)連接癱瘓。

　我們可以找個替罪羊，來看看Ip地址為192.168.1.1的主機(jī)，我們可以使用如下命令：

　　ettercap -T -q -M ARP /192.168.1.1/ //

　　如果192.168.1.1是網(wǎng)關(guān)，我們應(yīng)該可以看到所有的輸出傳輸。下面是這些命令行選項(xiàng)的功能：

　　-T 告訴Ettercap使用文字界面，我最喜歡這個選項(xiàng)，因?yàn)镚UI模式太復(fù)雜了。

　　-q 讓Ettercap安靜些，換句話說就是少些冗長的文字報(bào)告。

　　-M 讓Ettercap我們想要使用的MITM(人參與其中)方式，本例中是ARP病毒。

　　其他工具

　　我還想說很多其他的工具。首先就是Cain，這個Windows用戶會覺得很好用�？傊δ軓�(qiáng)大，操作簡單。

　　如果你喜歡漂亮的圖形界面，Cain就是你很好的選擇之一。它不像Ettercap那么多選項(xiàng)，但是很酷也有很多Windows附加功能。

　　還有為了查看特定內(nèi)容的專門的嗅探器。Driftnet能夠分析出人們上網(wǎng)看到的圖片。

　　這些也是嗅探器比如P0f，它讓你被動得知網(wǎng)絡(luò)傳輸?shù)牟僮飨到y(tǒng)。

　　以上說的只是眾多專門的嗅探器中的一小部分，僅僅是冰山的一角。

　　減輕嗅探攻擊的危害

　　人們可以使用不少方法來緩解嗅探攻擊的危害：

　　1.不使用像HTTp驗(yàn)證以及Telnet這些不安全的協(xié)議。事實(shí)上，你應(yīng)當(dāng)嗅探自己的網(wǎng)絡(luò)，看看這些工具都列出了哪些能提取的密碼。

　　2.如果你不得不使用不安全的協(xié)議，那你最好能把敏感信息加密后再傳送出去。

　　3.察看臨界工作站和服務(wù)器之間的靜態(tài)ARP表。這種方法不易維持，但是可以限制arp欺騙。

　　4.運(yùn)行ARPWatch等軟件來檢測你的網(wǎng)絡(luò)物理地址，看看它是不是變成指向嗅探器的了。

　　5.運(yùn)行Sniffdet和Sentinel來檢測網(wǎng)卡是否出于混雜模式，是否運(yùn)行了嗅探軟件。

　　6.讓從外部進(jìn)入你的設(shè)備的、使用Wi-Fi的筆記本使用VPN來連接到網(wǎng)絡(luò)。

　　7.鎖住工作站，這樣用戶就無法安裝嗅探軟件或者像Knoppix那樣從CD運(yùn)行嗅探軟件。

　　8.把員工工作站和服務(wù)器與公共終端隔離到不同的局域網(wǎng)中。

　　希望這篇文章能給你提供些許幫助。

本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 安全專家淺談防火墻分類及應(yīng)用
下一篇 >> 個人IE安全優(yōu)化技巧幾則

亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

認(rèn)識黑客入侵的利器嗅探軟件逐個了解

同類文章

億恩公告

在線客服

認(rèn)識黑客入侵的利器 嗅探軟件逐個了解

億恩公告

在線客服

認(rèn)識黑客入侵的利器嗅探軟件逐個了解