黑客技術(shù)之再議Sniffer
Sniffer的相關(guān)介紹請(qǐng)讀者閱讀:黑客技術(shù)之Sniffer實(shí)例,下面我們繼續(xù)看Sniffer:
sniffing 和 spoofing 一樣是作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下,用戶并不直接和該層打交道,有些甚至不知道有這一層存在,。他們只是用ftp.http.telnet.email 等,所以,應(yīng)該說(shuō)snffer的危害是相當(dāng)之大的,通常使用sniffer 是一次spoofing的開始。那么到底sniffer是怎樣的一種概念呢?
sniffer 是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。(ISS)在合理的網(wǎng)絡(luò)中,sniffer的存在對(duì)系統(tǒng)管理員是致關(guān)重要的,系統(tǒng)管理員通過(guò)sniffer可以診斷出大量的不可見模糊問(wèn)題,這些問(wèn)題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議,借助于sniffer ,系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或著相互主機(jī)的報(bào)文傳送間隔時(shí)間等等,這些信息為管理員判斷網(wǎng)絡(luò)問(wèn)題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。但是,同時(shí),如果有心之人(非系統(tǒng)管理員)使用了sniffer ,那么,他同樣也可以獲得和管理員一樣多的信息,同樣也可以對(duì)整個(gè)的網(wǎng)絡(luò)做出判斷。當(dāng)然,SPP相信他不會(huì)用這些信息去管理網(wǎng)絡(luò)。
現(xiàn)在網(wǎng)絡(luò)上到處可見免費(fèi)的sniffer , 各種平臺(tái)下的都有,我真不知道,這對(duì)管理員來(lái)說(shuō)是好事還是壞事。(參看黑客技術(shù)之Sniffer實(shí)例的文章,你可以知道現(xiàn)在找個(gè)sniffer多容易)
話說(shuō)回來(lái),那么sniffer是如何在網(wǎng)絡(luò)上實(shí)施的呢?談這個(gè)問(wèn)題之前還應(yīng)該先說(shuō)一下Ethernet的通訊. 通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力,而每個(gè)網(wǎng)絡(luò)接口都還應(yīng)該有一個(gè)硬件地址,該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址,同時(shí),每個(gè)網(wǎng)絡(luò)至少還要一個(gè)廣播地址。(代表所有的接口地址),在正常情況下,一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀:
1、幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。
2、幀的目標(biāo)區(qū)域具有“廣播地址”。
在接受到上面兩種情況的數(shù)據(jù)包時(shí),nc通過(guò)cpu產(chǎn)生一個(gè)硬件中斷,該中斷能引起操作系統(tǒng)注意,然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理。而sniffer 就是一種能將本地nc狀態(tài)設(shè)成(promiscuous)狀態(tài)的軟件,當(dāng)nc處于這種“混雜”方式時(shí),該nc具備“廣播地址”,它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。(絕大多數(shù)的nc具備置成promiscuous方式的能力)可見,sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層,它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù),并且通過(guò)相應(yīng)的軟件處理,可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容,進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。
值得注意的是:sniffer是極其安靜的,它是一種消極的安全攻擊,通常sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類:
1、口令
我想這是絕大多數(shù)非法使用sniffer的理由,sniffer可以記錄到明文傳送的userid 和passwd.就算你在網(wǎng)絡(luò)傳送過(guò)程中使用了加密的數(shù)據(jù),sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。
2、金融帳號(hào)
許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào),然而 sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和pin.
3、偷窺機(jī)密或敏感的信息數(shù)據(jù)
通過(guò)攔截?cái)?shù)據(jù)包,入侵者可以很方便記錄別人之間敏感的信息傳送,或者干脆攔截整個(gè)的email會(huì)話過(guò)程。
4、窺探低級(jí)的協(xié)議信息。
這是很可怕的事,我認(rèn)為,通過(guò)對(duì)底層的信息協(xié)議記錄,比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口ip地址、ip路由信息和tcp連接的字節(jié)順序號(hào)碼等。這些信息由非法入侵的人掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害,通常有人用sniffer收集這些信息只有一個(gè)原因:他正在進(jìn)行一次欺詐,(通常的 ip 地址欺詐就要求你準(zhǔn)確插入tcp連接的字節(jié)順序號(hào),這將在以后整理的文章中指出)如果某人很關(guān)心這個(gè)問(wèn)題,那么sniffer對(duì)他來(lái)說(shuō)只是前奏,今后的問(wèn)題要大條得多。(對(duì)于高級(jí)的hacker而言,我想這是使用sniffer的唯一理由吧)
那么,通過(guò)交換設(shè)備(網(wǎng)橋、交換機(jī)、路由等)所形成的網(wǎng)絡(luò)邊界是否可以有sniffer存在的空間呢?我想這是一個(gè)有趣的問(wèn)題。能形成網(wǎng)絡(luò)邊界的交換設(shè)備并不是把來(lái)自一邊的所有的幀都丟到另一邊的。他們通常允許某些報(bào)文通過(guò)邊界而阻止某些報(bào)文(特別是網(wǎng)絡(luò)廣播)通過(guò)邊界。因此從理論上講,通過(guò)交換設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行分段后,sniffer將無(wú)法透過(guò)邊界而窺探另一邊的數(shù)據(jù)包。但是,請(qǐng)注意:這是在邊界設(shè)備不轉(zhuǎn)發(fā)廣播包的情況下(這也是通常的網(wǎng)絡(luò)情況)。
一旦入侵者使用spoofer 誘騙某個(gè)邊界設(shè)備而將自己的廣播包流入不該進(jìn)入的網(wǎng)段后,原理上還是在一個(gè)共享設(shè)備端使用sniffer 而實(shí)際上將是聽到了邊界的另一邊。(詳細(xì)的spoofer應(yīng)用我會(huì)再整理出來(lái))當(dāng)然,這樣會(huì)牽涉到ip 欺詐和Mac欺詐的問(wèn)題,然而,你別忘了,sniffer和spoofer是很少分開來(lái)的。
既然sniffer如此囂張又安靜,我要如何才知道有沒(méi)有sniffer在我的網(wǎng)上跑呢?這也是一個(gè)很難說(shuō)明的問(wèn)題,比較有說(shuō)服力的理由證明你的網(wǎng)絡(luò)有sniffer目前有這么兩條:
1、你的網(wǎng)絡(luò)通訊掉包率反常的高。
通過(guò)一些網(wǎng)絡(luò)軟件,你可以看到你的信息包傳送情況(不是sniffer),向ping這樣的命令會(huì)告訴你掉了百分幾的包。如果網(wǎng)絡(luò)中有人在聽,那么你的信息包傳送將無(wú)法每次都順暢的流到你的目的地。(這是由于sniffer攔截每個(gè)包導(dǎo)致的)
2、你的網(wǎng)絡(luò)帶寬將出現(xiàn)反常。
通過(guò)某些帶寬控制器(通常是火墻所帶),你可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況,如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬,這臺(tái)機(jī)器就有可能在聽。實(shí)際操作中,我還發(fā)現(xiàn),如果某臺(tái)機(jī)器(非服務(wù)器)在不該使用廣播的網(wǎng)絡(luò)中使用了ICMP 類型10 、11、9等這一類的廣播,。。有可能。。。非常有可能。。。如果同時(shí)出現(xiàn)udp520口的rip廣播,那就百分之N接近。在非高速信道上,如56K ddn 等,如果網(wǎng)絡(luò)中存在sniffer ,你應(yīng)該也可以察覺(jué)出網(wǎng)絡(luò)通訊速度的變化。
最后再說(shuō)明的是,并不是使用了交換設(shè)備就可以完全阻止sniffer , 如果系統(tǒng)管理員錯(cuò)誤的使用了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),比如,工作站或終端通過(guò)某個(gè)集連設(shè)備集中到交換集線器,然后通過(guò)路由再進(jìn)入主機(jī)群。這樣的布線表面看來(lái)好象有物理上的分割,但實(shí)際上,從邏輯的觀點(diǎn),任何一臺(tái)機(jī)器的數(shù)據(jù)除了到達(dá)主機(jī)外,還同時(shí)流向別的機(jī)器。
sniffer有可能任何被一臺(tái)機(jī)器架上,來(lái)監(jiān)控從本地網(wǎng)絡(luò)流向主機(jī)的所有數(shù)據(jù)。安全的布線在沒(méi)有spoofer的情況下應(yīng)該是從各終端就使用交換設(shè)備。
【編輯推薦】
